Die europäische Datenschutz-Grundverordnung (DS-GVO) bringt eine Reihe von Veränderungen in den datenschutzrechtlichen Anforderungen für den Umgang mit personenbezogenen Daten mit sich. Auch Auftrags(daten)verarbeiter müssen sich auf geänderte Rahmenbedingungen einstellen. Wir haben in den folgenden Punkten die wichtigsten Anregungen für Unternehmen zusammengestellt.
1. Geltungsbereich
Die DS-GVO gilt explizit auch für Anbieter mit Sitz außerhalb der EU, soweit sie ihre Angebote an Bürger in der EU richten (wie etwa Facebook und Google). Der Ort der Datenverarbeitung spielt keine Rolle mehr.
2. Datenschutzkonzept
Jede Stelle muss nachweisen können, dass sie ein Gesamtkonzept zur Einhaltung des Datenschutzes besitzt ("Rechenschaftspflicht"). Dieses muss sie auch regelmäßig kontrollieren und ggf. weiterentwickeln.
3. Informationsrechte
Die Betroffenen sind umfangreicher als bisher über die Datenverarbeitung und über ihre Rechte zu informieren. Dazu müssen beispielsweise Angaben über die Speicherdauer und Kontaktdaten des Datenschutzbeauftragten veröffentlicht werden. Wenn als Rechtsgrundlage die Interessensabwägung herangezogen wird, müssen auch die "berechtigten Interessen" aufgezählt werden.
4. Privacy by design und by default
Datenschutz ist schon beim Planen neuer Techniken und neuer Verarbeitungen sowie durch datenschutzfreundliche Grundeinstellungen zu berücksichtigen.
5. Risikoanalyse und Folgenabschätzung
Die bisherige Vorabkontrolle wird zu einer Risiko- und Folgenabschätzung ausgebaut. Die Pflicht zu regelmäßigen Audits soll das Risiko von Datenschutzverstößen minimieren.
6. Datenschutz in Konzernen
Ein Konzernprivileg gibt es weiterhin nicht, aber die Datenverarbeitung innerhalb von Unternehmensgruppen wird vereinfacht. Einerseits werden Übermittlungen für interne Verwaltungszwecke als "legitim" anerkannt. Andererseits können sich mehrere Stellen zusammenschließen, um Daten gemeinsamen zu verarbeiten – sie handeln und haften dann als gemeinsame Verantwortliche.
7. Datenschutzverstöße
Zukünftig müssen alle Datenschutz-Pannen gemeldet werden, unabhängig von der Art der Daten, sofern ein Datenschutzrisiko besteht. Die Meldung muss innerhalb von 72 Stunden nach Kenntnis bei der Aufsichtsbehörde eingereicht werden. Auch die Betroffenen sind "ohne unangemessene Verzögerung" zu benachrichtigen.
8. Datenschutzbeauftragter
In Deutschland soll die Bestellpflicht für Datenschutzbeauftragte weiterhin unverändert nach den Vorgaben des alten Bundesdatenschutzgesetzes fortbestehen. Die DS-GVO enthält eine Öffnungsklausel, die der deutsche Gesetzgeber nutzen möchte. In den anderen europäischen Mitgliedsstaaten müssen nur dann Datenschutzbeauftragte bestellt werden, wenn höhere Datenschutzrisiken bestehen.
9. Aufsichtsbehörden
Für internationale Organisationen ist nur noch die Datenschutz-Aufsichtsbehörde an ihrem Hauptsitz in der EU zuständig ("federführende Aufsichtsbehörde"). Betroffene können sich an ihre jeweils nächstgelegene Aufsichtsbehörde wenden, die das Anliegen dann weiterleiten muss. Die Behörden müssen sich untereinander abstimmen.
10. Bußgelder
Fast jeder Verstoß gegen die DS-GVO kann geahndet werden. Der Bußgeldrahmen wird deutlich erhöht und kann bis zu 20 Mio. EUR oder 4 Prozent des gesamten weltweiten erzielten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.
11. Sensibilisierung durchführen
Geschäftsführungen, Datenschutzbeauftragte und andere für das Thema Datenschutz Zuständige sollten innerhalb des Unternehmens dafür sensibilisieren, dass sich ab dem 25.05.2018 nicht nur der Name einer europäischen Datenschutzregelung ändern wird. Die DS-GVO wird direkte Auswirkungen auf Unternehmen als datenverarbeitende Stellen haben. Anders als eine EU-Richtlinie ist eine EU-Verordnung direkt in den Mitgliedstaaten der Europäischen Union anwendbar, also auch in Deutschland. Neben der DS-GVO wird es weiterhin ein – neues – Bundesdatenschutzgesetz und sektorales Fachrecht mit ausführenden Regelungen zur DS-GVO geben. Bitte beachten Sie: bis zum 24.05.2018 (einschließlich) gilt das Bundesdatenschutzgesetz!
12. Bestandsaufnahme machen
Um Änderungsbedarf identifizieren zu können, sollte in einem ersten Schritt eine Bestandsaufnahme der Prozesse durchgeführt werden, in denen personenbezogene Daten verarbeitet werden. Das Verfahrensverzeichnis ist ein Ausgangspunkt zur Identifizierung von Verarbeitungsverfahren. Im Folgenden haben wir beispielhaft einige Themen zusammengestellt, bei denen sich für Unternehmen Änderungsbedarf ergeben kann.
13. Rechtsgrundlage prüfen
Auch unter der DS-GVO ist für die Verarbeitung personenbezogener Daten eine Rechtsgrundlage erforderlich (Artikel 6 bis 11 DS-GVO). Es ist zu prüfen, ob das neue Recht für alle Prozesse Rechtsgrundlagen bereitstellt.
14. Personenbezogene Daten von Kindern besonders prüfen
Besondere Anforderungen bestehen für den Umgang mit personenbezogenen Daten von Kindern, wenn es um die Einwilligung in Bezug auf Dienste der Informationsgesellschaft geht (Artikel 8 DS-GVO).
15. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („Privacy-by-Design“ und „Privacy-by-Default“) umsetzen.
Die DS-GVO enthält bestimmte Rahmenbedingungen für die Art und Weise, wie die Anforderungen der DS-GVO schon bei der Prozessgestaltung und bei Voreinstellungen umzusetzen sind (Artikel 25 DS-GVO).
16. Verträge checken
Unternehmen sollten insbesondere ihre bestehenden Verträge zur Auftrags(daten)verarbeitung überprüfen und überarbeiten. In den Artikeln 26 bis 28 DS-GVO sind Vorgaben für Vereinbarungen mit Auftrags(daten)verarbeitern und zwischen gemeinsam für die Verarbeitung Verantwortlichen geregelt.
17. Melde– und Konsultationspflichten organisieren
Die Melde- und Konsultationspflichten gegenüber den Aufsichtsbehörden (Artikel 33, 36 und 37 DS-GVO) müssen in den internen Abläufen des Unternehmens abgebildet werden.
18. Betroffenenrechte und Informationspflichten umsetzen
Die in der DS-GVO geregelten Betroffenenrechte müssen in den unternehmensinternen Abläufen abgebildet und gegenüber den Betroffenen umgesetzt werden, etwa das Recht auf Löschung (Artikel 17) und das Recht auf Datenübertragbarkeit (Artikel 20) einschließlich der übergreifenden Rahmenbedingungen (Artikel 12) sowie die Informationspflichten des Verantwortlichen (Artikel 13, 14).
19. Dokumentation organisieren
Die DS-GVO enthält an verschiedenen Stellen Dokumentationspflichten, beispielsweise in Artikel 30 (Verarbeitungsverzeichnis), Artikel 33 Abs. 5 (Dokumentation von Datenschutz-vorfällen) oder Artikel 28 Abs. 3 lit. a (Dokumentation von Weisungen im Rahmen von Auftragsverarbeitungsverhältnissen).