Überraschung DSGVO: Was für den Datenschutz noch getan werden sollte

veröffentlicht am 15. Mai 2018

 

Manche Unternehmen haben die Übergangszeit bis zur Anwendungbarkeit der europäischen Datenschutz-Grundverordnung (DSGVO) nahezu untätig verstreichen lassen. Nach einer repräsentativen Umfrage des Forsa-Instituts1 aus dem März und April 2018 hatten mehr als ein Drittel der befragten KMU von der DSGVO noch nicht einmal etwas  gehört. In den verbleibenden Tagen sollten sie die Einhaltung jedenfalls der augenfälligsten Anforderungen sicherstellen.

 

  
Verstöße gegen die DSGVO können zu Bußgeldern, Untersagung der weiteren Datenverarbeitung und Schadenersatzansprüchen führen. Eine Vermeidung dieser Folgen kann in einem ersten Schritt ggf. dadurch erreicht werden, dass bestehende Zuwiderhandlungen sukzessive und zeitnah behoben werden.

 

 

Überblick über die Datenverarbeitung

Zunächst ist festzustellen, in welchen Bereichen des Unternehmens überhaupt welche Daten durch wen und für welche Zwecke verarbeitet werden. Für größere Unternehmen oder potenziell gefährliche Datenverarbeitungen fordert die DSGVO die förmliche Aufstellung eines Verzeichnisses von Verarbeitungstätigkeiten (vgl. Art. 30 DSGVO). Unabhängig davon ist das Verzeichnis hilfreich für die Bewertung der eigenen Datenverarbeitung und die Einhaltung weiterer Anforderungen wie der Informationsrechte der Betroffenen2 (vgl. Art. 12 bis 14 DSGVO).

 
Das Verzeichnis mag nützlich und verpflichtend sein, seine Erstellung nimmt aber natürlich Zeit in Anspruch. In einem allerersten Schritt ist daher zunächst abzuschätzen, in welchen Bereichen (Personalabteilung, Einkauf, Verkauf, Marketing/Kommunikation/Homepage, Buchhaltung, Produktion etc.) überhaupt Personen – und wenn ja, welche, wie viele und auf welche Art und Weise – mit der Verarbeitung personenbezogener Daten beschäftigt sind. Ein Verzeichnis kann die bloße „Schätzung” dennoch nicht ersetzen – zumal eine tatsächliche Erhebung der Verarbeitungsprozesse regelmäßig Überraschungen zutage fördern kann.

 

Informationspflichten und Internetpräsenz

Ab dem 25. Mai 2018 sind Betroffene über die von ihnen verarbeiteten Daten bei deren Erhebung präzise, transparent und verständlich zu informieren (Art. 12ff. DSGVO). Je prominenter die Datenverarbeitung erfolgt, desto offensichtlicher ist das Fehlen entsprechender (korrekter) Informationen. Daher sind Informationstexte in Bezug auf die Verarbeitung personenbezogener Daten – etwa für künftige Mitarbeiter, für (Ansprechpartner bei) Kunden und Lieferanten – zu erstellen, wofür ein Verzeichnis von Verarbeitungstätigkeiten hilfreich ist.

 
Vordringlich sollte jedoch eine Datenschutzerklärung für die Internetpräsenz angepasst bzw. überhaupt erstellt werden. Dort eingesetzte Dienste Dritter und deren Datenerhebung lassen sich leicht und computerunterstützt durch Aufsichtsbehörden oder Wettbewerber identifizieren und mit den Informationen einer Datenschutzerklärung abgleichen. Dabei ist die Datenverarbeitung Dritter dem für die Webseite ver­antwortlichen Unternehmen zuzurechnen. Eine detaillierte Auseinandersetzung mit der Datenerhebung auf der Homepage und eine unverzügliche Anpassung der dortigen Datenschutzerklärung sind daher unerlässlich. Ist das nicht möglich, bleibt zu überlegen, zunächst sämtliche Dienste Dritter abzuschalten, eine knappe aber korrekte Datenschutzerklärung anzugeben und die zusätzlichen Dienste erst nach und nach wieder aufzunehmen.

  

Kontaktdaten des Datenschutzbeauftragten

Sind regelmäßig 10 oder mehr Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, so ist ein betrieblicher Datenschutzbeauftragter3 zu bestellen – vgl. § 38 Abs. 1 Bundesdatenschutzgesetz in der Fassung ab dem 25. Mai 2018 (BDSG n.F.). Ab dem 25. Mai 2018 sind die Kontaktdaten eines solchen betrieblichen Datenschutzbeauftragten zu veröffentlichen (bspw. auf der Homepage des Unternehmens) und der zuständigen Aufsichtsbehörde mitzuteilen (vgl. Art. 37 Abs. 7 DSGVO).


Die Mitteilung des Namens ist dabei nicht vorgeschrieben; beschreibende Kontaktdaten (etwa    „DSB@firma.de” sowie die Unternehmensanschrift mit dem Zusatz „Datenschutzbeauftragte[r]” sind ausreichend. Ein Verstoß gegen die Pflicht zur Veröffentlichung und Mitteilung ist bußgeldbewehrt. Auf Aussagen – bspw. der Landesdatenschutzbeauftragten von Nordrhein-Westfalen – eine verspätete Mitteilung bis zum 31. Dezember 2018 nicht (selbst) ahnden zu wollen, sollten Unternehmen sich nicht verlassen.

 

Auskunftsersuchen

Natürliche Personen können Auskunft darüber verlangen, ob und – wenn ja – welche personenbezogenen Daten von ihnen verarbeitet werden (Art. 15 DSGVO). Eine solche Anfrage muss ab dem 25. Mai 2018 innerhalb von einem Monat beantwortet werden (Art. 12 Abs. 3 DSGVO), erstmals also am 25. Juni 2018. Dabei ist in geeigneter Weise zu prüfen, dass der Auskunft Begehrende tatsächlich die betroffene Person ist, ohne dass dabei bislang gar nicht erhobene Daten verarbeitet werden.

 
Es ist daher unternehmensweit sicherzustellen, dass die nach einem Auskunftsverlangen aussehenden Anfragen zeitnah möglichst zentral erfasst und innerhalb der Monatsfrist abschließend bearbeitet werden. Die Vorgänge sind zu dokumentieren.

 

Nächste Schritte

Die genannten Sofortmaßnahmen sind nicht ausreichend zur vollständigen Einhaltung des neuen Datenschutzrechts.

 
Insbesondere die Prüfung der eigenen Datenverarbeitung ist abzuschließen und die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten hilfreich, wenn nicht gar vorgeschrieben. Sofern Dritte mit der Verarbeitung personenbezogener Daten betraut sind (oder selbst die Verarbeitung für Dritte erfolgt), sind Auftragsverarbeitungsverträge abzuschließen. Dabei ist die Zulässigkeit einer etwaigen Datenübermittlung in Länder außerhalb der EU zu prüfen. Abhängig von den gewonnenen Erkenntnissen sind die Informationstexte für Betroffene anzupassen.

 
In den dargestellten Sofortmaßnahmen völlig ausgeblendet wurden u.a. die technischen und organisatorischen Maßnahmen der Datenverarbeitung (Art. 24, 32 DSGVO), die Planung von Reaktionen auf mögliche Datenschutzvorfälle (Art. 33f. DSGVO), Anforderungen wie Datenschutzfolgeabschätzung bei risikoreichen Verarbeitungen4 (Art. 35f. DSGVO) sowie ein System zur kontinuierlichen Einhaltung, Verbesserung und Dokumentation eines angemessenen Datenschutzes (Art. 32 Abs. 1 d sowie Art. 5 Abs. 2 DSGVO).

 

Fazit

Die leicht prüfbaren Anforderungen des neuen Datenschutzrechts sollten als erstes eingehalten werden. Das betrifft zunächst die korrekte Information an Betroffene – für Besucher der Homepage mit einer Datenschutzerklärung, für sonstige Betroffene durch entsprechende Informationstexte. Zudem sind die Kontakt­daten eines ggf. zu bestellenden Datenschutzbeauftragten der zuständigen Aufsichtsbehörde mitzuteilen und auf der Homepage zu veröffentlichen. Schließlich ist sicherzustellen, dass Auskunftsanfragen von Betroffenen erkannt und binnen Monatsfrist beantwortet werden.

 

 

1 https://www.heise.de/ct/ausgabe/2018-11-Die-Umsetzung-der-DSGVO-Vorgaben-laeuft-nicht-rund-4039713.html

2 https://www.roedl.de/themen/datenschutz-grundverordnung/transparenz-betroffene-personen-dsgvo-rechte-pflichten

3https://www.roedl.de/themen/datenschutz-grundverordnung/datenschutzbeauftragte-eu-dsgvo-aufgaben-veraenderung

4https://www.roedl.de/themen/datenschutz-grundverordnung/folgenabschaetzung-dsgvo-verhaltensregeln-zertifizierung-praxis

  

 

 Kontakt

Alexander von Chrzanowski

Rechtsanwalt, Fachanwalt für IT-Recht, Fachanwalt für Arbeitsrecht

Senior Associate

+49 3641 4035 30
+49 3641 4035 33

Anfrage senden

Profil

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu