Titelthema | Neue Regeln

Du sollst ganz viel organisieren

Umsetzung im Unternehmen

0Kommentare

Das neue europäische Daten­schutz­recht wirft seinen Schatten voraus. Daher stehen nun auch die Daten­schutzbeauftragten der Firmen und Betriebe vor großen Herausforderungen.

Die Umsetzung der Datenschutz-Grundverordnung (DS-GVO) ist Aufgabe jedes für die Ver­ar­bei­tung personenbezogener Daten verantwortlichen Unternehmens. Wie bei jeder Implementierung gesetzlicher Vorgaben ist dafür zunächst die Geschäftsleitung verantwortlich, die bei schuldhaften Verstößen persönlich sowohl gegenüber dem Unternehmen als auch gegenüber staatlichen Stellen haften kann. Will die Geschäftsleitung die Implementierung der DS-GVO im Unternehmen nicht selbst vornehmen oder kann sie es – insbesondere bei größeren Einheiten – nicht allein leisten, so kann sie die Aufgabe einem Projektteam übertragen. Die umfangreichen An­for­de­rungen der DS-GVO werden voraussichtlich nicht alle gleichzeitig und vollständig erfüllt werden können. Das Unternehmen wird daher individuell abschätzen müssen, welche Daten­ver­ar­bei­tungen im eigenen Unternehmen das größte Risiko für die Rechte der betroffenen Personen sowie die Verhängung und Höhe von Geld­bußen darstellen. Diese höheren Risiken wird das Unter­nehmen sodann vorrangig reduzieren – und maßgeblich die ­entsprechenden Anforderungen umsetzen wollen. Einen zeitlichen Aufschub wird es dafür nicht geben: Die bayerische Aufsichts­behörde beispielsweise hat bereits jetzt an zufällig ausgewählte Unternehmen Fragebögen verschickt, mit denen sie ab Mai 2018 die Umsetzung der Vorgaben wird prüfen können.

Verarbeitungsverzeichnisse

In einem ersten Schritt wird sich das Unternehmen jedenfalls einen umfassenden Überblick über die eigenen Prozesse verschaffen müssen, bei denen personenbezogene Daten verarbeitet werden. Dazu zählt jede Erhebung, Speicherung, Veränderung, Übermittlung, Löschung oder Vernichtung von Daten. Dabei ist zusammenzutragen, welche Abteilungen welche Arten von Daten für welche Zwecke verarbeiten. Wie bei der gesamten Implementierung des neuen Datenschutzrechts kann das Unternehmen auch bei dieser Informationsgewinnung auf bereits bestehende Prozesse und Strukturen zurückgreifen. So können etwa bereits nach dem bisherigen Bundesdatenschutzgesetz vorhandene Verfahrensübersichten herangezogen, geprüft und gegebenenfalls aktualisiert werden.
Die (aktualisierte) Zusammenstellung ­bildet den Ausgangspunkt für ein Verzeichnis aller Verarbeitungstätigkeiten nach Art. 30 DS-GVO, das mit den dort genannten Angaben von allen Verantwortlichen schriftlich oder elektronisch zu führen und auf Anforderung der Daten­schutz­auf­sichts­behörde dieser zur Verfügung zu stellen ist. Zwar sind Unternehmen mit weniger als 250 Mitarbeitern grundsätzlich von der Verpflichtung zur Führung eines Verarbeitungsverzeichnisses ausgenommen. Allerdings gilt die Ausnahme nicht bei mehr als nur gelegentlicher Verarbeitung oder bei der Verarbeitung besonderer Datenkategorien nach Art. 9 DS-GVO. Zumindest die Lohnbuchhaltung in Steuerberatungskanzleien beschäftigt sich praktisch permanent mit der Verarbeitung personenbezogener Daten. Zudem werden dabei auch Angaben über Religions­zu­ge­hörigkeiten – für die Berechnung ­etwaiger Kirchensteuer – und damit besondere Datenkategorien verarbeitet. Selbst kleine Steuerberatungskanzleien dürften daher zur Aufstellung eines Ver­zeich­nisses über die Verarbeitungstätigkeiten verpflichtet sein.

Rechtsgrundlagen

Fehlt es in Einzelfällen an Rechtsgrundlagen, so ist die Verarbeitung der jeweiligen Daten unzulässig.

Sodann ist zu prüfen, ob es für jede der zusammen­ge­tra­genen Ver­ar­bei­tungs­tätig­keiten Rechts­grund­lagen (Recht­mäßigkeits­gründe im Sinne von Art. 6 DS-GVO) gibt. Darunter fallen etwa die Ein­wil­li­gung, die Er­for­der­lich­keit einer Ver­trags­er­füllung gegenüber der be­trof­fe­nen Person und so weiter. Beruht die Verarbeitung auf Recht­mäßig­keits­gründen nach bisherigem Recht, etwa Einwilligungen, so wird zu prüfen sein, ob diese auch zukünftig nach den teilweise strengeren Vorgaben der DS-GVO – etwa im Hinblick auf die Freiwilligkeit – noch ausreichend sind. Fehlt es in Einzelfällen an Rechtsgrundlagen, so ist die Verarbeitung der jeweiligen Daten unzulässig.

Datenschutz-Management-System

Das Unternehmen ist bei der Verarbeitung personenbezogener Daten für die Umsetzung und Einhaltung der Verordnung verantwortlich und muss dies jederzeit nachweisen können (Art. 5 Abs. 2 sowie Art. 24 Abs. 1 DS-GVO). Daher wird der Verantwortliche ein System zur Steuerung und Kontrolle der datenschutzkonformen Datenverarbeitung einführen müssen – ein Datenschutz-Management-System, mit dem die ergriffenen Maßnahmen zur Einhaltung der Verordnung zudem angemessen dokumentiert werden können. Im Rahmen des Datenschutz-Management-Systems wird das Unternehmen Standardvorgehensweisen für typische Sachverhalte entwickeln müssen. So ist ein Verfahren festzulegen, wonach vor jeder Datenverarbeitung festgelegt und dokumentiert wird, für welche Zwecke und auf welcher Rechtsgrundlage die Verarbeitung überhaupt erfolgt (Art. 5 Abs. 1 lit. 5 DS-GVO). Ein vergleichbares Verfahren ist erforderlich, wenn vorhandene Daten für andere Zwecke weiterverarbeitet werden sollen (Zweckänderungen, Art. 6 Abs. 4 DS-GVO). Zudem sind Maßnahmen für die Erfüllung der unterschiedlichen Betroffenenrechte der Art. 12 bis 21 DS-GVO vorzubereiten:

  • Informationen des Betroffenen durch den Verantwortlichen bei der Erhebung personenbezogener Daten und Auskunfterteilung auf Anfrage des Betroffenen, Art. 13 – 15 DS-GVO
  • Vorgehen bei Forderungen des Betroffenen auf Berichtigung, Löschung, Einschränkung der Datenverarbeitung, Datenübertragbarkeit (Datenherausgabe) und Widerspruch gegen die weitere Verarbeitung, Art. 16 – 21 DS-GVO

Der Verantwortliche hat hinsichtlich des Löschens auch eine Pflicht zum eigenen Tätigwerden, etwa wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr not­wendig sind (Art. 17 Abs. 1 DS-GVO), sodass Verfahren zur automatischen Löschung zu implementieren sind (Lösch­konzept).

Datenverarbeitung im Auftrag

Der Verantwortliche prüft, ob Auftragsdatenverarbeitungsverhältnisse nach Art. 28 DS-GVO bestehen. In Betracht kommen sowohl Dienstleister des Unternehmens als Auftragsverarbeiter als auch das Unternehmen selbst als Dienstleister eines Auftraggebers. Etwa bei der Erbringung der Lohnbuchhaltung durch Steuerberater wurde bisher dagegen eine Auftragsdatenverarbeitung verneint, da der Steuerberater im Rahmen des im StBerG geregelten Aufgabenbereichs und seines Beratungsauftrags selbständig tätig ist. Jedenfalls ist zu prüfen, ob Auftragsverarbeitungsverträge überhaupt existieren und ob sie den Vorgaben von Art. 28 DS-GVO entsprechen. Zudem prüft das Unternehmen, ob es Daten zusammen mit einem Dritten als gemeinsam Verantwortlichen im Sinne von Art. 26 DS-GVO verarbeitet, und schließt bejahendenfalls einen entsprechenden Vertrag. Sowohl der Verantwortliche als auch der Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen festlegen und einhalten, um ein dem jeweiligen Risiko der verarbeiteten Daten angemessenes Schutzniveau sicherzustellen (Sicherheit der Verarbeitung – Art. 32 DS-GVO). Einen Nachweis dafür können Zertifizierungen, Datenschutzsiegel und -prüfzeichen nach Art. 42 DS-GVO erbringen. Im Fall von Datenschutzverletzungen muss der Verantwortliche diese in der Regel innerhalb von 72 Stunden der Datenschutzaufsichtsbehörde melden und zudem gegebenenfalls unverzüglich die betroffenen Personen informieren, Art, 33 – 34 DS-GVO. Hierfür kann ein Notfallkonzept vorbereitet werden, das insbesondere Hand­lungs­an­wei­sungen und Prüfungsvorschläge bietet. Unter Umständen kann eine Meldung an die Aufsichtsbehörde entfallen, wenn im jeweiligen Einzelfall die Datenschutzverletzung voraus­sicht­lich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Datenschutz-Folgeabschätzungen

Sofern eine Datenverarbeitungsform voraussichtlich hohe Risiken für Rechte und Freiheiten natürlicher Personen mit sich bringt, muss der Verantwortliche vorab eine Datenschutz-Folgenabschätzung durchführen (Art. 35 – 36 DS-GVO). Die Verpflichtung kann bei einer Änderung der Verarbeitung – etwa unter Verwendung neuer Technologien – jeweils neu erwachsen.
Ein etwa zu bestellender Datenschutzbeauftragter berät und unterstützt das Unternehmen bei der Einhaltung der Datenschutzvorschriften und der Zusammenarbeit mit der Aufsichtsbehörde. Zur Sensibilisierung für datenschutzrechtliche Vorgaben schult er Mitarbeiter (Art. 39 Abs. 1 DS-GVO).
Zu prüfen ist, ob das Unternehmen personenbezogene Daten an Länder außerhalb des Europäischen Wirtschaftsraums übermittelt. In diesem Fall ist die Übermittlung nur zulässig, wenn die Vorgaben der Art. 44 – 50 DS-GVO eingehalten werden. Dies ist etwa der Fall bei der Über­mittlung in Länder, deren Datenschutzniveaus die Europäische Kommission als gleichwertig anerkannt hat (Art. 45 DS-GVO – Angemessenheitsbeschluss), oder bei Bestehen geeigneter Garantien (Art. 46 DS-GVO). Derartige Garantien bestehen etwa bei der Vereinbarung der europäischen Standarddatenschutzklauseln oder bei verbindlichen unternehmensinternen Datenschutzvorschriften (binding corporate rules, Art. 47 DS-GVO), die durch Daten­schutz­auf­sichts­behörden genehmigt wurden. Wird schließlich im Rahmen des Datenschutz­Management-Systems sichergestellt, dass die umgesetzten Maßnahmen regelmäßig aktualisiert und kontrolliert werden, dann ist ein Großteil der Verpflichtungen des neuen europäischen Datenschutzrechts im Unternehmen angekommen.

Foto: Agnieszka Olek, Stockbyte / Getty Images

0Kommentare Neuen Kommentar verfassen

Einen neuen Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Die Zeit ist abgelaufen. Bitte Captcha neu laden!

"Bitte lösen Sie diese Rechenaufgabe, um Ihren Kommentar abzugeben."