Am 25. Mai 2018 muss die Datenschutz-Grundverordnung umgesetzt werden. Mit ihr gehen zahlreiche Neuerungen bezüglich datenschutzrechtlicher Vorgaben einher. Diese betreffen die inhaltlichen Anforderungen an die Rechtmäßigkeit von Datenverarbeitungen, aber auch formale Verfahren wie Dokumentation und Informationspflichten. Da die Verordnung anders als Richtlinien keiner Übergangszeit oder Umsetzung bedarf, wirkt sie ab dem 25. Mai in der von der EU erlassenen Form unmittelbar auch in Deutschland. Unternehmen, die bisher ihre Prozesse noch nicht an den Vorgaben der DSGVO orientiert haben, sollten mit dieser Umstellung sofort beginnen, da es viele Prozesse innerhalb des Unternehmens gibt, die von den Veränderungen betroffen sind. Dieser Artikel soll einen Überblick über die wichtigsten von der DSGVO betroffenen Felder und die rechtlichen Anforderungen an die jeweilige Umstellung geben. Insbesondere die Transparenzvorschriften der Datenschutz-Grundverordnung sind mit einem erheblich höheren Aufwand verbunden als es die bisherige Regelung im Bundesdatenschutzgesetz hergibt. Demgemäß ist mit einem besonderen Augenmerk der Aufsichtsbehörden gerade auf diesen Bereich zu rechnen. Um den erheblichen Bußgelddrohungen der DSGVO zu entgehen sollten Unternehmen daher vor allem ihre Informations- und Dokumentationsprozesse möglichst transparent gestalten.
Datenschutzerklärung
Bisher vorhandene Datenschutzerklärungen sollten dringend überarbeitet werden. Wichtigste Ursache hierfür ist die Erweiterung der Informationspflichten nach der DSGVO im Vergleich zur bisherigen Rechtslage nach dem BDSG.
So regelt Art. 13 DSGVO, dass der betroffenen Person u.a. die Kontaktdaten des Verantwortlichen der verarbeitenden Stelle, der Zweck (für jede einzelne Datenverarbeitung gesondert) und die Dauer der Datenverarbeitung sowie Auskunfts- und Widerspruchsrechte ebenso die Rechtsgrundlage der Datenverarbeitung mitgeteilt werden, und sofern die Datenverarbeitung auf Artikel 6 Abs. 1 lit. f DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder Dritten verfolgt werden. Allgemein muss der Betroffene über alle Betroffenenrechte informiert werden. Darunter fallen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit. Zudem muss der Betroffene darüber informiert werden, inwieweit die Entscheidungsfindung ausschließlich auf automatischer Datenverarbeitung (v.a. Profiling) beruht.Dabei ist zu berücksichtigen, dass der betroffenen Person die Informationen sofort bei Datenerhebung übermittelt werden, also z.B. bei Bestellung eines Newsletters oder dem Abschluss eines Kaufs im Rahmen des E-Commerce, ggf. aber auch schon vor Abschluss des Kaufvertrages, z.B. bei Registrierung. Dabei verlangt Art. 12 DSGVO, dass diese Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorgelegt werden. Dabei lässt die DSGVO eine mündliche, schriftliche oder auch elektronische Übermittlung der Informationen genügen. Besonders gegenüber Kindern ist auf die Verständlichkeit der Informationen zu achten. Die Informationspflicht besteht nur dann nicht, wenn der Betroffene im Falle einer Datenverarbeitung bereits über die erforderlichen Informationen verfügt. Hierfür tragen Unternehmen die Beweislast. Die Dokumentation der Umsetzung dieser Vorgaben, vor allem in der Datenschutzerklärung ist dabei empfehlenswert. Verstöße gegen die Abwägungs- und Dokumentationspflichten sind nach der DSGVO mit hohen Bußgeldern bewehrt, sie können bis zu 4% des Jahresumsatzes oder 20 Millionen Euro betragen.
Ist Rechtsgrundlage der Datenverarbeitung eine Einwilligung, so ist zu beachten, dass diese nach der DSGVO formfrei möglich ist. Gemäß Art. 7 Nr. 3 DSGVO ist der Betroffene immer über sein Widerrufsrecht bezüglich der Einwilligung aufzuklären. Unter bestimmten Voraussetzungen kann die unter dem BDSG eingeholte Einwilligung auch nach Inkrafttreten der DSGVO fortgelten. Bezüglich des Widerrufs der Einwilligung sollten Unternehmen nicht nur auf die entsprechende Aufklärung des Betroffenen achten, sondern auch Prozesse zur unkomplizierten Umsetzung des Widerspruchsrechts sowie der sonstigen Betroffenenrechte achten.
Bezüglich der in der DSGVO verankerten Konzepte des Privacy by Design und Privacy by Default, also datenschutzfreundlicher technischer Voreinstellungen, ist zu beachten, dass der Betroffene den gesamten Prozess der Datenverarbeitung transparent nachverfolgen können muss. Auch hierfür kann eine entsprechend formulierte Datenschutzerklärung die richtige Grundlage sein.
Auftragsdatenverarbeiter
Entsprechend den erhöhten Anforderungen an Information und Dokumentation ist vor allem auf eine genaue Dokumentation im Zusammenhang mit Auftragsdatenverarbeitern zu achten. Art. 14 DSGVO regelt entsprechende Informationspflichten für den Fall, dass die Daten nicht vom Verantwortlichen selbst, sondern von Dritten (z.B. Auskunfteien bezüglich der Kreditwürdigkeit) erhoben wurden. Die Informationspflichten des Unternehmens, das sich an Auskunfteien etc. wendet, sind dabei grundsätzlich mit denen nach Artikel 13 DSGVO vergleichbar, hinzukommt jedoch die Pflicht, die Quelle aus der die Informationen stammen, mitzuteilen. Anders als im Rahmen des Artikel 13 müssen die Informationen nicht sofort übermittelt werden, ausreichend ist eine Frist von maximal einem Monat nach der Datenverarbeitung. Um diesen Informationspflichten gerecht werden zu können, müssen Unternehmen alle Anweisungen und die Zusammenarbeit mit Auftragsdatenverarbeitern genau dokumentieren. Dies kann auch das Risiko von Bußgeldzahlungen wegen Verstößen gegen das Transparenzgebot minimieren.
Bei der Einbindung von Auftragsdatenverarbeitern ist neben den Dokumentationspflichten zudem auf genaue Haftungsregelungen- und Vereinbarungen zu achten, die Risikosphären abgrenzen und mögliche Regress-Möglichkeiten beinhalten. Dadurch kann das wirtschaftliche Risiko von Verstößen gegen die DSGVO minimiert werden, da im Außenverhältnis grundsätzlich das Unternehmen haftet, das sich Auftragsdatenverarbeitern bedient, es jedoch unbillig wäre, wenn das Unternehmen allein die Kosten für Verstöße tragen müsste. Daher sollten Unternehmen darauf achten, im Innenverhältnis gegen Auftragsdatenverarbeiter vorgehen zu können.
Datenpannen und Meldepflichten
Bezüglich Datenpannen sind die unternehmensinternen Prozesse darauf zu überprüfen ob Notfallsysteme existieren, die Mitarbeitern etwa darüber Auskunft geben, wie Cyber-Angriffe technisch abzuwehren sind, wie die Meldepflichten gemäß Art. 33 und 34 DSGVO umzusetzen sind und welche Mitarbeiter des Unternehmens als Ansprechpartner dienen. Nach einer aktuellen Studie des Unternehmensverbands bitkom sind nur 4 von 10 Unternehmen mit einem Notfallsystem auf Cyber-Angriffe vorbereitet.
Recht auf Datenübertragbarkeit
Im Rahmen der Betroffenenrechte stellt vor allem das Recht auf Datenübertragbarkeit gemäß Art. 20 eine gänzliche Neuerung im Vergleich zur bisherigen Rechtslage dar. Dieser Fall behandelt vor allem die Situation des Einstellens personenbezogener Daten bei einem Sozialen Netzwerk und den Wunsch des Wechsels des Anbieters. In diesem Fall soll der Betroffene vom Erst-Anbieter die automatische Übertragung seiner Daten in einem gängigen, maschinenlesbaren und elektronischen Format auf den neuen Anbieter verlangen können. Unternehmen müssen also die technischen Voraussetzungen für dieses Format und eine entsprechende Übertragbarkeit schaffen. Das Recht auf Datenübertragbarkeit soll vor allem Anbieter-Wechsel erleichtern, vor denen Kunden u.U. wegen zu hoher Hürden durch den Neuaufbau von Accounts etc. zurückschrecken würden. Neben der Möglichkeit, die Übertragung nach Herausgabe der Daten selbst durchzuführen, hat der Betroffene zudem die Möglichkeit eine automatische Übertragung vom Erst- auf den Zweitanbieter zu verlangen. Das Recht auf Datenübertragbarkeit ist in dieser Form erstmals in der DSGVO zu finden und kann neben sozialen Medien etwa auch in HR-Systemen beim Arbeitgeberwechsel Anwendung finden.
Privacy by Design/Default
Artikel 25 DSGVO enthält Vorgaben zu Privacy by Design und Privacy by Default. Unternehmen sollten daher überprüfen ob ihre Datenverarbeitungsprozesse den Vorgaben an datenschutzfreundliche technische Voreinstellungen entsprechen.
Branchenspezifische Besonderheiten
Daneben beinhaltet die DSGVO einige Vorgaben für die Verarbeitung besonderer Kategorien personenbezogener Daten, wie etwa Gesundheitsdaten. Unternehmen sollten daher branchenspezifisch überprüfen ob die von ihnen verarbeiteten personenbezogenen Daten den besonderen diesbezüglichen Anforderungen der DSGVO entsprechen.
Mitarbeiter-Schulungen
Zudem ist Unternehmen aus vielerlei Gründen zu empfehlen, Mitarbeiter bezüglich der Neuerungen der DSGVO zu schulen. Nicht nur die rechtzeitige Umsetzung von Meldepflichten, sondern auch die Durchführung von Interessenabwägungen oder das Einholen von Einwilligungen können im Einzelfall bußgeldbewehrte Risiken schaffen, die durch Schulungen vermieden werden können. Insbesondere Mitarbeiter mit direktem Kundenkontakt sowie die IT-Abteilungen sollten hier im Vordergrund stehen.
HR und Betriebsrat
Nicht nur die Verarbeitung personenbezogener Daten von Kunden, sondern auch die Daten von Mitarbeitern sind von den Umstellungen der DSGVO betroffen. Betriebsrat und HR-Department sollten daher ebenfalls über die Umstellungen der DSGVO informiert werden. So kann etwa das Recht auf Datenübertragbarkeit unter Umständen auch beim Wechsel des Arbeitgebers bezüglich der in HR-Systemen gespeicherten Daten Anwendung finden.
Fazit und Handlungsempfehlung für Unternehmen
Unternehmen ist zu empfehlen, die weitere Rechtsprechung und Gesetzgebung auf deutscher wie europäischer Ebene weiter zu verfolgen wie etwa die Empfehlungen der Artikel-29-Datenschutzgruppe und ähnlicher Kommentierungen. Auch wir halten Sie in Sachen DSGVO weiter auf dem Laufenden.