DSGVO

Neues Datenschutzrecht aus Europa

Datenschutz ist nichts Neues. In Deutschland gibt es ihn schon seit Jahrzehnten, und auch auf EU-Ebene war er bereits seit 1995 geregelt. Die neue gesetzliche Vorschrift, die EU-Datenschutz-Grundverordnung (DSGVO), schafft aber ein neues und weit umfangreicheres Rechtsregime, das seit 25. Mai 2018 gilt. Daran müssen sich alle Unternehmen halten.
Informationen hält auch die Aufsichtsbehörde der Unternehmen in Bayern, das Bayerische Landesamt für Datenschutzaufsicht in Ansbach, bereit.

Was regelt die DSGVO?

Beim Datenschutz geht es um den Schutz personenbezogener Daten. Davon sind alle Informationen umfasst, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, wie Name, Geburtsdatum oder IP-Adresse. Der Anwendungsbereich der DSGVO ist sehr weit gefasst. Es geht um den Schutz dieser Daten als Ausfluss des Persönlichkeitsrechts einer jeden Person.
Was Sie im Unternehmen beachten müssen, lesen Sie in unserem Artikel "Datenschutz in einem Musterunternehmen".

Was sind die Grundsätze der DSGVO?

Art. 5 beinhaltet die Grundsätze, die bei einer automatisierten Verarbeitung personenbezogener Daten zu beachten sind. Dies sind:
  • Verbot mit Erlaubnisvorbehalt: Da die Verarbeitung personenbezogener Daten in das verfassungsrechtlich geschützte Persönlichkeitsrecht eingreift, ist eine Datenverarbeitung grundsätzlich verboten. Nur, wenn sie z. B. gesetzlich erlaubt oder auf der Einwilligung der betroffenen Person beruht, ist sie erlaubt.
  • Rechtmäßigkeit: Die Verarbeitung ist dann rechtmäßig, wenn sie auf einer entsprechenden Grundlage beruht (Rechtsgrundlage, Einwilligung usw.) und der Zwecke der Verarbeitung von der Rechtsgrundlage bzw. der Einwilligung umfasst ist.
  • Transparenz: Die betroffene Person muss wissen, wer welche Daten für welchen Zweck verarbeitet. Daher gibt es umfangreiche Betroffenenrechte (z. B. Informationspflichten, Auskunftsrechte, Recht auf Berichtigung der Daten, Widerspruchsrecht).
  • Zweckbindung: Die Daten dürfen nur für die genannten Zwecke verarbeitet werden. Ausnahmen sind vorgesehen für sog. kompatible Zwecke, also Zweckänderungen, die aber mit dem ursprünglichen Zweck eng zusammenhängen.
  • Datenminimierung: Es dürfen nur die personenbezogenen Daten verarbeitet werden, die für die Zweckerreichung notwendig sind.
  • Richtigkeit: Die Daten müssen richtig sein, anderenfalls müssen sie berichtigt oder gelöscht werden.
  • Speicherbegrenzung: Die Datensparsamkeit ist hierbei zu beachten, also die Frage, wann Daten nicht mehr benötigt und daher gelöscht werden können. Zudem sind alle Möglichkeiten zur Anonymisierung von Daten zu nutzen.
  • Integrität und Vertraulichkeit: Die DSGVO verknüpft sehr stark den Datenschutz mit der Technik. Die IT-Verfahren müssen somit schon von Anfang an darauf ausgerichtet sein, möglichst wenig personenbezogene Daten verarbeiten zu können (privacy by design).
  • Rechenschaftspflicht: Das ist der wichtigste Aspekt der Grundsätze. Die verantwortliche Stelle, also das Unternehmen oder die Institution sind verantwortlich für den Datenschutz und seine Beachtung. Dazu ist ein Datenschutzmanagement notwendig – natürlich abhängig von der Größe des Unternehmens, der personenbezogenen Daten, die verarbeitet werden, und der Menge und der Qualität der Daten. Zumindest muss aber auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können. Denn die Verletzung der Datenschutzpflichten zieht empfindliche Bußgelder nach sich: Bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes können von den Aufsichtsbehörden verhängt werden.

Was ist zu tun?

Zunächst sollte eine Bestandsaufnahme gemacht werden: Was ist an datenschutzrechtlichen Maßnahmen im Unternehmen vorhanden? Sind sie mit der DSGVO kompatibel? Wurde z. B. bei den Einwilligungen, die von Kunden und anderen Personen für die Verarbeitung personenbezogener Daten eingeholt wurden, auf ein jederzeitiges Widerspruchsrecht hingewiesen? Falls nicht, müsste dies nachgeholt werden.
Werden besonders umfangreich Daten verarbeitet oder werden hierfür besondere Techniken eingesetzt, die die Rechte der betroffenen Person besonders gefährden, ist eine Risikobewertung im Rahmen einer Datenschutz-Folgenabschätzung notwendig. Diese muss bei vorhandenen Verarbeitungen nachgeholt werden.
Wie sieht es mit den Vereinbarungen zur Verarbeitung personenbezogener Daten im Auftrag aus? Sind mit den IT-Dienstleistern solche Vereinbarungen geschlossen worden? Falls ja, müssen auch sie überprüft werden: Genügen die technisch-organisatorischen Maßnahmen bei dem Dienstleister den Anforderungen an das Schutzniveau der Daten? Auch hier muss eine Risikobewertung durchgeführt werden. Falls solche Vereinbarungen bisher nicht geschlossen wurden, sollten sie jetzt bereits unter Beachtung des neuen Rechts formuliert werden.
Entsprechen Informationen über die Datenverarbeitung auf den Internetseiten den Informationsvorgaben der DSGVO? Der Transparenz wird große Bedeutung zugemessen. Insofern ist zu prüfen, wie umfangreich eine öffentliche Information über die wesentlichen Verarbeitungen personenbezogener Daten erfolgen kann, um den Betroffenenrechten auf Information dadurch Genüge zu tun.
Die bereits erwähnte Nachweispflicht verlangt, dass die notwendigen Dokumente und Prozesse zur Einhaltung der DSGVO nachweisbar vorhanden sind und eingehalten werden. Zudem gehört zu einem Datenschutzmanagement, dass es eindeutige Regeln gibt, wer welche Rolle in den Ablaufprozessen spielt: Gibt es einen Prozess zur Einholung, Dokumentation von Einwilligungen, der mit eventuell eingehenden Widersprüchen verknüpft ist? Wie und von wem werden Auskunftsersuchen beantwortet? Wie werden Verletzungen von Datenschutzrechten („Datenpannen“/IT-Sicherheitsvorfälle) innerbetrieblich behandelt?
Für die Beantwortung solcher Fragen bieten sich Richtlinien an, die auch im Rahmen eines Compliance-Managements erlassen werden können, oder eine Verknüpfung mit einem vorhandenen Qualitätsmanagement.

Verantwortlichkeit liegt bei Geschäftsleitung

Eindeutig ist, dass die Leitung des Unternehmens die Verantwortung trägt. Sie ist nicht auf einen betrieblichen Datenschutzbeauftragten delegierbar. Seine Aufgabe – unabhängig davon, ob er ein Mitarbeiter ist oder ein Externer – besteht zukünftig im Wesentlichen in der Überwachung der Prozesse auf ihre datenschutzrechtliche Zulässigkeit und der Beratung z. B. bei der Datenschutz-Folgenabschätzung. In der Praxis wird der betriebliche Datenschutzbeauftragte vielleicht einige Aufgaben aus den neuen Anforderungen übernehmen, aber eine eigene Verantwortung für die Vereinbarkeit mit der DSGVO ergibt sich daraus nicht.