Das neue europäische Datenschutzrecht wirft seinen Schatten voraus. Daher stehen nun auch die Datenschutzbeauftragten der Firmen und Betriebe vor großen Herausforderungen.
Die Umsetzung der Datenschutz-Grundverordnung (DS-GVO) ist Aufgabe jedes für die Verarbeitung personenbezogener Daten verantwortlichen Unternehmens. Wie bei jeder Implementierung gesetzlicher Vorgaben ist dafür zunächst die Geschäftsleitung verantwortlich, die bei schuldhaften Verstößen persönlich sowohl gegenüber dem Unternehmen als auch gegenüber staatlichen Stellen haften kann. Will die Geschäftsleitung die Implementierung der DS-GVO im Unternehmen nicht selbst vornehmen oder kann sie es – insbesondere bei größeren Einheiten – nicht allein leisten, so kann sie die Aufgabe einem Projektteam übertragen. Die umfangreichen Anforderungen der DS-GVO werden voraussichtlich nicht alle gleichzeitig und vollständig erfüllt werden können. Das Unternehmen wird daher individuell abschätzen müssen, welche Datenverarbeitungen im eigenen Unternehmen das größte Risiko für die Rechte der betroffenen Personen sowie die Verhängung und Höhe von Geldbußen darstellen. Diese höheren Risiken wird das Unternehmen sodann vorrangig reduzieren – und maßgeblich die entsprechenden Anforderungen umsetzen wollen. Einen zeitlichen Aufschub wird es dafür nicht geben: Die bayerische Aufsichtsbehörde beispielsweise hat bereits jetzt an zufällig ausgewählte Unternehmen Fragebögen verschickt, mit denen sie ab Mai 2018 die Umsetzung der Vorgaben wird prüfen können.
Verarbeitungsverzeichnisse
In einem ersten Schritt wird sich das Unternehmen jedenfalls einen umfassenden Überblick über die eigenen Prozesse verschaffen müssen, bei denen personenbezogene Daten verarbeitet werden. Dazu zählt jede Erhebung, Speicherung, Veränderung, Übermittlung, Löschung oder Vernichtung von Daten. Dabei ist zusammenzutragen, welche Abteilungen welche Arten von Daten für welche Zwecke verarbeiten. Wie bei der gesamten Implementierung des neuen Datenschutzrechts kann das Unternehmen auch bei dieser Informationsgewinnung auf bereits bestehende Prozesse und Strukturen zurückgreifen. So können etwa bereits nach dem bisherigen Bundesdatenschutzgesetz vorhandene Verfahrensübersichten herangezogen, geprüft und gegebenenfalls aktualisiert werden.
Die (aktualisierte) Zusammenstellung bildet den Ausgangspunkt für ein Verzeichnis aller Verarbeitungstätigkeiten nach Art. 30 DS-GVO, das mit den dort genannten Angaben von allen Verantwortlichen schriftlich oder elektronisch zu führen und auf Anforderung der Datenschutzaufsichtsbehörde dieser zur Verfügung zu stellen ist. Zwar sind Unternehmen mit weniger als 250 Mitarbeitern grundsätzlich von der Verpflichtung zur Führung eines Verarbeitungsverzeichnisses ausgenommen. Allerdings gilt die Ausnahme nicht bei mehr als nur gelegentlicher Verarbeitung oder bei der Verarbeitung besonderer Datenkategorien nach Art. 9 DS-GVO. Zumindest die Lohnbuchhaltung in Steuerberatungskanzleien beschäftigt sich praktisch permanent mit der Verarbeitung personenbezogener Daten. Zudem werden dabei auch Angaben über Religionszugehörigkeiten – für die Berechnung etwaiger Kirchensteuer – und damit besondere Datenkategorien verarbeitet. Selbst kleine Steuerberatungskanzleien dürften daher zur Aufstellung eines Verzeichnisses über die Verarbeitungstätigkeiten verpflichtet sein.
Rechtsgrundlagen
Fehlt es in Einzelfällen an Rechtsgrundlagen, so ist die Verarbeitung der jeweiligen Daten unzulässig.
Sodann ist zu prüfen, ob es für jede der zusammengetragenen Verarbeitungstätigkeiten Rechtsgrundlagen (Rechtmäßigkeitsgründe im Sinne von Art. 6 DS-GVO) gibt. Darunter fallen etwa die Einwilligung, die Erforderlichkeit einer Vertragserfüllung gegenüber der betroffenen Person und so weiter. Beruht die Verarbeitung auf Rechtmäßigkeitsgründen nach bisherigem Recht, etwa Einwilligungen, so wird zu prüfen sein, ob diese auch zukünftig nach den teilweise strengeren Vorgaben der DS-GVO – etwa im Hinblick auf die Freiwilligkeit – noch ausreichend sind. Fehlt es in Einzelfällen an Rechtsgrundlagen, so ist die Verarbeitung der jeweiligen Daten unzulässig.
Datenschutz-Management-System
Das Unternehmen ist bei der Verarbeitung personenbezogener Daten für die Umsetzung und Einhaltung der Verordnung verantwortlich und muss dies jederzeit nachweisen können (Art. 5 Abs. 2 sowie Art. 24 Abs. 1 DS-GVO). Daher wird der Verantwortliche ein System zur Steuerung und Kontrolle der datenschutzkonformen Datenverarbeitung einführen müssen – ein Datenschutz-Management-System, mit dem die ergriffenen Maßnahmen zur Einhaltung der Verordnung zudem angemessen dokumentiert werden können. Im Rahmen des Datenschutz-Management-Systems wird das Unternehmen Standardvorgehensweisen für typische Sachverhalte entwickeln müssen. So ist ein Verfahren festzulegen, wonach vor jeder Datenverarbeitung festgelegt und dokumentiert wird, für welche Zwecke und auf welcher Rechtsgrundlage die Verarbeitung überhaupt erfolgt (Art. 5 Abs. 1 lit. 5 DS-GVO). Ein vergleichbares Verfahren ist erforderlich, wenn vorhandene Daten für andere Zwecke weiterverarbeitet werden sollen (Zweckänderungen, Art. 6 Abs. 4 DS-GVO). Zudem sind Maßnahmen für die Erfüllung der unterschiedlichen Betroffenenrechte der Art. 12 bis 21 DS-GVO vorzubereiten:
- Informationen des Betroffenen durch den Verantwortlichen bei der Erhebung personenbezogener Daten und Auskunfterteilung auf Anfrage des Betroffenen, Art. 13 – 15 DS-GVO
- Vorgehen bei Forderungen des Betroffenen auf Berichtigung, Löschung, Einschränkung der Datenverarbeitung, Datenübertragbarkeit (Datenherausgabe) und Widerspruch gegen die weitere Verarbeitung, Art. 16 – 21 DS-GVO
Der Verantwortliche hat hinsichtlich des Löschens auch eine Pflicht zum eigenen Tätigwerden, etwa wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind (Art. 17 Abs. 1 DS-GVO), sodass Verfahren zur automatischen Löschung zu implementieren sind (Löschkonzept).
Datenverarbeitung im Auftrag
Der Verantwortliche prüft, ob Auftragsdatenverarbeitungsverhältnisse nach Art. 28 DS-GVO bestehen. In Betracht kommen sowohl Dienstleister des Unternehmens als Auftragsverarbeiter als auch das Unternehmen selbst als Dienstleister eines Auftraggebers. Etwa bei der Erbringung der Lohnbuchhaltung durch Steuerberater wurde bisher dagegen eine Auftragsdatenverarbeitung verneint, da der Steuerberater im Rahmen des im StBerG geregelten Aufgabenbereichs und seines Beratungsauftrags selbständig tätig ist. Jedenfalls ist zu prüfen, ob Auftragsverarbeitungsverträge überhaupt existieren und ob sie den Vorgaben von Art. 28 DS-GVO entsprechen. Zudem prüft das Unternehmen, ob es Daten zusammen mit einem Dritten als gemeinsam Verantwortlichen im Sinne von Art. 26 DS-GVO verarbeitet, und schließt bejahendenfalls einen entsprechenden Vertrag. Sowohl der Verantwortliche als auch der Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen festlegen und einhalten, um ein dem jeweiligen Risiko der verarbeiteten Daten angemessenes Schutzniveau sicherzustellen (Sicherheit der Verarbeitung – Art. 32 DS-GVO). Einen Nachweis dafür können Zertifizierungen, Datenschutzsiegel und
Datenschutz-Folgeabschätzungen
Sofern eine Datenverarbeitungsform voraussichtlich hohe Risiken für Rechte und Freiheiten natürlicher Personen mit sich bringt, muss der Verantwortliche vorab eine Datenschutz-Folgenabschätzung durchführen (Art. 35 – 36 DS-GVO). Die Verpflichtung kann bei einer Änderung der Verarbeitung – etwa unter Verwendung neuer Technologien – jeweils neu erwachsen.
Ein etwa zu bestellender Datenschutzbeauftragter berät und unterstützt das Unternehmen bei der Einhaltung der Datenschutzvorschriften und der Zusammenarbeit mit der Aufsichtsbehörde. Zur Sensibilisierung für datenschutzrechtliche Vorgaben schult er Mitarbeiter (Art. 39 Abs. 1 DS-GVO).
Zu prüfen ist, ob das Unternehmen personenbezogene Daten an Länder außerhalb des Europäischen Wirtschaftsraums übermittelt. In diesem Fall ist die Übermittlung nur zulässig, wenn die Vorgaben der Art. 44 – 50 DS-GVO eingehalten werden. Dies ist etwa der Fall bei der Übermittlung in Länder, deren Datenschutzniveaus die Europäische Kommission als gleichwertig anerkannt hat (Art. 45 DS-GVO – Angemessenheitsbeschluss), oder bei Bestehen geeigneter Garantien (Art. 46 DS-GVO). Derartige Garantien bestehen etwa bei der Vereinbarung der europäischen Standarddatenschutzklauseln oder bei verbindlichen unternehmensinternen Datenschutzvorschriften (binding corporate rules, Art. 47 DS-GVO), die durch Datenschutzaufsichtsbehörden genehmigt wurden. Wird schließlich im Rahmen des DatenschutzManagement-Systems sichergestellt, dass die umgesetzten Maßnahmen regelmäßig aktualisiert und kontrolliert werden, dann ist ein Großteil der Verpflichtungen des neuen europäischen Datenschutzrechts im Unternehmen angekommen.
Foto: Agnieszka Olek, Stockbyte / Getty Images
MEHR DAZU
finden Sie unter www.datev.de/dsgvo und www.datev.de/datenschutz
DATEV-Consulting „Datenschutz-Beratungen“ (inkl. Datenschutzbeauftragter)
Fachseminar „Datenschutz aktuell – Die neue EU-Datenschutz-Grundverordnung“, Art.-Nr. 73105
Fachseminar „Der zertifizierte Datenschutzbeauftragtein der Kanzlei (TÜV)“, Art.-Nr. 73070
Dialogseminar online (TeleTax) „Auswirkungen der Datenschutzgrundverordnung (DSGVO) beim Steuerberater“, Art.-Nr. 76520
Fachpublikation „Workbook Datenschutz-Grundverordnung“, Art.-Nr. 35174
