Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) ist zum 25.05.2016 in Kraft getreten und wird zum 25.05.2018 wirksam. Damit wird sie ab dem 25.05.2018 die bereits seit 1995 geltende EU-Datenschutzrichtlinie Richtlinie 95/46/EG und das Bundesdatenschutzgesetz (BDSG) mit dem Ziel ablösen, das Datenschutzniveau innerhalb der EU anzugleichen und die Rechte der Betroffenen stärker zu schützen.
Verglichen mit anderen Ländern wird sich in Deutschland nicht alles grundsätzlich ändern. Viele der datenschutzrechtlichen Konzepte und Grundsätze der EU-DSGVO sind ähnlich dem in Deutschland bisher geltenden Bundesdatenschutzgesetz (BDSG).
Nichtsdestotrotz ist es unumgänglich, die Datenschutzpraxis in Ihrem Unternehmen zu überprüfen und das Datenschutzmanagement bis zum 25. Mai 2018 nach den regulatorischen Anforderung der EU-DSGVO sowie dem im April verabschiedeten Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (DSAnpUG-EU) anzupassen und weiterzuentwickeln.
Am Ende dieses Artikels ist ein Umsetzungsplan aufgeführt. So könnte eine praxisorientierte Vorgehensweise zur Umsetzung der regulatorischen Anforderungen der EU-DSGVO in Ihrem Unternehmen aussehen.
1. Vorrang der EU-DSGVO vor Rechtsvorschriften der Mitgliedsstaaten
Die EU-DSGVO wirkt unmittelbar und direkt, ohne dass es ihrer innerstaatlichen Umsetzung bedarf.
Die EU-Verordnung geht Rechtsvorschriften der einzelnen Mitgliedsstaaten vor. Sofern die EU-DSGVO keine ausdrücklichen Möglichkeiten für einzelstaatliche Regelungen vorsieht, verdrängt die Verordnung Vorschriften der Mitgliedsstaaten zur Datenverarbeitung.
Die EU-DSGVO geht Regelungen wie z. B. dem Kreditwesengesetz oder den Sozialgesetzbüchern vor, sofern diese nicht die in der EU-DSGVO aufgestellten Anforderungen an Ausnahmevorschriften zur EU-DSGVO erfüllen.
2. Marktortprinzip
Ausgangspunkt für die Bestimmung des räumlichen Anwendungsbereichs ist Artikel 3 EU-DSGVO.
Die EU-DSGVO findet Anwendung für alle datenverarbeitenden Unternehmen mit Sitz in der EU. Die Verordnung ist auch für Unternehmen außerhalb der EU ohne einen Sitz in einem Mitgliedsland gültig, sofern diese Daten von EU-Bürgern verarbeiten und ihre Produkte oder Dienstleistungen in der EU anbieten oder das Verhalten von EU-Bürgern beobachten, sofern sich diese in der EU aufhalten.
3. Bußgelder und Sanktionen
Der Bußgeldrahmen erhöht sich gegenüber dem bisherigen Recht drastisch (vgl. Artikel 83 EU-DSGVO).
Bis dato galt nach dem BDSG eine Haftungshöchstgrenze von 300.000 Euro. Zukünftig werden die Sanktionen stark erhöht.
Der Verstoß gegen bestimmte Anforderungen kann eine Geldstrafe von bis zu 2% des gesamten weltweiten Jahresumsatzes oder 10.000.000 EUR bedeuten (je nachdem, welcher Wert höher ist). Die Verletzung bestimmter Anforderungen kann eine Geldbuße von bis zu 4% des gesamten weltweiten Jahresumsatzes oder 20.000.000 EUR bedeuten (je nachdem, welcher Wert höher ist).
4. Stellung des Datenschutzbeauftragten
Bis dato wirkt der Datenschutzbeauftragte nach § 4f Abs. 1 Satz 1 BDSG „auf die Einhaltung“ der Vorschriften über den Datenschutz hin. Danach hat er derzeit eine beratende und unterstützende Funktion und übernimmt keine Gewähr dafür, dass die verantwortliche Stelle alle datenschutzrechtlichen Standards umsetzt.
Anders als nach dem bisherigen Recht regelt Artikel 39 Abs. 1 Buchst. b EU-DSGVO umfassende Überwachungspflichten. Diese gehen ihrem Wortlaut nach über ein bloßes „Hinwirken“ deutlich hinaus.
Der Datenschutzbeauftragte erlangt damit im Unternehmen in seiner Stellung eine große Unabhängigkeit (vgl. hierzu Erwägungsgrund 97 der EU-DSGVO). Die Ausprägungen der Unabhängigkeit, insbesondere die Unabhängigkeit von fachlichen Weisungen und die Verpflichtung zur Gewährleistung eines unmittelbaren Berichtswegs des Datenschutzbeauftragten zur höchsten Managementebene sind in Art. 38 Abs. 3 S. 1 und 3 EU-DSGVO geregelt.
Im Sinne eines durchgreifenden Datenschutzmanagements ist es sinnvoll, den Datenschutzbeauftragten auch organisatorisch unmittelbar der Leitung des Unternehmens zu unterstellen.
Die damit verbundene Sonderstellung verschafft dem Datenschutzbeauftragten im Unternehmen unter anderem die ggf. notwendige Autorität.
5. Datenschutz-Folgenabschätzung
Die Datenschutz-Folgenabschätzung nach Artikel 35 EU-DSGVO weicht erheblich von der bisherigen Vorabkontrolle nach § 4d Abs. 5 BDSG ab.
Eine Datenschutz-Folgenabschätzung nach Artikel 35 EU-DSGVO ist immer dann vom Verantwortlichen (nicht vom Datenschutzbeauftragten) durchzuführen, wenn eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten der davon betroffenen Personen zur Folge hat.
Hierbei sind insbesondere Eintrittswahrscheinlichkeit und Schwere möglicher Risiken zu bewerten. Es sollten immer Art, Umfang, Umstände, verfolgte Zwecke sowie Ursachen möglicher Risiken bewertet werden.
Geprüft werden sollten in diesem Zusammenhang die Maßnahmen und Verfahren, mit denen bestehende Risiken abgeschwächt und die Vorgaben der EU-DSGVO eingehalten werden können.
Sollte die Datenschutz-Folgenabschätzung ergeben, dass die geplante Datenverarbeitung ein hohes Risiko zur Folge hätte, muss der Verantwortliche die zuständige Aufsichtsbehörde einschalten, sofern er keine Maßnahmen zur Eindämmung des Risikos trifft (vgl. hierzu Artikel 36 EU-DSGVO).
6. Risikobasierter Datenschutz
Der risikobasierte Ansatz ist eine der Neuerungen im Datenschutzrecht.
Personenbezogene Daten sind schützenswert, weil durch ihre Verarbeitung in die Betroffenenrechte eingegriffen werden kann. Die Erwägungsgründe 75 und 91 sind hier von entscheidender Bedeutung.
Auszug aus Erwägungsgrund 75 EU-DSGVO:
„Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen (…)“. Demnach kommt es in erster Linie auf das Risiko des Eingriffs für die Rechte und Freiheiten der Betroffenen an, nicht auf die personenbezogenen Daten des Betroffenen.
Auszug aus Erwägungsgrund 91 EU-DSGVO:
„Eine Datenschutz-Folgenabschätzung sollte durchgeführt werden, wenn die personenbezogenen Daten für das Treffen von Entscheidungen in Bezug auf bestimmte natürliche Personen im Anschluss an eine systematische und eingehende Bewertung persönlicher Aspekte natürlicher Personen auf Grundlage eines Profilings dieser Daten (…) verarbeitet werden.“
Die neue EU-DSGVO sieht hier einen risikobasierten Ansatz, also die Einführung eines Risikomanagements im Hinblick auf Datenschutzziele in einer Organisation.
Risikomanagement muss ein fester Bestandteil der betriebswirtschaftlichen Unternehmensführung sein.
7. Datensicherheit und Schutzziele
Das Bußgeldrisiko bei unzureichender Datensicherheit ist eine weitere wesentliche Änderung in der EU-DSGVO.
Artikel 32 EU-DSGVO beschreibt sehr ausführlich die Kriterien der technischen und organisatorischen Maßnahmen, um ein angemessenes Schutzniveau zu erzielen.
Hier sind die Begriffe „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“ von grundlegender Bedeutung. Neu ist in diesem Zusammenhang der Begriff der „Belastbarkeit“.
Verantwortliche müssen bei der Datenverarbeitung die „Belastbarkeit“ ihrer Dienste und Systeme gewährleisten. Der Begriff „Belastbarkeit“ ist jedoch nicht näher definiert. In der englischen Fassung steht der Begriff „resilience“, was so viel bedeutet wie „Widerstandsfähigkeit“. Der Begriff Widerstandsfähigkeit in Bezug auf die Systeme und Dienste wurde bereits im Zusammenhang mit dem Notfallmanagement bekannt.
7.1 Schutzbedarf personenbezogener Daten
Im Vorfeld der Verarbeitung personenbezogener Daten sollten sich die Verantwortlichen darüber klar sein, welchen Schutzbedarf die relevanten personenbezogenen Daten haben. Dies ist notwendig, um ein angemessenes Schutzniveau nach Artikel 32 Abs. 1 EU-DSGVO festlegen zu können.
Bei der Beurteilung wird in der Regel auf das Schadenspotential abgezielt. Dazu kann auf eine Kategorisierung eines „normalen“, „hohen“ und „sehr hohen“ Schutzbedarfes abgestellt werden. Die Schutzbedarfsfeststellung ist ein erster Schritt, wenn es darum geht, geeignete technische und organisatorische Maßnahmen auszuwählen.
7.2 Risikobewertung
Der Begriff des „Risikos“ findet mehrfach in der EU-DSGVO Anwendung. Die Maßnahmen, die zum Schutz personenbezogener Daten getroffen werden sollen, müssen künftig unter Berücksichtigung des „Risikos“ ausgewählt werden.
Hier müssen objektive Kriterien für Eintrittswahrscheinlichkeit und Schwere eines Risikos für die Rechte und Freiheiten natürlicher Personen festgelegt werden. Es gilt, nicht die Unternehmenswerte, sondern den Betroffenen im Sinne des Datenschutzes in den Fokus der Risikobewertung zu stellen.
7.3 Technische und organisatorische Maßnahmen
Der Verantwortliche muss unter Berücksichtigung u. a. des Stands der Technik und der Implementierungskosten geeignete technische und organisatorische Maßnahmen treffen (vgl. Artikel 32 EU-DSGVO). Folglich wird zu prüfen sein, was beim jeweiligen Verfahren als Stand der Technik angesehen wird. Andererseits muss bei der Beurteilung auch die Verhältnismäßigkeit einer Maßnahme hinsichtlich des Aufwands berücksichtigt werden.
7.4 Nachweise der Konformität (Rechenschaftspflicht nach Artikel 5 Abs. 2 EU-DSGVO)
Inwieweit ein Verantwortlicher sich an die Verarbeitungsgrundsätze der EU-DSGVO hält und die Sicherheit der Verarbeitung gewährleistet, wird zukünftig im Rahmen einer Nachweiserbringung relevant werden. Zertifizierungen werden zunehmend an Bedeutung gewinnen.
8. Ausblick zur Sicherheit
Technische Aspekte der Datenverarbeitung, die bislang eher unter „IT-Sicherheit“ anzusiedeln waren, bekommen durch die EU-DSGVO eine höhere Bedeutung für Datenschutzverantwortliche, als es bislang durch das BDSG abgebildet wurde. Verstöße können zukünftig mit Bußgeldern von bis zu 2 Prozent des weltweiten (Konzern-)Jahresumsatzes geahndet werden. Das ist von wesentlicher Bedeutung für Unternehmen (vgl. hierzu auch EG 148 EU-DSGVO). Bisher waren Verstöße gegen § 9 BDSG nicht bußgeldrelevant.
9. Einwilligungen
Die Anforderungen an eine datenschutzkonforme Einholung der Einwilligung des Betroffenen für die Verarbeitung und Nutzung seiner personenbezogenen Daten sind mit der EU-DSGVO höher. Die grundsätzlichen Anforderungen an die Wirksamkeit einer rechtsgültigen Einwilligung werden durch die EU-DSGVO zwar nicht wesentlich verändert – der Schutz von Minderjährigen unter 16 Jahren wird jedoch zusätzlich gestärkt.
Artikel 7 und 8 der EU-DSGVO regeln genau die Voraussetzungen, die für eine Einwilligung zur Datenverarbeitung zu beachten sind.
Einwilligungen Minderjähriger sind generell nur dann wirksam, wenn und insoweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.
10. Meldepflicht bei Datenschutzverletzungen
Unverzüglich, spätestens jedoch innerhalb von 72 Stunden, nach Bekanntwerden der Datenschutzverletzungen müssen Unternehmen Datenschutzverletzungen nach Artikel 33 Abs. 1 EU-DSGVO bei der zuständigen Behörde melden. Zusätzlich müssen die betroffenen Personen hierüber informiert werden, wenn der Vorfall voraussichtlich ein hohes Risiko für ihre persönlichen Rechte und Freiheiten zur Folge hat.
Will ein Unternehmen ausschließen, dass bei jeder unterbliebenen Meldung an die Aufsichtsbehörden ein Bußgeld nach Artikel 83 Abs. 4 Buchst. a EU-DSGVO droht (bis zu 2 % des globalen (Konzern-)Jahresumsatzes), muss ein entsprechender Prozess für das Management solcher Meldungen aufgesetzt werden oder es muss grundsätzlich jeder Datenschutzverstoß gemeldet werden.
11. Dokumentationspflichten
Zukünftig muss durch die Verantwortlichen die Einhaltung der Datenschutzgrundsätze nachgewiesen werden können. Es muss eine umfassende Dokumentation mit den Inhalten des Verzeichnisses aus Artikel 30 EU-DSGVO geführt werden. Eine Ausnahmeregelung ist für Unternehmen mit weniger als 250 Beschäftigten vorgesehen, die nicht oder nur gelegentlich personenbezogene Daten verarbeiten. Diese hat in der Praxis allerdings nur wenig Relevanz.
12. Privacy by Design und Privacy by Default
Artikel 25 Abs. 1 EU-DSGVO regelt den Grundsatz der „privacy by design“; Abs. 2 die Anforderung „privacy by default“.
Unternehmen müssen ihre IT-Systeme grundsätzlich so ausgestalten, dass sie die Datenschutzgrundsätze des Artikel 5 EU-DSGVO wirksam umsetzen, insbesondere das Gebot der Datenminimierung – sie sollen also nur gerade so viele Daten erheben, wie zur Erfüllung des verfolgten Zwecks erforderlich ist.
Zudem sollen IT-Systeme so „voreingestellt“ sein, dass sie grundsätzlich nur solche personenbezogenen Daten verarbeiten, wie für den jeweils verfolgten Zweck erforderlich ist.
Realisiert werden können diese Anforderungen dadurch, indem Verantwortliche personenbezogene Daten minimieren und Daten schnellstmöglich pseudonymisiert werden. Schon bei der Entwicklung und Ausgestaltung von IT-Produkten, Diensten und Anwendungen sollte bei der Ausgestaltung der Pflichten- und Lastenhefte das Recht auf Datenschutz einfließen. Verstöße gegen das Gebot, Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen zu gewährleisten, können mit Bußgeldern geahndet werden (bis zu 2 Prozent des (Konzern-)Jahresumsatzes des Unternehmens oder Konzerns).
13. Das Recht auf „Vergessenwerden“ und auf Löschung
Die EU-DSGVO sieht umfassendere Löschpflichten als die Regelung in § 35 BDSG vor. Das Recht auf Löschung personenbezogener Daten ist in Artikel 17 EU-DSGVO geregelt.
Der Verantwortliche muss personenbezogene Daten ohne unangemessene Verzögerung löschen. Ausnahmen sind in Artikel 17 Abs. 1 EU-DSGVO aufgeführt.
Ein hier aufgeführter Grund kann darin liegen, dass von der betroffenen Person Widerspruch nach Artikel 21 Abs. 1 EU-DSGVO gegen die Verarbeitung ihrer personenbezogenen Daten eingelegt wurde. In einem solchen Fall muss der Verantwortliche diese Daten löschen, sofern keine vorrangigen berechtigten Gründe für die weitere Verarbeitung vorliegen.
Wenn ein Verantwortlicher zu löschende personenbezogene Daten öffentlich gemacht hat, muss er andere Verantwortliche, die diese Daten verarbeiten, darüber informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu oder aller Kopien oder Replikationen von diesen personenbezogenen Daten verlangt hat.
In Artikel 17 Abs. 3 EU-DSGVO sind Ausnahmen dieser Löschpflichten aufgeführt.
Fehler bei der Verpflichtung zum Löschen von personenbezogenen Daten werden mit Bußgeldern geahndet (bis zu 4 Prozent des (Konzern-)Jahresumsatzes).
14. Hinweise zur Umsetzung der EU-DSGVO in Ihrem Unternehmen
14.1 Bestandsaufnahme
Zunächst sollte bis Ende des 3. Quartals 2017 eine Bestandsaufnahme vorgenommen werden. Das ist elementar für das Gelingen der Umsetzung. Konkret geht es um folgende Aufgaben:
- Ermittlung aller datenschutzrechtlich relevanten Prozesse (d.h. Prozesse, im Rahmen derer personenbezogene Daten verarbeitet werden) im Unternehmen
- Prüfung, welche Daten durch welche Systeme erhoben werden
- Ermittlung (im Hinblick auf sich ändernde Informationspflichten) aller datenschutzrechtlichen Hinweise an außenstehende betroffene Personen (vormals: Betroffene) oder Arbeitnehmer sowie der aktuellen Datenschutzerklärung
- Ermittlung aller datenschutzrechtlich relevanter Verträge (insb. betreffend Auftragsverarbeitung und Auslagerungen/Outsourcing)
- Ermittlung aller übrigen datenschutzrechtlich relevanten Dokumente, wie beispielsweise der datenschutzrechtlichen Einwilligungen
- Ermittlung der datenschutzrechtlich relevanten Stakeholder (z.B. Lieferanten)
14.2 Neuausrichtung
In einer zweiten Umsetzungsphase (4. Quartal 2017) sind dann die ermittelten Prozesse, Verträge und Dokumente an der EU-DSGVO neu auszurichten.
Es gilt also in einem ersten Schritt, den Ist-Stand und den Soll-Stand nach der EU-DSGVO zu ermitteln. In einem zweiten Schritt sind dann die erforderlichen Anpassungen vorzunehmen. Im Detail dreht es sich dabei um die folgenden Aufgaben:
- Für alle datenschutzrechtlich relevanten Prozesse ist eine Datenschutz-Folgenabschätzung (vormals „Vorabkontrolle“) durchzuführen. Es sind die ausführlichen Dokumentationspflichten zu beachten.
- Für die datenschutzrechtlich relevanten Prozesse ist zu ermitteln, ob sie auf Erlaubnistatbeständen der EU-DSGVO beruhen (vgl. Artikel 6, 8, 9 und 22 EU-DSGVO).
- Die datenschutzrechtlichen Hinweise an betroffene Personen innerhalb und außerhalb des Unternehmens sind an Anforderungen der EU-DSGVO anzupassen, insbesondere an die Informationspflichten aus Artikel 13 (Direkterhebung der Daten bei der betroffenen Person) oder Artikel 14 (Erhebung nicht direkt bei der betroffenen Person).
- Verträge über die Auftragsverarbeitung sind an die Änderungen in Artikel 28 EU-DSGVO anzupassen.
- Vorhandene Einwilligungen sind an die erhöhten Anforderungen der EU-DSGVO anzupassen, um sicherzugehen, dass sie auch nach Wirksamwerden der EU-DSGVO fortgelten, insbesondere ist ausdrücklich auf die Möglichkeit des Widerrufs und die Rechtsfolgen eines Widerrufs hinzuweisen.
- Die vorhandenen technischen und organisatorischen Maßnahmen (TOM) sind anhand des Artikel 32 Abs. 1 EU-DSGVO zu überarbeiten.
- Die übrigen Verträge und Dokumente sind ebenfalls dahingehend zu prüfen, ob sie nach der EU-DSGVO angepasst werden müssen.
- Soweit Betriebs- oder Dienstvereinbarungen angepasst werden müssen, ist frühzeitig der Betriebsrat zu informieren und in den Abstimmungsprozess einzugliedern.
14.3 Nachweis der Umsetzung EU-DSGVO
Spätestens im 1. Quartal 2018 muss der zuvor ermittelte Änderungs- und Anpassungsbedarf umgesetzt werden. Danach muss geprüft werden, ob die Anpassungen tatsächlich vorgenommen worden sind. Die Kontrollen beinhalten im Wesentlichen Folgendes:
- Im Rahmen eines internen „Audits“ sind die umgestellten Prozesse, Dokumente, Verträge und TOM daraufhin zu überprüfen, ob die Anpassungen an die EU-DSGVO tatsächlich vorgenommen worden sind.
- Im Rahmen von externen Audits sind insb. Auftragsverarbeiter und Dienstleister daraufhin zu überprüfen, ob sie ebenfalls die geforderten Änderungen vorgenommen haben, die durch die Umstellung auf die EU-DSGVO notwendig waren.
- Dokumentation der vorgenommenen Anpassungen und Änderungen