• EU Datenschutz Grundverordnung

    EU DATENSCHUTZ GRUNDVERORDNUNG

    Sprechen Sie mit uns noch heute
    über Risiken und Chancen

Die europäische Datenschutz-Grundverordnung (EU-DSGVO)

Am 25. Mai 2018 tritt die neue EU Datenschutz Grundverordnung (EU-DSGVO im folgenden auch DSGVO) ausnahmslos in Kraft | Die DSGVO soll sicherstellen, dass personenbezogene Daten bei der automatischen Verarbeitung bestmöglich geschützt sind und so deren ungewollte Weitergabe an Dritte verhindert wird. Bei fahrlässiger oder vorsätzlicher Verletzung der neuen Pflichten aus der DSGVO muss mit hohen Geldbußen gerechnet werden.

Viele, vor allem kleine und mittlere datenverarbeitende Unternehmen, sind nach wie vor der Ansicht, die DSGVO richte sich nur an die "Großen" der Branche. In der DSVGO werden zwar Ausnahmen und Erleichterungen in Abhängigkeit von der Betriebsgröße in Aussicht gestellt, die Anzahl der im Unternehmen beschäftigten Mitarbeiter ist dabei aber nur eines von mehreren Kriterien. 

Tatsächlich ist nahezu jedes Unternehmen, das regelmäßig personenbezogene Daten erhebt, verarbeitet oder speichert von der DSVGO direkt betroffen. Wir haben die wichtigsten Inhalte für Sie übersichtlich zusammengestellt. 

Die EU-DSGVO in drei Beispielen

Transparenz, erweiterte Haftung und Rechenschaftspflicht

Die Neuerungen und Änderungen durch die DSGVO sind vielfältig.
Wir vergleichen drei der wichtigsten Punkte mit den bisherigen Regelungen durch das BDSG. 

Hier beispielhaft drei Bereiche, in denen uns die Neuregelungen besonders erwähnenswert erscheinen:

Transparenz

Bislang genügte es, die Verarbeitung von Daten allgemein zu beschreiben. So mussten Sie z.B. einem Arbeitnehmer lediglich mitteilen, dass Sie seine Daten für die Entgeltabrechnung benötigen.

Mit Inkrafttreten der DSVGO müssen Sie die automatisierte Verarbeitung von Daten detailliert beschreiben. Der Betreffende hat das Recht genau nachzuvollziehen, wie mit seinen Daten umgegangen wird! Sie müssen daher dem Arbeitnehmer u.a. den Verarbeitungszweck, die Rechtsgrundlage, eventuelle Empfänger und die Dauer der Speicherung nennen. Darüber hinaus müssen Sie ihn in klarer und einfacher Sprache über seine Rechte informieren.

Erweiterte Haftung

Traten Fehler in der Datenverarbeitung auf oder war die Verarbeitung von Daten unzulässig, so konnten bislang Haftungsansprüche geltend gemacht und erfolgreich durchgesetzt werden, wenn dem Betroffenen ein materieller Schaden entstand.

Zukünftig wird die zivilrechtliche Haftung für Datenschutzverstößen durch die DSGVO erweitert. Die Geltendmachung von Schadensersatzansprüchen ist dann auch wegen Nichtvermögensschäden möglich. Dies führt u.a. zu einer erleichterten Durchsetzung von Schadenersatzansprüchen, welche sich nicht mehr nur auf den Ersatz von materiellen Schäden, sondern nun z.B. auch auf Schmerzensgeld richten können.

Rechenschaftspflicht

Bislang mussten sich Unternehmen eher passiv prüfen lassen. Sie sahen sich in der Regel keinen Ansprüchen ausgesetzt, solange die datenschutzrelevanten Prozesse wiederholbar waren und dabei keine Schäden entstanden.

Hier erfolgt künftig eine "Beweislastumkehr": Unternehmen haben – unabhängig davon, ob es überhaupt zu Schäden oder Verstößen kam – aktiv nachzuweisen, dass die Grundsätze der DSGVO eingehalten werden und dass die Datenverarbeitung im Sinne der DSGVO durch angemessene technische und organisatorische Maßnahmen erfolgt. 

Die Europäische Datenschutz-Grundverordnung (EU-DSGVO)

Inhalte, Wirkungsbereiche und Ziele

Die EU-Datenschutz-Grundverordnung beinhaltet sowohl für Unternehmen als auch für jeden einzelnen Bürger entscheidende Neuerungen. Der Gesetzgeber stärkt im wesentlichen die Rechte der Betroffenen und weitet diese in bestimmten Bereichen weiter aus. Vor diesem Hintergrund sind die – verglichen mit den bislang geltenden Regelungen des Bundesdatenschutzes  – deutlich verschärften Transparenz- und Informationspflichten der Unternehmen zu sehen.

Der Datenschutz innerhalb der Europäischen Union war über Jahrzehnte hinweg im wesentlichen durch nationale Gesetzgebung geregelt und dementsprechend uneinheitlich. Im Dezember 2015 einigten sich die Verantwortlichen auf eine EU-Datenschutz-Grundverordnung (EU-DSGVO, im folgenden auch DSGVO) mit dem Ziel, ein einheitliches europäisches Datenschutzrecht zu implementieren. Während bislang durch nationale Gesetzgebungen auf Grundlage der EU-Datenschutzrichtlinie doch erhebliche Unterschiede bestanden, wird die Datenschutz-Grundverordnung direkt geltendes Recht in allen Mitgliedsstaaten sein. Geringe Unterschiede in der Ausgestaltung sind allenfalls durch sogenannte Öffnungsklauseln zu erwarten, die nationalen Gesetzgebern eine gewisse Gestaltungsfreiheit bieten.

Nachdem im März 2016 die offizielle deutsche Fassung der EU-DSGVO erschien, fand im April 2016 die Abstimmung im Europäischen Parlament statt. Danach ist ab dem 25.05.2018 die EU-Datenschutz-Grundverordnung ausnahmslos anzuwenden.

Die Ziele der DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO) und der freie Verkehr personenbezogener Daten (Art. 1 Abs. 3 DSGVO). Die vorangestellten Ziele sollen durch die in Art. 5 DSGVO festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden:

  1. Rechtmäßigkeit
  2. Treu und Glauben
  3. Transparenz
  4. Zweckbindung
  5. Datenminimierung
  6. Richtigkeit
  7. Speicherbegrenzung
  8. Integrität und Vertraulichkeit
  9. Rechenschaftspflicht.

Die Datenschutz-Grundverordnung definiert neben altbekannten Pflichten auch neue Anforderungen für Unternehmen im Bereich Datenschutz. Eine positive Neuerung ist z.B. die Pflicht zu verbraucher- und datenschutzfreundlichen Voreinstellungen bei elektronischen Geräten. Allerdings werden verschiedene Pflichten zu einem deutlichen Mehraufwand seitens der Unternehmen führen, so z.B. die Pflicht zur Datenschutz-Folgenabschätzung sowie die sich daran evtl. anschließende Konsultation der zuständigen Aufsichtsbehörde.

Datenschutzkonforme Datenverarbeitung

Schaubild zu wesentlichen Inhalten 

Checkliste zur DSGVO

Grundlegende Fragen auf einen Blick

Unsere Datenschutz-Spezialisten haben für Sie einen Fragenkatalog zusammengestellt, der auf einige der wichtigsten Inhalte der DSGVO abzielt.
Sie haben darüber hinaus Informationsbedarf? Gerne beantworten wir Ihre Fragen persönlich: Ihr Ansprechpartner für alle Fragen rund um die Datenschutz Grundverordnung ist Herr Ralf Derichs (rderichs@abakus.de), Telefon: +49 7529 8310 176

Bestandsaufnahme

  1. Haben Sie alle Ihre Geschäftsabläufe, bei denen personenbezogene Daten verarbeitet werden, in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen (Art. 30 DSGVO)?
  2. Wird dieses Verzeichnis regelmäßig aktualisiert?
  3. Wer ist hierfür in Ihrem Unternehmen zuständig?

Zulässigkeit der Verarbeitung

  1. Haben Sie für alle Verarbeitungen eine Rechtsgrundlage nach der neuen Rechtslage (Art. 6 – 11 DSGVO)?
  2. Haben Sie dies dokumentiert?
  3. Haben Sie Ihre Einwilligungserklärungen für Kunden und Interessenten an die Anforderungen von Art. 7 und 13 DSGVO angepasst (erweiterte Informationspflichten und Widerruf)?

Rechte der Betroffenen

  1. Werden die betroffenen Personen über die Verarbeitung in einfacher und klarer Sprache informiert (Art. 12 DSGVO)?
  2. Werden die Rechte aus Art. 15 DSGVO beachtet (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit)?

Sicherheit der Verarbeitung 

  1. Setzen Sie oder Ihre Dienstleister technische und organisatorische Maßnahmen ein, die ein dem Verarbeitungsrisiko angemessenes Schutzniveau gewährleisten (Art. 32 DSGVO)?
  2. Setzen Sie Pseudonymisierungs-, Anonymisierungs- oder Verschlüsselungsverfahren ein?
  3. Haben Sie für die von Ihnen eingesetzten IT-Anwendungen jeweils ein dokumentiertes Rollen- und Berechtigungskonzept?
  4. Wie stellen Sie sicher, dass bei Änderungen oder Neuentwicklung von Produkten oder Dienstleistungen der Datenschutz berücksichtigt wird (Art. 25 DSGVO)? 

Verträge prüfen

  1. Haben Sie ihre bestehenden Verträge mit Auftragsdatenverarbeitern an die neuen Regelungen (Art. 26 – 28 DSGVO) angepasst?

Datenschutz-Folgeabschätzung

  1. Führt Ihr Unternehmen Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten betroffener Personen durch (Art. 35 DSGVO)?
  2. Haben Sie die erforderliche Datenschutz-Folgeabschätzung als Prozess in Ihrem Unternehmen eingeführt?
  3. Wer ist für diesen Prozess zuständig?

Meldepflichten

  1. Haben Sie in Ihrem Unternehmen einen Prozess zur Meldung von Datenschutzverstößen an die Aufsichtsbehörde eingeführt (Art. 33 DSGVO)?

Dokumentation

  1. Können Sie die Einhaltung aller vorstehend genannten Pflichten und Anforderungen schriftlich nachweisen?
  2. Wie stellen Sie sicher, dass Ihre Dokumentation immer auf dem neuesten Stand ist?

Erweiterte Dokumentationspflichten

Lückenlose Dokumentation als Kernelement der DSGVO

Mit Inkrafttreten der Datenschutz-Grundverordnung unterliegt Ihr Unternehmen einer erweiterten Dokumentationspflicht. Das bedeutet, dass die Dokumentationsanforderungen der DSGVO nun deutlich weiter gefasst sind als die Anforderungen des BDSG und Verstöße wesentlich strenger sanktioniert werden.

Mit der DSGVO ändert sich der Fokus der Dokumentation grundlegend. Statt weiterhin – im Sinne des BDSG – „nur“ eine praxisorientierte Übersicht von Vorgängen und Verfahren zu sein, dient sie künftig dem Nachweis, dass die gesetzlichen Vorschriften auf jeder Stufe der Datenverarbeitung eingehalten wurden.

Nach dem Willen des Gesetzgebers soll das Verzeichnis von Verarbeitungstätigkeiten es der zuständigen Aufsichtsbehörde ermöglichen, die Verarbeitungsvorgänge des Unternehmens lückenlos zu kontrollieren (Art. 30 Abs. 4 DSGVO). Zu diesem Zweck muss ein Unternehmen das Verzeichnis bei Bedarf der Aufsichtsbehörde in schriftlicher oder elektronischer Form zur Verfügung stellen.

Art. 30 Abs. 5 DSGVO befreit zwar einige Unternehmen von der Pflicht, ein Verzeichnis der Verarbeitungstätigkeiten zu führen, z.B. dann, wenn sie weniger als 250 Mitarbeiter beschäftigen. Die in der Datenschutz-Grundverordnung genannten Ausnahmeregelungen kommen aber bereits dann nicht zur Anwendung, wenn eine Verarbeitung personenbezo-gener Daten öfter als nur gelegentlich erfolgt.

Waren also in Zeiten des BDSG z.B. kleine Handwerksbetriebe oder Arztpraxen von Melde- und Dokumentationspflichten weitgehend befreit, so entsteht nun nach Art. 30 DSGVO für sie derselbe bürokratische Aufwand wie für große Unternehmen. 

Ein Verstoß gegen die neuen Dokumentationspflichten wird teuer, denn die Datenschutz-Grundverordnung erhöht die Sanktionsandrohung für einen Verstoß gegen die Aufzeichnungs- und Mitteilungspflichten auf Basis von Art. 30 DSGVO enorm. Art. 83 Abs. 4 Buchst. a DSGVO sieht vor, dass die Aufsichtsbehörden Verstöße mit einem Bußgeld von bis zu 10.000.000 € bzw. bis zu 2 % des gesamten Jahresumsatzes, den das Unternehmen im vorangegangenen Jahr weltweit erzielt hat, ahnden können.

Neu ist, dass künftig der Auftragsverarbeiter, also der frühere Auftragsdatenverarbeiter, nach Art. 30 Abs. 2 DSGVO ebenso verpflichtet ist, „ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung“ zu führen.

Die Angaben darin sind reduziert auf Namen und Kontaktdaten des Auftragsverarbeiters, die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden, gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland und wenn möglich, eine allgemeine Beschreibung der technisch-organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO.

Alle im Verzeichnis der Verarbeitungstätigkeiten aufgeführten Prozesse müssen zukünftig in regelmäßigen Abständen daraufhin überprüft werden, ob sie tatsächlich so ablaufen wie ursprünglich festgestellt und dokumentiert.

Hinzu kommt die „Rechenschaftspflicht“ (Art. 5 Abs. 2 DS- GVO), nach der jeder Verantwortliche nachzuweisen hat, dass die Datenverarbeitung zu jeder Zeit rechtskonform erfolgt(e). Das bedeutet, dass Ihr Verzeichnis der Verarbeitungstätigkeiten eine Historie enthalten sollte, die entsprechend gepflegt wird. Nur so können Sie auch für zurückliegende Zeiträume nachweisen, dass die verantwortliche Stelle die Vorgaben aus der Grundverordnung eingehalten hat.

Datenschutz-Folgenabschätzung

"Was wäre wenn …" als Aspekt unternehmerischer Verantwortung

Generell ist die Folgenabschätzung künftig immer dann durchzuführen, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. "Voraussichtlich hohes Risiko" ist ein unbestimmter Rechtsbegriff.
Er kann wegen des weiten Interpretationsspielraums in der Praxis zu erheblichen Rechtsunsicherheiten führen. 

Die Datenschutz-Folgenabschätzung nach Art. 35 und 36 DSGVO löst das System der Vorabkontrolle nach § 4d Abs. 5 und 6 Bundesdatenschutzgesetz (BDSG) ab.

Art. 35 Abs. 3 DSGVO nennt einige konkrete Beispiele für die Folgenabschätzung wie Profiling, Verarbeitung von Gesundheitsdaten und die systematische, umfangreiche Überwachung öffentlich zugänglicher Bereiche. Eine Folgenabschätzung ist also nötig etwa bei Systemen, die automatisiert die Persönlichkeit von Arbeitnehmern bewerten, bei biometrischen Zugangserkennungssystemen oder bei einer Videoüberwachung.

Nach Art. 35 Abs. 4 DSGVO sind die Aufsichtsbehörden verpflichtet, in der Positivliste alle Verarbeitungen aufzuführen, die stets eine Folgenabschätzung erfordern. Steht ein Verfahren aber nicht auf der Positivliste, muss der Verantwortliche individuell prüfen, ob im Einzelfall eine Folgenabschätzung nötig ist, weil das Verfahren hohe Risiken für die Persönlichkeitsrechte der betroffenen Personen aufweist. Die Verantwortung hierfür liegt allein beim Verantwortlichen. Die Nichtdurchführung der Folgenabschätzung ist ein Bußgeldtatbestand.

Die Aufsichtsbehörden können nach Art. 35 Abs. 5 DSGVO auch sogenannte Negativlisten erstellen. Negativlisten enthalten Verarbeitungen, für die keine Folgenabschätzung durchzuführen ist. Es bleibt abzuwarten, ob die Aufsichtsbehörden von den Negativlisten Gebrauch machen. Möglich wäre auch, dass sie dieses Instrument nicht nutzen, um kein falsches Signal zu senden, indem bestimmte Verfahren als generell ungefährlich deklariert werden. Bisher liegen weder Positiv- noch Negativlisten vor. Sie werden nicht vor Frühsommer 2018 verfügbar sein.

In Zweifelsfällen kann sich ein Unternehmen direkt an die zuständige Aufsichtsbehörde wenden. Dort erhält es dann eine Einschätzung, ob es für eine konkrete Verarbeitung eine Folgenabschätzung durchführen muss. Aber Achtung: Auch diese Einschätzung ist nicht verbindlich, sondern nur eine Empfehlung.

Wenn sich ein Verfahren ändert, ist eine neue Überprüfung erforderlich. Art. 35 Abs. 11 DSGVO verlangt, dass der Verantwortliche feststellt, ob die Verarbeitung nach der Änderung immer noch der Risikoabwägung für das frühere Verfahren entspricht. Ist das nicht der Fall, muss er die Folgenabschätzung wiederholen.

Eine Regelung für Altverfahren aus dem BDSG enthält die DSGVO nicht. Überprüfen Sie daher vorsorglich die bestehenden Verfahren darauf, ob hier eine Folgenabschätzung notwendig ist. Sie sollte dann bis Mai 2018 erfolgen.

Meldepflichten

Meldungen an die Aufsichtsbehörden werden neu geregelt

Die EU-Datenschutz-Grundverordnung (DSGVO) erweitert die bislang nach Bundesdatenschutzgesetz vorgesehenen Meldepflichten für Datenschutzverletzungen um ein Vielfaches.

Bereits das Bundesdatenschutzgesetz (BDSG) hatte in § 42a besondere Meldepflichten vorgesehen. Sie griffen, wenn beispielsweise Gesundheitsdaten oder Bankdaten einem unberechtigten Dritten gegenüber offengelegt wurden und diese Offenlegung negative Folgen für den jeweils Betroffenen nach sich ziehen konnte.

Die Meldung musste gegenüber der Datenschutz-Aufsichtsbehörde erfolgen, die für die verantwortliche Stelle zuständig ist, und gegebenenfalls gegenüber den Betroffenen. 

Art. 33 und 34 Datenschutz-Grundverordnung (DSGVO) erweitern diese Meldepflichten.
Der Katalog der meldepflichtigen Datenschutzverletzungen ist wesentlich umfangreicher.
Die Meldepflichten sind innerhalb bestimmter Fristen zu erfüllen und Auftragsverarbeiter müssen Meldungen an den Auftraggeber machen.

Unternehmen müssen daher sämtliche Prozesse überarbeiten, einschließlich beispielsweise der Formulare, die die Mitarbeiter bislang zur Meldung einer Datenschutzverletzung genutzt haben.

Darüber hinaus ist zu prüfen, ob die mit den Auftragsverarbeitern geschlossenen Auftragsverarbeitungsverträge den neuen Anforderungen genügen, oder ob Anpassungen erforderlich sind.

Die Meldepflicht der Grundverordnung ist nicht mehr auf bestimmte Datenarten beschränkt. Damit gilt zunächst jeder Umgang, der – unbeabsichtigt oder beabsichtigt –  zu einem unrechtmäßigen Zugriff auf die Daten führt, als Datenschutzverletzung.

Das umfasst unter anderem Vorfälle, die zu einer Verletzung der Sicherheit der verarbeiteten personenbezogenen Daten führen. Das kann eine Vernichtung der Daten sein, ihr Verlust, eine Veränderung, eine unbefugte Offenlegung oder ein unbefugter Zugang zu den Informationen.

Eine unrechtmäßige Offenlegung kann sich zum Beispiel ergeben, wenn ein Kunde der Weitergabe seiner Daten an einen Dritten nicht zugestimmt hat und es keinen anderen rechtlichen Grund für die Weitergabe gibt. Möglicherweise ist die Weitergabe nicht erforderlich für die Erfüllung eines Vertrags, oder es existiert keine Betriebsvereinbarung, die die Weitergabe erlaubt.

Beispiele für Datenschutzverletzungen 

  • Hackerangriff auf die IT-Systeme und Abzug von Daten
  • versehentlicher elektronischer Versand einer unverschlüsselten Liste mit Daten an einen unrechtmäßigen Empfänger
  • fehlerhafte Verteilung von Zugriffsberechtigungen auf Laufwerke
  • Verwendung von geschäftlichen Daten für private Zwecke
  • Verlust oder Diebstahl des Laptops oder eines anderen Datenträgers, wenn die Daten darauf nicht oder nicht ausreichend verschlüsselt sind
  • Verlust oder Diebstahl einer Videokamera und des Aufzeichnungsmaterials
  • Veröffentlichungen von Daten im Internet aufgrund eines technischen Fehlers 

Die Meldepflicht gegenüber den zuständigen Datenschutzaufsichtsbehörden erfordert das Vorliegen eines Risikos für den Betroffenen. Die Meldepflicht gegenüber den jeweils Betroffenen erfordert das Vorliegen eines hohen Risikos für die Betroffenen.

Ein Risiko liegt immer dann vor, wenn sich daraus ein wie auch immer gearteter Schaden für den Betroffenen ergibt. Dieser Schaden kann physisch, materiell oder auch immateriell sein.

Als Beispiele führt der Gesetzgeber u.a. an:  

  • den Verlust der Kontrolle über die Daten
  • eine mögliche Rufschädigung
  • ein Identitätsdiebstahl oder -betrug (zum Beispiel durch Missbrauch von Passdaten)
  • finanzielle Verluste
  • Verlust der Vertraulichkeit bei Daten, die einem Berufsgeheimnis unterliegen, die also zum Beispiel bei Ärzten oder Rechtsanwälten gespeichert sind
  • andere erhebliche wirtschaftliche bzw. gesellschaftliche Nachteile

In der Regel ergibt sich eine Meldepflicht gegenüber den zuständigen Datenschutzaufsichtsbehörden, sobald das Unternehmen von der Datenschutzverletzung Kenntnis erlangt. Nur in ganz wenigen Ausnahmefällen wird keine Verletzung vorliegen. Das könnte beispielsweise der Fall sein, wenn es sich um öffentlich zugängliche Daten handelt, die jedermann im Internet abrufen kann.

Der Gesetzgeber erleichtert die Beurteilung, ob ein hohes Risiko vorliegt: Er zählt in Art. 34 Abs. 3 DSGVO Fälle auf, in denen die Benachrichtigung des Betroffenen entbehrlich ist bzw. unter erleichterten Umständen erfolgen kann: 

  • Die technisch-organisatorischen Sicherheitsvorkehrungen, die das Unternehmen umgesetzt hat, sind geeignet, um die Rechte des Betroffenen zu schützen, etwa durch den Einsatz von Verschlüsselungsverfahren für Datenträger.
  • Das Unternehmen stellt nach dem Vorfall sicher, dass keine hohen Risiken mehr für den Betroffenen bestehen.
  • Die Benachrichtigung ist mit unverhältnismäßig hohem Aufwand verbunden. In diesem Fall reicht eine öffentliche Bekanntmachung, etwa durch eine Anzeige im Internet oder in Tageszeitungen. Die öffentliche Bekanntmachung wird in der Praxis wohl wenig Anklang finden.

Die Beurteilung, ob und welches Risiko vorliegt, sollte das Unternehmen dokumentieren. Dabei sollte es den Datenschutzbeauftragten einbeziehen. Hier empfiehlt es sich, ein entsprechendes Formblatt zu nutzen.

Nach Art. 33 Abs. 3 DSGVO muss die Meldung an die Aufsicht mindestens die folgenden Informationen enthalten:

  • kurze Beschreibung der Datenschutzverletzung: Wie, warum bzw. auf welche Art wurde der Datenschutz verletzt?
  • soweit möglich: Angaben zu den Datenkategorien, der Anzahl der Datensätze, den Kategorien von Betroffenen und der Anzahl der betroffenen Personen
  • Kontaktdaten des Datenschutzbeauftragten
  • mögliche Folgen der Datenschutzverletzung
  • Zeitpunkt, an dem das Unternehmen die Verletzung festgestellt hat
  • Beschreibung der Maßnahmen, die das Unternehmen getroffen hat, um die Folgen zu beheben oder abzumildern

Die Meldung hat unverzüglich, spätestens innerhalb von 72 Stunden nachdem die Verletzung dem Unternehmen bekannt geworden ist, zu erfolgen, so Art. 33 Abs. 1 DSGVO.
Bei einer verspäteten Meldung muss das Unternehmen eine Begründung beifügen.

Die Meldung kann auch schrittweise erfolgen, wenn der Verantwortliche nicht alle Informationen in der gesetzlich festgelegten Meldefrist bereitstellen kann (Art. 33 Abs. 4 DSGVO).

Das Unternehmen muss die Mitarbeiter über den Umgang mit Datenschutzverletzungen informieren, ein Formblatt entwerfen, das die Mitarbeiter ausfüllen können, Berichtslinien festlegen und jeweils Verantwortliche bestimmen, die in den Prozess mit einzubeziehen sind. 

Auftragsverarbeitung

Datenverarbeitung durch externe Dienstleister

Die EU-Datenschutz-Grundverordnung bringt nicht nur für Unternehmen generell, sondern speziell für Auftragsdatenverarbeiter Neuerungen. Wachsende Bedeutung hat die Zertifizierung von Auftragsdatenverabeitern im Rahmen eines sogenannten Datenschutzaudits.

Daten weiterzugeben, ist sowohl nach dem Bundesdatenschutzgesetz (BDSG) als auch nach der kommenden Datenschutz­-Grundverordnung (DSGVO) zulässig, wenn es gesetzlich erlaubt ist oder der Betroffene eingewilligt hat.

In der Praxis gibt es zwei Arten der Datenweitergabe:

Auftragsverarbeitung

Der Auftraggeber bedient sich eines Dritten, um bestimmte Datenverarbeitungen durchzu­führen. Er entscheidet als „Herr der Daten“, wie der Empfänger mit den Daten umgeht. Die Daten gehören allein dem Auftraggeber. Der Auftragsverarbeiter ist nur eine ausgelagerte Stelle des Auftraggebers. Auftragsverarbeiter können z.B. Rechenzentren sein.

Funktionsübertragung

Der Empfänger nutzt die Daten für eigene Zwecke und kann eigenständig über den Um­gang mit den Daten entscheiden. Betroffene wenden sich an ihn. Allein der Empfänger ist dafür verantwortlich, dass der Umgang mit den Daten zulässig ist. Eine Funktionsübertragung kann z.B. vorliegen, wenn ein Unternehmen Daten an einen Rechtsanwalt weitergibt, damit er Forderungen für das Unternehmen anmahnt und einzieht.

Auch künftig muss der Verantwortliche vor einer Weitergabe der Daten prüfen, ob eine Auftragsverarbeitung oder eine Funktionsübertragung vorliegt.

Geht es um eine Auftragsverarbeitung, muss der Verantwortliche einen Vertrag abschließen, der klar regelt, wie der Auftragnehmer mit den Daten umzugehen hat. Bevor überhaupt ein Vertrag zustande kommt, ist der Auftraggeber wie bisher verpflichtet, den Auftragsverarbeiter sorgfältig auszuwählen (Art. 28 Abs. 1 DSGVO).

Seine Wahl muss auf einen Auftragsverarbeiter fallen, der hinreichende Garantien für geeignete technisch­organisatorische Maßnahmen bietet, die die Daten angemessen schützen.

Maßstäbe für die Auswahl sind u.a.

  • das Fachwissen,
  • die Zuverlässigkeit und
  • die Ressourcen des Auftragsverarbeiters.

Die DSGVO sieht abweichend vom BDSG nicht mehr vor, dass der Auftraggeber den Auftragsverarbeiter vor Beginn der Verarbeitung und sodann regelmäßig kontrollieren muss.

Doch auch wenn die Kontrollpflichten entfallen, muss der Auftraggeber als verantwortliche Stelle seinen Rechenschaftspflichten nachkommen (Art. 5 Abs. 2 DSGVO). 

Er muss also nachweisen,

  • dass er eine sorgfältige Auswahl getroffen hat und
  • dass im Vertrag die technisch­organisatorischen Maßnahmen ausreichend dokumentiert bzw. umgesetzt sind.

Der Auftragsverarbeiter ist wie bisher verpflichtet, Daten weisungsgebunden zu verarbeiten. Der Vertrag muss den Umfang der Weisungsbefugnisse festlegen (Art. 28 Abs. 3 und Art. 29 DSGVO). Die Dokumentationspflicht gilt auch für Weisungen des Auftraggebers.

Der Vertrag muss regeln, dass der Auftragsverarbeiter

  • nur Personen bei der Verarbeitung einsetzen darf, die zur Verschwiegenheit verpflichtet sind bzw. einer gesetzlichen Verschwiegenheit unterliegen (Art. 28 Abs. 3 Buchst. b DSGVO). Diese Pflicht geht über § 5 BDSG (Datengeheimnis) leicht hinaus, da sich letztere nur auf den Umgang mit Daten bezieht.
  • die nach Art. 32 DSGVO erforderlichen technisch­organisatorischen Maßnahmen zu ergreifen hat (Art. 28 Abs. 3 Buchst. c DSGVO).
  • die Daten nach Ende des Auftrags nach Wahl des Auftraggebers zurückzugeben oder zu vernichten hat. Ausnahme: Pflicht zur Speicherung (Art. 28 Abs. 3 Buchst. g DSGVO).

Genehmigte Zertifizierungsverfahren

Diesen Themenbereich regelt § 9a BDSG unter dem Stichwort „Datenschutzaudit“ in kürzerer Form. Da es nie zu einer weiteren gesetzlichen Regelung gekommen und so das Audit im BDSG nicht ausgestaltet ist, handelt es sich bei der Vorschrift in Art. 42 DSGVO um eine wesentliche Änderung.

Wie bereits beschrieben, kann die Einhaltung solcher Verfahren dem Auftraggeber als Nachweis dienen, dass der Auftragsverarbeiter die Anforderungen der DSGVO umsetzt.

Mit genehmigten Zertifizierungsverfahren können auch Verantwortliche oder Auftragsverar­beiter, die nicht den Regelungen der Datenschutz-­Grundverordnung unterstehen, einen solchen Nachweis erbringen.

Wie kann die abakus it AG Ihnen helfen?

Die abakus it AG ist zertifizierter Auftragsverarbeiter nach DSGVO

Mit der erfolgreichen ADV-Zertifizierung nach DSGVO (Audit: 16.04.2018) sind wir Auftragsverarbeiter im Sinne der DSGVO. Das bedeutet für Sie: Beauftragen Sie uns mit dem Handling Ihrer Daten, so weisen wir Ihnen gegenüber nach, dass bei uns die nach Art. 32 DSGVO erforderlichen technisch-organisatorischen Maßnahmen zum Datenschutz umgesetzt sind. 

So unterstützen wir Sie beim Nachweis, dass Ihr Unternehmen DSGVO-konform arbeitet – im Sinne der Beweislastumkehr. 

Im Rahmen einer Zusammenarbeit bzw. Beauftragung bieten wir Ihnen darüber hinaus u.a. die folgenden Leistungen:

  1. Überprüfung der Einhaltung der DSGVO bei der automatisierten Datenverarbeitung
  2. Übernahme von im Sinne des Datenschutzes kritischen Systemen in unser Rechenzentrum
  3. Vor-Ort-Unterstützung durch unsere Engineering Spezialisten zur Absicherung Ihrer IT-Infrastruktur und möglicher Risiken (Privacy by Design)
  4. Lieferung von Sicherheitssystemen – von der Planung bis hin zur Umsetzung hierbei z. B. Einrichtung eines ISMS (Informations-Sicherheits-Management-System), Managed Firewall Service, Hosted WebApplication Firewall, Hosted Token Service