Die markantesten Punkte der DGSVO im Überblick — Teil I

So umfas­send die DSGVO doch ist, so las­sen sich die mar­kan­tes­ten und rele­van­tes­ten Punk­te über­sicht­lich zusam­men­fas­sen (Teil 1).

Einwilligung zur Datenverarbeitung

Ste­fan Luther & Eli­sa Jan­n­asch, ALOS GmbH

An die­ser Stel­le sei beson­ders auf die Ein­wil­li­gung zur Daten­ver­ar­bei­tung hin­ge­wie­sen. Häu­fig fin­det man auf Platt­for­men oder Web­sites schon heu­te eine Stel­le, an der man ein ent­spre­chen­des Häk­chen für sein Ein­ver­ständ­nis zur Daten­ver­ar­bei­tung set­zen muss. Ganz so ein­fach geht das aller­dings gar nicht. Hier­zu ein prak­ti­sches Beispiel:

Ange­nom­men, Sie über­nach­ten, ob beruf­lich oder pri­vat, in einem Hotel. Da Sie oft unter Nacken­schmer­zen lei­den, bit­ten Sie am Emp­fang um ein ent­spre­chen­des Nacken­kis­sen. Han­delt es sich bei dem Hotel um ein Haus einer Ket­te, wird die­ser „Extra­wunsch“ oft in Ihrer Kun­den­da­tei ver­merkt. Stei­gen Sie wie­der in einem Haus der glei­chen Ket­te ab, liegt die­ses Nacken­kis­sen viel­leicht schon für Sie bereit. Aber! Dies stellt bereits eine Daten­schutz­ver­let­zung dar, denn Ihre per­so­nen­be­zo­ge­nen Daten wur­den ohne Ihre aus­drück­li­che Geneh­mi­gung gespei­chert. Möch­te das Hotel dies in Zukunft DSGVO-kon­form tun, müss­te mit dem Kis­sen gleich­zei­tig ein For­mu­lar aus­ge­hän­digt wer­den, auf dem Sie unter­schrei­ben, dass Ihre Daten zum Zwe­cke der Kis­sen­aus­ga­be gespei­chert wer­den dür­fen. Und nur dafür! Ergän­zend kommt noch hin­zu, dass die Auf­be­wah­rungs­fris­ten für sol­che Doku­men­te auch anders sind als für die ent­spre­chen­den Zim­mer­rech­nun­gen. – Aller­dings tun sich Hotel­ket­ten hier­mit schwer, weil es sich z.B. auch um ame­ri­ka­ni­sche Ket­ten han­delt, die den deut­schen bzw. euro­päi­schen Daten­schutz nicht zu genau nehmen.

Weg­fall der Pri­vi­le­gie­rung der Auftragsverarbeitung Die DSGVO sieht eine Pri­vi­le­gie­rung des Auf­trag­neh­mers nicht vor. Die Über­mitt­lung muss ent­we­der auf einem gesetz­li­chen Erlaub­nis-Tat­be­stand oder auf einer Ein­wil­li­gung beruhen.
Gemein­sa­me Verantwortlichkeit Art. 82 Abs. 2 DSGVO  geht im Grund­satz davon aus, dass sowohl der Ver­ant­wort­li­che als auch der Auf­trags­ver­ar­bei­ter für Schä­den haften.
Pflicht zur Füh­rung eines Verzeichnisses Es besteht nun­mehr die Pflicht des Auf­trag­ver­ar­bei­ters zur Füh­rung eines Ver­zeich­nis­ses zu allen Kate­go­rien der im Auf­trag durch­ge­führ­ten Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten
Min­dest­an­for­de­run­gen des Art. 28 DSGVO Zusätz­li­che Anforderungen:
  • Expli­zi­te Pflicht zur Doku­men­ta­ti­on von Weisungen
  • Unter­stüt­zung bei der Gewähr­leis­tung der Sicher­heit per­so­nen­be­zo­ge­ner Daten
  • Die vor­he­ri­ge Zustim­mung zu Subunternehmern

Das Recht auf Vergessenwerden

Ein eben­so wich­ti­ges – und nicht ganz unpro­ble­ma­ti­sches The­ma – ist das Löschen von Daten und damit das soge­nann­te „Recht auf Ver­ges­sen­wer­den“. Aus rein tech­ni­scher Sicht stellt sich die Fra­ge: Wie tief muss man hier ein­grei­fen? Denn jeder weiß: Wenn etwas gelöscht wird, ist es nicht unwi­der­ruf­lich ver­lo­ren. Mit cle­ve­ren Pro­gram­men und Erfah­rung kön­nen Daten oft­mals wie­der­ge­stellt wer­den. – Nein, so tief geht es eben nicht. Es muss in der Ver­hält­nis­mä­ßig­keit der Mög­lich­kei­ten lie­gen, Löschun­gen vor­zu­neh­men. Lie­gen per­so­nen­be­zo­ge­ne Daten vor, kön­nen Sie die­se Daten anony­mi­sie­ren – wo mög­lich. Auf die­se Wei­se sind Sie sau­ber aufgestellt.

Das Recht auf Ver­ges­sen­wer­den bezieht sich nicht nur auf per­so­nen­be­zo­ge­ne Daten, son­dern auch auf die eige­nen Geschäfts­da­ten. Das betrifft nicht nur das Unter­neh­mens-Doku­men­ten­ma­nage­ment-Sys­tem (DMS), son­dern auch das ERP- bzw. CRM-Sys­tem und viel­leicht auch die digi­ta­le Abla­ge. Gera­de wenn ein DMS im Ein­satz ist, soll­ten sich Red­un­dan­zen ver­mei­den las­sen. Etwas schwie­ri­ger wird die­se The­ma­tik bei ERP-Platt­for­men. Es gibt Anbie­ter, die ihre Platt­form nur zum Daten­sam­meln und für die Bereit­stel­lung und Ana­ly­se zu Ver­triebs­zwe­cken aus­ge­legt haben. Fra­gen wie „Wie hat sich ein Kun­de im Ver­gleich zum Vor­jahr ent­wi­ckelt?“ und „Kann ich auf ein frü­he­res Ange­bot zugrei­fen?“ müs­sen mit Vor­sicht behan­delt werden.

Das Recht auf Ver­ges­sen­wer­den deckt auch Bewer­bungs­da­ten ab. Zum einen ist es wich­tig zu beach­ten, dass bei jun­gen Leu­ten – also z. B. Aus­zu­bil­den­den – das Ein­ver­ständ­nis der Eltern für die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten vor­liegt. Ist eine Stel­le besetzt oder der Bewer­ber unge­eig­net, sind zum ande­ren die Bewer­bungs­da­ten im Anschluss an den Recrui­t­ing-Pro­zess zu löschen. Bewer­bun­gen dür­fen nicht auf­be­wahrt wer­den, da man die­se Per­son viel­leicht für eine spä­te­re Stel­le in Betracht zieht. Bewer­bungs­un­ter­la­gen dür­fen auch nicht mehr im Unter­neh­men breit gestreut wer­den: Ver­mei­den Sie Kopien und hal­ten Sie Bewer­bung nur noch an zen­tra­ler Stel­le wie dem Per­so­nal­bü­ro vor, um sicher­stel­len zu kön­nen, dass Sie wirk­lich alle Bewer­bungs­da­ten gelöscht haben.

Meldepflichten & Folgenabschätzung

Grund­sätz­lich ist das The­ma ‚Über­trag­bar­keit der Daten‘ ein sehr span­nen­des The­ma. Ein Bei­spiel aus dem All­tag: Ich wech­se­le mei­nen Inter­net-Pro­vi­der. Dann habe ich mitt­ler­wei­le das Recht, dass ich nicht alle Daten ein ums ande­re Mal ein­ge­ben, son­dern dass die­se Daten als Ser­vice von Pro­vi­der zu Pro­vi­der B über­tra­gen wer­den. Damit geht mein Recht ein­her, dass ich Pro­vi­der A um die Löschung all mei­ner Daten nach der Über­tra­gung bit­ten kann.

Wirk­lich inter­es­sant wird das The­ma Mel­de­pflicht: Wie gehe ich mit einem Vor­fall – also einem Ver­stoß gegen die DS-GVO – um? Häu­fig wird das noch recht locker gehand­habt. Es gibt Fäl­le, in denen wer­den Akten­ta­schen mit einem Note­book im Zug ver­ges­sen. Kön­nen Sie nicht nach­wei­sen, dass Sie Ihr Note­book bin­nen 72 Stun­den zurück­er­hal­ten haben, müs­sen Sie die­sen Ver­stoß gegen die DS-GVO mel­den. Hier emp­fiehlt sich auch immer eine Ver­schlüs­se­lung des Note­books, um den gröbs­ten Scha­den zu ver­mei­den. Auf die­se Wei­se haben Sie schon einen wesent­li­chen Schritt getan und haben tech­ni­sche Maß­nah­men ergrif­fen, die zum Daten­schutz beitragen.

In die­sem Zusam­men­hang kommt das The­ma ‚Fol­ge­ab­schät­zung‘ aus. Bis­her ist dies eher aus dem Bereich Risk-Manage­ment bekannt. Doch sind Unter­neh­men auf­ge­for­dert, sich Gedan­ken über den Fal­le der Fäl­le zu machen und einen Not­fall­plan zu ent­wer­fen. Unter­neh­men sol­len sich die Fra­ge stel­len: Wie ist mein Unter­neh­men auf­ge­stellt? Der betrieb­li­che Daten­schutz­be­auf­trag­te ist zukünf­tig Pflicht. Er muss nicht unbe­dingt aus dem eige­nen Unter­neh­men stam­men; es kann ein Beauf­trag­ter sein, der den Daten­schutz abwi­ckelt. Unter­neh­men sind ver­pflich­tet, einen Daten­schutz­be­auf­trag­ten zu benen­nen, der dann auch als Sprach­rohr für die Auf­sichts­be­hör­den fun­giert. Daten­schüt­zer müs­sen mel­den, wel­che Unter­neh­men sie ver­tre­ten und wel­che Maß­nah­men bereits ergrif­fen wur­den. Wann dann die Auf­sichts­be­hör­den auf die Unter­neh­men zuge­hen, wird sich im Lau­fe der Zeit erst zeigen.

Beson­ders inter­es­sant und wich­tig ist der Daten­schutz­be­auf­trag­te auch für die Unter­neh­men, die Geschäf­te außer­halb der EU täti­gen. Damit gewinnt das The­ma noch an Kom­ple­xi­tät. Hier spielt Arti­kel 44 eine wich­ti­ge Rol­le: Was pas­siert, wenn per­so­nen­be­zo­ge­ne Daten an Dritt­län­der über­mit­telt wer­den? Even­tu­ell ist es not­wen­dig, nun neue Abkom­men zu schließen.

Das The­ma Geld spielt natür­lich eine jetzt ganz geän­der­te Rol­le. Noch wis­sen wir nicht, wie weit die Auf­sichts­be­hör­den noch ein­grei­fen wer­den – aber die Mög­lich­keit besteht eben doch. So wur­den die Sät­ze für Buß­gel­der deut­lich ange­ho­ben. Ins­ge­samt wer­den zukünf­tig Kon­zer­ne betrach­tet und nicht nur die ein­zel­nen Unterfirmen.

Soll­te der Schutz per­so­nen­be­zo­ge­ner Daten ver­letzt wer­den, so muss dies inner­halb von 72 Stun­den nach Bekannt­wer­den der Auf­sichts­be­hör­de gemel­det wer­den. Eine Aus­nah­me kann gemacht wer­den, wenn ver­mut­lich kein Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen (rechts­kräf­ti­ge Per­so­nen im Gegen­satz zu Ver­ei­nen und Trä­ger­schaf­ten) besteht.

Inhalt der Mel­dung an die Aufsichtsbehörde:

  • Art der Verletzung
  • Kate­go­rien und Zahl der Betrof­fe­nen und Datensätze
  • Kon­takt­da­ten des Datenschutzbeauftragten
  • Beschrei­bung der Fol­gen für die Betroffenen
  • Beschrei­bung der ergrif­fe­nen oder vor­ge­schla­ge­nen Maß­nah­men zur Behe­bung der Ver­let­zung und zur Redu­zie­rung der Fol­gen für den Betroffenen