Soweit in der DS-GVO ein Spielraum für nationale Regelungen besteht, wird dieser, etwa in einer ergänzenden Neufassung des BDSG-neu, ausgefüllt. Damit sind DS-GVO und BDSG-neu neben-einander zu lesen (s. dazu etwa die Übersicht unter https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_6.pdf)

Anwendungsbereich

Im Zentrum steht die Verarbeitung sog. personenbezogener Daten (Art 4 Nr. 1 DS-GVO), Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z.B. Name, Wohnort, Geburtstag, Online-Kennung). „Verarbeiten“ ist der umfassende Begriff für den Umgang mit personenbezogenen Daten, wie Erheben, Speichern, Ändern, Nutzen, Übermitteln, Löschen.

Ob die Lohnbuchhaltung, das Führen eines Mitgliederverzeichnisses oder einer Kundenkartei als Karteikarten in Papierform oder in einem einzelnen PC oder IT-System, ob die Durchführung von Fundraisingaktivitäten, die Verbreitung eines Newsletters, die Presse- und Öffentlichkeitsarbeit, das Betreiben einer Webseite (z.B. Content Marketing, Shops), – alle diese Tätigkeiten betreffen personenbezogene Daten und eröffnen den Anwendungsbereich der DS-GVO.

Wesentliche Änderungen

Die wesentlichen Änderungen gegenüber dem bislang geltenden Recht liegen in einer wesentlichen Stärkung der Rechte sog. „betroffener Personen“ (Art. 4 Nr. 1 DS-GVO), d.h. der natürlichen Person als Dateneigentümer. Ziel der DS-GVO ist eine „faire und transparente Verarbeitung“. Dafür werden den Betroffenen besserer Zugang und bessere Wahlmöglichkeiten eingeräumt, wenn es darum geht, wie ihre persönlichen Daten gesammelt, verwendet und weitergegeben werden. Damit einher gehen zahlreiche Pflichten (Art. 12‐23 DS-GVO, inklusive Fristen) des Datenverarbeiters (Verantwortlicher, Art. 4 Nr. 7 DS-GVO) und der Dokumentation ihrer Einhaltung.

Zu den Rechten betroffener Personen gehören:

• Rechte auf Information (Art. 13 und 14 DS-GVO)
• Rechte auf kostenslose Auskunft (Art. 15 DS- GVO)
• Recht auf Berichtigung (Art. 16 DS-GVO)
• Recht auf Vergessenwerden (= Löschung, 17 DS-GVO
• Recht auf Datenübertragbarkeit (Art. 20 DS-GVO)
• Recht auf Widerspruch (Art. 21 DS-GVO).

Zudem wurden die Bußgeldtatbestände (Art. 83 DS-GVO) deutlich erhöht, die Risikofolgenabschätzung eingeführt (löst die derzeitige Vorabkontrolle ab) sowie die Pflichten und Haftungsrisiken für Auftragsverarbeiter erweitert. Verbindlich werden Privacy by design (Datenschutz durch Technikgestaltung) und Privacy by default (Datenschutz durch datenschutzfreundliche Voreinstellungen).

Grundsätze der DS-GVO

Damit die Daten überhaupt erhoben und gespeichert, aktualisiert und verwendet werden dürfen, bedarf es für jeden Einzelfall einer Rechtsgrundlage.

Für normale personenbezogene Daten ist das Datenschutzrecht als Verbot mit Erlaubnisvorbehalt ausgestaltet. Die DS-GVO benennt in Art. 6 Abs. 1 DS-GVO sechs verschiedene Ermächtigungsgrundlagen, u.a. ist sie gestattet, wenn sie zur Erfüllung eines Vertrages, zur Erfüllung einer rechtlichen Verpflichtung (z.B. aufgrund eines Gesetzes) oder zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist, oder wenn eine Einwilligung des Betroffenen vorliegt, die den Anforderungen der Art. 4 Nr. 11 und 7, 8 DS-GVO genügen muss. Diese kann schriftlich, elektronisch, mündlich oder sogar konkludent erfolgen. Bei einer elektronischen Einwilligung ist zu beachten, dass nur ein (aktives) Ankreuzen (opt-In Verfahren) zulässig ist, ein opt-Out Verfahren ist nicht ausreichend.

Die Verarbeitung besonderer Kategorien personenbezogener Daten, u.a. Daten, aus denen die rassische und ethnische Herkunft hervorgeht, ist nur unter besonders strengen Voraussetzungen möglich (Verbot mit Ausnahmen, Art. 9 DS-GVO).

Für die Datenverarbeitung im Rahmen eines Beschäftigungsverhältnisses enthalten Art. 88 DS-GVO und § 26 BDSG-neu eigene Regelungen.

Zu beachten ist weiterhin der Zweck der Datenerhebung. Es dürfen nur die zur Erfüllung des verfolgten Zwecks notwendigen Daten erhoben werden (Grundsatz der Datenminimierung, Art 5 Abs. 1 c) DS-GVO) und die Daten sodann nur für diesen Zweck verwendet werden (Grundsatz der Zweckbindung, Art 5 Abs.1 b) DS-GVO).

Beispielsweise gibt eine Satzung (der Gesellschaft, des Vereins) mit dem Gesellschaftsgegenstand/ Vereinszweck vor, wofür die Daten ihrer Gesellschafter/Mitglieder genutzt werden können. Für Teilnehmer an einer Veranstaltung (zB Fortbildung) sind die Zwecke der Datenerhebung konkret festzulegen.

Die – selbständig bußgeldbewehrten – Grundsätze der Datenverarbeitung sind in Art. 5 Abs. 1 DS-GVO ausgeführt (Transparenz, Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit). Art 5 Abs. 2 DS-GVO verpflichtet den Verantwortlichen zur Rechenschaft betreffend die Einhaltung dieser Grundsätze gegenüber der Aufsichtsbehörde. Diese Rechenschaftspflichten können nur durch eine entsprechende Dokumentation erfüllt werden. Weitere Dokumentationspflichten sind z.B. für das Verarbeitungsverzeichnis (Art. 30 DS-GVO), für Datenschutzvorfälle (Art. 33 Abs. 5 DS- GVO) oder für Weisungen im Rahmen der Auftragsverarbeitung (Art. 28 Abs. 3 a) DS-GVO) vorgesehen.

Bei einer Auftrags(daten)verarbeitung (z.B. Buchhaltung, Callcenter, Adressverwaltung) haftet für die Einhaltung der datenschutzrechtlichen Grundsätze neu sowohl der Verantwortliche als auch der Auftragsverarbeiter, Art. 28 Abs. 10, 82, 79 DS-GVO). Kennzeichnend für die Auftragsverarbeitung ist die Weisungsabhängigkeit des Auftragsverarbeiters, die über eine konkrete Beauftragung durch den Verantwortlichen hinausgeht. Dies gilt auch dann, wenn der Auftragsverarbeiter über ein umfassenderes Know-how als sein Auftraggeber verfügt, einen gewissen Spielraum für selbständige Entscheidungen hat und von dem Verantwortlichen selbst oder eine von diesem beauftragte Stelle überwacht wird.

Ein Vertrag zur Auftragsdatenverarbeitung ist auch mit jedem Drittanbieter abzuschließen, der Daten der Online-Präsenz erfasst, verarbeitet und speichert, wie etwa der Hoster.

Handlungshinweise für Verantwortliche in Unternehmen und Organisationen

1. Eine Ist-Aufnahme derjenigen Verfahren, bei denen personenbezogene Daten verarbeitet werden, verschafft einen ersten Überblick. Die Überprüfung des Ist-Zustandes kann anhand von Dokumentationen (zB Verfahrensverzeichnis, Datenschutzkonzepte, IT-Sicherheitskonzepte), Dienstleistungsbeziehungen (zB Verträge über eine Auftragsdatenverarbeitung) oder Betriebsvereinbarungen vorgenommen werden.

2. Danach ist der Anpassungsbedarf (rechtlich, technisch oder organisatorisch) festzustellen. Für das Verständnis und die Interpretation der DS-GVO-Artikel hilfreich sind die sog. Erwägungsgründe (s. etwa https://dsgvo-gesetz.de/art-4-dsgvo/). Diese benennen Ziele, die mit der Formulierung der Artikel verfolgt wurden.

3. Die Erlaubnisgrundlage ist zu überprüfen. Der Erlaubnisvorbehalt gilt auch für die Presse und Öffentlichkeitsarbeit, Berichte über die eigenen Tätigkeiten (Events) auf Webseiten oder in Social Media, soweit hier natürliche Personen benannt oder abgebildet werden. Ob eine gesetzliche Grundlage oder ein berechtigtes Interesse des Verwenders die Datenverarbeitung rechtfertigt, ist oft mit Unsicherheit verbunden. Rechtssicher handelt der Verwender auf der Grundlage einer Einwilligung, die den Vorgaben der DS-GVO entsprechen muss. Bei Einwilligung in den Empfang von Werbe-E-Mails muss diese außerdem den strengen Anforderungen des UWG genügen (double-opt-in etc.) – Abmahngefahr!

4. Der Verwender hat ein Verzeichnis mit den konkreten Verarbeitungstätigkeiten iSd Art. 4 Nr. 2 DS-GVO zu erstellen. Empfehlenswert ist ein erweitertes Verzeichnis, welches zusätzlich die herangezogenen Rechtsgrundlagen zB Art. 6, Art. 88 und § 26 BDSG-neu) und die Zwecke der Datenverarbeitung aufführt. Für den Nachweis der Aktualität und Richtigkeit sollten verschiedene Versionen aufbewahrt werden.

5. Es sind Maßnahmen zu implementieren, mithilfe derer betroffenen Personen die Ausübung ihrer Rechte erleichtert wird. Betroffene müssen über sie betreffende Datenverarbeitungen umfassend informiert werden (Art. 13, 14 DS-GVO). Die Datenschutzerklärung, die in fast jeder Website enthalten sein muss, muss umfassend neu gestaltet werden (Abmahngefahr!). Es ist sicherzustellen, dass Auskunftsersuchen betroffener Personen binnen Monatsfrist (Art. 12 Abs.3 DS-GVO) beantwortet werden können. (Zu den Informationspflichten bei einer Datenerhebung beim Betroffenen s. etwa https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/03/OH-Datenschutz-im-Verein-nach-der-DSGVO.pdf, S. 7/8; zu der Datenschutzerklärung etwa die Hinweise des ITM, Prof. Hoeren, unter https://www.uni-muenster.de/Jura.itm/hoeren/itm/wp-content/uploads/Musterdatenschutzerk%C3%A4rung-nach-der-DSGVO.docx)

6. Ein betrieblicher Datenschutzbeauftragter ist zu benennen, u.a. wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG n.F.), seine Kontaktdaten sind der Aufsichtsbehörde zu melden und, z.B. auf der Homepage des Unternehmens, zu veröffentlichen (Art. 37 Abs. 2 DS-GVO).

7. Vereinbarungen zur Auftragsverarbeitung müssen nach den Maßgaben der DS-GVO (Art. 28) aktualisiert bzw. neu abgeschlossen werden (u.a. auch im Rahmen von Verträgen mit Aktenvernichtern, Lettershops, IT-Outsourcing und -wartungsunternehmen).

8. Eine Organisation von Meldepflichten an die Aufsichtsbehörde ist zu schaffen (Art. 37 Abs. 7 DS-GVO, Kontaktdaten des Verantwortlichen des Auftragsverarbeiters oder des Datenschutzbeauftragten; Art. 33 Abs1 DS-GVO Verletzung des Schutzes personenbezogener Daten).

9. Sicherzustellen sind: Die Überprüfung der Daten- und Informationssicherheit (Art. 24 und 32 Abs. 1 DS-GVO, insbes. Abs.1 b) Vertraulichkeit, Integrität, Verfügbarkeitskontrolle – Schutz gegen zufällige Zerstörung oder Verlust). Die Kontrolle der Dokumentation: Sind Maßnahmen implementiert, die eine nachvollziehbare Dokumentation der Verfahrensweisen bei der Verarbeitung personenbezogener Daten ermöglicht? Und die Auftragskontrolle: Ist sichergestellt, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

10. Überprüfung technischer Voreinstellungen auf ihre Nutzerfreundlichkeit.

Weitere Informationen und praktische Handlungsempfehlungen erhalten Sie zu unserem eureos-Workshop am 25.5.2018.