Ab morgen gilt die neue EU-Datenschutzgrundverordnung (DS-GVO) – Verordnung (EU) 2016/679 - und löst das BDSG von 1977 ab. Nachfolgend für alle Geschäftsführer und Behördenleiter, die noch keine Zeit gefunden haben, sich damit zu befassen, ein schneller Überblick über den Rechtsrahmen, Darstellung der Risiken bei Verstoß gegen diesen und eine Liste mit konkreten Handlungsempfehlungen.
1. Der neue rechtliche Rahmen
Das neue, maßgebliche europäische, Datenschutzrecht findet grundsätzlich auf alle Verarbeitungen von personenbezogenen Daten durch Unternehmen und Behörden in der EU Anwendung. Es gibt, bis auf wenige Ausnahmen, keine Ausnahmen für kleine Unternehmen. Das Recht speist sich aus verschiedenen Quellen:
- Die DS-GVO findet, vorbehaltlich der nachfolgenden Einschränkung, auf öffentlichen und nicht-öffentlichen Stellen Anwendung, die zu eigenen Zwecken (sog. Verantwortliche) oder im Auftrag von Anderen (sog. Auftragsverarbeiter) personenbezogenen Daten verarbeiten – also praktisch alle.
- Ergänzend findet (aufgrund von Öffnungsklauseln) für öffentliche Stellen des Bundes und nicht-öffentliche Stellen das BDSG neue Fassung Anwendung, allerdings nur die Teile 1 und 2 (§§ 1 – 44). Praktische synoptische Lesefassungen von DS-GVO mit den jeweils dazugehörigen Regelungen des BDSG n.F. und den Erwägungsgründen der DS-GVO findet sich hier: https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_6.pdf, eine Online-Ausgabe hier: https://dsgvo-gesetz.de/.
- Für öffentliche Stellen des Landes Sachsen gilt stattdessen ergänzend das neue Datenschutzdurchführungsgesetz (SächsDSDG) vom 26. April 2018, das demnächst verkündet wird.
- Für öffentliche Stellen aus dem Bereich Polizei und Justiz sind die DS-GVO und die vorgenannten nationalen Regelungen nicht anwendbar. Hier gelten Teil 3 des BDSG n.F., das die (nicht unmittelbar geltende) Richtlinie (EU) 2016/680 umsetzt, bzw. weiterhin das SächsDSG.
- Noch nicht finalisiert ist die E-Privacy-VO, die im Bereich elektronische Medien die DS-GVO verdrängen wird (erwartet für 2019).
2. Risiken von Non-Compliance
Risiken bei Nichtbefolgung drohen aus vier Richtungen:
- Bußgelder Richtig ist, dass der Bußgeldrahmen deutlich gestiegenen ist (bis zu EUR 10 Mio oder 2 % des Jahresumsatzes bzw. EUR 20 Mio oder 4% des Jahresumsatzes, je nach Verstoß). Zum einen konnten nach altem Recht sehr hohe Geldbußen verhängt werden. Zum anderen wird auch zukünftig die Höhe der Geldbuße nach festgelegten Kriterien bemessen (u. a. Art, Schwere und Dauer des Verstoßes), was in der Regel zu Bußgeldern eher im vierstelligen Bereich führen könnte. In 2018 sind wohl keine Verfolgungen von leichten Verstößen durch Datenschutzaufsichtsbehörden zu erwarten.
- Strafen Wie nach altem Recht ist ein besonders schwerer Verstoß gegen Datenschutzrecht strafbar (§ 42 BDSG n.F.). Allerdings zeigen die Statistiken, dass es in der Vergangenheit selten zu Verurteilungen kam. Ob sich dies jetzt ändern wird, ist fraglich.
- Schadensersatz Wie nach altem Recht haben Betroffene bei schuldhaften Verstößen ggf. Anspruch auf Schadensersatz. Neu ist, dass auch immaterielle Schäden ersetzt werden können und Verantwortlicher und Auftragsverarbeiter als Gesamtschuldner haften. Experten rechnen hier mit höheren Schadensersatzsummen, als in der Vergangenheit.
- Abmahnungen Hier liegt wohl kurzfristig das größte Risiko. Wettbewerber und Verbände können ggf. die Unterlassung von Verstößen gegen Datenschutzrecht und Schadensersatz sowie Ersatz von Rechtsanwaltskosten verlangen. Allerdings ist nicht jeder Verstoß abmahnfähig, sondern nur eine Verletzung von „Marktverhaltensregeln“ als „Vorsprung durch Rechtsbruch“. Die Pflicht zur Verlinkung auf eine Datenschutzerklärung auf der Website gehört zu diesen Regeln, die Pflicht, E-Mail-Werbung nur mit ausdrücklicher vorheriger Zustimmung des Adressaten zu versenden, ist sogar im UWG verankert.
3. Maßnahmen und Handlungsempfehlungen
Die neuen Pflichten aus der DS-GVO betreffen vor allem das Verfahren der Datenverarbeitung, weniger deren inhaltlichen Voraussetzungen. Treffen Sie zuerst diejenigen Maßnahmen, die bei überschaubarem Aufwand eine deutliche Risikoreduzierung bewirken. Greifen Sie dabei auf Muster zurück, die große Institutionen in diesem Bereich entwickelt haben, u.a. die Datenschutzkonferenzen der Datenschutzaufsichtsbehörden der Länder (DSK), die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD), der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bikom), das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) und die Artikel-29-Datenschutzgruppe, das unabhängige Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes. Im Einzelnen
- Bestellung eines Datenschutzbeauftragten. Hierzu ist das Unternehmen verpflichtet, wenn 10 oder mehr Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Ein Verstoß ist bußgeldbewehrt, die Kontaktdaten (nicht: der Name) müssen veröffentlicht und der Datenschutzaufsicht gemeldet werden. Gleichzeitig haben Sie damit einen Ansprechpartner für das Thema Datenschutz (auch wenn Sie nach außen verantwortlich sind). Muster/Erläuterungen:
- Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten (VVT) Hierzu ist jede Einheit verpflichtet (bußgeldbewehrt), die „nicht nur gelegentlich“ personenbezogen Daten verarbeitet. Daneben lassen sich aus einem gut geführten VVT Informationen, die für die Erfüllung von Pflichten nach der DS-GVO benötigt werden, ableiten, z.B. die Informationspflichten nach Art. 13, 14 und die Identifizierung von Auftragsverarbeitern (Art. 28 DS-GVO). Richten Sie sich bei der Identifizierung der Verarbeitungstätigkeiten nach Geschäftsprozessen im Unternehmen oder gemeinsamen Verarbeitungszwecken (Beispiele sind Bewerbermanagement, Personalverwaltung, Lohnabrechnung etc.). Unterteilen Sie das Verzeichnis in unternehmensbezogene Verarbeitungstätigkeiten und Verarbeitungstätigkeiten auf der Website. Nennen Sie je Verarbeitungstätigkeit die Pflichtangaben nach Art. 30 DS-GVO und darüber hinaus einige zweckmäßige Angaben, die Ihnen bei der Verwaltung der personenbezogenen Daten in Ihrer Einheit helfen, u. a. verantwortliche Fachabteilung mit Ansprechpartner und Kontaktdaten, Datum der Einführung, konkrete Verarbeitung, Erhebungsquelle, Zugriffsrechte der Empfänger, Auftragsverarbeiter, Rechtsgrundlage, ggf. Datum Einwilligung, Risikoeinschätzung. Muster/Erläuterungen:
- https://www.lda.bayern.de/de/kleine-unternehmen.html
- https://www.lda.bayern.de/media/dsk_muster_vov_verantwortlicher.pdf
- https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_5.pdf
- https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-Verarbeitungsverzeichnis-online.pdf
- Auftragsverarbeitungs-Verträge (Art. 28, 29 DS-GVO) abschließen bzw. aktualisieren Auftragsverarbeiter (AV) sind Einheiten, die personenbezogener Daten nach Weisung verarbeiten oder als Serviceunternehmen einen direkten Zugriff auf diese Daten haben. An solche Unternehmen können Sie auch ohne Einwilligung oder andere gesetzliche Grundlage personenbezogene Daten übermitteln, wenn Sie vorher eine sog. Auftragsverarbeitungsvereinbarung (AVV) nach Maßgabe von Art. 28, 29 DS-GVO abgeschlossen haben. Beispiele für AV: Lettershop, Lohn- und Gehaltsabrechnung, Hosting, IT-Support, CRM, Callcenter, Aktenvernichter, nicht aber Steuerberater (h.M.). Sie sollten bereits im VVT identifiziert sein (s.o.). Muster/Erläuterungen AVV:
- Informationspflichten erfüllen Verantwortliche müssen Betroffene proaktiv und umfangreich über die Verarbeitung ihrer personenbezogenen Daten informieren; sie beachten damit auch das (bußgeldbewehrte) Prinzip der Transparenz. Die notwendigen Angaben unterscheiden sich je nachdem, ob die Daten beim Betroffenen direkt erhoben wurden, oder bei Dritten (Art. 13, bzw. 14). Sie müssen zunächst einen Text für Betroffene (Kunden, Mitarbeiter, Bewerber etc.) entwerfen; die erforderlichen Informationen lassen durch Filterung nach Betroffenenkategorie aus dem VVT ableiten. Anschließend muss entschieden werden, wie die Betroffenen informiert werden. Muster/Erläuterungen:
- https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_7.pdf
- https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227
- https://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Weitere_Steuerthemen/Abgabenordnung/2018-05-01-Allgemeine-Informationen-Datenschutz-Grundverordnung-Steuerverwaltung.pdf?__blob=publicationFile&v=2
- Kundeninformationen der Banken, u.a. Commerzbank und Postbank
- Datenschutzerklärung Als besondere Betroffenengruppe müssen Sie die Nutzer Ihrer Unternehmenswebsite über die dort stattfindenden Datenverarbeitungen informieren; auch diese haben Sie bereits in Ihrem VVT erfasst. Typische Web-Verarbeitungstätigkeiten sind Logfiles, eigene Cookies (technisch notwendige und nicht-notwendige), Cookies von Dritten, insbesondere Google Analytics, Kontaktformular, Newsletter und E-Mail. Auch hier müssen Sie je Verarbeitungstätigkeit die Pflichtinformationen nach Art. 13 übermitteln, ggf. müssen Sie vor Verarbeitung von Daten eine entsprechende Einwilligung einholen (z.B. vor Versand von Newslettern, nach Ansicht der DSK auch vor dem Einsatz von sog. Tracking -Cookies). Die Pflicht zur Erstellung einer Datenschutzerklärung wurde schon nach altem Recht als Marktverhaltensregel angesehen, ein Verstoß kann als „Vorsprung durch Rechtsbruch“ abgemahnt werden. Hinzu kommt, dass die Erfüllung dieser Pflicht leicht durch Besuch der Website von außen beurteilt werden kann. Muster / Erläuterungen:
- Sicherstellung Erfüllung Recht auf Auskunft, Art. 15 DS-GVO Sie müssen einen Prozess einrichten, der sicherstellt, dass Auskunftsersuchen von Betroffenen umfassend und zeitnah unter Übersendung einer Kopie der gespeicherten personenbezogenen Daten beantwortet werden können. Dies stellt gewisse Anforderungen an die IT, ein Standard-Antworttext sollte entworfen werden. Muster / Erläuterungen:
- Einwilligungserklärungen an Anforderungen Art. 7, 8 und 13 DS-GVO anpassen Die DS-GVO stellt Anforderungen an die Wirksamkeit einer Einwilligung, u.a. Freiwilligkeit, Informiertheit, Bestimmtheit, Mindestalter 16 Jahre, Koppelungsverbot. Überprüfen Sie die von Ihnen verwendeten Einwilligungen daraufhin, ob sie dokumentiert sind und ob sie diesen Anforderungen genügen. Muster / Erläuterungen:
- Überprüfung technisch-organisatorische Maßnahmen zur Datensicherheit (TOM) – Sie müssen prüfen, ob die Sicherheit der Datenverarbeitung den Anforderungen von Art. 32 DS-GVO genügt. U. a. sind zu empfehlen
- E-Mail-Verschlüsselung
- Sicheres Kontaktformular
- Verpflichtungserklärungen Mitarbeiter und Dienstleister/Datenschutzanweisung
- Schulung Mitarbeiter
- Verpflichtungserklärungen von Dienstleistern mit Nähe zu personenbezogenen Daten
Muster / Erläuterungen:
- https://www.lda.bayern.de/media/baylda_report_07.pdf, Abschnitt 16.4 (Elektronische Erreichbarkeit von Ärzten und Apotheken)
- https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_11.pdf
- https://www.lda.bayern.de/media/info_verpflichtung_beschaeftigte_dsgvo.pdf
- Vorbereitung auf DSFA (Art. 35). Vor Einführung von Datenverarbeitungen mit hohem Risiko für die Betroffenen muss eine Datenschutz-Folgeabschätzung vorgenommen und dokumentiert werden. Muster/Erläuterungen:
- https://www.lda.bayern.de/media/dsk_kpnr_5_dsfa.pdf
- https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_10.pdf
- https://www.bitkom.org/Bitkom/Publikationen/Risk-Assessment-Datenschutz-Folgenabschaetzung.html
- Sicherstellung Erfüllung Meldepflichten Sie müssen ggf. die Kontaktdaten DSB (Art. 37 Abs. 7) melden. Daneben müssen sie einen Prozess implementieren zur rechtzeitigen Meldung von Datenschutz-Pannen an die Aufsichtsbehörde (Art. 33 DS-GVO) und ggf. an die Betroffenen (Art. 34 DS-GVO). Muster/Erläuterungen: