Die EU Datenschutzgrundverordnung oder kurz die DS-GVO ist in aller Munde und bedeutet die größte Veränderung von Datenschutzanforderungen für Unternehmen in den letzten 20 Jahren. Eine Vielzahl von Anforderungen für die Verarbeitung personenbezogener Daten ändert sich, Rechtsgrundlagen ändern sich, Bußgelder erhöhen sich. Damit Sie die Übergangsfrist zur Umsetzung bis zum 25.05.2018. nutzen können, informieren wir Sie hier über die wichtigsten Änderungen. Nach dem Lesen des Artikels kennen Sie die wesentlichen Änderungen und erhalten Impulse für eine Herangehensweise zur Erfüllung der neuen Anforderungen.
EU Datenschutzgrundverordnung: Was sich für Unternehmen ändert
Durch die EU Datenschutzgrundverordnung kommen neue Anforderungen auf Unternehmen hinzu. Das positive ist, dass die Änderungen im Vergleich zu anderen europäischen Ländern überschaubar bleiben, da der Datenschutz in Deutschland bereits stärker umgesetzt wurde, als dies in anderen europäischen Ländern der Fall ist. Was ändert sich nun für Unternehmen?
Art. 5 und Art. 6: Was ändert sich durch veränderte Grundsätze der Datenverarbeitung und durch neue Rechtsgrundlagen?
Grundsätze wie Transparenz und Zweckbindung waren bereits im BDSG berücksichtigt. Andere Grundsätze wie Datenminimierung gab es in ähnlicher Form bereits als Datensparsamkeit. Weitere Grundsätze sind Rechtmäßigkeit, Treu und Glauben, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit und Rechenschaftspflicht. Anhand der Grundsätze wird bereits deutlich, dass neben Bekanntem der technische Schutz der Daten und Informationspflichten wichtiger werden.
Neben den Grundsätzen verändern sich die Rechtsgrundlagen für die Datenverarbeitung. Im BDSG gab es spezifische Rechtsgrundlagen insbesondere für die Datenverarbeitung für Geschäftszwecke (§ 28 BDSG) oder für das Beschäftigungsverhältnis (§ 32 BDSG). Vorerst (bis das Datenschutz-Anpassungs- und Umsetzungsgesetz EU oder DSAnpUG-EU in Kraft tritt) sind die Rechtsgrundlagen gröber gefasst und die Interessenabwägung bekommt mehr Bedeutung.
Was ist zu tun: Überprüfung der Prozesse auf die veränderten Grundsätze und die Rechtsgrundlagen, z. B. über die (hoffentlich) schon vorhandenen Verfahrensbeschreibungen.
Art. 7: Welche Änderungen gibt es für die Einwilligung?
Einwilligungserklärungen müssen zukünftig verständlich, leicht zugänglich und in klarer und einfacher Sprache sein. Ein Widerruf muss jederzeit möglich sein. Für die Einwilligungserklärungen für Kinder gelten höhere Anforderungen.
Was ist zu tun: Überprüfung der Prozesse mit Einwilligungserklärungen, ob diese im Einklang zu den neuen Regelungen stehen.
Art. 12 und 13: Was ändert sich im Umgang mit Auskunft- und Informationspflichten an Betroffene?
Wie bisher auch müssen Betroffenenanfragen von z. B. Kunden, Lieferanten, Spendern, Mitarbeitern etc. beantwortet werden und zwar innerhalb von 1 Monat (mit Option auf Verlängerung in komplexen Fällen). Anfragen sind weiterhin kostenlos zu beantworten, sofern diese nicht unbegründet und in überhöhter Anzahl gestellt werden. Die Identität ist ebenfalls zu prüfen, um Datenübermittlungen an Unbefugte auszuschließen.
Zukünftig werden die Informationspflichten für Datenverarbeitungen verschärft, so muss beispielsweise bereits bei der Datenerhebung (z. B. der Anmeldung für einen Service auf einer Webseite) über verschiedene Informationen hingewiesen werden:
- Name und Kontaktdaten des Unternehmens, Kontaktdaten des Datenschutzbeauftragten (optional), Zwecke und Rechtsgrundlagen, berechtigte Interessen, Empfänger der personenbezogenen Daten (optional), Übermittlungen in Drittländer
- Dauer der Datenspeicherung und Kriterien für Speicherung der Daten, Recht auf Auskunft, Berichtigung oder Löschung, Recht auf Datenübertragbarkeit, Widerruf einer Einwilligung, Beschwerderecht bei einer Aufsichtsbehörde, ob personenbezogene Daten gesetzlich oder vertraglich vorgeschrieben sind oder für einen Vertragsabschluss erforderlich sind, ob automatisierte Entscheidungsfindung einschließlich Profiling stattfindet.
- Informationen zu Zweckänderungen
Was ist zu tun: Überprüfung des Prozesses zur Beantwortung von Betroffenenanfragen und Überprüfung von Kontaktpunkten zur Datenerhebungen (z. B. Webseite, Kundenportal, Bewerbungsportal), ob dort ausreichende Hinweis zur Datenverarbeitung berücksichtigt sind.
Art. 20: Was bedeutet das Recht auf Datenübertragbarkeit?
Dieses neue Recht ist dafür gedacht, dass ein Kunde seine Daten bei einem Anbieterwechsel mitnehmen kann. Derzeit fehlen hier noch entsprechende Erfahrungen wie dies umzusetzen ist, ob z. B. ein Export per *csv-Format ausreichend ist.
Was ist zu tun: Berücksichtigung von Exportfunktionen in eigenentwickelter Software, wenn diese Kunden zur Nutzung angeboten wird. Da es noch keine praktischen Erfahrungen gibt, sind aufwändigere Maßnahmen vorsichtig abzuwägen.
Art. 24: Welche allgemeinen Pflichten gibt es für datenverarbeitende Stellen?
Jedes Unternehmen, jede Personengesellschaft oder jeder Verein, welche Daten verarbeiten, müssen für den Umgang mit personenbezogenen Daten sicherstellen, dass Schutzmaßnahmen zum Schutz personenbezogener Daten zu treffen sind. Nun sind auch Eintrittswahrscheinlichkeiten und Schadensausmaß zu berücksichtigen.
Was ist zu tun: Berücksichtigung von Eintrittswahrscheinlichkeiten und Schadensausmaß bzw. Risikobewertungsansätzen für Datenverarbeitungsprozesse. Sofern aufgrund der Sensibilität, der Art der Daten oder des Ausmaß potentielle Risiken eines Datenschutzvorfalls relevant erscheinen, sind die Schutzmaßnahmen zu verbessern.
Art. 25: Was bedeutet Datenschutz durch Technikgestaltung bzw. durch datenschutzfreundliche Voreinstellungen?
Unternehmen müssen durch technische und organisatorische Schutzmaßnahmen sicherstellen, dass Verarbeitungsvorgänge möglichst datensparsam (Datenminimierung) abgewickelt werden. Außerdem müssen Voreinstellungen datenschutzfreundlich sein, so dass erste nach aktivem Handeln die Daten durch den Betroffenen einem breiteren Personenkreis zugänglich gemacht werden.
Was ist zu tun: In allen bestehenden und insbesondere bei zukünftigen Datenverarbeitungsprozessen ist darauf zu achten, dass diese datensparsam gestaltet sind. Konkret bedeutet das, dass z.B. in der Softwareentwicklung zwischen Pflichtangaben und optionalen Angaben in Eingabemasken differenziert wird. Datenschutzfreundliche Voreinstellungen können durch eng zugeschnittene Zugriffsrechte erzielt werden, so dass generell nur unbedingt erforderliche Inhalte eingesehen werden können.
Art. 28: Welche Änderungen gibt es bei der Auftragsdatenverarbeitung?
Die erste Änderung besteht in einer Namensänderung. Aus der Auftragsdatenverarbeitung wird die Auftragsverarbeitung. Wie bisher auch, sind verschiedene vertragliche Regelungen zu treffen und die technischen und organisatorischen Maßnahmen zu prüfen, um festzustellen, ob der Auftragnehmer eine angemessen sichere Auftragsdurchführung sicherstellen kann. Zu einer Verschärfung kommt es bei der Beauftragung von Subunternehmern: Diese müssen zukünftig immer durch den Auftragnehmer genehmigt werden!
Was ist zu tun: Die bestehenden Auftragsverhältnisse als Auftraggeber (z.B. Nutzung von SaaS-Dienstleistern, Entsorgungsdienstleister, externe Administration und Wartung) sind zu überprüfen. Die Vereinbarungen sind auf die neuen gesetzlichen Anforderungen anzupassen!
In der Rolle als Auftragnehmer empfiehlt sich ebenfalls eine Überarbeitung der eigenen Unterlagen, z.B. einer eigenen Vereinbarung über eine Aufragsdatenverarbeitung und die Anpassung der Anlage der technischen und organisatorischen Maßnahmen auf die neuen Inhalte / Begrifflichkeiten.
Art. 30: Welche Änderungen gibt es bei den internen Verfahrensbeschreibungen bzw. beim öffentlichen Verfahrensverzeichnis?
Bislang gab es die Anforderung für Unternehmen, dass für alle Datenverarbeitungsprozesse sogenannte Verfahrensverzeichnisse mit gesetzlich definierten Inhalten zu erstellen sind, die den Verarbeitungsprozess auf die Einhaltung von Datenschutzanforderungen abprüfen. Neuerdings besteht diese Pflicht nur noch für Unternehmen mit mehr als 250 Mitarbeitern oder wenn besondere Risiken durch Datenverarbeitungen für Betroffene bestehen. Das öffentliche Verfahrensverzeichnis entfällt hingegen und ist keine gesetzliche Anforderung mehr.
Was ist zu tun: Auf den ersten Blick scheint die Änderung eine Entlastung für kleine und mittelgroße Unternehmen zu sein. So wird auch offiziell von einer Vereinfachung gesprochen. Dieser Betrachtung können wir uns jedoch nicht anschließen. Durch die steigenden Dokumentations- und Nachweispflichten sind die Verfahrensverzeichnisse auch weiterhin ein zentrales und sehr wertvolles Instrument und somit weiterhin als Dokumentationsnachweis von zentraler Bedeutung. Wir empfehlen daher, auch weiterhin die Verfahrensverzeichnisse zu verwenden.
Auf das öffentliche Verfahrensverzeichnis kann verzichtet werden und dieses von der Homepage entfernt werden, sofern es dort aufgeführt war.
Art. 32: Müssen Unternehmen höhere Schutzmaßnahmen zum Schutz der IT treffen?
Unternehmen mussten bereits bisher „angemessene technische und organisatorische Maßnahmen“ zum Schutz von personenbezogenen Daten treffen. Die Anforderungen werden durch die DS-GVO weiter geschärft. Schutzmaßnahmen müssen dem Stand der Technik entsprechen und die Verhältnismäßigkeit von Maßnahmen ist im Hinblick auf Implementierungskosten und dem Ausmaß der Datenverarbeitung und der verarbeiteten Daten zu berücksichtigen. Zusätzlich steigt die Bedeutung der Risikoorientierung durch Berücksichtigung von Eintrittswahrscheinlichkeit und Schwere des Risikos für die Verarbeitungsabläufe. Generell steigt die Bedeutung von ISMS-Systemen (Informationssicherheitsmanagement Systemen).
Was ist zu tun: Die vorhandenen Dokumentationen zu den technischen und organisatorischen Maßnahmen sind zu überarbeiten. Dies ist erforderlich, da sich die Begrifflichkeiten der bisherigen acht Kontrollarten (Zutritt, Zugang, Zugriff, Weitergabe, Eingabe, Auftrag, Verfügbarkeit, Trennung) verändern: Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit sind die neuen Schlagworte. Es ist davon auszugehen, dass sich der Aufbau der technischen und organisatorischen Maßnahmen verändern muss, da Auftraggeber im Rahmen einer Auftragsverarbeiter nach Maßnahmen zur Erfüllung der veränderten Anforderungen abfragen werden.
Art. 33: Wie ist der Umgang mit Datenschutzvorfällen und Meldepflichten an Aufsichtsbehörden geregelt?
Derzeit ist bei schwerwiegenden Datenschutzvorfällen (z.B. Datenverlust, Datendiebstahl oder ungewollte Veröffentlichungen von besonders schützenswerten Daten, Daten die einem Berufsgeheimnis unterliegen oder die sich auf strafbare Handlungen oder Ordnungswidrigkeiten beziehen oder Bank- oder Kreditkartenkonten) eine unverzügliche Meldung an die zuständige Aufsichtsbehörde und die Betroffenen erforderlich. Mit der DS-GVO werden die Anforderungen einerseits konkretisiert und andererseits auch wieder verwässert. Nun soll „möglichst binnen 72 Stunden“ eine Meldung erfolgen, aber nur wenn der Vorfall ein Risiko für die digitale Souveränität der Betroffen darstellt.
Was ist zu tun: Wir gehen derzeit davon aus, dass die Regelung in ähnlicher Form wie heute anzuwenden ist. Auch wenn die neue Meldepflicht nicht mehr auf bestimmte Datenarten eingeschränkt ist, so ist durch die Betonung des Risikos für die Betroffenen davon auszugehen, dass dieses in der Regel nur bei bestimmten Daten vorliegt. Sobald erste Erfahrungswerte vorliegen, können zusätzliche Vorkehrungen getroffen werden. Wer bereits heute präventiv Vorkehrungen gegen potentielle Datenschutzvorfälle ergreift und Maßnahmen für eine kurzfristige Meldung an die Aufsichtsbehörde getroffen hat, ist gut aufgestellt.
Art. 34: Wann sind betroffene Personen bei Datenschutzverletzungen zu informieren?
Heute ist es bereits so, dass bei schwerwiegenden Datenschutzverletzungen die betroffenen Personen über den Vorfall zu informieren sind. Dies gilt, wenn beispielsweise besondere personenbezogene Daten wie Gesundheiteits- oder Religions- oder auch Bankdaten Dritten offenbart werden und dabei schwerwiegende Beeinträchtigungen für die Betroffenen drohen. Das kann z.B. bei einem erfolgreichen Hackerangriff, durch den Diebstahl von Daten eines Innentäters und den Verkauf der Daten an einen Dritten oder auch durch den Verlust eines unverschlüsselten USB-Sticks oder einer Festplatte der Fall sein.
Die Regelung der DS-GVO ist hier ähnlich. Die gesetzlichen Vorgaben sind nicht mehr ganz so detailliert, die Information der Betroffenen ist jedoch erforderlich, wenn „voraussichtlich ein hohes Risiko für die betroffene Person“ besteht. Von einer Information kann nur dann abgesehen werden, wenn durch ausreichende Schutzmaßnahmen wie z.B. Verschlüsselung oder durch nachfolgende Maßnahmen sichergestellt ist, dass kein hohes Risiko mehr besteht oder der Aufwand für eine Information zu unverhältnismäßig wäre.
Was ist zu tun: Erfahrungswerte zur Anwendung der Regelung fehlen noch. Zum aktuellen Zeitpunkt gehen wir davon aus, dass die Regelung in ähnlicher Form gilt, wie das bisher der Fall war. Insbesondere wenn die o.g. Datenarten wie Gesundheits-, Religion- oder Bankdaten betroffen sind, dann dürfte auch weiterhin eine Meldung erforderlich sein. Unternehmen sollten daher ihre bestehenden Meldeprozesse aktualisieren und ein mögliches Meldeformular mit folgenden Angaben vorbereiten:
- Platzhalter für die konkrete Datenschutzverletzung
- Name und Kontaktdaten des Datenschutzbeauftragten
- Platzhalter für die wahrscheinlichen Folgen der Datenschutzverletzung (kann bereits standardisiert vorbereitet werden)
- Platzhalter für ergriffene Schutzmaßnahmen und ggfs. Hinweise zur Abmilderung des Vorfalls.
Noch eine Anmerkung: Stellen Sie sich im Sinne eines realistischen Risikomanagements nicht die Frage, ob ein Datenschutzvorfall auftreten wird, sondern gehen Sie davon aus, dass ein solcher Datenschutzvorfall in den nächsten Jahren eintreten wird. Mit diesem Gedanken im Hinterkopf werden Sie Ihre Prozesse und Abläufe aus einer anderen Perspektive betrachten und bereits bei der Implementierung mögliche Schadensvorfälle berücksichtigen.
(Wird in Kürze fortgesetzt und ergänzt)