Durch die fortschreitende Verbreitung der Verarbeitung personenbezogener Daten sind die Gefahren von Datenschutzverstößen gestiegen. Um diese Gefahr zu begrenzen, misst der Gesetzgeber dem Prinzip der innerbetrieblichen Selbstkontrolle durch den Datenschutzbeauftragten (DSB), das in der EU-Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) seinen Niederschlag findet, eine große Bedeutung zu. Die wesentlichen Rechtsgrundlagen für den betrieblichen Datenschutzbeauftragten finden sich in den Artikeln 37 bis 39 DSGVO und § 38 BDSG.

1. Wann und wie muss ein Datenschutzbeauftragter benannt werden?

Ein Datenschutzbeauftragter ist zu benennen, wenn in einem Betrieb in der Regel mindestens zwanzig Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Zu der Zahl der Personen zählen auch Teilzeitkräfte, Auszubildende, Leihpersonal sowie Geschäftsführer.

Unter personenbezogenen Daten sind Informationen und Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zu verstehen.

In bestimmten Fällen ist ein Datenschutzbeauftragter unabhängig von der Anzahl der mit der automatisierten Verarbeitung von Daten beschäftigten Personen zu benennen. Nämlich dann, wenn der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen oder sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

Das gleiche gilt, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Ebenso ist die Benennung eines Datenschutzbeauftragten notwendig, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonders schützenswerter Daten besteht. In diesem Sinne besondere Kategorien von personenbezogenen Daten sind zum Beispiel gemäß Artikel 9 DSGVO solche Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Auch personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO unterfallen diesem besonderen Schutzzweck.

Die Benennung des Datenschutzbeauftragten sollte schriftlich nach Aufnahme der Tätigkeit erfolgen. Handelt es sich um einen externen Datenschutzbeauftragten sollte über die Tätigkeit ein entsprechender Dienstleistungsvertrag mit allen wesentlichen Inhalten geschlossen werden.

Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen, eine unternehmensinterne Bekanntmachung genügt nicht. Die Darstellung der Kontaktdaten auf einer uneingeschränkt zugänglichen Internethomepage dürfte hingegen genügen. Der Datenschutzbeauftragte ist der zuständigen Aufsichtsbehörde des jeweiligen Bundeslandes zu melden. In Nordrhein-Westfalen finden Sie das Meldeportal für den DSB unter: www.ldi.nrw.de/mainmenu_Aktuelles/Formulare-und-Meldungen/index.html.

2. Welche Freiwillige Benennung eines Datenschutzbeauftragten?

Es kann sinnvoll sein, für das eigene Unternehmen einen Datenschutz-beauftragten zu benennen, obwohl dies nach den zuvor genannten Grundsätzen nicht verpflichtend wäre.

Die Pflicht zur Erfüllung der Anforderungen der DSGVO trifft den Verantwortlichen nämlich in jedem Fall. Daher ist unter Umständen die freiwillige Benennung eines Datenschutzbeauftragten vorteilhaft, um entsprechende Anforderungen aus dem Datenschutz durch die Unterstützung geschulte Fachleute erfüllen zu können. Datenschutzbeauftragte – ob freiwillig oder gesetzlich vorgegeben benannt – können externe Personen aber auch interne Mitarbeiter sein. Für intern benannte Datenschutzbeauftragte greift ein strengeres Kündigungsrecht. Für freiwillig intern benannte Datenschutzbeauftragte gilt dieser besondere Kündigungsschutz des § 38 Absatz 2 BDSG i. V. m. § 6 Absatz 4 BDSG nicht.

3. Welche Aufgaben hat der Datenschutzbeauftragte zu erfüllen?

Die wesentlichen Aufgaben des Datenschutzbeauftragten werden in Artikel 39 DSGVO genannt:

• Unterrichtung und Beratung der Verantwortlichen und Beschäftigten bezüglich ihrer datenschutzrechtlichen Rechte und Pflichten
• Überwachung der Einhaltung der gesetzlichen Datenschutzvorschriften und der internen Datenschutzrichtlinien, etwa durch Prüfungen oder regelmäßige Kontrollen
• Beratung bei der Datenschutz-Folgeabschätzung
• Unterstützung bei der Schaffung von Transparenz in der betrieblichen Datenverarbeitung
• Beratung und Prüfung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme
• Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme
• Beratung über technische und organisatorische Maßnahmen im Bereich der Datenverarbeitung
• Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und diesbezügliche Überprüfungen
• Erteilung von Auskünften an die Betroffenen in Angelegenheiten des Datenschutzes
• Zusammenarbeit und Ansprechpartner für die Aufsichtsbehörden
• Bei der Erfüllung seiner Aufgaben trägt er dem damit verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung zu berücksichtigen hat.

4. Welche Rechte und Pflichten haben Datenschutzbeauftragte und Unternehmen?

Zur effektiven Wahrnehmung seiner Aufgaben hat der Datenschutzbeauftragte eine Reihe von Befugnissen und Rechten gegenüber der Geschäftsführung, die ihn bei seiner Aufgabenerfüllung aktiv zu unterstützen hat:

• Die Geschäftsführung hat dem internen Datenschutzbeauftragten die erforderliche Zeit zur Wahrnehmung seiner Tätigkeit einzuräumen und ihm die Möglichkeit zur eigenen sowie zur Schulung der Mitarbeiter zu geben (Freistellungspflicht).
• Dem internen Datenschutzbeauftragten sind die erforderlichen Mittel wie Hilfspersonal, Geräte u. ä. zur Verfügung zu stellen. Zur Durchführung vertraulicher Gespräche sollten ggf. auch eigene Räumlichkeiten zur Nutzung überlassen werden (Nutzungsrechte). Dem externen Datenschutzbeauftragten sollte ein Ansprechpartner im Unternehmen zugeteilt werden.
• Dem Datenschutzbeauftragten ist eine Übersicht über die Dateien und über die Datenverarbeitungsanlagen bereitzustellen (Zugangs- und Einsichtsrechte).
• Bei neuen Projekten im Rahmen der automatisierten Verarbeitung ist der Datenschutzbeauftragte rechtzeitig zu informieren, damit er notwendige Datenschutzaspekte einbringen kann (Informationsrechte).
• Bei der Ausführung seiner Aufgaben unterliegt der Datenschutzbeauftragte keinen Weisungen (Weisungsfreiheit).
• Der interne Datenschutzbeauftragte ist für die Dauer seiner Amtszeit nicht mehr ordentlich, sondern nur noch außerordentlich kündbar (Sonderkündigungsschutz).
• Nach Ablauf der Benennung ist der interne Datenschutzbeauftragte für die Dauer eines Jahres nicht mehr ordentlich, sondern nur außerordentlich kündbar (nachwirkender Sonderkündigungsschutz).
• Der Arbeitgeber ist verpflichtet, auf eigene Kosten dem internen Datenschutzbeauftragten die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen, damit dieser für die Erfüllung seiner Aufgaben die erforderliche Sachkunde erlangt (Kostenerstattungspflicht).
• Der interne Datenschutzbeauftragte ist der Geschäftsführung disziplinarisch unmittelbar zu unterstellen und es ist für interne und externe Datenschutzbeauftragte ein direktes Vortragsrecht und eine direkte Vortragspflicht sicherzustellen (Informations- und Berichtspflicht).
• Der Datenschutzbeauftragte ist im Rahmen seiner Aufgaben zur Geheimhaltung verpflichtet (Geheimhaltungspflicht).

5. Welche persönlichen Anforderungen hat ein Datenschutzbeauftragter zu erfüllen?

Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt. Dabei ist die Fachkunde einzelfallabhängig vom jeweiligen Bedarf im Unternehmen festzustellen. Kriterien sind hierbei insbesondere der Umfang der Datenverarbeitung und der Schutzbedarf der personenbezogenen Daten im Unternehmen.

Zur erforderlichen Fachkunde gehören EDV-technische, betriebswirtschaftliche und datenschutzrechtliche Kenntnisse. Zu erwarten sind auch organisatorische und pädagogische Fähigkeiten, sowie Konfliktbereitschaft und die Fähigkeit zu kommunikativer Arbeit.

Der Datenschutzbeauftragte ist nicht gehindert im Unternehmen weitere Aufgaben und Pflichten wahrzunehmen. Es ist jedoch sicherzustellen, dass diese nicht zu einem Interessenkonflikt führen. Zur Vermeidung von Interessenskonflikten ist von einer Bestellung von folgenden Gruppen abzuraten:

• Geschäftsführern,
• Leitern von Personal-, Marketing- oder IT-Abteilungen sowie
• Betriebsratsmitgliedern

Nicht zwangsläufig ist ein Mitarbeiter des Unternehmens zum Datenschutzbeauftragten zu benennen. Wie bereits erwähnt, besteht die Möglichkeit einen externen Berater zum Datenschutzbeauftragten zu benennen.

5. Was droht bei Verstößen?

Bei Verstößen gegen Vorschriften des Datenschutzrechts können Bußgelder drohen. Dies gilt auch für die Vorschriften über den Datenschutzbeauftragten, z.B. die Benennungspflicht oder Einhaltung der Rechte des Datenschutzbeauftragten. Bei Verstößen können Geldbußen bis zu 10.000.000 EUR oder von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.

Die europäische Union hat mit der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Europäischen Rates am 27. April 2016 das Datenschutzrecht innerhalb der Europäischen Union auf eine neue Basis gestellt. Die Datenschutz- Grundverordnung (DS-GVO) löst die bisherige Datenschutzrichtlinie aus dem Jahr 1995 ab und regelt den Datenschutz innerhalb der EU weitgehend einheitlich und verbindlich. Darum können die EU-Mitgliedstaaten von den meisten Regeln nicht mehr durch nationale Gesetze abweichen. Für einige Regelungen sieht die Verordnung jedoch sog. Öffnungsklauseln vor, durch welche die Mitgliedstaaten eigene, abweichende Gesetze erlassen können. Diese beziehen sich aber oftmals nicht auf den Datenschutzstandard als solchen, sondern lassen nur Raum zur Interpretation. Unmittelbar anwendbar ist die Verordnung ab dem 25. Mai 2018.

Welche Auswirkungen hat dies auf Deutschland?

Das bisherige Bundesdatenschutzgesetz (BDSG) kann aufgrund des für EU-Verord-nungen geltenden Anwendungsvorrangs soweit es der DS-GVO widerspricht, nicht mehr angewendet werden. Der Bundesgesetzgeber plant daher eine Änderung des BDSG unter vielfacher Ausnutzung der Öffnungsklauseln. Aufgrund des schon bisher hohen Datenschutzniveaus in Deutschland, sind die Auswirkungen der DS-GVO nicht ganz so gravierend wie für andere EU-Länder. Nichtsdestotrotz werden gerade an Unternehmen zukünftig verschärfte Datenschutzanforderungen gestellt.

Wesentliche Neuerungen:

1.  Räumlicher Anwendungsbereich – das Marktortprinzip
Die DS-GVO stellt für ihre räumliche Geltung nicht mehr auf den Sitz eines Unternehmens ab, sondern darauf ob ein Anbieter von entgeltlichen oder unentgeltlichen Waren oder Dienstleistungen personenbezogene Daten von in der EU befindlichen Personen verarbeitet. Diese Erweiterung dient dem Verbraucherschutz  und stellt gleiche Anforderungen für alle Marktteilnehmer auf. Daneben ist die DS-GVO auch dann anzuwenden, wenn die Datenverarbeitung der Beobachtung des Verhaltens von Personen in der EU dient. Unter Letzteres fällt die Analyse des Surfverhaltens im Internet und auch die Speicherung von Cookies, egal zu welchem Zweck (Art. 3 Abs. 2 DS-GVO).

2.  Grundsätze der Datenverarbeitung
An den Grundsätzen der Datenverarbeitung wurde im Kern nichts geändert. In Art. 5 DS-GVO werden die bekannten Grundsätze der Rechtmäßigkeit, der  Verarbeitung nach Treu und Glauben, der Zweckbindung, der Datensparsamkeit, der Richtigkeit, der Begrenzung der Speicherdauer genannt und durch die „Integrität und Vertraulichkeit” der Datenverarbeitung ergänzt. Die Zweckbindung wird dadurch gestärkt, dass sie nun durch die Verordnung ohne Abweichungsmöglichkeit der Mitgliedstaaten verbindlich ist und die Betroffenen nun vor Zweckänderungen der Datennutzungen informiert werden müssen. Die Nutzung von zweckgebunden erhobenen Daten zu einem mit dem ursprünglichen Erhebungszweck unvereinbaren Zweck ist nicht zulässig. Für eine solche Zweckänderung müssen die Daten also auf rechtmäßigem Weg erneut erhoben werden.

3.  Verzeichnis aller Datenverarbeitungstätigkeiten
Art. 30 DS-GVO ordnet an, dass Verantwortliche und Auftragsdatenverarbeiter ein Verzeichnis über alle Verarbeitungstätigkeiten unter der Angabe der im Artikel genannten Punkte führen müssen. Dieses Verzeichnis ist nach Anfrage der Aufsichtsbehörde zur Verfügung zu stellen.

4.  Erweiterung der Informationspflichten
Um die Verwendung von Daten nachvollziehbar zu machen wurden die Informationspflichten der Datenverarbeiter gegenüber den Betroffenen in Art. 14 und 15 DS-GVO erheblich erweitert. Der Betroffene ist vor Erhebung von personenbezogenen Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache über die in den Artikeln genannten Verwendungsgesichtspunkte zu informieren. Im Einzelnen sind dies:

• Name und Kontaktdaten des für die Datenerhebung Verantwortlichen
• die Kontaktdaten des Datenschutzbeauftragten
• die Zwecke und die Rechtsgrundlage der Verarbeitung
• das berechtigte Interesse des Verantwortlichen oder eines Dritten
• Empfänger der personenbezogenen Daten
• die Absicht der Übermittlung an ein Drittland oder eine internationale Organisation

Daneben ist der Betroffene auch über

• die voraussichtliche Dauer der Datennutzung
• die betroffenen Rechte auf Auskunft, Berichtigung, Löschung und eventuelle Einschränkungen dieser Rechte
• das Recht auf jederzeitigen Widerruf der Einwilligung
• das Beschwerderecht bei einer Aufsichtsbehörde
• die Bereitstellung der personenbezogenen Daten
• eine automatische Entscheidungsfindung

zu informieren. Falls die Daten nicht vom Betroffenen stammen, ist dieser in gleicher Weise zu informieren und darüber hinaus über die Quelle seiner Daten in Kenntnis zu setzen.

5.  „Recht auf Vergessenwerden“
In Art. 17 DS-GVO wird das Recht auf Löschung niedergelegt. Es handelt sich insofern nicht um ein Recht auf Vergessen, als dass der Betroffene selbst die Löschung verlangen muss. Dann allerdings ist der Verantwortliche verpflichtet die Löschung unter den im Artikel genannten Voraussetzungen unverzüglich vorzunehmen. Wurden die personenbezogenen Daten über einen Betroffenen öffentlich (gerade bei Internetveröffentlichungen) gemacht, ist der Verantwortliche künftig zusätzlich dazu verpflichtet, angemessene Maßnahmen zu treffen und andere verantwortliche Stellen darüber zu informieren, dass der Betroffene die Löschung aller Links zu diesen Daten sowie von Kopien verlangt.

6.  Personenbezogene Daten von Kindern
Erstmals wird ausdrücklich festgelegt, dass eine Einwilligung in die Datenverarbeitung personenbezogener Daten erst mit 16 Jahren möglich ist. Zuvor bedarf es der elterlichen Einwilligung. Dabei ist wichtig, dass eine nachträgliche Genehmigung ausdrücklich ausgeschlossen ist.

7.  Datenschutzfolgenabschätzung
Die DS-GVO verlangt nicht bei jeder Datenverarbeitung eine Meldung an die Aufsichtsbehörde, sondern fordert von den Verpflichteten eine sog. Datenschutzfolgenabschätzung. Diese muss durchgeführt werden, wenn durch die Datenverarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen besteht. Unabhängig vom Risiko ordnet die DS-GVO in Art. 35 für besonders sensible Fälle die zwingende Durchführung der Folgenabschätzung an. Dies sind die automatische Verarbeitung von Daten, Profilbildungsmaßnahmen und die systematische Überwachung öffentlich zugänglicher Bereiche. Weitere Fälle werden durch die Aufsichtsbehörden in Form einer Blacklist und Whitelist festgelegt.

8.  Prinzip des „One-Stop-Shop“
Das Prinzip des „One-Stop-Shop“, zu Deutsch das Prinzip der einheitlichen Anlaufstelle besagt, dass künftig für grenzüberschreitende Datenvereinbarungen innerhalb der EU grundsätzlich die Aufsichtsbehörde am Sitz der Hauptniederlassung federführend zuständig sein wird. Diese ist dann auch alleiniger Ansprechpartner für die Verpflichteten.

9.  Meldepflicht von „Datenpannen“
Die Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche, bspw. das Unternehmen, ohne schuldhaftes Zögern und möglichst binnen 72 Stunden nachdem die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde melden, sofern nicht ein Risiko für die Rechte und Freiheiten natürlicher Personen ausgeschlossen ist (Art. 33 DS-GVO).

10. Haftung
Durch die DS-GVO wird die Haftung erheblich verschärft. So wird bei Verstößen gegen die Grundprinzipien der DS-GVO ein Bußgeld von bis zu 20 Mio. EUR oder bis zu vier Prozent des weltweiten letztjährigen Jahresumsatzes angedroht. Für leichtere Verstöße gegen Pflichten aus der DS-GVO ist ein Bußgeld von maximal zehn Mio. EUR oder von zwei Prozent des weltweiten letztjährigen Jahresumsatzes vorgesehen.

Auf dem Weg zur EU-Datenschutz-Grundverordnung

- Checkliste für Unternehmen –

1. Sensibilisierung
Geschäftsführungen, Datenschutzbeauftragte und andere für das Thema Datenschutz Zuständige sollten innerhalb des Unternehmens dafür sensibilisieren, dass sich ab dem 25. Mai 2018 nicht nur der Name der wichtigsten Datenschutzvorschriften ändern wird. Die DS-GVO wird in vielen Bereichen direkte Auswirkungen auf jedes Unternehmen als datenverarbeitende Stellen haben. Anders als eine EU-Richtlinie ist eine EU-Verordnung direkt in den Mitgliedstaaten der Europäischen Union anwendbar, also auch in Deutschland. Neben der DS-GVO wird es weiterhin ein – neues – Bundesdatenschutzgesetz und sektorales Fachrecht mit ausführenden Regelungen zur DS-GVO geben. Bitte beachten: Bis zum 24. Mai 2018 (einschließlich) gilt das Bundesdatenschutzgesetz!

2. Risikoanalyse
Vor allem aufgrund der steigenden Bußgeld- und Reputationsverlustrisiken sowie künftig drohender Schadenersatzforderungen betroffener Personen ist eine auf das gesamte Unternehmen und die einzelnen Geschäftsbereiche bezogene Risikoanalyse empfehlenswert. Denkbare Risiken sind beispielsweise:

•       Betroffenenrechte                         •     Arbeitsrechtliche Aspekte

•       Mögliche Bußgelder                      •     Umgang mit Aufsichtsbehörden

•       Zivilrechtliche Haftungsrisiken      •     Reputationsschäden

3. Bestandsaufnahme
Um Änderungsbedarf identifizieren zu können, sollte eine Bestandsaufnahme sämtlicher Prozesse und Verfahren durchgeführt werden, in denen personenbezogene Daten verarbeitet werden. Ein möglichst aktuelles Verfahrensverzeichnis nach § 4 d Bundesdatenschutzgesetz (BDSG) kann ein wertvoller Ausgangspunkt zur Identifizierung sein. Wegen des gegenüber dem BDSG deutlich stärker risikobasierten Ansatzes der DS-GVO kommen neben der Nutzung bereits bestehender Datenschutzstrukturen auch die Adaption von Prozessen und Strukturen eines bestehenden Compliancemanagements oder Qualitätsmanagementsystems in Betracht.

4. Gap-Analyse
Das Unternehmen sollte für die erfolgreiche Umsetzung der Vorgaben der DS-GVO einen strukturierten Abgleich des Ist-Zustandes mit dem künftigen Soll-Zustand vornehmen. Auf dieser Grundlage lassen sich dann alle weiteren Schritte planen. Die Gap-Analyse ist ein wichtiger Baustein jeglicher Projektplanung zum Thema Datenschutz, insbesondere bei der Umsetzung vorgeschriebener Transparenz- und Dokumentationspflichten. In einem ersten Schritt der Gap-Analyse sollten alle von der Umsetzung der DS-GVO betroffenen Organisationseinheiten und Prozesse und rechtlichen Einheiten identifiziert werden. Unternehmen sollten außerdem insbesondere ihre bestehenden Verträge mit Auftragsdatenverarbeitern (ADV) überprüfen und überarbeiten.

5. Einbindung des Datenschutzbeauftragten
Der betriebliche oder externe Datenschutzbeauftragte muss ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden. Außerdem sollte das Unternehmen die Umsetzung dieser Anforderung in einer dem Art. 24 Abs. 1 DS-GVO entsprechenden Weise dokumentieren. Der Datenschutzbeauftragte ist gleichzeitig verpflichtet, sein Unternehmen und die Beschäftigten in Datenschutzfragen zu beraten. Neben der Erfüllung der rechtlichen Pflichten ist die Einrichtung einer im Unternehmen gut kommunizierten und akzeptierten Datenschutzberatung ein wichtiges Mittel, um Fehler bei der Verarbeitung personenbezogener Daten und daraus folgende Risiken für das Unternehmen und dessen Entscheidungsträger zu vermeiden.

6. Datenschutzkommunikation
Viele Unternehmen werden dem Datenschutz aufgrund der Vorgaben der DS-GVO in Zukunft einen höheren Stellenwert zumessen müssen als nach den bisherigen Vorgaben des BDSG. Dies setzt ein klares Bekenntnis der Unternehmensführung zum Datenschutz sowie eine entsprechende Kommunikation gegenüber der Belegschaft und den Kunden voraus. Bei größeren Unternehmen bietet sich dazu – sofern nicht bereits vorhanden – die Einführung einer Datenschutzrichtlinie oder eine entsprechende Überarbeitung der EDV- Richtlinie an.

7. Mitarbeiterschulungen
Aufgrund der Komplexität und den vielfältigen Anforderungen der DS-GVO sollten von den Änderungen betroffene Mitarbeiter gründlich im Umgang mit den Neuregelungen geschult werden. Der Datenschutzbeauftragte ist nach Art. 39 Abs. 1 lit. b der DS-GVO ausdrücklich zur „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ angehalten.

8. Betriebsrat und Betriebsvereinbarungen
Die DS-GVO zählt zu den Schutzvorschriften, über die der Betriebsrat zum Schutz der Arbeitnehmer zu wachen hat. Aus Unternehmersicht empfiehlt es sich deshalb zu Fragen der Umsetzung der DS-GVO frühzeitig den Betriebsrat in die Umsetzungsprozesse mit einzubeziehen. Aufgrund der DS-GVO werden außerdem teilweise erhebliche Anpassungen bei bestehenden Betriebsvereinbarungen notwendig. Zudem kann auch der Abschluss neuer Betriebsvereinbarungen Sinn machen.

9. Rechtzeitige Planung neuer Prozesse und Strukturen
Nach der DS-GVO werden zahlreiche neue Prozesse und Strukturen vorausgesetzt, die die Unternehmen bis Ende Mai 2018 umsetzen müssen. Dabei sollten insbesondere folgende Anforderungen besonders berücksichtigt werden:

a)      Datenschutzdokumentation
Die DS-GVO enthält zahlreiche Dokumentationspflichten, wie etwa das Führen eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DS-GVO), die Dokumentation von Weisungen bei Auftragsverarbeitungsverhältnissen (Art. 28 Abs. 3 lit. a) sowie die rechtzeitige Meldung von Datenschutzvorfällen (Art. 33 Abs. 5 DS-GVO).

b)      Privacy by design, privacy by default
Unternehmen sind in Zukunft nach Art. 25 DS-GVO dazu verpflichtet, die geltenden Datenschutzvorschriften durch eine datenschutzfreundliche Gestaltung der eingesetzten IT und entsprechende Voreinstellungen umzusetzen. Unternehmen müssen dies durch geeignete technische Maßnahmen umsetzen, etwa durch auf Datenminimierung ausgerichtete IT-Systeme und eine möglichst frühzeitige Pseudonymisierung von personenbezogenen Daten.

c)      Transparenz
Eines der wichtigsten Gebote der DS-GVO ist das Transparenzgebot. Die von der Verarbeitung personenbezogener Daten betroffenen Personen müssen von der verantwortlichen Stelle über eine Vielzahl von Angaben bezüglich der geplanten Datenverarbeitung rechtzeitig informiert werden. Dies äußert sich in gegenüber dem BDSG deutlich erweiterten Mitteilungs- und Hinweispflichten (Art. 13 u. 14 DS-GVO). So müssen etwa Zweck und Zweckänderung einer erstmaligen Erhebung oder geplanten Datenverarbeitung gegenüber den Betroffenen transparent kommuniziert werden. Darüber hinaus werden Unternehmen verpflichtet, ein Löschkonzept mit entsprechenden Löschfristen zu entwickeln.

d)      Datenschutzfolgenabschätzung
Sofern eine geplante Datenverarbeitung hohe Risiken für die Rechte und Freiheiten natürlicher Personen beinhaltet, ist der Verantwortliche verpflichtet, vor dem erstmaligen Einsatz des Verfahrens eine sog. Folgenabschätzung (Art. 35 DS-GVO) durchzuführen. Hierzu sollte in den Unternehmen rechtzeitig ein Konzept zur Durchführung und Dokumentation eines solchen Verfahrens erarbeitet werden.

e)      Beschwerdemanagement zur Wahrung der Betroffenenrechte
Nach der DS-GVO stehen den von einer Verarbeitung von personenbezogenen Daten be-troffenen Personen verschiedenen Mechanismen zur Geltendmachung ihrer Rechte zur Verfügung. Dies äußert sich etwa in dem Auskunftsrecht nach Art. 15 DS-GVO, das deutlich umfangreicher ist als das bisher nach § 34 BDSG bestehende. Außerdem sieht die DS-GVO u. a. ein Recht auf Berichtigung (Art. 16 DS-GVO), das „Recht auf Vergessenwerden“ (Art. 17 Abs. 2 DS-GVO), ein Recht auf Datenübertragbarkeit (Art. 20 DS-GVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 Abs. 1 DS-GVO) sowie ein Widerspruchsrecht (Art. 21 DS-GVO) vor. Die Umsetzung dieser Betroffenenrechte legt nahe, dass Unternehmen ein entsprechendes Beschwerdemanagement einrichten sollten, um die Geltendmachung der genannten Ansprüche umsetzen zu können, andernfalls droht eine Haftung.

f)       Vertragsmanagement
Unternehmen sollten ein Vertragsmanagement für Verträge mit datenschutzrechtlichem Bezug einführen und bis zur Geltung der DS-GVO sicherstellen, dass bestehende Auftragsdatenverarbeitungsverträge (ADV), Verträge zur Übermittlung von personenbezogenen Daten und sonstige Verträge, die die Verarbeitung personenbezogener Daten beinhalten, den Anforderungen der Art. 28 und 29 DS-GVO entsprechen.

g)      Einwilligungsmanagement
Die DS-GVO stellt hohe Anforderungen an die Einwilligung betroffener Personen in die Verarbeitung ihrer personenbezogenen Daten. Daher sollte strukturiert geprüft und dokumentiert werden, an welchen Stellen personenbezogene Daten auf welcher Grundlage verarbeitet werden, um bestehende Prozesse von den bisherigen Vorgaben auf die des  Art. 7 DS-GVO umzustellen. Nach dem Beschluss des Düsseldorfer Kreises vom 14. September 2016 gelten bisher erteilte Einwilligungen fort, sofern sie der Art nach den Bedingungen der Datenschutz-Grundverordnung entsprechen (Erwägungsgrund 171, Satz 3 DS-GVO). Bereits rechtswirksam erteilte Einwilligungen erfüllen grundsätzlich diese Bedingungen. Informationspflichten nach Art. 13 DS-GVO müssen dafür nicht erfüllt sein, da sie keine Bedingungen im Sinne des genannten Erwägungsgrundes sind.

Die Bedeutung des Datenschutzes ist in einer sich immer weiter digitalisierenden Welt stetig gestiegen, weil Datensammlung, Datenverarbeitung, Datenerfassung, Datenweitergabe und Datenanalyse immer einfacher und als Geschäftsmodell erkannt werden. Facebook, WhatsApp, Snapchat, Instagram, Twitter und andere soziale Netzwerke und Nachrichtendienste verbinden die ganze Welt und bringen Privates und Geschäftliches ins Internet, das nichts mehr vergisst. Bei Nutzung dieser Angebote werden im Zuge der Leistungserbringung zwangsläufig personenbezogene Daten verarbeitet und gespeichert. Spätestens nach dem Safe Harbour Urteil des Europäischen Gerichtshofs sowie der Diskussion um Vorratsdatenspeicherung und die Ausweitung von Videoüberwachung ist das Thema Datenschutz auch in der breiten Öffentlichkeit angekommen und aktueller denn je. Über die datenschutzrechtlichen Auswirkungen und Anforderungen im Umgang mit personenbezogenen Daten besteht nicht nur bei vielen Startups oftmals noch Unkenntnis. Gleichzeitig gilt der Datenschutz nach den jüngsten Umfragen (DIHK-Digitalisierungsbarometer 2016, IHK-Konjunkturanalyse Jahresbeginn 2017) neben der IT-Sicherheit als größtes Hemmnis für die Digitalisierung.

Rechtliche Rahmenbedingungen

Die meisten Datenschutzvorschriften sind Verbotsgesetze mit Erlaubnisvorbehalt. Für den Umgang mit personenbezogenen Daten und den Schutz sowie die Sicherung der von Ihnen verwendeten Kundendaten gelten verschiedene gesetzliche Regelungen. Eine Übersicht der wichtigsten gesetzlichen Regelungen zum Thema Datenschutz:

1. EU-Datenschutz-Grundverordnung (ab 25.05.2018)
2. ePrivacy-Richtlinie (ab 25.05.2018)
3. Artikel 2 Abs. 1 des Grundgesetzes (Recht auf informationelle Selbstbestimmung)
4. Bundesdatenschutzgesetz (BDSG)
5. Besondere Vorschriften für die Telekommunikation und datenschutzrechtliche Vorschriften in Nebengesetzen (TMG, TKG, etc.)
6. Landesdatenschutzgesetze (BayDSG)

Die neue EU-Datenschutz-Grundverordnung (DS-GVO) und die ePrivacy-Richtlinie erweitern in weiten Teilen das europäische Datenschutzrecht und betreffen vor allem junge Unternehmen aus der Digitalwirtschaft. Damit es nicht zu Problemen bei der Umsetzung der künftigen Verpflichtungen kommt, ist es bereits jetzt wichtig, sich mit den wesentlichen Änderungen zu beschäftigen und die richtigen Maßnahmen zu ergreifen.

Technische und organisatorische Maßnahmen

Um den Schutz personenbezogener Daten zu gewährleisten, sehen die datenschutzrechtlichen Vorschriften technische und organisatorische Maßnahmen vor. Dabei kommt es in erster Linie darauf an, dass die getroffenen Maßnahmen geeignet bzw. verhältnismäßig sind, um die Datensicherheit zu gewährleisten.

Zu den organisatorischen Schutzmaßnahmen können unter anderem die Sensibilisierung der Mitarbeiter auf den Datenschutz durch regelmäßige Schulungen, die Einführung einer Passwortrichtlinie, regelmäßige Datenschutz-Audits oder die Erstellung von Verfahrensverzeichnissen gezählt werden. Zu den technischen Maßnahmen gehören etwa individuelle Benutzeridentifikationen und Passwörter der Mitarbeiter, Sicherheitsschlösser an allen Zugangstüren, Back-up- und Berechtigungskonzepte.

Auftragsdatenverarbeitung

Die allermeisten Start-ups und Unternehmen arbeiten mit externen IT-Dienstleistern zusammen. Oft haben diese Unternehmen ihren Hauptsitz in den USA, was eine Kontrolle über die Daten erschwert. Neben Cloud-Speicher-Anbietern, zählen E-Mail-Dienste, CMS/CRM-Systeme, Error-Tracking und Logging-Tools zu jenen Anbietern, die im Auftrag der Start-ups besonders häufig personenbezogene Daten verarbeiten.

Abhängig vom Unternehmenssitz dieser Anbieter, muss die Zusammenarbeit durch einen Vertrag über die Auftragsdatenverarbeitung (ADV) oder durch EU- Standardvertragsklauseln legitimiert werden. Denn durch diese Verträge wird der Auftragnehmer verpflichtet, seinerseits technische und organisatorische Maßnahmen zu ergreifen, durch welche die Datensicherheit gewährleistet ist.

Haftungsrisiken

Werden datenschutzrechtliche Vorschriften nicht eingehalten, etwa weil personenbezogene Daten ohne gesetzliche Legitimationsgrundlage oder Einwilligung verarbeitet werden, so stellt dieses Handeln derzeit noch eine Ordnungswidrigkeit dar und kann von den Aufsichtsbehörden mit einer Geldbuße von bis zu 300.000 EUR geahndet werden. Die DS- GVO sieht in Zukunft sogar Bußgelder bis zu 20 Mio. EUR oder 4 Prozent des Jahresumsatzes vor. Neben den rechtlichen Konsequenzen führt der falsche Umgang von personenbezogenen Daten auch zu wirtschaftlichen Schäden. Denn ist das Sicherheitsgefühl der Kunden erst einmal verloren, kommt es so schnell nicht wieder. Mit Blick auf die gesetzlichen Anforderungen und den möglichen Gefahren kann es sich deshalb anbieten – sofern innerbetrieblich nicht vorhanden – einen fachkundigen Experten hinzuzuziehen.

Der Datenschutzbeauftragte

Als Experte unterstützt ein Datenschutzbeauftragter die Unternehmensführung bei der Einhaltung gesetzlicher Vorschriften und sollte daher unbedingt die notwendige Fachkunde besitzen. Ab zehn Mitarbeitern, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist die Bestellung eines Datenschutzbeauftragten sogar gesetzlich vorgeschrieben.

Der Datenschutzbeauftragte kann ein geeigneter Mitarbeiter des Unternehmens oder ein externer Dienstleister sein. Bei der Wahl des internen Datenschutzbeauftragten ist zu beachten, dass dieser unabhängig agieren können muss und in keinem Interessenkonflikt stehen darf. Das bedeutet, dass die Geschäftsführer und leitenden Mitarbeiter, wie etwa die Personal-, oder IT-Verantwortlichen, die Aufgaben des Datenschutzbeauftragten nicht übernehmen dürfen. Zudem kann der Datenschutzbeauftragte auch nicht ohne Weiteres abberufen, also auch nicht mehr gekündigt werden. Sogar befristete Beschäftigungsverhältnisse werden durch die Bestellung zum Datenschutzbeauftragten faktisch unbefristet.

Oft stellt der externe Datenschutzbeauftragte deshalb gerade für Start-ups die bessere Alternative dar. Denn dieser besitzt bereits die erforderliche Fachkunde, die notwendig ist, um das Datenschutzmanagement zuverlässig und schnell im Unternehmen umzusetzen.

Vorteil Datenschutz - von Anfang an

Wird ein Datenschutzmanagement von Anfang an im Unternehmen umgesetzt, so werden die damit verbundenen Sicherheitsmaßnahmen frühzeitig Bestandteil der Unternehmenskultur. Gerade deshalb sollten auch schon kleinere Unternehmen die Einführung eines Datenschutzmanagements und die Benennung eines betrieblichen oder externen Datenschutzbeauftragten erwägen und die hierfür notwendigen Investitionen tätigen. Die Beachtung von Datenschutz bedeutet auch einen Vorteil im Wettbewerb durch die Schaffung von Kundenvertrauen. Das ist gerade für junge Unternehmen wichtig. Wenn beispielsweise plötzlich bekannt wird, dass sich das Unternehmen mit personenbezogenen Daten nicht gesetzeskonform verhält, entstehen schnell große Imageschäden und das gerade gewonnene Kundenvertrauen geht wieder verloren. Auch der verantwortungslose Umgang mit Mitarbeiterdaten kann einen großen Imageschaden nach sich ziehen. Imageschäden nach einem Datenschutzvorfall sind für Unternehmen schwer „aufzufangen“.

Die Unternehmensführung hat den Vorteil, dass sie mit einem regelkonformen Datenschutz das eigene Haftungsrisiko minimieren kann. Denn Geschäftsführer einer GmbH können beispielsweise für einen Gesetzesverstoß im Bereich Datenschutz mit ihrem Privatvermögen haften.

Empfehlung für die Praxis

Gerade auch Startups sollten daher die Chance nutzen, so früh wie möglich sinnvolle und notwendige Maßnahmen zu ergreifen und den Datenschutz von Beginn an als wichtigen Teil der Unternehmenskultur ansehen. Hinsichtlich der beschriebenen gesetzlichen Anforderungen und Risiken bietet es sich an, einen Experten bei der Umsetzung hinzuzuziehen oder durch entsprechende Weiterbildungsmaßnahmen das erforderliche Fachwissen bei den eigenen Mitarbeitern zu entwickeln. Datenschutz nicht nur im Startup? Je früher desto besser!

Der Umgang mit personenbezogenen Daten zukünftiger bzw. bereits beschäftigter Mitarbeiter regelt insbesondere die Datenschutzgrundverordnung (DSGVO) sowie das Bundesdatenschutzgesetz (BDSG). Im Folgenden soll ein Überblick über die wesentlichen Regelungen verschafft werden.

Beschäftigte

Wer gilt eigentlich als Beschäftigter? Beschäftigte i.S.d. Datenschutzrechts sind zunächst alle privatrechtlich verpflichteten Arbeitnehmerinnen und Arbeitnehmer. Darüber hinaus gilt die Beschäftigteneigenschaft von Leiharbeitern auch im Verhältnis zum Entleiher, also nicht nur zum Verleiher. Des Weiteren fallen auch Bewerber, die sich für ein Unternehmen interessieren, unter diese Definition.

Personenbezogene Daten

Personenbezogene Daten sind alle Informationen, die eindeutig einer bestimmten natürlichen Person zugeordnet sind oder diese Zuordnung zumindest mittelbar erfolgen kann. Die Informationen können sich sowohl auf persönliche als auch auf sachliche Verhältnisse beziehen. Folgende Angaben sind beispielsweise personenbezogene Daten:

• Name
• Geburtsdatum
• Anschrift
• E-Mail-Adresse
• Telefonnummer
• Beruflicher Werdegang
• Körperliche Merkmale
• Gesundheitsdaten
• Beziehungen
• Religionszugehörigkeit
• Politische Orientierung
• Ethnische Herkunft
• Steuerrechtliche Angaben
• Sozialrechtliche Angaben

Verarbeitung von Beschäftigtendaten

Nach dem Bundesdatenschutzgesetz dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, soweit dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.

Auch die Verarbeitung von Beschäftigtendaten auf der Grundlage von Kollektivvereinbarungen ist zulässig. Dazu gehören Tarifverträge sowie Betriebs- und Dienstvereinbarungen. Beschäftigtendaten dürfen in diesem Fall ebenso verarbeitet werden, soweit es für die Rechte und Pflichten der Interessenvertretungen der Beschäftigten erforderlich ist.

Beschäftigte können auch freiwillig in eine Datenverarbeitung einwilligen. § 26 Abs. 2 BDSG konkretisiert das Merkmal “freiwillig” dahingehend, dass die Freiwilligkeit im Beschäftigungsverhältnis vom Grad der Abhängigkeit des Beschäftigten sowie den konkreten Umständen der Erteilung abhängig ist. Freiwilligkeit liegt vor, wenn der Beschäftigte einen rechtlichen oder wirtschaftlichen Vorteil erlangt oder der Arbeitgeber und der Beschäftigte gleichgelagerte Interessen verfolgen. Der Beschäftigte muss aber eine echte Wahlmöglichkeit haben, ob er in die Verarbeitung seiner Daten einwilligt. Ihm darf durch Nicht-Erteilung der Einwilligung oder den späteren Widerruf kein Nachteil entstehen. Die Einwilligung selbst hat schriftlich zu erfolgen und die/der Beschäftigte muss auf die jederzeitige Widerrufbarkeit der Einwilligung hingewiesen werden.

Die Verarbeitung besonderer Kategorien personenbezogener Daten, aus denen etwa die ethnische Herkunft, politische Meinungen, religiöse Überzeugungen oder die Gewerkschafts-zugehörigkeit hervorgehen, ist zulässig, wenn sie für die Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht erforderlich ist.

Die zuvor genannten Regelungen gelten auch, wenn die Daten nicht in einem Dateisystem gespeichert werden.

Es dürfen immer nur die Daten erhoben und verarbeitet werden, die tatsächlich für die personalwirtschaftlichen Belange notwendig sind (Datenminimierungspflicht). Verlässt also ein Mitarbeiter das Unternehmen, so sind dessen Daten, sofern sie nicht aufgrund gesetzlicher Vorgaben aufzubewahren sind, nachweisbar zu löschen. Solche gesetzlichen Aufbewahrungsfristen finden sich beispielsweise im:

          Arbeitsrecht: 

• § 17 Abs. 1 und Abs. 2 MiLoG, Nachweis über Beginn, Ende und Dauer der täglichen Arbeitszeit bei geringfügig Beschäftigten, 2 Jahre
• § 27 Abs. 5 MuSchG, Unterlagen über Beschäftigungsart und – zeiten werdender Mütter, 2 Jahre
• § 50 Abs. 2 JArbSchG, alle relevanten Unterlagen nach dem JArbSchG zwei Jahre für die Aufsichtsbehörde
• § 11 Abs.2 S. 1 BetrAVG, Unterlagen zur Ermittlung der Bemessung des Beitrags zum Pensionssicherungsverein, 6 Jahre
  
  Sozialversicherungsrecht:
• § 28f SGB IV, Entgeltunterlagen, bis zu 5 Jahren
• § 165 Abs. 4 SGB VII, Aufzeichnungen über geleistete Arbeitsstunden von Beschäftigten für die gesetzliche Unfallversicherung, 5 Jahre
  
  Handelsrecht:
• § 257 HGB, Handelsbücher, Jahresabschlüsse und Buchungsunterlagen, 10 Jahre; Handelsbriefe, 6 Jahre
  
  Steuerrecht:
• § 41 Abs. 1 S. 9 EStG Lohnkonten bis zum Ablauf des 6. KJ
• § 147 AO Unterlagen die für die Besteuerung von Bedeutung sind, 10 Jahre
• § 14b Abs. 1 UStG Rechnungen, 10 Jahre

Die Daten dürfen auch nur so lange gespeichert werden, bis der Zweck der Verarbeitung erfüllt ist. Beispielsweise sollten Bewerbungsunterlagen von abgelehnten Bewerbern nur maximal sechs Monate aufbewahrt werden. Es sei denn, es liegt eine Einwilligung des Bewerbers vor, diese weiter vorzuhalten.

Eine Verwendung von Daten zu einem anderen als dem ursprünglichen und notwendigen Zweck ist unzulässig. Daher darf ein Unternehmen Mitarbeiterdaten auch nicht einfach an einen Dritten weitergeben, wenn die Weitergabe nicht aufgrund einer gesetzlichen Rechtsgrundlage nach Art. 6 DSGVO erfolgt. Hierunter fällt auch die Einwilligung. (Zweckbindung).

Informationspflichten gegenüber den Beschäftigten

Die betroffenen Beschäftigten müssen bereits zum Zeitpunkt der Erhebung der Daten über den Zweck, die Dauer der Speicherung und gegebenenfalls über die Empfänger der Daten informiert werden.  Den Beschäftigten müssen ferner Name und die Kontaktdaten des Verantwortlichen für die Datenverarbeitung bzw. dessen Vertreter mitgeteilt werden. Wenn ein Datenschutzbeauftragter erforderlich ist, müssen auch diese Kontaktdaten mitgeteilt werden. Daneben müssen die Beschäftigten über folgende Rechte informiert werden:

• Recht auf Auskunft: Auf Nachfrage muss Beschäftigten eine umfassende Auskunft über die Daten, die von ihnen gespeichert werden, gegeben werden.
• Recht auf Berichtigung: Wurden von dem Beschäftigten falsche Daten erhoben oder sind diese veraltet, so müssen diese korrigiert werden.
• Recht auf fristgemäße Löschung der verarbeiteten Daten: Beschäftigte können verlangen, dass ihre Daten nach Ablauf der Speicherfrist gelöscht werden.
• Recht auf Einschränkung der Verarbeitung: Werden Daten von Beschäftigten über das erforderliche Maß hinaus verarbeitet, können Beschäftigte eine Einschränkung der Verarbeitung fordern.
• Recht auf Datenübertragbarkeit: Der Mitarbeiter hat das Recht, die ihn betreffenden personenbezogenen Daten, die er dem Arbeitgeber bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten
• Recht auf Beschwerde bei der Aufsichtsbehörde: Sind Beschäftigte der Ansicht, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt, können sie sich bei einer Aufsichtsbehörde beschweren.

Wie die Unternehmen den betroffenen Personen die Informationspflichten mitteilen, steht diesen frei. Eine Möglichkeit wäre, auch innerhalb eines Unternehmens für die Beschäftigten eine Datenschutzerklärung aufzusetzen, die die notwendigen Informationen enthält.

Rechenschaftspflicht

Der Arbeitgeber muss gegenüber Anfragenden die Einhaltung der Datenschutzgrundsätze bei der Verarbeitung personenbezogener Daten nachweisen können. Eine entsprechende Datenschutzerklärung, die den Umgang mit personenbezogenen Daten im Unternehmen beschreibt, kann hierbei die Grundlage bilden. Besonderes Augenmerk sollte hierbei auf Datenminimierung und Speicherbegrenzung gelegt werden.

Sicherheit der Datenverarbeitung

Zum Schutz der Daten müssen bei der Verarbeitung geeignete technische und organisatorische Maßnahmen getroffen werden. Beispielsweise passwortgeschützte Zugriffsmöglichkeiten für einen notwendigen Personenkreis oder andere. Pseudonymisierungs-, Anonymisierungs- und Verschlüsselungsverfahren.

Verzeichnis von Verarbeitungstätigkeiten

Werden personenbezogene Daten verarbeitet, müssen diese in eine geeignete Verzeichnisstruktur eingebettet sein (beschränkte Zugriffsmöglichkeit, Datenportabilität).

Meldung von Datenschutzverstößen

Datenschutzverstöße müssen innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden.

Sanktionen

Ein Verstoß gegen die Bestimmungen des Beschäftigtendatenschutzes kann mit einer Geldbuße bis zu 20 Millionen Euro bzw. bis zu 4 % des Jahresumsatzes geahndet werden.

Datenschutz gilt grundsätzlich auch im Geschäftsverkehr mit anderen Unternehmen. Einzelangaben über juristische Personen, wie zum Kapitalgesellschaften oder eingetragene Vereine, sind keine personenbezogenen Daten. Etwas anderes gilt nur, wenn sich die Angaben auch auf die hinter der juristischen Person stehenden Personen beziehen, das heißt auf sie „durchschlagen“. Dies kann beispielsweise bei der GmbH einer Einzelperson oder bei einer Einzelfirma der Fall sein.

In der Regel haben Sie bei Firmenkunden einen Ansprechpartner und erheben z. B. Name, personalisierte E-Mail-Adresse, Funktion im Unternehmen usw. Hierbei handelt es sich wiederum um personenbezogene Daten, da eine natürliche Person identifizierbar ist.

Ja, die DSGVO unterscheidet nicht zwischen Papier- und elektronischer Verarbeitung. Bei einer papiergebundenen Datenverarbeitung muss aber eine strukturierte Sammlung von personenbezogenen Daten vorhanden sein. Kleine Notizen auf Blöcken oder „Post-it“ Aufkleber fallen also nicht darunter, wenn sie nicht geordnet abgelegt werden.

Ja, wenn sie Waren oder Dienstleistungen anbieten oder die Verhaltensweisen ihrer Kunden in Europa zum Beispiel mittels „Profiling“ überwachen, wird die DSGVO angewendet.
 

Für die Rechtmäßigkeit gibt es mehrere Rechtsgrundlagen. Im geschäftlichen Verkehr mit Kunden kommen insbesondere vertragliche Vereinbarungen und die Einwilligung in Betracht. Daneben können auch Gesetze eine Verarbeitung rechtfertigen.
 

Nein, Sie benötigen für jede Verarbeitung von personenbezogenen Daten eine datenschutzrechtliche Rechtsgrundlage (etwa Vertrag oder Anbahnung eines Vertrags, Einwilligung, Interessenabwägung berechtigtes Interesse). Die Rechtsgrundlage kann in bestimmten Fällen auch eine Einwilligung sein (z. B. Anmeldung zum Bezug eines Newsletters, Geburtstagsliste von Mitarbeitern). Beruht die Datenverarbeitung auf einer vertraglichen Basis, um den Vertrag abzuwickeln, sind Einwilligungen für die Erhebung und Verarbeitung der Daten nicht erforderlich. Aber Vorsicht: Sollen die so erhobenen Daten für andere Zwecke als die Vertragsabwicklung verarbeitet werden (z. B. Verwertung der Daten für eine Studie oder Weitergabe der Daten an Dritte), so bedarf es einer Einwilligung für den neuen Zweck.
 

Sie bedeutet, dass Unternehmen in der Lage sein müssen, gegenüber Aufsichtsbehörden nachzuweisen, dass sie alle Vorgaben des Datenschutzes einhalten. Hierzu gehören auch die Datenschutzgrundsätze.
 

Die Daten von Bewerbern, Mitarbeitern und ausgeschiedenen Mitarbeitern dürfen nach § 26 BDSG zur Begründung, Durchführung und Beendigung des Arbeitsverhältnisses verarbeitet werden. Geht eine Datenverarbeitung aber über diesen Zweck hinaus, z. B. die Veröffentlichung von Fotos auf der Firmenhomepage, ist darüber hinaus eine Einwilligung des Mitarbeiters erforderlich. Eine Einwilligung muss immer freiwillig sein. Es dürfen dem Mitarbeiter bei Verweigerung also keine Nachteile drohen. Die Einwilligung sollte schriftlich eingeholt werden.

Zu einem Datenschutz-Managementsystem gehören u. a. die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, ein Vertragsmanagement, Prozesse zur Meldung von Datenpannen und zur Wahrnehmung von Betroffenenrechten, ferner die Schulung von Mitarbeitern sowie deren Verpflichtung zur Verschwiegenheit und ein Datensicherheitskonzept
 

Ein solches Verzeichnis ist eine Zusammenfassung von einzelnen Verarbeitungsvorgängen, bei denen personenbezogene Daten entweder automatisiert (=elektronisch) oder zunächst nicht automatisiert (=analog) verarbeitet werden, aber später in ein Dateisystem gespeichert werden sollen. Der Inhalt eines solchen Verzeichnisses ist gesetzlich geregelt. Das Verzeichnis muss wesentliche Angaben zur Verarbeitung beinhalten. Die Zwecke der Verarbeitung, die Beschreibung der betroffenen Datenkategorien und Personen sind aufzulisten. Eine bestimmte Form ist für das Verzeichnis nicht vorgesehen.
 

Ja, die DSGVO verknüpft Datenschutz und Datensicherheit. Die personenbezogenen Daten, die in dem Unternehmen verarbeitet werden, müssen auch technisch geschützt werden, indem sog. technisch-organisatorische Maßnahmen getroffen sind. Sie hängen von der Schutzwürdigkeit der Daten und der Intensität der Verarbeitung ab. Aber schon aus eigenem Interesse sollte jedes Unternehmen seine Daten – ob personenbezogen oder nicht – ausreichend gegen Fremdzugriffe schützen. Das betrifft auch den Schutz vor Feuer und Wasser, so dass – verschlüsselte - Sicherungskopien an einem anderen Ort aufbewahrt werden sollten. 

Das Niveau der Datensicherheit ist abhängig vom Umfang der Datenverarbeitung, der Schutzwürdigkeit der Daten, ob sie online oder offline verarbeitet werden und den Zugriffsmöglichkeiten auf die Daten.

Zweck der DSGVO ist es vor allem, mehr Transparenz über Datenverarbeitungen gegenüber dem Betroffenen zu schaffen und dessen Rechte (u.a. Auskunft über gespeicherte Daten, Berichtigung oder Löschung von Daten) zu stärken. Gegenüber der Landesdatenschutzaufsicht muss das Unternehmen auf Nachfrage nachweisen können, dass es aktiv Maßnahmen zur Einhaltung dieser Prinzipien und zur Sicherung der Datenverarbeitung umsetzt.

• Es muss ein sog. Verzeichnis von Verarbeitungstätigkeiten mit folgenden Informationen erstellt werden: Die Kontaktdaten des Verantwortlichen (idR das Unternehmen mit dessen Vertreter) und ggf. des Datenschutzbeauftragten (sofern vorhanden), den Zweck der Verarbeitung, die Kategorien der betroffenen Personen und die Kategorien der personenbezogenen Daten, die Kategorien von Empfängern, gegebenenfalls die Übermittlung von personenbezogenen Daten an ein Drittland, die vorgesehene Speicherdauer sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung.

Auf den folgenden bsp. ausgewählten Seiten finden Sie weitere Informationen:

https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_verzeichnis_verarbeitungstaetigkeiten.pdf

https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_muster_verantwortliche.pdf

https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_muster_auftragsverarbeiter.pdf

Unter dem folgenden Link gibt es Hinweise für einige spezielle kleine Unternehmen:

www.lda.bayern.de/de/kleine-unternehmen.html

Ihr eigenes ausführliches Muster des Verzeichnisses von Verarbeitungstätigkeiten stellt die Aufsichtsbehörde Rheinland-Pfalz zur Verfügung:

https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Verarbeitungsverzeichnis_LfDI_Stand_24.11.2020.pdf

• Die Datenschutzerklärung muss sich nach den Informationspflichten aus Artikel 13, 14 DSGVO richten.

Hierzu finden Sie unter folgendem Link ein Beispiel einer Datenschutzerklärung für eine „einfache“ Webseite eines nicht öffentlichen Betreibers.:

https://www.ldi.nrw.de/datenschutz/medien-und-technik/websites-muster-fuer-datenschutzhinweise

• Werden die Daten durch einen Dienstleister im Auftrag des Unternehmens verarbeitet (Beispiele: Daten liegen in der Cloud, Newsletterversand über eine Agentur, Betreuung der Webseite), ist ein entsprechender Vertrag zur Auftragsverarbeitung mit dem Dienstleister zu schließen.

Weitere Informationen sowie ein Vertragsmuster finden Sie u.a. hier:

https://www.baden-wuerttemberg.datenschutz.de/praxishilfen/#auftragsverarbeitung

• Werden Daten aufgrund der Einwilligung des Betroffenen verarbeitet, muss diese den Anforderungen der DSGVO entsprechen, das heißt, die Einwilligung muss zweckgebunden erfolgen, freiwillig und aktiv. Ferner muss auf die Möglichkeit des jederzeitigen Widerspruchs hingewiesen werden.

• Eine IT-Sicherheit ist aufzubauen (je nach Größe des Unternehmens im Umfang unterschiedlich)

• Schnelle Reaktionsmechanismen zur Meldung von Datenverstößen an die Aufsicht sind zu schaffen (Datenschutzverletzungen sind binnen 72 Stunden zu melden). Die Aufsichtsbehörden stellen entsprechende Meldeformulare online zur Verfügung.

• Ein Prozess zur Beantwortung von Betroffenenrechten muss vorahnden sein. Die Betroffenenrechte sind das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Einschränkung der Verarbeitung, das Recht auf Löschen von Daten, das Recht auf Datenübertragbarkeit, das Recht einen Widerspruch einzulegen. In allen Fällen sind jeweils die gesetzlichen Voraussetzungen zu prüfen. 

• Betriebsvereinbarungen (sofern vorhanden) müssen der DSGVO entsprechen.

• Risikobewertung der einzelnen Verfahren, in welchen personenbezogene Daten verarbeitet werden.

• Sensibilisierung der MitarbeiterInnen

Datenschutzfragen sollten bereits in der Gründungsphase geklärt werden. Wer Produkte wie Apps und Software entwickeln möchte, sollte den Grundsatz „Datenschutz durch Technik/Technikvoreinstellung“ beachten und datenschutzkonforme Produkte herstellen. Richtig umgesetzt, kann Datenschutz auch ein Marketingvorteil sein.
 

Personenbezogene Daten müssen grundsätzlich gelöscht werden, wenn diese für den Geschäftsprozess nicht mehr erforderlich sind, der Zweck, für den sie erhoben worden sind, also erfüllt ist. Die Löschung darf nicht vor Ablauf gesetzlicher Aufbewahrungsfristen erfolgen, z. B. weil es Handelsbriefe (6 Jahre) sind oder steuerrechtliche Gründe (10 Jahre) eine Aufbewahrung vorschreiben. Grundsätzlich empfiehlt sich für jedes Unternehmen, ein sog. „Löschkonzept“ aufzusetzen. Dies ist zukünftig allein deswegen wichtig, um dem Grundsatz der Datenminimierung nach der DSGVO nachzukommen.
 

Ja,

1. bei Unternehmen, deren Kerntätigkeit in der systematischen Überwachung oder Verarbeitung besonderer personenbezogener Daten besteht
2. wenn der Verantwortliche/Auftragsverarbeiter in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (z. B. regelmäßige Kommunikation per E-Mail) oder
3. wenn der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vornehmen, die einer Datenschutz-Folgeabschätzung nach Art. 35 DSGVO unterliegen. Das bedeutet, wenn besonders sensible Daten verarbeitet werden, wie zum Beispiel ethische Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse Überzeugungen, genetische Daten, biometrische Daten, Gesundheitsdaten, Daten zur sexuellen Orientierung usw. – dann hat das Unternehmen unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen.
Das gilt nicht bei einem Versicherungsvermittler, der auch Gesundheitsdaten erhebt, da dies nicht seine Kerntätigkeit ist.

• grundsätzlich sind sämtliche Personen, die mit der entsprechenden Verarbeitung beschäftigt sind, zu berücksichtigen, unabhängig von ihrem arbeitsrechtlichen Status als Arbeitnehmer, freie Mitarbeiter, Auszubildende, Praktikanten etc.

• eine zeitweise und kurzfristige Unter- bzw. Überschreitung der maßgeblichen Personenzahl ist unerheblich; wenn eine Person z. B. nur als Urlaubsvertretung mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt wird, ist diese nicht mitzuzählen, da sie diese Aufgabe nicht regelmäßig ausübt

• unerheblich ist, in welchem Umfang die beschäftigte Person diese Aufgabe wahrnimmt, also ob sie beispielweise als Teilzeitkraft diese Aufgabe ausübt (also in einem geringeren zeitlichen Umfang als eine Vollzeitkraft)

Automatisierte Verarbeitung meint IT-gestützte Datenverarbeitung, wie sie mittels Mainframe, Personal Computern (Desktop und Laptop Computern), aber mittlerweile auch mittels Smartphones, Tablet PCs und anderen mobilen Endgeräten erfolgt.

Der Begriff "ständig“ bedeutet nicht notwendig dauernd, verlangt aber, dass die Tätigkeit auf Dauer angelegt ist und die betreffende Person immer dann Daten verarbeitet, wenn es notwendig ist, selbst wenn die Tätigkeit nur in zeitlichen Abständen (z. B. monatlich) anfällt.

Zusammengefasst lassen sich drei Bereiche von Pflichtaufgaben einteilen.

• Interne Aufgaben im Unternehmen (Unterrichtung und Beratung der Geschäftsführung und Mitarbeiter in datenschutzrelevanten Fragen; Überwachung der Einhaltung der rechtlichen Vorgaben; Sensibilisierung und Schulung von Mitarbeitern)

• Anlaufstelle im Verhältnis zur Aufsichtsbehörde und Zusammenarbeit mit dieser

• Anlaufstelle für betroffene Personen

Nein, auch wenn ein betrieblicher Datenschutzbeauftragter nicht bestellt werden muss, ist der Datenschutz einzuhalten. Aufgaben, die klassischerweise dem Datenschutzbeauftragten obliegen, bspw. Unterstützung bei Erstellung des Verarbeitungsverzeichnisses, Schulung von Mitarbeitern, Beratung in datenschutzrelevanten Fragen, muss dann die Geschäftsführung selbst erledigen.
 

Es gibt Vereine und Berufsverbände, die konkrete Kontakte vermitteln können, wie etwa die Gesellschaft für Datenschutz und Datensicherheit e.V. (https://www.gdd.de/der-datenschutzbeauftragte) oder der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. (https://www.bvdnet.de/).

Bei der Auswahl eines externen Datenschutzbeauftragten empfiehlt es sich, mehrere Angebote mit Referenzen einzuholen und die Leistungen und Kosten zu vergleichen. Sie sollten für das Angebot vordefinieren, welche Leistungen Sie z. B. pauschal abgedeckt sehen wollen (z. B. Beratung im Standort-Alltag), oder die für die Erstellung/Überprüfung von Dokumenten (Verarbeitungsverzeichnis, Datenschutzerklärung, technisch-organisatorische Maßnahmen) bzw. Überwachung/Einhaltung datenschutzrechtlicher Vorschriften (z. B. Schulungen der Mitarbeiter, Auftragsverarbeitungen) usw. anfallen. Denkbar ist auch ein Kontingent an Beratungsstunden pro Jahr mit einem Pauschalbetrag abdecken zu lassen und Beratungsbedarf darüber hinaus mit einem vorher vereinbarten Stundensatz abrechnen zu lassen.

Rechtsanwälte aus dem Bereich Datenschutzrecht finden Sie bei der jeweiligen Rechtsanwaltskammer.

Eine Datenschutz-Folgenabschätzung ist eine Abschätzung der Folgen einer Datenverarbeitung mit voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen. Diese ist immer dann durchzuführen, wenn besonders sensible, personenbezogene Daten verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. Sie hat den Zweck, rechtzeitig geeignete Maßnahmen ergreifen zu können, um das Risiko eines Schadens bei den Betroffenen zu minimieren.
 

Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung auch dann verantwortlich, wenn er dazu einen externen Dienstleister beauftragt. Das gilt insbesondere für die IT. Ob eine Webseite mit Kontaktformular oder die Betreuung der Kundendatenbank – andere Unternehmen sind dafür eingebunden. Sie haben Zugriff auf die personenbezogenen Daten, die der Auftraggeber für sein Unternehmen benötigt. In einem solchen Falle muss neben dem eigentlichen Auftrag, die konkrete Dienstleistung zu erbringen, noch eine Vereinbarung über die Auftragsverarbeitung geschlossen werden. Denn das erhöhte Gefahrenpotenzial für die Daten wegen des Zugriffs eines Dritten soll vertraglich geregelt werden. Aber Vorsicht! Von AV kann nur dann die Rede sein, wenn der Dienstleister streng nach einem zuvor definierten Verfahren vorgeht, keinen eigenen Gestaltungs- und Ermessenspielraum hat und gegenüber dem Auftraggeber im Hinblick auf die Ausführung der vereinbarten Tätigkeit weisungsgebunden ist. Kurzum: Wenn man den Dienstleister sinnbildlich als „verlängerte Werkbank“ des Auftraggebers betrachten kann. Darunter fallen auch z. B. sog. Trackingsysteme, mit denen nachvollzogen werden kann, wer welche Webseiten besucht hat. Gibt es zudem dadurch Auslandsbezug, weil das Tracking-Unternehmen seinen Sitz z. B. in den USA hat, müssen weitere datenschutzrechtliche Anforderungen erfüllt werden. Gleiches gilt für die Nutzung von Cloud-Anwendungen oder die Verwendung von social Plug-Ins auf den Webseiten, also die Einbindung sozialer Medien.
 

Das beauftragte Unternehmen muss auch unter Datenschutzaspekten geeignet sein. Den Auftraggeber trifft hier eine Prüfpflicht. Nur solche Auftragsverarbeiter dürfen eingesetzt werden, die angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen haben und so eine Garantie für einen ausreichenden Datenschutz bieten. Als Beleg solcher Garantien können z. B. genehmigte Verhaltensregeln des Auftragsverarbeiters oder Zertifizierungen herangezogen werden.
 

Zur Wahrung des Hausrechts ist eine Videoüberwachung von Personen, die das Geschäftslokal betreten, zulässig, wenn sie insgesamt erforderlich ist, also kein weniger einschneidendes Mittel das Hausrecht wahren kann und die Überwachung nicht überraschend ist. Es muss jedoch frühzeitig, also z. B. am Eingang zum Geschäftslokal darauf hingewiesen und bekannt gegeben werden, wer die Videoüberwachung verantwortet. Wir auch das Gelände vor dem Geschäftslokal überwacht, gilt dasselbe: Hinweis auf die Überwachung und Angabe, wer überwacht.

Die Bilder aus der Videoüberwachung dürfen nur für kurze Zeit (ein – drei Tage) gespeichert werden, es sei denn, es können damit strafbaren Handlungen nachgewiesen werden. Dann dürfen aber nur die konkreten Sequenzen länger gespeichert werden, um sie den Strafverfolgungsbehörden zur Verfügung stellen zu können.

Unternehmen mit einer geschäftlichen Webseite müssen diese anpassen. Dazu gehören Hinweise zu:

• Rechtsgrundlage

• Zweck der Verarbeitung

• Dauer der Speicherung

• Betroffenenrechte

• Übermittlung an andere Stellen

Diese Angaben müssen zu allen Datenverarbeitungen, die auf der Homepage stattfinden, erfolgen, z. B.

• Logfiles,

• Cookies,

• Tracking- und Analysedienste (Google Analytics, Facebook-Pixel etc.),

• Registrierungsmöglichkeiten,

• Einbindung sozialer Netzwerke und

• Nutzung externer Zahlungsdienstleister (Klarna, PayPal etc.).

Auch ein eventuell vorhandenes Newslettersystem sollte im Zusammenhang mit dieser „Dateninventur“ unter die Lupe genommen werden. Möchte ein Kunde einen E-Mail-Newsletter online bestellen, so muss er in die Bestellung einwilligen. Die Einwilligung ist vom Unternehmen nachzuweisen, was beispielsweise über Double-Opt-In-Verfahren erfolgen muss.

Muster: https://www.ldi.nrw.de/datenschutz/medien-und-technik/websites-muster-fuer-datenschutzhinweise

Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn z. B. der Verlust von Daten zu einem Risiko für die Rechte und Freiheiten der betroffenen Person führen kann. Der Verstoß muss innerhalb von 72 Stunden an die Datenschutzaufsicht gemeldet werden. Die Aufsichtsbehörden halten dafür ein Online-Meldeformular vor. Die betroffene Person muss ebenfalls informiert werden.
 

Bei Verstößen gegen Datenschutzbestimmungen sieht die DSGVO empfindliche Geldstrafen vor. Die Höhe dieser Strafen kann bei besonders schlimmen Vergehen bis zu 20 Millionen Euro oder vier Prozent des letzten Jahresumsatzes betragen.
 

Inwieweit wettbewerbsrechtliche Abmahnungen von Mitbewerbern für Verstöße gegen den Datenschutz drohen, bleibt abzuwarten. Es empfiehlt sich aber, die eigene Datenschutzerklärung auf der Firmenhomepage an die DSGVO anzupassen. Denn diese ist nach außen transparent und somit der Einstieg für evtl. drohende Abmahnungen. Wenn Sie eine Abmahnung erhalten, unterzeichnen Sie zunächst keine Unterlassungserklärung. Wenden Sie sich an einen Anwalt oder an Ihre IHK für eine Beratung.