Einwilligung zur Datenverarbeitung
Stefan Luther & Elisa Jannasch, ALOS GmbH
An dieser Stelle sei besonders auf die Einwilligung zur Datenverarbeitung hingewiesen. Häufig findet man auf Plattformen oder Websites schon heute eine Stelle, an der man ein entsprechendes Häkchen für sein Einverständnis zur Datenverarbeitung setzen muss. Ganz so einfach geht das allerdings gar nicht. Hierzu ein praktisches Beispiel:
Angenommen, Sie übernachten, ob beruflich oder privat, in einem Hotel. Da Sie oft unter Nackenschmerzen leiden, bitten Sie am Empfang um ein entsprechendes Nackenkissen. Handelt es sich bei dem Hotel um ein Haus einer Kette, wird dieser „Extrawunsch“ oft in Ihrer Kundendatei vermerkt. Steigen Sie wieder in einem Haus der gleichen Kette ab, liegt dieses Nackenkissen vielleicht schon für Sie bereit. Aber! Dies stellt bereits eine Datenschutzverletzung dar, denn Ihre personenbezogenen Daten wurden ohne Ihre ausdrückliche Genehmigung gespeichert. Möchte das Hotel dies in Zukunft DSGVO-konform tun, müsste mit dem Kissen gleichzeitig ein Formular ausgehändigt werden, auf dem Sie unterschreiben, dass Ihre Daten zum Zwecke der Kissenausgabe gespeichert werden dürfen. Und nur dafür! Ergänzend kommt noch hinzu, dass die Aufbewahrungsfristen für solche Dokumente auch anders sind als für die entsprechenden Zimmerrechnungen. – Allerdings tun sich Hotelketten hiermit schwer, weil es sich z.B. auch um amerikanische Ketten handelt, die den deutschen bzw. europäischen Datenschutz nicht zu genau nehmen.
Wegfall der Privilegierung der Auftragsverarbeitung | Die DSGVO sieht eine Privilegierung des Auftragnehmers nicht vor. Die Übermittlung muss entweder auf einem gesetzlichen Erlaubnis-Tatbestand oder auf einer Einwilligung beruhen. |
Gemeinsame Verantwortlichkeit | Art. 82 Abs. 2 DSGVO geht im Grundsatz davon aus, dass sowohl der Verantwortliche als auch der Auftragsverarbeiter für Schäden haften. |
Pflicht zur Führung eines Verzeichnisses | Es besteht nunmehr die Pflicht des Auftragverarbeiters zur Führung eines Verzeichnisses zu allen Kategorien der im Auftrag durchgeführten Verarbeitung von personenbezogenen Daten |
Mindestanforderungen des Art. 28 DSGVO | Zusätzliche Anforderungen:
|
Das Recht auf Vergessenwerden
Ein ebenso wichtiges – und nicht ganz unproblematisches Thema – ist das Löschen von Daten und damit das sogenannte „Recht auf Vergessenwerden“. Aus rein technischer Sicht stellt sich die Frage: Wie tief muss man hier eingreifen? Denn jeder weiß: Wenn etwas gelöscht wird, ist es nicht unwiderruflich verloren. Mit cleveren Programmen und Erfahrung können Daten oftmals wiedergestellt werden. – Nein, so tief geht es eben nicht. Es muss in der Verhältnismäßigkeit der Möglichkeiten liegen, Löschungen vorzunehmen. Liegen personenbezogene Daten vor, können Sie diese Daten anonymisieren – wo möglich. Auf diese Weise sind Sie sauber aufgestellt.
Das Recht auf Vergessenwerden bezieht sich nicht nur auf personenbezogene Daten, sondern auch auf die eigenen Geschäftsdaten. Das betrifft nicht nur das Unternehmens-Dokumentenmanagement-System (DMS), sondern auch das ERP- bzw. CRM-System und vielleicht auch die digitale Ablage. Gerade wenn ein DMS im Einsatz ist, sollten sich Redundanzen vermeiden lassen. Etwas schwieriger wird diese Thematik bei ERP-Plattformen. Es gibt Anbieter, die ihre Plattform nur zum Datensammeln und für die Bereitstellung und Analyse zu Vertriebszwecken ausgelegt haben. Fragen wie „Wie hat sich ein Kunde im Vergleich zum Vorjahr entwickelt?“ und „Kann ich auf ein früheres Angebot zugreifen?“ müssen mit Vorsicht behandelt werden.
Das Recht auf Vergessenwerden deckt auch Bewerbungsdaten ab. Zum einen ist es wichtig zu beachten, dass bei jungen Leuten – also z. B. Auszubildenden – das Einverständnis der Eltern für die Verarbeitung der personenbezogenen Daten vorliegt. Ist eine Stelle besetzt oder der Bewerber ungeeignet, sind zum anderen die Bewerbungsdaten im Anschluss an den Recruiting-Prozess zu löschen. Bewerbungen dürfen nicht aufbewahrt werden, da man diese Person vielleicht für eine spätere Stelle in Betracht zieht. Bewerbungsunterlagen dürfen auch nicht mehr im Unternehmen breit gestreut werden: Vermeiden Sie Kopien und halten Sie Bewerbung nur noch an zentraler Stelle wie dem Personalbüro vor, um sicherstellen zu können, dass Sie wirklich alle Bewerbungsdaten gelöscht haben.
Meldepflichten & Folgenabschätzung
Grundsätzlich ist das Thema ‚Übertragbarkeit der Daten‘ ein sehr spannendes Thema. Ein Beispiel aus dem Alltag: Ich wechsele meinen Internet-Provider. Dann habe ich mittlerweile das Recht, dass ich nicht alle Daten ein ums andere Mal eingeben, sondern dass diese Daten als Service von Provider zu Provider B übertragen werden. Damit geht mein Recht einher, dass ich Provider A um die Löschung all meiner Daten nach der Übertragung bitten kann.
Wirklich interessant wird das Thema Meldepflicht: Wie gehe ich mit einem Vorfall – also einem Verstoß gegen die DS-GVO – um? Häufig wird das noch recht locker gehandhabt. Es gibt Fälle, in denen werden Aktentaschen mit einem Notebook im Zug vergessen. Können Sie nicht nachweisen, dass Sie Ihr Notebook binnen 72 Stunden zurückerhalten haben, müssen Sie diesen Verstoß gegen die DS-GVO melden. Hier empfiehlt sich auch immer eine Verschlüsselung des Notebooks, um den gröbsten Schaden zu vermeiden. Auf diese Weise haben Sie schon einen wesentlichen Schritt getan und haben technische Maßnahmen ergriffen, die zum Datenschutz beitragen.
In diesem Zusammenhang kommt das Thema ‚Folgeabschätzung‘ aus. Bisher ist dies eher aus dem Bereich Risk-Management bekannt. Doch sind Unternehmen aufgefordert, sich Gedanken über den Falle der Fälle zu machen und einen Notfallplan zu entwerfen. Unternehmen sollen sich die Frage stellen: Wie ist mein Unternehmen aufgestellt? Der betriebliche Datenschutzbeauftragte ist zukünftig Pflicht. Er muss nicht unbedingt aus dem eigenen Unternehmen stammen; es kann ein Beauftragter sein, der den Datenschutz abwickelt. Unternehmen sind verpflichtet, einen Datenschutzbeauftragten zu benennen, der dann auch als Sprachrohr für die Aufsichtsbehörden fungiert. Datenschützer müssen melden, welche Unternehmen sie vertreten und welche Maßnahmen bereits ergriffen wurden. Wann dann die Aufsichtsbehörden auf die Unternehmen zugehen, wird sich im Laufe der Zeit erst zeigen.
Besonders interessant und wichtig ist der Datenschutzbeauftragte auch für die Unternehmen, die Geschäfte außerhalb der EU tätigen. Damit gewinnt das Thema noch an Komplexität. Hier spielt Artikel 44 eine wichtige Rolle: Was passiert, wenn personenbezogene Daten an Drittländer übermittelt werden? Eventuell ist es notwendig, nun neue Abkommen zu schließen.
Das Thema Geld spielt natürlich eine jetzt ganz geänderte Rolle. Noch wissen wir nicht, wie weit die Aufsichtsbehörden noch eingreifen werden – aber die Möglichkeit besteht eben doch. So wurden die Sätze für Bußgelder deutlich angehoben. Insgesamt werden zukünftig Konzerne betrachtet und nicht nur die einzelnen Unterfirmen.
Sollte der Schutz personenbezogener Daten verletzt werden, so muss dies innerhalb von 72 Stunden nach Bekanntwerden der Aufsichtsbehörde gemeldet werden. Eine Ausnahme kann gemacht werden, wenn vermutlich kein Risiko für die Rechte und Freiheiten natürlicher Personen (rechtskräftige Personen im Gegensatz zu Vereinen und Trägerschaften) besteht.
Inhalt der Meldung an die Aufsichtsbehörde:
- Art der Verletzung
- Kategorien und Zahl der Betroffenen und Datensätze
- Kontaktdaten des Datenschutzbeauftragten
- Beschreibung der Folgen für die Betroffenen
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Reduzierung der Folgen für den Betroffenen