Datenfrühling Zeit für den Datenschutz ‐ Frühjahrsputz

Verarbeitet Ihr Unternehmen personenbezogene Daten?
Was müssen sie berücksichtigen - und was ändert sich mit der neuen EU Datenschutzgrundverordnung?

Am 25. Mai 2018 treten die EU Datenschutzgrundverordnung (DS-GVO) sowie das aktualisierte Bundesdatenschutzgesetz (BDSG) in Kraft. Zu diesem Stichtag müssen alle mit der Verarbeitung personenbezogener Daten betrauten Unternehmen den neuen Regularien genügen. Mit diesem Stichtag sind die EU Datenschutzgrundverordnung sowie das damit einhergehende (neue) Bundesdatenschutzgesetz geltendes Recht. Aber wer unterliegt den Datenschutzgesetzen, was ist konkret zu berücksichtigen und ist ihr Unternehmen überhaupt betroffen?

Was sind personenbezogene Daten?

Personenbezogene Daten sind gem. §3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Bestimmbar in diesem Sinne ist eine natürliche Person, wenn grundsätzlich die auch nur abstrakte Möglichkeit besteht, ihre Identität festzustellen.

Ist mein Unernehmen betroffen?

Wenn ihr Unternehmen personenbezogene Daten wie bspw. Namen und Kontaktdaten von Kunden (natürliche- nicht juristische Personen) erhebt, verarbeitet, übermittelt oder dies im Auftrag durch Dritte durchführen lässt, müssen sie die Vorgaben der DS-GVO berücksichtigen. Dies betrifft auch die Verarbeitung von Mitarbeiterdaten. Es dürfte damit also fast jedes Unternehmen von der DS-GVO betroffen sein, welches eine Verarbeitung von Daten durchführt.

Welche Risiken gehe ich ein?

Am ehesten besteht das Risiko, dass Ihr Unternehmen der Abmahnindustrie zum Opfer fällt. Diese steht in den Startlöchern und wird voraussichtlich zum Stichtag am 25. Mai 2018 automatisiert Webseiten auf Vorhandensein einer gültigen Datenschutzerklärung überprüfen um in der Folge mit Standardabmahnungen auf sie zukommen wird.
Ein weiteres Risiko besteht, wenn Ihr Unternehmen von den Datenschutzaufsichtsbehörden überprüft wird und Sie keine den Anforderungen entsprechende Dokumentation vorweisen können wie Ihr Unternehmen personenbezogene Daten verarbeitet- bzw. wenn dies widerrechtlich geschieht. Die damit verbundenen Bussgelder können beachtlich sein.

Was muss ich unternehmen?

In jedem Fall ist die Datenschutzerklärung Ihres Internaetauftritts anzupassen. Hier müssen alle auf der Webseite erhobenen Daten und deren Verwendungszweck klar & unmissverständlich aufgeführt werden. Die Weitergabe dieser Daten muss durch eine gültige Auftragsdatenverarbeitung besiegelt werden (bietet jeder seriöse Provider an). Sollten Social-Media Plugins verwendet werden (Facebook-like & Co.) müssen diese Deaktiviert- und vom Benutzer aktiv eingeschaltet werden.

Die Ihren Kunden bereitgestellte Datenschutzerklärung zur Einwilligung muss aktualisiert werden und mindestens von allen Neukunden unterzeichnet werden.

Für die interne Datenverarbeitung müssen die Verfahren dokumentiert werden, denen die Verarbeitung personenbezogener Daten zu Grunde liegt. Das bedeutet nicht, dass jedes einzelne System das bspw. mit der Verarbeitung von Lohndaten befasst ist beschrieben wird, sondern i.d.F. das Verfahren zur Lohnabrechnung an dem durchaus mehrere Systeme und Prozesse beteiligt sein können.

Ist bei der Verarbeitung personenbezogener Daten von einem hohen Risiko für Betroffene auszugehen, ist das Verfahren vorab einer Datenschutzfolgeabschätzung zu unterziehen.

Grundlegend können Sie sich an folgendem Fahrplan orientieren:

  • Erhebung aller mit der Verarbeitung personenbezogener Systeme und Prozesse
  • Fragestellung zur Notwendigkeit (Recht) - und Datensparsamkeit (Umfang)
  • Benutzer- und Berechtigungskonzept für den Zugriff dokumentieren
  • Mitarbeiter auf den Umgang mit pesonenbezogenen Daten schulen
  • IT Sicherheitsmassnahmen zum Schutz der Daten definieren und umsetzen
  • Betroffenenrechte auf Auskunft, Berichtigung, Löschung und Mitnahme ihrer Daten sicherstellen
    • All diese Punkte gilt es in einem Datenschutzkonzept zu dokumentieren und regelmässig zu überprüfen.
    Sollten Daten von ihrem Unternehmen weitergegeben werden, sind entweder die Vorgaben zur Datenübermittlung- oder Auftragsdatenverarbeitung zu berücksichtigen.

    Vertraglich sollten Sie für ihre Kunden (Betroffene) mindestens das folgende regeln:

  • Zweck der Datenverarbeitung
  • welche Daten zum genannten Zweck verarbeitet werden
  • an wen die Daten wozu weitergegeben werden
  • wohin die Daten übermittelt werden
  • Dauer der Aufbewahrung der Daten
  • Aufklärung über die Rechte der Betroffenen
  • Benennung eines Ansprechpartners und der verantwortliche Stelle
    • Dies kann entweder über eine Einwilligung der Betroffenen- oder ihre AGB erfolgen.

    Desweiteren sind Vorfälle welche personenbezogene Daten betreffen und ein einfaches Risiko für die Betroffenen darstellen innerhalb von 72 Stunden der Aufsichtsbehörde zu melden. Darüber hinaus sind Landes- und Kirchendatenschutzgesetze (für kichliche Einrichtungen) zu berücksichtigen.

    Muss ich einen Datenschutzbeauftragte benennen?

    Kleinere Unternehmen benötige i.d.R. keinen eigenen Datenschutzbeauftragten, müssen aber in jedem Fall ebenso die datenschutzrechtlichen Vorgaben einhalten. Der Weg der freiwilligen Bestellung eines Datenschutzbeauftragten steht Unternehmen immer offen, in jedem Fall ist aber eine datenschutzrechtliche Beratung sinnvoll.

    Ein Datenschutzbeauftragter muss in folgenden Fällen offiziell bestellt werden:

  • mindestens 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten ständig befasst sind
  • personenbezogene Daten zum Zweck der Markt- oder Meinungsforschung erhoben werden (bspw. MArktforschungsinstitute)
  • bei regelmäßiger und systematischer Überwachung von betroffenen Personen (bsw. Detekteien)
  • besonders sensible Daten verarbeitet werden (bspw. in Krankenhäsern, Versicherungen)
  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird

    • Was geschieht wenn ich nichts unternehme?

    Datenschutz nimmt berechtigterweise einen immer höheren Stellenwert in unserer Gesellschaft ein und die (EU) Bürger verlangen zunehmend den Schutz- und Transparenz durch mit der Verarbeitung personenbezogener Daten befasste Unternehmen.

    Die bisherige Praxis der nationalen Landesdatenschutzaufsichtsbehörden hat in den wenigsten Fällen zu einem hohen Bußgeld geführt. Das lag u.a. an knappen Resourcen, und dass gerichtliche Streitigkeiten (Google, Facebook) mal eben das Jahresbudget der Behörde verschlingen konnten. Wenn zukünfig die EU-Aufsichtsbehörde die Gerichtsprozesse bestreitet, kann von einem langen Atem der Behörde ausgegangen werden.

    Haften werden die persönlichen Gesellschafter / Eigentümer des Unternehmens. Auch die Höhe der Bußgelder hat sich vervielfacht. Sollte ein Unternehmen personenbezogene Daten entgegen der DS-GVO verarbeiten, drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des globalen Umsatzes (dies richtet sich danach, welcher Betrag höher ist). Darüber hinaus können auch zivilrechtliche Schadensersatzansprüche geltend gemacht werden.

    Resume

    Es ist nie zu spät sich mit den Anforderungen des Datenschutzes zu befassen und das Risiko für ihr Unternehmen zu mitigieren. Starten sie noch heute damit, die Verarbeitung personenbezogener Daten im Sinne ihrer Kunden abzusichern und werben sie aktiv mit der Einhaltung des EU-Datenschutzes. Ihre Kunden werden es ihnen danken.

    Weitere Quellen zum Thema

    [1] Text der Datenschutzgrundverordung im Wortlaut (deutsch/englisch)
    [2] Das (neue) Bundesdatenschutzgesetz (BDSG)
    [3] Anordung zum kirchlichen Datenschutz (KDO)
    [4] Empfehlungen zur Bestellung eines Datenschutzbeauftragten der GDD e.V.
    [5] Infos zum Mitarbeiterdatenschutz gem. DS-GVO / BDSG
    [6] Muster zum Verfahrensverzeichnis vom Datenschutz-Guru
    [7] Artikel zu Bußgelder & Sanktionen auf Datenschutzbeauftrager.info
    [8] Übesicht der Landesdatenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich
    [9] Kostenloses Tool zur Datenschutzfolgeabschätzung der französischen Datenschutzaufsichtsbehörde (CNIL) in deutsch/englisch/...
    [10] Die von der Ulmer Akademie für Datenschutz und IT-Sicherheit udis gGmbH bereitgestellten 10 wichtigsten Fragen zur Europäischen Datenschutzgrundverordnung
    [11] Datenschutzkonforme Bereitstellung von Social-Media Plugins durch Social Share Privacy
    [12] Eine kostenlose APP der Datenschutzgrundverordnung in verschiedenen Sprachen findeen sie unter "DLA Piper GDPR" in ihrem APP-Store.
    Die hier gemachten Angaben sind als Orientierung zu verstehen und erheben keinen Anspruch auf Vollständigkeit und Rechtsverbindlichkeit. Für rchtsverbindliche Ausküfte konsultieren Sie bitte einen zertifizierten Datenschutzbeauftragten oder die Landesdatenschutzaufsichtsbehörden.