Neue EU-Datenschutzgrundverordnung – Teil II – Wichtiges für Unternehmen
Informationspflichten
Mit der neuen DSGVO gilt es für die Verantwortlichen zahlreiche und mittlerweile umfassendere Informationspflichten zu beachten, die insbesondere in Rahmen der jeweiligen Datenschutzerklärung zu berücksichtigen sind. Dabei sind die Informationen dem Betroffenen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.
Nach Art. 13 DSGVO haben die Unternehmen den Betroffenen zum Zeitpunkt der Erhebung personenbezogener Daten unter anderem den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters ebenso wie die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, mitzuteilen. Auch über die Dauer der Daten-Speicherung, mindestens jedoch über die Kriterien für die Festlegung dieser Dauer, ist der Betroffene zu informieren
Darüber hinaus muss der Betroffene auf die ihm zustehenden Rechte und die Möglichkeit der Geltendmachung derselben hingewiesen werden. Welche dies konkret sind, können Sie im dritten Teil unserer Reihe „Neue EU-DSGVO“ nachlesen.
Unerheblich ist in diesem Zusammenhang, ob die personenbezogenen Daten direkt beim Betroffenen selbst oder anderweitig erhoben werden, denn auch für den zweitgenannten Fall sieht die DSGVO in Art. 14 einen umfangreichen Katalog mit Informationspflichten für die Verantwortlichen vor.
Sollte die Datenschutzerklärung noch nicht alle in Art. 13 und 14 DSGVO aufgeworfenen Informationen beinhalten, so besteht Handlungsbedarf. Mandanten, welche unser Flatrate-Paket gebucht haben, erhalten soweit nötig automatisch entsprechend angepasste Rechtstexte.
Wann erfolgt die Verarbeitung personenbezogener Daten rechtmäßig?
Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn die in Art. 6 DSGVO angeführten Voraussetzungen erfüllt sind. Es ist demnach zwingend erforderlich, dass der Verarbeitungsprozess auf eine der dort genannten Rechtsgrundlagen gestützt werden kann. Darüber sowie über den Zweck der Verarbeitung hat das Unternehmen den Betroffenen zu informieren.
Hängt die Rechtmäßigkeit der Verarbeitung nach Art. 6 DSGVO von einer Einwilligung des Betroffenen ab, so hat der Verantwortliche dafür Sorge zu tragen, dass diese Einwilligung entsprechend der in Art. 7 festgelegten Vorgaben erfolgt. Insbesondere muss er einen Nachweis über die Einwilligung führen können, den Betroffenen in verständlicher und leicht zugänglicher Form aufgeklärt und auf seine Möglichkeit des Widerrufs hingewiesen haben. Bei der Einwilligung eines Kindes kann es – sofern es das sechzehnte Lebensjahr noch nicht vollendet hat – erforderlich sein, dass eine Zustimmung der Eltern erteilt wird (vgl. Art. 8 DSGVO).
Handelt es sich bei den personenbezogenen Daten gar um besonders sensible Daten nach Art. 9 DSGVO, so gilt auch hier das Regel-Ausnahme-Modell mit der Maßgabe, dass die Voraussetzungen für eine rechtmäßige Verarbeitung deutlich enger sind als bei weniger sensiblen Daten.
Welche Maßnahmen haben die Verantwortlichen zu ergreifen?
Um den gesteigerten Anforderung gerecht zu werden und das Risiko für Rechte und Freiheiten natürlicher Personen zu minimieren, haben Verantwortliche entsprechende Maßnahmen zu ergreifen. Sofern mehrere gemeinsam an der Datenverarbeitung mitwirken, ist jeder für sich Verantwortlicher im Sinne der DSGVO und hat dementsprechend diese Vorgaben zu erfüllen.
Die Verantwortlichen werden dazu angehalten, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem jeweiligen Risiko angemessenes Schutzniveau zu gewährleisten. Aufgrund des von individuellen Faktoren abhängigen Risikos, kann die Angemessenheit der Maßnahmen nicht pauschal bestimmt werden. Ihre Anforderungen bemessen sich insbesondere danach, wie hoch die Eintrittswahrscheinlichkeit und die Schwere des Eingriffs in die Rechte und Freiheiten natürlicher Personen zu beurteilen ist, in welcher Art, welchem Umfang und zu welchem Zwecke die Verarbeitung erfolgt und darüber hinaus unter Berücksichtigung des Stands der Technik.
Unter Umständen hat dies durch Anwendung geeigneter Datenschutzvorkehrungen zu erfolgen. Als grundsätzliche Maßnahmen werden dabei die Pseudonymisierung, Verschlüsselung oder die Datenbegrenzung auf solche, die für den Zweck der Verarbeitung tatsächlich erforderlich sind, genannt. Eine solche Begrenzung hat auch durch entsprechende datenschutzfreundliche Voreinstellungen zu erfolgen.
Auftragsverarbeitung
Auch künftig können die Verantwortlichen auf Auftragsverarbeiter zurückgreifen. Hierbei müssen sie sicherstellen, dass dieser hinreichend Garantien dafür bietet, dass auch der Beauftragte die Vorgaben der DSGVO einhält (vgl. Art. 28 DSGVO). Eine solche Beauftragung erfolgt in der Regel mittels eines Vertrages, wobei der Auftragsverarbeiter nur auf dokumentierte Weisungen hin tätig werden darf. Bei Gewährung eines angemessenen Datenschutzniveaus kann ein Auftrag auch in Drittstaaten erfolgen.
Verzeichnis der Verarbeitungstätigkeiten
Die Verantwortlichen sind dazu verpflichtet, ein Verzeichnis über alle Verarbeitungstätigkeiten bezüglich personenbezogener Daten zu führen. Neu ist, dass neben ihnen auch die Auftragsverarbeitenden einer solchen Pflicht unterliegen. Differenziert wird hier nur im Hinblick auf die erforderlichen Angaben, die für die Verantwortlichen (Art. 30 Abs. 1 DSGVO) ein wenig umfangreicher ausfallen als für die Auftragsverarbeiter (Art. 30 Abs. 2 DSGVO). Den Zweck der Datenverarbeitung haben beispielsweise nur die Verantwortlichen zu dokumentieren. Eine Befreiung kommt lediglich bei Vorliegen der weiteren Voraussetzungen des Art. 30 Abs. 5 DSGVO für Unternehmen in Betracht, die weniger als 250 Mitarbeiter beschäftigen.
Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten
Ereignet sich trotz entsprechender Sicherheitsvorkehrungen eine Verletzung des Schutzes personenbezogener Daten, so hat der Verantwortliche dies unverzüglich der Aufsichtsbehörde zu melden. Welche Angaben bei einer derartigen Meldung zwingend erforderlich sind, ist Art. 33 DSGVO zu entnehmen. Demnach müssen beispielsweise die Art der Verletzung, die Namen der betroffenen Personen sowie eine Beschreibung der wahrscheinlichen Folgen der Verletzung und auch Vorschläge, wie die Behebung der Verletzung des Schutzes personenbezogener Daten erfolgen könnte, angegeben werden.
Neben der Aufsichtsbehörde muss unter Umständen auch die betroffene Person von der Verletzung unterrichtet werden, jedenfalls sofern die Verletzung ein hohes Risiko für dessen persönliche Rechte und Freiheiten zur Folge hat. Dies ist allerdings nicht der Fall, wenn ein Ausschluss von der Benachrichtigungspflicht nach Art. 34 Abs. 3 DSGVO greift.
Datenschutz-Folgenabschätzung
Neu ist die sogenannte Datenschutz-Folgenabschätzung, die künftig dann durchzuführen ist, wenn eine Form der Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Art. 35 DSGVO führt hierzu Fälle an, in denen eine solche Abschätzung erforderlich ist und welche Informationen enthalten sein müssen.
Für eine Datenschutz-Folgenabschätzung wird demnach – sofern ein solcher bestellt ist unter Beteiligung des betrieblichen Datenschutzbeauftragten – zunächst ermittelt, ob überhaupt ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Sofern ein solches gegeben ist, wird das Risiko in einem zweiten Schritt bewertet und geklärt, ob die zur Bewältigung des Risikos getroffene Abhilfemaßnahmen ausreichen sind, um das Risiko einzudämmen. Ist dies nicht der Fall, so muss der Verantwortliche vor der Verarbeitung die Aufsichtsbehörde im Hinblick auf das bestehende Risiko konsultieren.
Betrieblicher Datenschutzbeauftragter
Wie auch bisher muss ein Unternehmen gegebenenfalls einen Datenschutzbeauftragten benennen. Wann ein solcher erforderlich ist, kann Art. 37 DSGVO entnommen werden. Allerdings ist zu beachten, dass das DSAnpUG weitere Gründe vorsieht, bei deren Vorliegen ebenfalls ein betrieblicher Datenschutzbeauftragter benannt werden muss.
Aufgabe des Datenschutzbeauftragten ist es unter anderem, den Verantwortlichen über seine aus der DSGVO und sonstigen Datenschutzvorschriften resultierenden Pflichten zu unterrichten und zu beraten, sowie die Einhaltung der Vorgaben der DSGVO sowie sonstiger Datenschutzvorschriften und ausgearbeiteter Strategien zu überwachen. Darüber hinaus dient er als Anlaufstelle für die Aufsichtsbehörde und Ansprechpartner für Betroffene.
Welche Rechte den Betroffenen im Zusammenhang mit der Erhebung und Verarbeitung personenbezogener Daten konkret zustehen, können Sie bald in unserem Teil III der Reihe „Neue EU-DSGVO“ nachlesen.