Information zur Europäischen Datenschutzgrundverordnung (DSGVO)
Inhaltsverzeichnis
1. Warum überhaupt Datenschutz? ... 2
2. Was ist eigentlich die Datenschutzgrundverordnung? ... 2
3. Die Arbeit mit personenbezogenen Daten: Grundsätze für die Verarbeitung ... 3
4. Wann dürfen personenbezogene Daten verarbeitet werden? ... 4
5. Erweiterte Zuständigkeit ... 5
6. Die Einwilligung... 5
7. Besondere Kategorien personenbezogener Daten ... 5
8. Das Verzeichnis von Verarbeitungstätigkeiten ... 6
Praxishinweis Auftragsverarbeitung: ... 7
9. Checkliste zur Informationspflicht gemäß Art. 13 DSGVO ... 7
10. Transparenz: Übertragbarkeit und Information! ... 8
Praxishinweis Datenlöschung: ... 8
11. Datensicherheit, Datenschutzbeauftragter & technische und organisatorische Maßnahmen ... 9
12. Zwanzig oder mehr… ... 9
13. Privacy by design und by default ... 9
14. Risiko? Die Datenschutz-Folgenabschätzung ... 9
15. Was ist bei Datenpannen zu tun? ... 9
Praxishinweis Datensicherheitsvorfall: ... 10
16. Übermittlung von personenbezogenen Daten in Drittstaaten ... 10
Praxishinweis Datenübertragung ins Ausland: ... 11
17. Sanktionen, Strafen und Entschädigung - eine teure Angelegenheit! ... 11
18. Tipps für die Praxis – Damit sind Sie auf der sicheren Seite ... 11
19. Ihre Ansprechpartner ... 12
1. Warum überhaupt Datenschutz?
Der Datenschutz soll den Einzelnen vor Nachteilen schützen, die durch übermäßigen Umgang mit seinen personenbezogenen Daten entstehen können. Im Kern geht es um Entscheidungsfreiheit: Jeder soll selbst entscheiden können, wem wann welche seiner persönlichen Daten bekannt werden. Man spricht von dem
„Recht auf informationelle Selbstbestimmung“.
2. Was ist eigentlich die Datenschutzgrundverordnung?
Der Anfang der Datenschutz-Grundverordnung liegt schon etwas zurück: 1995 wurde die Richtlinie 95/46/EG des Europäischen Parlaments verabschiedet. Diese legte fest, dass jeder EU-Mitgliedstaat ein nationales Gesetz entwickeln und umsetzen muss, das die EU-Standards für den Umgang mit der Verar- beitung personenbezogener Daten einhält. Im Januar 2012 schlug die Europäische Kommission jedoch die Datenschutz-Grundverordnung vor, die in allen EU-Mitgliedstaaten unmittelbar gelten soll und die Kon- sistenz und Standardisierung bei der Verarbeitung und Verwendung personenbezogener Daten gewähr- leisten soll. Dieser Vorschlag wurde im April 2016 vom Europäischen Parlament förmlich angenommen.
Für die Praxis bedeutet dies, dass die Datenschutzgrundverordnung nun die noch bis zum 25.05.2018 bestehenden nationalen Datenschutzgesetze weitestgehend ersetzt. Die Datenschutzgrundverordnung enthält einige im Folgenden dargestellte Änderungen: unter anderem strengere Strafen und präzisere De- finitionen.
Die Datenschutz-Grundverordnung weist große Ähnlichkeiten mit den geltenden EU-Datenschutzgeset- zen auf, so dass Unternehmen nicht unbedingt bei der Ausarbeitung und Umsetzung von Strategien, Ver- fahren und Maßnahmen neu beginnen müssen. Dennoch verlangen die zahlreichen Änderungen der Ge- setzesmaterie von den Akteuren eine intensive Beschäftigung mit der DSGVO und Evaluierung der eige- nen Geschäftspraxis.
Wenn Sie in Ihrem Unternehmen mit Daten von Kunden, Lieferanten oder Beschäftigten arbeiten, ist dieser Leitfaden an Sie gerichtet. In einem Unternehmen werden an vielen Stellen personenbezogene Daten verarbeitet. Ob es sich hierbei um elektronische Daten handelt, oder ob diese nur auf Papier vorhanden sind, macht für den Datenschutz keinen Unterschied. Diese Daten dürfen nur für betriebliche Zwecke ver- wendet werden. Sie sind persönlich verpflichtet, die Daten sie geheim zu halten. Häufige Begriffe der DSGVO:
Zunächst einmal sollen die sprachlichen Neuheiten der Verordnung, die in Art. 4 DSGVO geregelt sind, erläutert werden:
Personenbezogene Daten
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren beson- deren Merkmalen identifiziert werden kann, die Ausdruck der physischen, phy- siologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozi- alen Identität dieser natürlichen Person sind.
Dies betrifft Mitglieder der Geschäftsleitung ebenso wie Mitarbeiterinnen und Mitarbeiter, Beschäftigte von Lieferanten ebenso wie Gäste und Kunden oder Interessenten.
Beispiele:
Unmittelbar zuzuordnen ist der Person ihr Name.
Unmittelbar zuzuordnen ist der Person auch ihre Funktion, wenn es zum Beispiel nur eine IT-Leiterin im Unternehmen gibt.
Mittelbar zuzuordnen ist der Person ihre Personalnummer: Zwar weist die Personalnummer an sich noch nicht auf die konkrete Person hin, der Per- sonenbezug kann jedoch von Personen hergestellt werden, die wissen, welcher Name zu welcher Personalnummer gehört.
Mittelbar kann sogar eine IP-Adresse einer bestimmten Person zugeordnet werden.
Einwilligung der betroffenen Person
Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissver- ständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personen- bezogenen Daten einverstanden ist.
(Daten)Verantwortlicher Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verar- beitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitglied- staaten vorgesehen werden.
Auftragsverarbeiter Eine natürliche oder juristische Person, Behörde, Agentur oder sonstige Einrich- tung, die personenbezogene Daten im Auftrag des für die Verarbeitung Verant- wortlichen verarbeitet.
Datenempfänger Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die ge- nannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschrif- ten gemäß den Zwecken der Verarbeitung.
Betroffene Person Eine identifizierte oder identifizierbare natürliche Person, deren personenbezo- gene Daten verarbeitet werden.
Verarbeitung Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwen- dung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Erstellung eines Profils Jede Form der automatisierten Verarbeitung personenbezogener Daten, die die Verwendung personenbezogener Daten zur Bewertung bestimmter persönlicher Aspekte einer natürlichen Person umfasst, insbesondere zur Analyse oder Vor- hersage von Daten der Arbeitsleistung dieser natürlichen Person, der wirtschaft- lichen Situation, der Gesundheit, persönlichen Vorlieben, Interessen und Zuver- lässigkeit, Verhalten, Standort oder Bewegungen.
Dritter Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsver- arbeiter und den Personen, die unter der unmittelbaren Verantwortung des Ver- antwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezoge- nen Daten zu verarbeiten.
3. Die Arbeit mit personenbezogenen Daten: Grundsätze für die Verarbeitung
Die DSGVO sieht die nachfolgenden Grundsätze für die Verarbeitung von personenbezogenen Daten vor.
Transparenz:
Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verar- beitung nach Treu und Glauben, Transparenz“);
Zweckbindung:
Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben wer- den und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbei- tet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wis- senschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Art.
89 Abs. 1 nicht als unvereinbar mit den ursprünglichen Zwecken;
Datenminimierung:
Es dürfen nur so viele Daten erhoben werden, wie notwendig sind, um den jeweiligen Zweck zu erfüllen.
Richtigkeit:
Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder be- richtigt werden;
Speicherbegrenzung:
Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet wer- den, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die per- sonenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisato- rischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der be- troffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archiv- zwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwe- cke gemäß Art. 89 Abs. 1 verarbeitet werden;
Integrität und Vertraulichkeit:
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstö- rung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maß- nahmen;
4. Wann dürfen personenbezogene Daten verarbeitet werden?
Personenbezogene Daten sind oft erforderlich, damit ein Unternehmen überhaupt Produkte und Dienst- leistungen herstellen oder verkaufen kann. Unter bestimmten Bedingungen ist daher die Verarbeitung von personenbezogenen Daten erlaubt. Es obliegt den Verarbeitern und/oder Verantwortlichen eines Unter- nehmens, ihre rechtlichen und/oder vertraglichen Rechtsgrundlagen für die Verarbeitung zu ermitteln und nachzuweisen, bevor Daten verarbeitet werden. Sobald eine Rechtsgrundlage für die Verarbeitung von Daten ermittelt wurde, muss dies aufgezeichnet und ein Nachweis der Bestimmung aufbewahrt werden.
Die Verarbeitung personenbezogener Daten wird nur dann als rechtmäßig angesehen, wenn mindestens eine oder mehrere der folgenden Klauseln nach Art. 6 zur Anwendung kommen:
die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personen- bezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Per- son ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der be- troffenen Person erfolgen;
die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verant- wortliche unterliegt;
die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Inte- resse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder ei- nes Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbeson- dere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Personen sind die Informationen für die Erhebung, Verarbeitung und Speicherung ihrer personenbezoge- nen Daten in transparenter Form zur Verfügung zu stellen. Das bedeutet, dass die den Einzelpersonen zum Zeitpunkt der Erhebung ihrer persönlichen Daten zur Verfügung gestellten Informationen klar und transparent hinsichtlich der Sammlung von Daten, der Verwendung oder des beabsichtigten Gebrauchs und der Abhängigkeit von der Einwilligung zur Verarbeitung sein. Jede betroffene Person das Recht auf Widerruf der Einwilligung.
5. Erweiterte Zuständigkeit
Artikel 3 der Datenschutz-Grundverordnung legt den räumlichen Geltungsbereich der Verordnung für die- jenigen fest, die Daten verarbeiten und gilt als eine der größten Änderungen der geltenden Datenschutz- gesetze.
Die Zuständigkeit und der räumliche Geltungsbereich in den derzeitigen EU-Rechtsvorschriften sind etwas mehrdeutig. Die DSGVO stellt jedoch klar, dass die Verordnung für die Verarbeitung personenbezogener Daten betroffener Personen in der gesamten Europäischen Union gilt, unabhängig davon, ob die Verar- beitung in der EU stattfindet oder nicht. Die Verordnung gilt auch für die Verarbeitung personenbezogener Daten durch einen für die Verarbeitung Verantwortlichen, der nicht in der EU, jedoch an einem Ort, an dem das Recht des Mitgliedstaats aufgrund des Völkerrechts gilt, niedergelassen ist und/oder wenn die Verarbeitung Folgendes betrifft:
Das Anbieten von Waren oder Dienstleistungen für EU-Bürger (unabhängig davon, ob eine Zah- lung erforderlich ist)
Die Überwachung des Verhaltens der betroffenen Personen hinsichtlich ihres Verhaltens inner- halb der EU
6. Die Einwilligung
Die Bedingungen für die Einwilligung wurden in der DSGVO erweitert. Die Unternehmen müssen nun zusätzlich nachweisen, dass sie die Einwilligung der betroffenen Personen in klarer, verständlicher und transparenter Weise erhalten haben. Zustimmungserklärungen müssen frei von Jargon und leicht zugäng- lich sein und das Recht auf Widerruf und den Zweck für die Datenverarbeitung klar darlegen. Jede Einwil- ligung muss verifiziert werden können, was bedeutet, dass Aufzeichnungen über die erteilte Einwilligung geführt werden müssen.
Wenn die Person ihre Einwilligung in Form einer schriftlichen Erklärung gibt, in der auch andere Angele- genheiten vermerkt sind, muss diese Einwilligung klar und leicht unterscheidbar sein. Sie sollte sich von den anderen Inhalten unterscheiden, damit sichergestellt ist, dass die betroffene Person weiß, dass sie eine Einwilligung zur Verarbeitung und Speicherung ihrer Daten erteilt.
Im Rahmen der DSGVO haben die betroffenen Personen das Recht, ihre Einwilligung jederzeit zu wider- rufen, was die Rechtmäßigkeit der Verarbeitung auf Grundlage der Einwilligung in keiner Weise beein- trächtigt. Unternehmen müssen sicherstellen, dass eine Person ihre Einwilligung genauso einfach und klar widerrufen kann, wie sie diese erteilt hat.
7. Besondere Kategorien personenbezogener Daten
Die DSGVO nennt „besondere Kategorien“ personenbezogener Daten. Diese sind jene, die Folgendes offenlegen könnten oder können:
Rasse oder ethnische Herkunft Politische Meinungen
Religiöse oder philosophische Überzeugungen Gewerkschaftsmitgliedschaft
Genetische oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer natürlichen Person.
Die Verarbeitung personenbezogener Daten besonderer Kategorie ist streng verboten, es sei denn, die betroffene Person hat ausdrücklich die Verarbeitung dieser Daten für einen oder mehrere bestimmte Zwecke genehmigt.
Zulässig ist die Verarbeitung dieser personenbezogenen Daten besonderer Kategorie dann, wenn die Verarbeitung:
erforderlich ist, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,
zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist und die betroffene Person aus körperlichen oder rechtlichen Gründen au- ßerstande ist, ihre Einwilligung zu geben,
auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder ge- werkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinner- zielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten erfolgt und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Orga- nisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kon- takte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden, in Bezug auf personenbezogene Daten, die offensichtlich von der betroffenen Person veröffentlicht werden,
zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich ist,
auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, dass in angemesse- nem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Inte- ressen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist,
für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfä- higkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Ge- sundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mit- gliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich ist,
aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung ho- her Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitglied- staats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich ist, oder auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemesse- nem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Inte- ressen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Arti- kel 89 Absatz 1 erforderlich ist.
8. Das Verzeichnis von Verarbeitungstätigkeiten
Alle Prozesse in einem Unternehmen, die die Verarbeitung von personenbezogenen Daten beinhalten, müssen strikt und transparent aufgezeichnet werden. Diese werden in das Verzeichnis von Verarbeitungs- tätigkeiten aufgenommen, welches schriftlich zu führen ist; die elektronische Form ist hierbei miteinge- schlossen. Auf Verlangen muss das Verzeichnis der Verarbeitungstätigkeiten der zuständigen Aufsichts- behörde vorlegt werden, wenn diese Prozesse im Unternehmen und die damit verbundene Verarbeitung der personenbezogenen Daten überprüfen will.
Jede Verarbeitungstätigkeit muss die folgenden Informationen enthalten:
Name und Kontaktdaten des Verantwortlichen (gegebenenfalls) den gemeinsamen Verantwortlichen
(gegebenenfalls) den Vertreter des für die Verarbeitung Verantwortlichen der Datenschutzbeauftragte
die Zwecke der Verarbeitung
eine Beschreibung der Kategorien der betroffenen Personen und der Kategorien personenbezo- gener Daten
die Kategorien von Empfängern, denen die personenbezogenen Daten mitgeteilt wurden oder werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
(gegebenenfalls) Übermittlung personenbezogener Daten an ein Drittland oder eine internatio- nale Organisation, einschließlich der Identifizierung dieses Drittlandes oder einer internationalen Organisation und der Dokumentation geeigneter Schutzmaßnahmen
soweit möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien und eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnah- men gemäß Art. 32 Abs. 1
Auch Auftragsverarbeiter und gegebenenfalls der Vertreter des Verarbeiters müssen Folgendes dokumen- tieren:
alle Kategorien von Verarbeitungstätigkeiten, die im Auftrag eines für die Verarbeitung Verant- wortlichen durchgeführt werden
den Namen und die Kontaktdaten des Verarbeiters oder der Auftragsverarbeiter und des jeweili- gen für die Verarbeitung Verantwortlichen, in dessen Namen der Auftragsverarbeiter tätig ist (und gegebenenfalls den Namen und die Kontaktdaten des Vertreters des Verarbeiters/Vertreters und des Datenschutzbeauftragten)
die Verarbeitungskategorien, die durch jeden für die Verarbeitung Verantwortlichen durchgeführt werden
(gegebenenfalls) Übermittlung personenbezogener Daten an ein Drittland oder eine internatio- nale Organisation, einschließlich der Identifizierung dieses Drittlandes oder einer internationalen Organisation und der Dokumentation geeigneter Schutzmaßnahmen
nach Möglichkeit eine allgemeine Beschreibung der technischen und organisatorischen Sicher- heitsmaßnahmen gemäß Art. 32 Abs. 1
Praxishinweis Auftragsverarbeitung:
Fließende Grenzen: Schon bei der Nutzung einer Web- oder Smartphone-App kann es sich um Auf- tragsverarbeitung von Daten handeln. Prüfen Sie daher, wenn Sie für die Beauftragung von Dienstleistern zuständig sind und Dienstleister mit personenbezogenen Daten des Unternehmens zu tun haben, ob eine Vereinbarung zur Auftragsverarbeitung mit einem bestimmten, gesetzlich vorgegebenen Inhalt vorliegt.
Das Gesetz verlangt in diesen Fällen, dass in einem schriftlichen Vertrag sichergestellt wird, dass der Dienstleister und dessen Beschäftigte die gesetzlichen Datenschutzregelungen einhalten. Ihr Unterneh- men bleibt für die Daten weiterhin verantwortlich und muss daher auch prüfen, ob die Daten durch den Dienstleister ausreichend geschützt werden.
9. Checkliste zur Informationspflicht gemäß Art. 13 DSGVO
Betroffene müssen bei der Direkterhebung von personenbezogenen Daten Informationen darüber erhal- ten, wie ihre Daten verarbeitet werden. Es stellt sich daher die Frage, ob die betroffene Person hinreichend informiert ist über:
den vollständigen Namen und die vollständige Adresse Ihres Unternehmens die Kontaktdaten des Datenschutzbeauftragten (wenn es einen gibt);
die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechts- grundlage für die Verarbeitung und der „berechtigten Interessen“, falls sich die Erlaubnis aus einer Interessensabwägung ergibt.
die Kategorien von Empfängern der Daten, falls die Datenweitergabe geplant ist, eine eventuelle Verarbeitung der Daten außerhalb des europäischen Wirtschaftsraums, die zeitliche Dauer, in der die Daten ungelöscht und uneingeschränkt verwendbar im Unterneh- men verbleiben,
die ihr zustehenden Betroffenenrechte, also ihre Widerrufsrechte, ihre Beschwerderechte oder die Tatsache, dass eine Entscheidung zum Beispiel über eine Kreditvergabe, nach automati- schen Berechnungen direkt von einem IT-System getroffen wird,
das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte
Diese Informationen müssen präzise, transparent und verständlich in einer leicht zugänglichen Form sein und klar formuliert sein. Dies gilt insbesondere in den Fällen, in denen die Informationen an Kinder gerich- tet sind. Wenn Daten direkt erfasst werden, muss der Verantwortliche erklären, welche Informationen ob- ligatorisch erteilt werden müssen und welche Konsequenzen die Nichtbereitstellung hat.
Ähnliche Informationspflichten bestehen, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden. Werden Daten indirekt erhoben, muss der Verantwortliche die Quelle der Infor- mationen angeben. Das gilt auch für öffentlich zugängliche Quellen.
10. Transparenz: Übertragbarkeit und Information!
Ein Unternehmen muss in der Lage sein, Auskunft zu erteilen, welche Daten es zu einer Person speichert und zu welchem Zweck und über welchen Zeitraum dies erfolgt. Unter Umständen muss auch über eine Weitergabe der Daten informiert werden, sofern diese erfolgt.
Neu ist das Recht auf Datenübertragbarkeit: Wenn eine Person einem Unternehmen personenbezogene Daten über sich selbst zur Verfügung stellt, dann muss das Unternehmen der Person auf Anforderung diese Daten in einem „strukturierten, gängigen, maschinenlesbaren und interoperablen Format“ bereitstel- len oder einem anderen Anbieter übermitteln. (Art. 20 DSGVO). Um diese Anforderungen zu erfüllen, muss die Geschäftsleitung geeignete Arbeitsanweisungen herausgeben.
Datenverantwortliche können dafür keine Kosten geltend machen, dass Kopien übermittelt werden, sofern diese angefordert werden; sie können jedoch eine angemessene Verwaltungsgebühr für zusätzliche Ko- pien erheben. Weitere Rechte von betroffenen Personen:
Das Recht, die unverzügliche Berichtigung personenbezogener Daten und unvollständiger An- gaben zu verlangen: Recht auf Berichtigung
Recht auf Vergessenwerden: Personenbezogene Daten sind zu löschen, wenn die Verarbeitung nicht mehr erforderlich ist, die Zustimmung widerrufen wird, berechtigte Interessen nicht mehr gelten, die Verarbeitung rechtswidrig ist oder eine Löschung gesetzlich vorgeschrieben ist und der Verantwortliche angemessene Schritte unternehmen muss, um andere Verantwortliche zu informieren, wenn solche Daten veröffentlicht wurden (Art. 17 DSGVO).
Recht auf Einschränkung der Verarbeitung: Betroffene Personen können die Einschränkung der Verarbeitung ihrer personenbezogenen Daten verlangen, wenn etwa eine Meinungsverschieden- heit besteht; wenn ein Einspruch gegen die Verarbeitung geprüft wurde; wenn die Verarbeitung rechtswidrig ist oder wenn die betroffene Person der Löschung oder der Datenverletzung wider- spricht (Art. 18 DSGVO).
Ihr Unternehmen muss den Datenempfängern jede Berichtigung, Löschung und Einschränkung mitteilen, es sei denn, dies ist unmöglich oder mit unverhältnismäßigen Umständen verbunden. Auf Verlangen muss Ihr Unternehmen die betroffenen Personen über die Identität der Datenempfänger informieren.
Praxishinweis Datenlöschung:
Jedes Unternehmen muss sicherstellen, dass nach Ablauf der gesetzlichen Fristen der Zugriff auf perso- nenbezogene Daten eingeschränkt wird bzw. die betreffenden Daten gelöscht werden.
Personenbezogene Daten, die vom Unternehmen verarbeitet werden, dürfen nicht durch Beschäftigte nach Gutdünken gelöscht werden. Für das Löschen muss die Unternehmensleitung Arbeitsanweisungen herausgeben. Dazu braucht es ein Konzept für die Datenarten und deren Löschungsfrist.
11. Datensicherheit, Datenschutzbeauftragter & technische und organisatorische Maßnahmen
Die für die Verarbeitung Verantwortlichen und die Verarbeiter müssen angemessene technische und or- ganisatorische Sicherheitsmaßnahmen ergreifen, um ein angemessenes Schutzniveau für personenbezo- gene Daten zu gewährleisten. Hierfür kommen folgende Maßnahmen in Betracht:
Implementierung von Datenschutzrichtlinien Einhaltung der anerkannten Verhaltensregeln
Einhaltung der anerkannten Zertifizierungsmechanismen.
Sicherheitsmaßnahmen können auch die Pseudonymisierung und Verschlüsselung, die Fähigkeit zur zeit- nahen Wiederherstellung personenbezogener Daten sowie regelmäßige Tests und Bewertungen beinhal- ten.
12. Zwanzig oder mehr…
Das Unternehmen muss nach Art. 38 einen betrieblichen Datenschutzbeauftragten stellen, wenn es in der Regel zwanzig Personen oder mehr ständig mit der automatisierten Verarbeitung personenbezogener Da- ten beschäftigt. Aufgabe des Datenschutzbeauftragten ist es, Geschäftsleitung und Beschäftigte hinsicht- lich datenschutzkonformer Datenverarbeitung zu beraten. Die Aufgabe, den Datenschutz sicherzustellen, hat der Beauftragte dagegen nicht. Diese Aufgabe liegt bei der Unternehmensleitung und bei den Mitar- beitern.
13. Privacy by design und by default
Privacy by design bedeutet „Datenschutz durch Technikgestaltung“. Hier wird der Grundgedanke aufge- griffen, dass der Datenschutz am besten eingehalten werden kann, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist.
Privacy by default bedeutet „Datenschutz durch datenschutzfreundliche Voreinstellungen“. Hier geht es darum, dass bereits die Werkseinstellungen datenschutzfreundlich auszugestalten sind. Dem hier zug- rundliegenden Gedanken sollen insbesondere Nutzer geschützt werden, die weniger technikaffin sind und daher keine datenschutzrechtlichen Einstellungen an Systemen, die sie verwenden, selbst einstellen.
Verantwortliche müssen geeignete technische und organisatorische Maßnahmen ergreifen, um Daten- schutzgrundsätze (wie Pseudonymisierung und Datenminimierung) sowohl bei der Festlegung der Verar- beitungsmittel als auch bei der Verarbeitung selbst umzusetzen. Standardmäßig sollten nur die persönli- chen Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind.
14. Risiko? Die Datenschutz-Folgenabschätzung
Nach Art. 35 Abs. 1 DSGVO ist eine Datenschutzfolgeabschätzung grundsätzlich immer dann durchzu- führen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat)“.
Der Art. 35 Abs. 1 DSGVO nennt Regelbeispiele, die eine Datenschutzfolgeabschätzung erfordern: Ent- scheidungen auf der Grundlage automatisierter Verarbeitung oder Profilerstellung, großangelegte Verar- beitung sensibler Daten und systematisches, großangelegtes Überwachung eines öffentlich zugänglichen Bereichs.
15. Was ist bei Datenpannen zu tun?
Ihr Unternehmen und mit der Verarbeitung von Daten beauftragte Dienstleister unterliegen einer Benach- richtigungspflicht für Datenschutzverletzungen. Das für die Verarbeitung verantwortliche Unternehmen
muss Verletzungen der personenbezogenen Daten unverzüglich (längstens innerhalb von 72 Stunden nach Kenntniserlangung des Verstoßes) der zuständigen Aufsichtsbehörde melden, es sei denn, die Ver- letzung stellt keine Gefährdung für die Rechte und Freiheiten der betroffenen Personen dar. Ebenso trifft die Verantwortlichen die Pflicht auch die betroffenen Personen über Verletzungen ihrer personenbezoge- nen Daten zu informieren, wenn die Verstöße ein erhebliches Risiko für die Rechte und Freiheiten der Betroffenen darstellen.
Die mit der Verarbeitung personenbezogener Daten beauftragte Dienstleister müssen Verletzungen der personenbezogenen Daten in allen Fällen unverzüglich an die verantwortliche Stelle melden.
Praxishinweis Datensicherheitsvorfall:
Offene Augen und Ohren: Was ist zu tun, wenn Ihnen oder Kollegen ein Laptop, ein Tablet, ein Smart- phone, ein Speicherstick, Memos der Akten mit personenbezogenen Daten usw. abhandengekommen sind? Erstellen Sie einen kurzen Bericht (Welche Daten sind abgeflossen oder waren im Zugriff von unbe- fugten Dritten? Wie ist es dazu gekommen? Welche Folgen vermuten Sie?) und senden Sie diesen an Ihren Vorgesetzten. Der Bericht kann natürlich auch von Ihrem Vorgesetzten auf Ihre mündliche Mitteilung hin erstellt werden.
Eine Datenpanne kann passieren – kein Unternehmen ist zu 100% sicher. Wichtig sind dann allerdings Abhilfemaßnahmen. Und für Ihre Situation ist wichtig, dass Sie jederzeit in der Lage sind nachzuweisen, dass Sie Ihre Meldepflicht gegenüber dem Unternehmen erfüllt haben. Es muss also dokumentiert werden, was passiert ist, damit die notwendigen Maßnahmen ergriffen und der Aufsichtsbehörde gegenüber belegt werden können.
16. Übermittlung von personenbezogenen Daten in Drittstaaten
Drittstaaten sind Staaten, die nicht der EU angehören. Werden Daten in Länder außerhalb des Europäi- schen Wirtschaftsraums (EWR), fordert die DSGVO eine angemessene Begründung für die Übermittlung der personenbezogenen Daten. Die DSGVO hat bisher geltenden möglichen Begründungen für einen Da- tentransfer durch die Aufnahme anerkannter Verhaltenskodizes und Zertifizierungsmechanismen erwei- tert:
Die Kommission kann sogenannte Angemessenheitsbeschlüsse erlassen, nach denen be- stimmte Drittländer oder Gebiete in diesen Ländern ein angemessenes Schutzniveau für grenz- überschreitende Übermittlungen bieten. Übertragungen in solche Länder oder Gebiete erfordern dann keine spezifischen Genehmigungen. Ein angemessenes Datenschutzniveau wurde von der EU-Kommission in einer förmlichen Entscheidung für folgende Länder festgestellt:
Argentinien (2003/490/EC) Andorra (2010/625/EU) Guernsey (2003/821/EC) Isle of Man (2004/411/EC) Jersey (2008/393/EC) Kanada (2002/2/EC) Neuseeland (2013/65/EU) Israel (2011/61/EU) Schweiz (2000/518/EC) Färöer-Inseln (2010/146/EU) Uruguay (2012/484/EU)
Ohne eine Angemessenheitsentscheidung können personenbezogene Daten nur dann in Dritt- staaten außerhalb des EWR (Bsp.: USA) übertragen werden, wenn entsprechende Sicherheits- vorkehrungen getroffen wurden. Zu diesen Garantien gehören Standard-Datenschutzklauseln, die von der Kommission angenommen oder genehmigt werden können, sowie verbindliche un- ternehmensinterne Vorschriften (Binding Corporate Rules, "BCR"), deren geforderter Inhalt nun in der Datenschutz-Grundverordnung dargelegt ist. Andere Übermittlungen, die besonderen Ga- rantien unterliegen, sind zulässig, wenn ein genehmigter Verhaltenskodex, ein genehmigter Zer- tifizierungsmechanismus oder ein durchsetzbares Instrument zwischen öffentlichen Behörden vorhanden ist.
Fehlt es an einer Angemessenheitsentscheidung oder angemessener Garantien sind grenzüber- schreitende Übermittlungen nur möglich, wenn eine der folgenden Bedingungen erfüllt ist:
die betroffene Person hat die ausdrückliche Einwilligung erteilt, nachdem sie über die möglichen Risiken solcher Übermittlungen informiert wurde;
die Übertragung ist für einen Vertrag oder die Durchführung vorvertraglicher Maßnah- men zwischen dem für die Verarbeitung Verantwortlichen und der betroffenen Person erforderlich;
ein Vertrag, der im Interesse der betroffenen Person zwischen dem für die Verarbeitung Verantwortlichen und einer anderen juristischen Person abgeschlossen wurde erfordert die Übertragung;
die Übertragung ist aus wichtigen Gründen des öffentlichen Interesses erforderlich;
die Übertragung ist erforderlich für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen der betroffenen Person;
die Übertragung ist erforderlich, um die besonderen Interessen der betroffenen Person oder anderer Personen zu schützen, wenn die betroffene Person physisch oder rechtlich nicht in der Lage ist, ihre Zustimmung zu erteilen; und
die Übertragung erfolgt aus einem öffentlichen Register.
E-Discovery: Die Datenschutz-Grundverordnung stellt in Fällen von E-Discovery fest, dass die Urteile oder die Entscheidungen von Verwaltungsbehörden aus Drittstaaten, die die Übermittlung personenbezogener Daten verlangen, nur dann anerkannt werden oder vollstreckbar sind, wenn sie auf einem internationalen Abkommen beruhen.
Praxishinweis Datenübertragung ins Ausland:
Es ist stets zu prüfen, ob personenbezogene Daten außerhalb des europäischen Wirtschaftsraums verar- beitet werden. Dies ist nur dann zulässig, wenn einer der genannten Rechtfertigungsgründe vorliegt. Ge- schieht dies ohne, dass einer dieser Gründe vorliegt, wird hierdurch eine Datenschutzverletzung ausge- löst. Fällt Ihnen ein solcher Datentransfer auf, informieren Sie umgehend Ihren Vorgesetzten und gegebe- nenfalls den Datenschutzbeauftragten.
Besonders praxisrelevante Schwierigkeiten bereitet die Datenübertragung in die USA, da aufgrund der umfangreichen amerikanischen Überwachungsgesetzte mögliche Standartvertragsklauseln regelmäßig nicht ausreichend sind. Hier ist eine Risikoabschätzung unter Einbeziehung des Datenschutzbeauftragten vorzunehmen. Unter Umständen sind in diesem konkreten Beispiel verschiedene Maßnahmen notwendig (Prüfungen, Verschlüsselungen, Verlagerung der Datenverarbeitung in die EU, etc.).
17. Sanktionen, Strafen und Entschädigung - eine teure Angelegenheit!
Mit der Datenschutzgrundverordnung kommen auf Unternehmen, die gegen die Vorschriften verstoßen, wesentlich höheren Strafen zu als nach dem bislang geltenden BDSG. Bußgelder können, je nachdem, welcher Betrag höher ist, bis zu 4% des jährlichen Weltumsatzes oder 20 Millionen Euro betragen.
Datenschutzverstöße durch Mitarbeiter im Unternehmen können auch arbeitsrechtliche Folgen nach sich ziehen: Der Arbeitgeber muss kontrollieren, ob die Mitarbeiter die Datenschutzvorschriften einhalten. Bei Verstößen muss er disziplinarische Maßnahmen in Betracht ziehen. Diese Maßnahmen können eine Er- mahnung, eine Abmahnung oder eine Strafversetzung sein; in schwerwiegenden Fällen kann es zu einer Kündigung oder gar außerordentlichen Kündigung kommen. Ihr Unternehmen darf Datenschutzverletzun- gen nicht „auf die leichte Schulter nehmen“; sonst würde er sich selbst dem Risiko eigener behördlicher Sanktionen, wie Ermittlungen, Abhilfemaßnahmen und dem oben genannten Bußgeldrisiko aussetzen.
18. Tipps für die Praxis – Damit sind Sie auf der sicheren Seite
Jeder Beschäftigte ist verpflichtet, firmeninterne Informationen vertraulich zu behandeln und die daten- schutzrechtlichen Bestimmungen einzuhalten. Personenbezogene Daten dürfen unter keinen Umständen verfälscht, durch unbefugte Dritte zur Kenntnis genommen oder an unbefugte Dritte weitergegeben wer- den. Folgende Hinweise sollten Sie verinnerlichen:
Datenmüll
Dokumente mit personenbezogenen Daten sind mit einem geeigneten Aktenvernichter oder in speziell dafür vorgesehenen, abschließbaren Datencontainern zu entsorgen. Sie dürfen in kei- nem Fall im normalen Altpapier entsorgt werden.
Passwort und Verschlüsselung
Machen Sie Ihr Passwort sicher: Verwenden Sie ein Passwort mit einer Mindestlänge von acht Zeichen. Gestalten Sie das Passwort durch Kombination von Groß-, Kleinbuchstaben, Zeichen, Sonderzeichen und Ziffern ausreichend komplex. Wechseln Sie das Passwort regelmäßig und nutzen Sie unterschiedliche Passwörter für unterschiedliche Anwendungen. Geben Sie Ihr Pass- wort niemals an andere Personen oder Kollegen weiter.
Schlüssel und Zugangskarten
Bewahren Sie Ihre/n Schlüssel/Zugangskarte immer sorgfältig auf und geben Sie diese niemals an andere Personen oder Kollegen weiter.
Bildschirmsperre
Aktivieren Sie bei jedem Verlassen des Arbeitsplatzes die Bildschirmsperre des Computers, um die auf dem Bildschirm aktuell vorhandenen Informationen zu verbergen und den Zugriffsschutz für das IT-System zu gewährleisten. Die Sperre sollte mit einem Passwort belegt sein, welches nur Ihnen bekannt ist.
Schutzmaßnahmen gegen Datenabschöpfung
Personenbezogene Daten dürfen nur auf unternehmenseigenen mobilen Speichergeräten (bspw.
Notebooks, Tablets, USB-Sticks) gespeichert werden und sollten nur in verschlüsselter Form transportiert werden. Unbekannte Datenträger dürfen niemals ungeprüft verwendet werden.
Schutz vor Mithören
Stellen Sie sicher, dass Unbefugte keine Gespräche mit besonders sensiblen Inhalten verfolgen können.
Telefon
Bei telefonischen Anfragen prüfen Sie bitte stets die Identität des Anrufers und die Berechtigung des Anrufers auf Erhalt der Information. Im Zweifel halten Sie mit Ihrer Führungskraft Rückspra- che und rufen Sie zurück.
Brief
Achten Sie beim Versand eines Briefes, dass dieser richtig adressiert ist. Kontrollieren Sie bei einer Übermittlung per Fax die eingegebene Nummer.
E-Mails
Beim Versand von E-Mails achten Sie bitte darauf, dass diese korrekt adressiert sind. Nutzen Sie dabei das Adressfeld „BCC“, um Empfänger voneinander zu verbergen. E-Mails mit besonders sensiblem Inhalt (bspw. Personal- und Gesundheitsdaten) dürfen nur in verschlüsselter Form er- folgen. Versenden Sie die Unterlagen im Zweifel per Post.
19. Ihre Ansprechpartner
Die Geschäftsführung
Die Geschäftsleitung ist dafür verantwortlich, dass im Unternehmen die datenschutzrechtlichen Bestimmungen eingehalten werden. Die Ausgabe einer Arbeitsanweisung zum Datenschutz hilft jedem Beschäftigten, ein datenschutzkonformes „Arbeiten“ in seinem Arbeitsbereich umsetzen zu können. Durch Unterzeichnung einer „Verschwiegenheitserklärung zur Wahrung des Daten- geheimnisses“ wird jeder Beschäftigte zur Einhaltung des Datenschutzes verpflichtet.
Der Datenschutzkoordinator
Der Datenschutzkoordinator bildet die Schnittstelle zwischen Unternehmensleitung und Daten- schutzbeauftragtem. Er verfügt über Basiswissen im Datenschutz und ein hohes Maß an internen Informationen. Er kennt interne Strukturen und Abläufe und unterstützt den Datenschutzbeauf- tragten. Er ist Ansprechpartner für alle Anliegen der Beschäftigten zum Thema Datenschutz.
Der Datenschutzbeauftragte
Der Datenschutzbeauftragte überwacht die Einhaltung der DSGVO, d. h. er prüft alle betrieblichen Datenverarbeitungsvorgänge und berät die Geschäftsleitung bzw. alle Beschäftigten zu Fragen des Datenschutzes. Für sein Amt kann sowohl ein Beschäftigter des Unternehmens als auch eine externe Person bestellt werden. Dafür muss er nachweisen, dass er die zur Ausübung seiner
Tätigkeit notwendige Fachkunde besitzt. Eine Pflicht zur Bestellung eines Datenschutzbeauftrag- ten besteht, sobald mindestens zehn Beschäftigte im Unternehmen ständig Personendaten in automatisierter Form verarbeiten.
Die Aufsichtsbehörden
Die Aufsichtsbehörde übt die Kontrolle über das Verhalten von Unternehmen im Umgang mit personenbezogenen Daten aus. Für die Einhaltung des Datenschutzes stellt jedes Bundesland als staatliche Aufsichtsbehörde einen Landesbeauftragten für den Datenschutz.
