Gerade noch ein paar Wochen Zeit bleibt Unternehmern zur Vorbereitung auf die neue Datenschutz- Grundverordnung (DS-GVO). Am 25. Mai 2018 tritt die Verordnung der Europäischen Union in allen EU Mitgliedstaaten ohne gesetzliche Übergangsfrist in Kraft. Umso wichtiger ist es, dass sich jeder Datenschutzbeauftragte eingehend mit den Details befasst und die nötigen Schritte einleitet. Bei Verstößen gegen die Datenschutzgrundverordnung drohen Unternehmen böse Abmahnungen und empfindliche Geldbußen. Doch wo lauern Fallstricke? Wie kann die Umsetzung eines gesetzeskonformen Managements zum Datenschutz erfolgen? Und was ist jetzt genau neu?
Was ist die DS-GVO? Und welches Ziel hat sie?
Die Datenschutzgrundverordnung ist eine neue, ab Mai 2018 geltende EU Verordnung, die die Verarbeitung personenbezogener Daten durch Privatunternehmen, Ämter, Agenturen und öffentliche Institutionen in allen Mitgliedstaaten der Europäischen Union vereinheitlicht. Mit dieser Grundverordnung will die Aufsichtsbehörde einerseits den Schutz bei der Verarbeitung persönlicher Daten gewährleisten und andererseits den freien Datenfluss im Europäischen Binnenmarkt sicherstellen. Die DS-GVO schafft in jedem EU-Land ein gleiches Datenschutzgesetz, bisher gelten Regelungen mit unterschiedlichen Standards. Bis zum Stichtag 25. Mai 2018 müssen die Maßnahmen für die neuen Datenschutzvorschriften aus dem Unionsrecht komplett in Unternehmen umgesetzt sein.
Die geänderten Verarbeitungsvorgänge wirken sich auf wesentliche Unternehmensprozesse aus, vor allem in der Finanzbuchhaltung, im IT-Sektor und in der Personalabteilung. Die Erledigung von Verarbeitungstätigkeiten geht für den Auftragsverarbeiter mit der Erfüllung verschiedener Pflichten einher. Während nach dem Regelwerk des Bundesdatenschutzgesetzes (BDSG) ausschließlich der Auftraggeber in der Verantwortlichkeit zur Auftragsdatenverarbeitung stand, hat der Verarbeiter von Personendaten mit Erlangen der Gesetzeskraft der Datenschutz-Grundverordnung eine Mitverantwortung. In DS-GVO Schulungen werden Datenschutzbeauftragten alle Informationen zur datenschutzkonformen Gestaltung von Geschäftsprozessen vermittelt. Folgende Personengruppen sollten über spezifische Kenntnisse verfügen:
- IT-Manager und Administratoren
- CIOs und Sicherheitsbeauftragte
- Datenschutzbeauftragte, Geschäftsführer
- Mitarbeiter der Finanzbuchhaltung und Personalabteilung
Präzisierung durch genehmigte Verhaltensregeln in der Datenschutz-Grundverordnung?
Können die genehmigten Verhaltensregeln nach Artikel 40 der EU Grundverordnung branchenintern eine Ergänzung oder Präzisierung der Datenschutzregeln bewirken? Wie die Aufsichtsbehörde fördern Kommission und Mitgliedstaaten bestimmte Verhaltensregeln nach Maßgabe der besonderen Anforderungen in einzelnen Verarbeitungssektoren, etwa in KMU-Unternehmen und Kleinstbetrieben. Es handelt sich um verbindliche Vorgaben (Code oft Conduct), die Vereinigungen oder Branchenverbände nutzen können, um die häufig abstrakten datenschutzrechtlichen Verhaltensweisen der DS-GVO für ihr Geschäftsfeld zu präzisieren. Über einen solchen Datenschutzkodex verfügt bspw. der Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV). Das Regelwerk beschreibt explizit, unter welchen Bedingungen die Versicherungsgesellschaft Daten geschädigter Dritter und personenbezogene Kundendaten verarbeiten darf.
Datenschutz Folgeabschätzung – wie hoch ist das Risiko?
Jedes Unternehmen in der Offline-Welt und im Internet erfasst und verarbeitet sensible Personendaten von Kunden, Lieferanten und Beschäftigten. Für die Umsetzung der Rechtsvorschriften der Grundverordnung ab Mai 2018 sind die EU-Länder zuständig. Notwendige Vereinheitlichungen wie die datenschutzrechtlichen Verarbeitungsvorgänge verabschiedet die Kommission über Durchführungsrechtsakte. Vor Annahme eines Durchführungsrechtsakts muss das Gremium Kontakt zum Ausschuss aufnehmen, in dem alle EU Mitgliedstaaten vertreten sind.
Unternehmen, die bspw. biometrische Datensätze verarbeiten, müssen eine Datenschutz Folgenabschätzung (DSFA) durchführen. Diese Methodik kommt bei Datenverarbeitungsarten zum Einsatz, die ein aller Voraussicht nach hohes Risiko für die Grundfreiheiten und Rechte aller von der Datenverarbeitung Betroffener beinhalten. Der Artikel 35 der Datenschutz-Grundverordnung beleuchtet die Inhalte der Folgenabschätzung, wenn die Verarbeitungstätigkeiten materielle, immaterielle und physische Schäden verursachen können:
- Finanzielle Verluste
- Rufschädigung, Diskriminierung
- Identitätsdiebstahl
- Kontrollverlust über die eigenen Daten
- Bildung von Profilen über Standortdaten
Wer überwacht die Anwendung der Datenschutz-Grundverordnung?
Die neue Datenschutz-Grundverordnung ist ein Teilbereich des Datenschutz-Anpassungs- und Umsetzungsgesetzes EU (DSAnpUG-EU). Die Gesetzesvorgaben treten als Neufassung im Mai 2018 in Kraft und ersetzen vollständig das noch gültige Bundesdatenschutzgesetz. Zur Kontrolle der Verarbeitungstätigkeiten entsendet jeder EU-Mitgliedstaat eine oder mehrere Aufsichtsbehörden, die dem Schutz der Freiheiten und Grundrechte rechtsfähiger Personen dienen. Jede Aufsichtsbehörde trägt zur einheitlichen Anwendung in der Union bei und arbeitet in Kooperation mit der Kommission entsprechend Kapitel VII. Die EU-Verordnung sollte auch Gültigkeit bei Verarbeitungstätigkeiten zu wissenschaftlichen Forschungszwecken haben, jedoch weiter ausgelegt werden, bspw. die Verarbeitung persönlicher Daten in der Grundlagenforschung oder bei technologischen Entwicklungen einzuschließen.
Alle Mitgliedstaaten sind bis spätestens zum 25. Mai 2018 zur Übermittlung der erlassenen Rechtsvorschriften und folgenden Änderungen dieser Vorgaben an die Kommission verpflichtet. Jede Aufsichtsbehörde besitzt sämtlich Befugnisse, dem Auftragsverarbeiter, dem verantwortlichen Datenschutzbeauftragten oder seinem Stellvertreter Anweisungen zur Bereitstellung aller Informationen zu erteilen, die zur Erfüllung der EU-DSGVO erforderlich sind. Die Datenschutzbehörde führt außerdem Untersuchungen zur Datenschutzüberprüfung durch und weist die Verantwortlichen auf eventuelle Verstöße hin.
Was tun? Checkliste für die neuen Leistungsanforderungen der DS-GVO
Unternehmen sind verpflichtet, ihre Geschäftsprozesse bis zum Fälligkeitsdatum an die neuen Leistungsanforderungen der EU-Datenschutz-Grundverordnung anzupassen. Viele der neuen Maßnahmen sind den Betrieben bereits bekannt, etwa die Vorabkontrolle und das Führen eines Verfahrensverzeichnisses. Die Verantwortlichkeit der Auftragsverarbeiter wird in der Nachweispflicht deutlich. Verstöße können mit Geldbußen bis zu 20 Millionen Euro bzw. vier Prozent des letztjährig erwirtschafteten globalen Jahresumsatzes geahndet werden. Bisher bewegte sich der Rahmen für Bußgelder zwischen 50.000 Euro bis höchstens 300.000 Euro. Aktuell müssen deutsche Unternehmen im Durchschnitt mit Strafgeldern zwischen 10.000 und 15.000 Euro rechnen, was etwa 20 bis 25 % der maximalen Bußgeldhöhe entspricht.
Es ist auf jeden Fall lohnenswert, sich eingehend mit der neuen Grundverordnung zum Datenschutzgesetz zu beschäftigen. Das Bayrische Landesamt für Datenschutzaufsicht hat einen interaktiven Test online gestellt, um herauszufinden, in wie weit Unternehmen die DS-GVO umgesetzt haben und Nachbesserungen nötig sind. Ebenfalls hilfreich ist eine Checkliste im pdf-Format. Ein Fragebogen zur Bestandsaufnahme unterstützt bei der Überprüfung der bereits umgesetzten datenschutzrechtlichen Maßnahmen. Haben Kunden bei der eingeholten Einwilligung zur Verarbeitung personenbezogener Daten einen Hinweis zum Widerrufsrecht erhalten? Ist eine Folgenabschätzung notwendig, weil im Unternehmen in besonders umfangreichem Maße Daten verarbeitet werden und die Grundrechte Betroffener stark gefährdet sind?
Datenschutz-Grundverordnung – Hilfe von deutschen Aufsichtsbehörden
Zusammenfassend lässt sich sagen, dass Vorsorge immer sinnvoller ist, als später das Nachsehen zu haben. Die Vorbereitungen der Aufsichtsbehörden zur Umsetzung der EU-DSGVO weisen darauf hin, dass ab 25 Mai 2018 koordinierte und konsequente Handlungen erfolgen. Deshalb ist es dringend angeraten, dass sich jedes Unternehmen den Herausforderungen stellt und sich entsprechend vorbereitet. Als überaus hilfreich erweisen sich Gespräche mit der zuständigen Datenschutzbehörde. Vor allem die deutschen Aufsichtsbehörden zeigen sich sehr kooperativ und helfen Datenschutzbeauftragten gerne bei der Umsetzung organisatorischer und technischer Maßnahmen zur Datenschutz-Grundverordnung in ihren individuellen Geschäftsprozessen.
Hier finden Sie weitere Infos zum Thema „DS-GVO : Datenschutz im Bewerbungsverfahren„