Ab dem 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) anwendbar. Dieser Umstand sollte in allen Unternehmen zwischenzeitlich bekannt sein. Doch viele Unternehmen haben sich noch nicht mit den Anforderungen der Datenschutzgrundverordnung auseinandergesetzt oder sie bereits umgesetzt. Um den Einstieg in die Umsetzung zu erleichtern m\u00f6chten wir daher nachfolgend einen kurzen \u00dcberblick \u00fcber die wesentlichen Anforderungen an Unternehmen geben, wobei die einzelnen Bereiche aufgrund deren Umfang im Rahmen dieses \u00dcberblicks nicht abschlie\u00dfend behandelt werden k\u00f6nnen. Die einzelnen Themen werden wir in den kommenden Wochen in einer Serie zur DSGVO jeweils gesondert darstellen.<\/p>\n
Ziel des DSGVO ist die Vereinheitlichung der datenschutzrechtlichen Standards in Europa. Die bundesdeutschen Regelungen waren in der Vergangenheit in verschiedenen Aspekten intensiver ausgestaltet als dies teilweise in europ\u00e4ischen Nachbarstaaten der Fall war, so dass teilweise \u00c4nderungen der Regelungen in Deutschland eintreten und teilweise neue Regelungen hinzu kommen, die auch das Bundesdatenschutzgesetz bisher so nicht vorgesehen haben.<\/p>\n
Teilweise ge\u00e4ndert und teilweise erneuert wurden insbesondere sehr umfassende Informationspflichten, die Unternehmen verpflichten ihre auf der Internetseite oder an sonstiger Stelle vorgehaltenen Rechtstexte zu \u00fcberarbeiten, um Betroffene auch zuk\u00fcnftig noch ausreichend zu informieren. Die Informationspflichten wurden teilweise auch erweitert. Neu hinzugekommen ist insbesondere die sog. Datenschutzfolgenabsch\u00e4tzung bei besonderen Risiken f\u00fcr die erhobenen Daten. Ebenfalls neu ist, dass auch Auftragsdatenverarbeiter, die zuk\u00fcnftig nur noch Auftragsverarbeiter in der gesetzlichen Regelung hei\u00dfen werden, ein Verzeichnis f\u00fcr Verarbeitungst\u00e4tigkeiten f\u00fchren m\u00fcssen. Diese Verzeichnis der Verarbeitungst\u00e4tigkeiten, welches in \u00e4hnlicher Form auch schon im Bundesdatenschutzgesetz vorgesehen war, ist zuk\u00fcnftig von jedem Unternehmen zu f\u00fchren. Dar\u00fcber hinaus wird in Kombination mit den Neuerungen des neuen Bundesdatenschutzgesetzes die Pflicht zur Bestellung eines Datenschutzbeauftragten erweitert.<\/p>\n
Besondere Anforderungen werden an Unternehmen durch die sehr komplex gewordenen und nun alle Unternehmen treffenden Dokumentationspflichten gestellt. Diese Dokumentation ist stets auf einem aktuellen Stand zu halten, da diese auf Anforderung der Aufsichtsbeh\u00f6rde in gedruckter oder elektronischer Form zur Verf\u00fcgung gestellt werden muss.<\/p>\n
Zus\u00e4tzlich m\u00fcssen in allen Unternehmen die technisch organisatorischen Ma\u00dfnahmen anhand des Risikos f\u00fcr die verarbeiteten Daten eingesch\u00e4tzt werden. Viele Unternehmen d\u00fcrften aufgrund dessen verpflichtet sein weitere technisch organisatorische Ma\u00dfnahmen zu ergreifen, um den Anforderungen an die Datenschutzgrundverordnung gerecht zu werden.<\/p>\n
Auch nach der DSGVO ist die Verarbeitung von Daten nur noch dann zul\u00e4ssig, wenn die Verordnung oder ein anderes Gesetz diese Datenverarbeitung erlaubt. Die DSGVO sieht hierf\u00fcr Erlaubnistatbest\u00e4nde vor, die eine Datenverarbeitung z.B. erlauben, wenn eine Einwilligung des Betroffenen vorliegt oder die Verarbeitung zur Erf\u00fcllung eines Vertrages oder zur Durchf\u00fchrung vorvertraglicher Ma\u00dfnahmen erforderlich ist. Aber auch wenn eine gesetzliche Pflicht besteht ist eine Datenverarbeitung zul\u00e4ssig. Insoweit \u00e4ndert sich zu der bisher in Deutschland nach dem Bundesdatenschutzgesetz vorliegenden Regelung nicht besonders viel.<\/p>\n
F\u00fcr Erhebung und Verarbeitung personenbezogener Daten gilt aber nach Art. 6 Abs. 4 DSGVO<\/a> der Grundsatz der Zweckbindung. Daten d\u00fcrfen ausschlie\u00dflich f\u00fcr einen Zweck erhoben werden, der im Vorfeld festgelegt wurde. Anschlie\u00dfend erfolgt die sogenannte Erstverarbeitung.<\/p>\n Hinsichtlich der bereits im Unternehmen bestehenden Daten besteht f\u00fcr Unternehmen die Verpflichtung eine Pr\u00fcfung vorzunehmen, ob die dort verarbeiteten Daten diesen aktuellen Anforderungen noch entsprechen. Nur dann ist eine weitere Verarbeitung dieser Daten zul\u00e4ssig. Fehlt es z.B. an einer ausreichenden Einwilligung f\u00fcr bestimmte Daten oder besteht f\u00fcr die Verarbeitung \u201ealter Kundendaten\u201c keine sonstige gesetzliche Verpflichtung mehr, so ist die weitere Verarbeitung dieser \u201eAltbest\u00e4nde\u201c nicht mehr zul\u00e4ssig.<\/p>\n Neu in der DSGVO ist die sog. Datenschutzfolgeabsch\u00e4tzung. Diese ist in Art. 35 DSGVO<\/a> geregelt. Ist in einem Unternehmen ein Datenschutzbeauftragter bestellt, so ist dieser in die Datenschutzfolgenabsch\u00e4tzung mit einzubeziehen.<\/p>\n Die Datenschutzfolgenabsch\u00e4tzung beinhaltet drei Stufen, die durchgef\u00fchrt werden m\u00fcssen.<\/p>\n 1. Stufe<\/strong> 2. Stufe<\/strong> 3. Stufe<\/strong> <\/p>\n Unternehmen m\u00fcssen sog. geeignete technisch organisatorische Ma\u00dfnahmen (TOM) treffen, um f\u00fcr die verarbeiteten Daten Datenschutz und Datensicherheit zu gew\u00e4hrleisten. Dabei bedarf es einer Absch\u00e4tzung wie gef\u00e4hrdet die verarbeiteten Daten sind und ob es sich um Daten mit einem nach der DSGVO vorgesehenen hohen Risiko handelt. Dies w\u00fcrde z.B. bei Gesundheitsdaten und biometrischen Daten in jedem Fall gegeben sein. Anhand dieser Einsch\u00e4tzung und unter Ber\u00fccksichtigung des im Unternehmen vorgehaltenen Stand der Technik m\u00fcssen dann ggf. weitere Ma\u00dfnahmen ergriffen werden, um ausreichende technisch organisatorische Ma\u00dfnahmen f\u00fcr den Datenschutz und die Datensicherheit der betroffenen Daten herzustellen.<\/p>\n Die DSGVO normiert in Art. 13<\/a>, 14 DSGVO<\/a> umfangreiche Informationspflichten f\u00fcr Unternehmen, wenn Daten beim Betroffenen oder bei Dritten erhoben werden. Dritter im Sinne dieser Vorschrift k\u00f6nnten z.B. Auskunfteien wie die Schufa sein. Eine Ausnahme gilt nur insoweit, wie der Betroffene z.B. \u00fcber diese Informationen schon verf\u00fcgt. Der Anspruch ist auch dann ausgeschlossen, wenn die Informationserteilung einen unverh\u00e4ltnism\u00e4\u00dfig hohen Aufwand erfordert oder gar unm\u00f6glich ist. In diesem Fall ist allerdings eine \u00f6ffentliche Bekanntmachung dieser Information, z.B. auf einer Webseite, erforderlich.<\/p>\n Alle zuk\u00fcnftigen Informationspflichten k\u00f6nnen nur dann erf\u00fcllt sein, wenn die Informationen dem Betroffenen auf eine pr\u00e4zise, transparente, verst\u00e4ndliche und leicht zug\u00e4ngliche Form sowie in einer klaren und einfachen Sprache bereitgestellt werden. Durch diese Regelung soll es allen Betroffenen erm\u00f6glicht werden diese Informationen zu verstehen und nachvollziehen zu k\u00f6nnen, ohne dass sich Regelungen hinter schwierigen juristischen Formulierungen verbergen k\u00f6nnen.<\/p>\n Die Rechte der Personen, deren personenbezogenen Daten in Unternehmen verarbeitet werden, werden zuk\u00fcnftig gemeinsam Betroffenenrechte genannte. Diese entsprechen teilweise den bisherigen Regelungen und werden teilweise erweitert.<\/p>\n So hat jeder Betroffene auch zuk\u00fcnftig das Recht auf Auskunft, welche Daten von ihm verarbeitet wurden. Hinzu gekommen ist die Verpflichtung f\u00fcr Unternehmen dem Betroffenen auf Anforderung eine Kopie der Daten und deren \u00dcbermittlung in einem \u201eg\u00e4ngigen\u201c Dateiformat verlangen kann.<\/p>\n Das von der Rechtsprechung entwickelte sog. \u201eRecht auf Vergessenwerden\u201c erh\u00e4lt mit der DSGVO Gesetzesrang. Nach Art. 17 DSGVO<\/a> besteht f\u00fcr Betroffene ein Recht auf L\u00f6schung der verarbeiteten Daten, wenn die Speicherung der Daten nicht mehr notwendig ist, der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat, die Daten unrechtm\u00e4\u00dfig verarbeitet wurden oder eine Rechtspflicht zum L\u00f6schen nach EU- oder nationalem Recht besteht.<\/p>\n Das Recht auf Vergessenwerden findet allerdings keine Anwendung, wenn die freie Meinungs\u00e4u\u00dferung bzw. die Informationsfreiheit \u00fcberwiegen, die Datenspeicherung der Erf\u00fcllung einer rechtlichen Verpflichtung dient, das \u00f6ffentliche Interesse im Bereich der \u00f6ffentlichen Gesundheit \u00fcberwiegt, Archivzwecke, wissenschaftliche und historische Forschungszwecke dem entgegenstehen oder die Speicherung zur Geltendmachung, Aus\u00fcbung oder Verteidigung von Rechtsanspr\u00fcchen erforderlich ist.<\/p>\n Nicht ganz so weitgehend steht Betroffenen nach Art. 16 DSGVO<\/a> auch ein Recht auf Berichtigung der verarbeiteten Daten beim Unternehmen zu. Danach k\u00f6nnen Betroffene verlangen, dass unrichtige personenbezogene Daten berichtigt und unvollst\u00e4ndige vervollst\u00e4ndigt werden.<\/p>\n Schlie\u00dflich haben Betroffene das sog. Recht auf Datenportabilit\u00e4t oder auch Daten\u00fcbertragbarkeit der von ihm zur Verf\u00fcgung gestellten Daten. Danach k\u00f6nnen Betroffene von dem datenverarbeitenden Unternehmen nach der Regelung der DSGVO verlangen, dass das Unternehmen dem Betroffenen \u201eseine Daten\u201c in einem strukturierten, maschinenlesbaren Format \u00fcbermittelt.<\/p>\n Kommt es trotz aller ergriffenen Ma\u00dfnahmen im Unternehmen einmal zu einer Datenpanne, dann schreibt die DSGVO vor. Nach den Regelungen der DSGVO m\u00fcssen alle Verletzungen des Schutzes personenbezogener Daten gemeldet werden, soweit das Risiko f\u00fcr pers\u00f6nliche Rechte und Freiheiten wahrscheinlich ist. Hierf\u00fcr gilt eine nicht verl\u00e4ngerbare Frist von 72 Stunden.<\/p>\n Gegen\u00fcber Betroffenen besteht f\u00fcr Unternehmen die Verpflichtung die von der Verletzung betroffenen Personen direkt zu benachrichtigen. Die Benachrichtigungspflicht entf\u00e4llt nur dann, wenn das Unternehmen Vorkehrungen getroffen hat, die Daten Unbefugten unzug\u00e4nglich zumachen, z.B. durch eine Verschl\u00fcsselung der Daten, oder der Verantwortliche nachtr\u00e4glich Ma\u00dfnahmen ergriffen hat, durch die das hohe Risiko f\u00fcr die Rechte und Freiheiten der Betroffenen aller Wahrscheinlichkeit nach nicht mehr bestehen oder die Benachrichtigung der Betroffenen einen unverh\u00e4ltnism\u00e4\u00dfig hohen Aufwand erfordern w\u00fcrde. In diesem Fall muss dann allerdings eine \u00f6ffentliche Bekanntmachung oder eine \u00e4hnliche Ma\u00dfnahme erfolgen.<\/p>\nDatenschutzfolgenabsch\u00e4tzung<\/h3>\n
\nAnhand der verarbeiteten Daten ist zu pr\u00fcfen, ob ein hohes Risiko f\u00fcr die Rechte und Freiheiten der Betroffenen besteht. Art. 35 Abs. 3 DSGVO<\/a> als nennt als Hauptanwendungsgebiete Technologien, die automatisiert, systematisch und umfassend Daten erfassen, verarbeiten und bewerten.<\/p>\n
\nBesteht nach der ersten Stufe ein solches Risiko, dann muss in der zweiten Stufe gepr\u00fcft werden, ob die geplanten Abhilfema\u00dfnahmen und Sicherheitsvorkehren ausreichen, um den Schutz der Daten zu gew\u00e4hrleisten. Au\u00dferdem muss der Nachweis erbracht werden, dass die DSGVO eingehalten und den Interessen der Betroffenen Rechnung getragen wird.<\/p>\n
\nKommt man in Stufe 2 zu dem Ergebnis, dass trotz ergriffener oder geplanter Ma\u00dfnahmen ein hohes Risiko besteht, muss die Aufsichtsbeh\u00f6rde informiert werden, die dann innerhalb einer Frist von 8 Wochen Empfehlungen aussprechen kann.<\/p><\/blockquote>\nTechnisch organisatorische Ma\u00dfnahmen<\/h3>\n
Informationspflichten<\/h3>\n
Betroffenenrechte<\/h3>\n
Meldepflicht bei Datenpannen<\/h3>\n
Dokumentationspflichten<\/h3>\n