DATENSCHUTZ

Datenschutz ist Aufgabe der Geschäftsführung. 

Vertrauen in den ordnungsgemäßen Umgang mit personenbezogenen Daten schaffen

Der europäische Gesetzgeber möchte mit der Vollharmonisierung des Datenschutzes in der Europäischen Union in erster Linie auch die Dienstleistungsfreiheit stärken. Nur das Vertrauen in den ordnungsgemäßen Umgang mit personenbezogenen Daten schafft die Grundlage für ein entsprechendes Wirtschaftssystem. Für die Digitalisierung stellen Daten sozusagen das Rohöl dar. Dieser Wert muss gesichert werden. Aus diesem Grund appelliert der Gesetzgeber zunächst an die wirtschaftliche Vernunft der Unternehmen, diese Daten entsprechend sorgsam zu behandeln. Gleichzeitig bietet die DSGVO Unternehmen, die diese Grundsätze beherzigen auch bei Datenschutzverstößen eine Haftungserleichterung. Die zahlreichen Datenschutzpflichten sind allein durch ein Datenschutz-Management-System einzuhalten und nachweisbar.

Welche Sanktionen sieht die DSGVO bei Datenschutzverstößen vor?

Es gibt einen umfassenden Kriterienkatalog nach dem sich die Bußgelder, die pro einzelnem Datenschutzverstoß bis zu 4 % des Konzernumsatzes des vorangegangenen Jahres betragen können, bemessen. Der europäische Datenschutzausschuss wird einen EU-weiten Gleichlauf der Sanktionen in allen Mitgliedsstaaten sicherstellen. Darüber hinaus drohen Schadenersatzansprüche der Betroffenen und Verbandsklagen. Selbstverständlich können strafrechtliche Verfolgungen (z. B. Verletzung von Privatgeheimnissen, § 203 StGB etc.) und die Gewinnabschöpfung genauso hinzukommen wie Reputationsschäden und behördliche Auflagen.

Bußgelder nach der DSGVO © CAD-Institut für Compliance, Arbeitsrecht und Datenschutz
Bußgelder nach der DSGVO © CAD-Institut für Compliance, Arbeitsrecht und Datenschutz

Welche Risiken bestehen hinsichtlich der Aufdeckung von Datenschutzverletzungen?

Die DSGVO schafft eine große Kontrolldichte hinsichtlich etwaiger Datenschutzverletzungen bzw. der Unterschreitung des Datenschutzniveaus der DSGVO. Dabei stellt die zuständige Datenschutzbehörde nur ein Kontrollelement dar. So haben Mitarbeiter und Kunden haben Auskunftsansprüche hinsichtlich ihrer personenbezogenen Daten. Unzufriedene und ausgeschiedene Mitarbeiter nutzen diese Ansprüche gern als Drohszenario im Rahmen von Vergleichsverhandlungen, zumal der Auskunftsanspruch sehr weit geht und es Unternehmen schwerfällt, die gesamte Vita der Datenverarbeitung rechtzeitig aufzubereiten. Hinzukommt die Konkurrenz, die es in gewohnter Compliance-Manier zum Anlass nehmen kann, die Behörde auf Missstände beim Wettbewerber hinzuweisen. Ein weiterer Kontrollfaktor ist die sog. Lieferketten-Compliance. Der Wettbewerb wird sich durch die Verwendung sog. Compliance- und Datenschutzklauseln künftig gegenseitig auf die Einhaltung der Datenschutzstandards verpflichten, um den enormen Haftungsfolgen zu entkommen. Durch die Schaffung von Branchenstandards wird es Datenschutzbehörden auch schnell erkennbar sein, wer sich um den Datenschutz im ausreichenden Maße kümmert und wer nicht. Dies u.a. auch vor dem Hintergrund der Regelungen zum Konsultationsverfahren und zur sog. Datenschutzpanne, die Unternehmen gesetzlich verpflichten, die Behörden in gewissen Fällen selbst einzuschalten.

Wie werden Unternehmen von den Datenschutzbehörden überprüft?

Die Datenschutzbehörden der Länder waren nicht untätig und haben bereits seit geraumer Zeit spezielle Fragebogen bezüglich des Stands der Datenschutzumsetzungen im Unternehmen versendet. Damit haben Sie bereits einen ersten Anlass zu weiteren Prüfungen ab Mai 2018 gesetzt. Gleichzeitig verschaffen sie sich ein eigenes Know-How über die Datenschutzreife in den einzelnen Branchen. Hauptaugenmerk der Prüfung wird nach den bisherigen Erkenntnissen die Einführung eines Datenschutz-Management-Systems sein, dass die Datenschutz-Compliance gemäß der DSGVO und des BDSG neu sein. Die Geschäftsführung muss sich zum Datenschutz bekennen und die geeigneten technischen und organisatorischen Maßnahmen ergriffen haben. Insoweit muss ein Master-Plan (Stichwort: Roadmap) bestehen. Der Grundsatz der Rechenschaftspflicht (Accountability) erlaubt des den Behörden künftig die Einhaltung des neuen Datenschutzes abzufragen. Die Behörde muss gerade nicht mehr den einzelnen Verstoß nachweisen, sondern das Unternehmen ist verpflichtet, die Einhaltung des Datenschutzes nachzuweisen. Mit dieser Umkehrung der Beweislast, können Unternehmen nur durch das systematische Betreiben des Datenschutzes den enormen Sanktionierungen der DSGVO entkommen. Aus dem jüngsten Fragebogen ergibt sich die dafür erforderliche Bandbreite eines datenschutzrechtlichen Compliance-Systems.

Wann greift der Datenschutz?

Der Datenschutz zielt darauf ab, Persönlichkeitsrechte zu schützen. Daher ist bei jeder einzelnen Datenverarbeitung zu prüfen, ob personenbezogene Daten erfasst werden. Dies ist grundsätzlich immer der Fall, wenn eine Person identifizierbar ist. Identifizierbarkeit liegt auch vor, wenn die Kombination von Datensätzen eine Person bestimmbar machen. Der Datenschutz greift daher bei der Verwendung von Klarnamen (z.B. in E-Mail-Adressen), aber auch genauso bei Heranziehung anderer Identifizierungsmerkmalen (z.B. die Verwendung von Personalnummern, der Steuer-ID, laut EuGH auch der dynamischen IP-Adresse etc.). Dabei spielt es keine Rolle, ob die Datenverarbeitung elektronisch oder mittels Papier erfolgt. Darüber hinaus endet die Anwendbarkeit der DSGVO auch nicht an den Grenzen der EU. Infolge des gesetzlich geregelten Marktortprinzips müssen sich an die neuen Vorgaben auch Unternehmen halten, die ihren Sitz außerhalb der EU haben, wenn Sie innerhalb der EU Geschäfte machen wollen (z.B. hat Microsoft seine Produkte schon an den EU-Markt angepasst und bewirbt dies auch massiv). Länder, die nicht zur EU gehören – wie zum Beispiel die Schweiz – haben ihren Datenschutzstandard daher ebenfalls gesetzlich bereits an das neue Datenschutzniveau der DSGVO angepasst. Personenbezogene Daten spielen in nahezu jedem Geschäftsbereich eine Rolle. Insgesamt ist daher von einer maximalen Reichweite der DSGVO und der von ihr gesetzten hohen Datenschutzstandards auszugehen.

Überblick über die Bedeutung des neuen Datenschutzes nach Themenfeldern © CAD-Institut für Compliance, Arbeitsrecht und Datenschutz
Überblick über die Bedeutung des neuen Datenschutzes nach Themenfeldern © CAD-Institut für Compliance, Arbeitsrecht und Datenschutz

Ab welcher Unternehmensgröße muss man sich um den Datenschutz kümmern?

Grundsätzlich muss sich bereits die kleinste Unternehmenseinheit mit dem Datenschutz befassen. Es gibt keine gesetzlichen Ausnahmetatbestände. Lediglich kleinere und mittlere Unternehmen (KMU) erfahren an einigen Stellen eine Erleichterung bei der Handhabung insbesondere von geeigneten Maßnahmen, die es im Rahmen des Datenschutzes zu ergreifen gilt. So sind kleinere Einheiten nicht gehalten die gleichen personellen und technischen Ressourcen aufzubringen, wie dies große Unternehmen vorhalten müssen (vgl. zum Erfordernis eines Datenschutzbeauftragten die Ausführungen unten). Gleichwohl hat sich die DSGVO zum Ziel gemacht, den Datenschutz in ganz Europa auf allen öffentlichen und nicht-öffentlichen Ebenen zu harmonisieren. Unternehmen, die bestehende Datenschutzrisiken nicht allein minimieren können, sind daher kraft Gesetzes gehalten, gegebenenfalls die Datenschutzbehörden um Hilfe zu bitten. Die wesentlichen Grundlagen sind daher von allen Unternehmen gleichermaßen zu erfüllen.

Wann sind die Anforderungen der Datenschutz-Compliance erfüllt?

Eine der wesentlichsten Neuerungen stellen die Anforderungen der Datenschutz-Compliance an die Unternehmen dar. Um die spezifischen Datenschutz-Risiken im Unternehmen zu minimieren, müssen entsprechende organisatorische und technische Maßnahmen getroffen werden. Solche Maßnahmen sind in einem sog. Datenschutz-Management-System zu bestimmen. Nur Verantwortliche in den Unternehmen, die sich dauerhaft und nachhaltig mit dem Thema Datenschutz auseinandersetzen, können sich auf die in der DSGVO vorgesehene Haftungserleichterung berufen. Diese Haftungserleichterung ist von den zuständigen Datenschutzbehörden zwingend zu berücksichtigen, so dass sich der Aufwand für ein Datenschutz-Management-System nach dem Willen des europäischen Gesetzgebers auch unmittelbar auszahlt.

Was sind die wichtigsten Bausteine eines Datenschutz-Management-Systems?

Datenschutz-Management-System sollte zumindest die folgenden Bausteine berücksichtigen:

  • Datenschutz-Governance & Tone from the top
  • Datenschutz-Verantwortlichkeiten schaffen
  • Priorisierung auf Grundlage eines Datenschutz-Reviews
  • Verarbeitungsverzeichnis aufstellen
  • Technische und organisatorische Maßnahmen treffen
  • Regelwerke und Rechtsgrundlagen schaffen
  • Dokumentationen sicherstellen
  • Schulungen regelmäßig abhalten
  • Beratung von Geschäftsführung und Mitarbeitern
  • Monitoring des Systems
  • Nachjustierung & Review

Welche Bedeutung kommt dabei einer Risiko-Analyse zu?

Die Risikoanalyse ist ein typischer Compliance-Aspekt, der die Grundlage für den richtigen Ansatz des Datenschutz-Management-Systems schafft. Die DSGVO verlangt nicht mehr und nicht weniger, als dass sich Unternehmen ihrer eigenen Datenschutzrisiken bewusst werden und entsprechende Maßnahmen ergreifen. Hierzu ist es notwendig diese Risiken zu analysieren. Eine umfassende Analyse der betrieblichen Datenströme (Datenstrom-Analyse) bildet dafür den essentiellen Grundstock. Dies ist regelmäßig sehr aufwändig, muss das Unternehmen doch die vollständigen Datenflüsse nachskizzieren. Eine bloße Wiedergabe der IT-Landschaft reicht dabei nicht, da diese weder den genauen Weg noch die Verarbeitung der Daten durch Mitarbeiter etc. nachzeichnet. Gleichzeitig gibt es auch zahlreiche Datenströme, die außerhalb der regulären IT-Systeme bestehen können (z.B. Papieraufzeichnungen oder Privatnutzung von Whattsapp o.ä.). Ein besonderer Teil der Risikoanalyse ist die Datenschutzfolgeabschätzung. Diese gesetzliche Pflicht fordert von den Unternehmen eine Vorabprüfung hinsichtlich der möglichen Risiken für die personenbezogenen Daten bzw. die Persönlichkeitsrechte der Betroffenen.

Warum sollte ein Datenschutzbeauftragter bzw. Datenschutzmanager eingesetzt werden?

Verantwortlicher für die Einhaltung der Datenschutzvorgaben ist und bleibt die Geschäftsführung. Der Datenschutz ist daher originäre Aufgabe der Geschäftsführung. Die dafür erforderliche Fachkunde und Erfahrung liegen allerdings in der Praxis dort häufig nicht vor. Die Erfüllung dieser Aufgaben kann und muss sogar häufig delegiert werden, auch wenn sich daraus keine Enthaftung für den Verantwortlichen ergibt. Regelmäßig besteht sogar eine Pflicht, einen Datenschutzbeauftragten zu bestellen. Das BDSG neu spezifiziert die relativ weiten Regeln der DSGVO dahingehend, dass ein Datenschutzbeauftragter dann zu bestellen ist, wenn sich in der Regel mindestens zehn Personen mit Datenverarbeitung beschäftigen. Diese Anzahl ist schnell erreicht, arbeiten heute doch nahezu alle Geschäftsbereiche zumindest mit Smartphones oder zumindest mit systematischen Papieraufschrieben (z.B. in der Produktion). Doch selbst wenn man nicht von einer Bestellpflicht ausgehen würde, muss sich eine geeignete Person um den Datenschutz kümmern. Dieser Datenschutzmanager muss jedoch die gleichen hohen Fachkenntnisse aufweisen wie ein Datenschutzbeauftragter, um mit dem Betreiben eines wirksamen Datenschutz-Management-Systems eine Haftungserleichterung zu erreichen. Die Bestellung eines externen Datenschutzbeauftragten bzw. Datenschutzmanagers ist von der DSGVO ausdrücklich vorgesehen. Dies gilt sogar für den Einsatz im Konzernverbund.

§38 BDSG neu bestimmt: „Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“

Wieso spielt die Vernetzung der einzelnen Fachbereiche eine große Rolle?

Vor dem Hintergrund der Risikoanalyse müssen sich die einzelnen Fachbereiche vernetzen, um die in ihren Bereichen bestehenden Datenschutzrisiken an Verantwortlichen bzw. den Datenschutzbeauftragten zu melden. Nur so kann gewährleistet werden, dass eine umfassende Risikobeurteilung stattfinden kann. Ein besonders intensiver Austausch ist regelmäßig zwischen dem Datenschutzbeauftragten und dem Compliance-Beauftragten (Compliance-Officer o.ä.) zu erwarten. Der neue Datenschutz berücksichtigt künftig im Wesentlichen die gleichen Ansätze wie Compliance. Zudem muss auch die Compliance-Abteilung datenschutzkonform arbeiten, so dass dort sowohl Supportfunktionen als auch Risikobereiche bestehen. Darüber hinaus ist in beiden Bereichen die Personalarbeit ein zentrales Thema. Zunächst besteht auch dort ein erhebliches Risikopotential insbesondere für Beschäftigtendaten. Gleichzeitig muss HR jedoch auch maßgeblich an der Umsetzung der Datenschutz-Compliance mitarbeiten. So unterstützt HR beispielsweise bei der Einstellung der richtigen Beauftragten, der Kommunikation und Schulung von Mitarbeitern sowie der wirksamen Gestaltung von Regelwerken; insbesondere auch im Zusammenspiel mit dem Betriebsrat, der häufig das Thema Datenschutz auf seiner Agenda hat.

Compliance-Cycle
Datenschutz-Compliance-Cycle © CAD-Institut für Compliance, Arbeitsrecht und Datenschutz

Welche Besonderheiten sind bei der Datenübermittlung an (internationale) Dritte und im Konzern zu beachten?

Die Datenübermittlung an Dritte ist regelmäßig dann gegeben, wenn die Daten vom Betrieb an andere Betriebe o.ä. fließen. Dies gilt insbesondere auch bei der Datenübermittlung innerhalb eines Konzernverbunds, da es ein sog. gesetzliches Konzernprivileg nicht gibt. Auch Einheiten eines Konzernverbunds sind damit als Dritte zu behandeln. Eine besondere Herausforderung stellt dabei die Übermittlung im internationalen Kontext dar. Neben den Rechtsgrundlagen für die nationale Verarbeitung sind zusätzlich die Rechtsgrundlagen für eine Datenübermittlung ins Ausland zu schaffen. Hier kommt es aus zahlreiche unterschiedliche Fallkonstellationen an, die davon abhängen, ob es sich um eine EU-weite Übermittlung oder gar um eine Übermittlung in Regionen mit unsicheren Datenschutzniveau handelt. Der europäische Gesetzgeber präferiert hier die Lösung über sog. Binding Corporate Rules (BCR), die eine unternehmensweite Vereinheitlichung und Standardisierung für den internationalen Datenverkehr darstellen.

Welcher Datenschutzstandard gilt bei der Verarbeitung von Daten durch Dritte?

Unternehmen ist es natürlich freigestellt, Datenverarbeitungsaufgaben wie beispielsweise die Lohnabrechnung etc. an Dritte zu vergeben. Sie fungieren dann als Auftragsverarbeiter (früher: Auftragsdatenverarbeitung). Die DSGVO wertet die Datenschutzpflichten bei Dritten dadurch auf, dass diese künftig im gleichen Maße für Datenschutzverstöße haften wie der Verantwortliche selbst. Gleichzeitig ist der Verantwortliche des beauftragenden Unternehmens jedoch nach wie vor angehalten, den Auftragsverarbeiter auf den gleichen hohen Datenschutzstandard zu verpflichten, der gelten würde, wenn der Verantwortliche die Verarbeitung selbst vornehmen würden. Zu diesem Zweck sind sog. Auftragsverarbeitungsverträge zu schließen, die dies sicherstellen und dem Verantwortlichen u. a. die Möglichkeit einräumen, die Einhaltung zu überprüfen. Auch diese entspricht einem wichtigen Compliance-Aspekt im Rahmen des sog. Third-Party-Managements.

Welche Regelwerke müssen geschaffen oder überarbeitet werden?

Die Datenschutz-Compliance fordert eine Aufklärung der Mitarbeiter darüber, welche Erwartungen das Unternehmen im Umgang mit personenbezogenen Daten an sie stellt. Die üblichen Richtlinien zum Datenschutz sind hier genauso gefordert wie Verhaltensrichtlinien nach Art. 40 DSGVO, die sich künftig am behördlich geprüften Branchenstandard zu orientieren haben. Da solche Regelwerke regelmäßig Verhaltensregelungen für Mitarbeiter umfassen, ist hier die Beteiligung des Betriebsrats zwingend notwendig. Gleichzeitig bietet die DSGVO und das BDSG neu die Möglichkeit Rechtsgrundlagen für die Datenverarbeitung in Form von Kollektivvereinbarungen – insbesondere Betriebsvereinbarungen –  zu schaffen. Hier stellt sich die spannende Frage, inwieweit bereits bestehende Betriebsvereinbarungen, die meist einige Jahre auf dem Buckel haben, an den neuen Datenschutz anzupassen sind. Die Beantwortung dieser Frage hängt vom Einzelfall ab und die entsprechende Prüfung ist ebenfalls im Rahmen der Risikoanalyse vorzunehmen (Stichwort: Datenschutz-Review). So liegen in der Praxis häufig Regelungen zur E-Mail-Nutzung vor, die auch vor dem Hintergrund der ebenfalls zum Mai 2018 anstehenden ePrivacy-Verordnung einer Überarbeitung bedürfen. Auch dies zeigt die enge Verzahnung von Datenschutz, Compliance und Arbeitsrecht.

Welche technischen Maßnahmen haben Unternehmen zu ergreifen?

Mit den Regelungen zu privacy by design und privacy by default hat der europäische Gesetzgeber den Unternehmen die Aufgabe gestellt, technische Lösungen einzurichten, die das hohe Datenschutzniveau der DSGVO bereits software- oder hardwareseitig erfüllen können. Gleichzeitig müssen diese technischen Lösungen auch so eingerichtet werden, dass eben diese Standards auch bereits systemseitig eingerichtet sind. Eine der größten Herausforderungen der nahen Zukunft ist dabei das Einrichten eines wirksamen Löschmanagements. Die eingesetzte Technik muss in der Lage sein, nicht mehr erforderliche Daten auch innerhalb eines zusammenhängenden Datensatzes (z.B. Personalakte) zu löschen. Gerade große Systemanwendungen einiger bekannter Systemhäuser sind dazu bisher nur selektiv möglich, da sie nur Zugriffsberechtigungen einschränken können. Hier entpuppt sich der neue Datenschutz geradezu als Wettbewerbsimpuls für die großen Anbieter. Zu beachten ist hierbei wie bereits dargestellt, dass immer vor der Einführung neuer Techniken eine Datenschutzfolgeabschätzung durchgeführt wird.

Was steht den Unternehmen ab Mai 2018 bevor?

Nachdem ein Datenschutz-Management-System installiert wurde, muss dieses betrieben und ständig an die Neuerungen des betrieblichen Alltags aber auch der behördlichen und gesetzgeberischen Vorgaben angepasst werden. Auch die europäische Datenschutzausschussbehörde und die nationalen Datenschutzbehörden stehen am Anfang der Entwicklung der DSGVO. Es werden Branchenstandards entwickelt werden, die Stück für Stück umzusetzen sind. Die Behörden werden daher anfangs noch etwas mehr Zurückhaltung üben, um sich ein Bild von der Umsetzung zu machen. Dies wird sich im Laufe der Zeit ändern. Keinesfalls darf dem Unternehmen ein Unterlassen hinsichtlich des Datenschutzes unterstellt werden dürfen. Insoweit ist das P-D-C-A-Prinzip (Plan-Do-Check-Act) heranzuziehen. Es handelt sich um Datenschutz-Life-Circle, der die Datenschutz-Compliance sicherstellen muss.

Welche Anforderungen sind an die betrieblichen Datenschützer zu stellen?

Der neue Datenschutz ist eine komplexe Thematik. Die DSGVO umfasst 99 Artikel und 173 Erwägungsgründe. Das BDSG neu bringt nochmal über 80 Paragrafen hinzu, die erhebliche, teilweise sogar widersprüchliche Abweichungen zur DSGVO enthalten. Der künftige Datenschutzbeauftragte und Datenschutzberater muss daher vertiefte juristische Kenntnisse aufweisen. Dies wird auch durch die drohende Garantenstellung unterstrichen, die eine verschärfte Haftung mit sich bringt. Darüber hinaus erfordert die Implementierung eines Datenschutz-Management-Systems umfassende Erfahrungen mit Compliance-Systemen und die Kenntnis betrieblicher Abläufe. Das Team des CAD-Institut für Compliance, Arbeitsrecht und Datenschutz zeichnet sich durch langjährige Erfahrungen in den drei Fachbereichen Compliance, Arbeitsrecht und Datenschutz aus. Dadurch ist es dem CAD-Team möglich, komplexe Rechtsgebiete in den Schnittstellenbereichen zu vermitteln und auch bei der Digitalisierung im Betrieb zu unterstützen. Exklusive Einblicke das einschlägigen Gesetzgebungsverfahren der DSGVO und der direkte Erfahrungsaustausch mit Behörden in Fachkreisen runden den Support ab.  Oberstes Gebot ist die Integration der vorhandenen Betriebsstrukturen in die zu implementierende Datenschutzorganisation.

Hinweis

Sämtliche Texte dieser Internetpräsenz mit Ausnahme der Gesetzestexte und Gerichtsentscheidungen sind urheberrechtlich geschützt. Urheber im Sinne des Gesetzes über Urheberrecht und verwandte Schutzrechte (UrhG) sind die Geschäftsführer des CAD-Institut für Compliance, Arbeitsrecht und Datenschutz Armin und Jasmin Fladung. Wörtliche oder sinngemäße Zitate sind nur mit vorheriger schriftlicher Genehmigung des Urhebers bzw. bei ausdrücklichem Hinweis auf die fremde Urheberschaft (Quellenangabe i. S. v. § 63 UrhG) rechtlich zulässig. Verstöße hiergegen werden gerichtlich verfolgt.