Datenschutz-Grundverordnung
Die DSGVO - Herausforderung für das Unternehmen
Dr. Jens Eckhardt, Fachanwalt für Informationstechnologierecht bei Derra, Meyer & Partner Rechtsanwälte PartGmbB
Veröffentlicht in: DiALOG - DAS MAGAZIN FÜR ENTERPRISE INFORMATION MANAGEMENT | MÄRZ 2018
Am 25.05.2016 ist die EU-Datenschutz- Grundverordnung (DS-GVO) in Kraft getreten. Die DS-GVO gestaltet den Datenschutz in Deutschland grundlegend neu. Es wird nicht nur der Bußgeldrahmen um etwa den Faktor 60 erhöht, sondern auch die Anforderungen an die Organisation und die Dokumentation im Datenschutz grundlegend erweitert. Ab dem 25.05.2018 gilt, dass jede Verarbeitung personenbezogener Daten entweder den Anforderungen der DS-GVO entspricht oder rechtswidrig ist. Die Zeitspanne muss daher dazu genutzt werden, die Verarbeitung personenbezogener Daten an diesen neuen Vorgaben auszurichten!
Für welche Fälle gelten die Anforderungen der DS-GVO?
Wie bereits heute im Datenschutzrecht ist auch für die DS-GVO entscheidend, ob personenbezogene Daten verarbeitet werden. Das sind mit anderen Worten alle Informationen, die auf einen Menschen beziehbar sind. Auf der Hand liegt, dass damit Menschen als Kunden und Beschäftigte erfasst sind.Aber im Unternehmensalltag gilt das häufig auch für sonstige Kunden, Lieferanten und Geschäftsbeziehungen. Denn der Vertragspartner mag eine juristische Person sein, aber typischerweise werden dazu auch Daten von Menschen (Ansprechpartner, Geschäftsführer, etc.) gespeichert. Kurzum: Es gibt kaum einen Bereich des Unternehmens, den der Datenschutz nicht erfasst.
Der Cloud Privacy Check (CPC) als Orientierung im Cloud Umfeld
Der Cloud Privacy Check (CPC) wurde als Tool entwickelt, um Nutzern und Anbietern das Zusammenführen von Cloud Computing und Datenschutz zu erleichtern. Sie finden den CPC insbesondere unter: https:// cloudprivacycheck.eu/de/tool/.Der CPC stellt die vier grundlegenden Fragen heraus, die aus datenschutzrechtlicher Sicht bei der Nutzung von Cloud Services gestellt werden müssen. Der CPC liefert auch eine Übersicht über die relevanten Antworten.
- Sind personenbezogene Daten betroffen. Denn: Nur dann muss das Datenschutzrecht beachtet werden.
- Hat der Cloud-Provider Zugriff auf personenbezogene Daten. Denn: Nur dann muss eine datenschutzrechtliche Gestaltung der Einbindung des Cloud-Providers erfolgen. Die DS-GVO bietet hier mit der Auftragsverarbeitung nach Art. 28 DS-GVO das geeignete Instrument.
- Werden personenbezogene Daten grenzüberschreitend verarbeitet und besteht ein grenzüberschreitender Zugriff (bspw. im Rahmen von Wartung und Support)? Denn: Nur dann ist zusätzlich zu prüfen, welche datenschutzrechtlichen Rahmenbedingungen für diese Gestaltung des Cloud Service zu treffen sind. Innerhalb der EU bestehen keine Besonderheiten. Für eine grenzüberschreitende Verarbeitung in oder aus Ländern außerhalb der EU sehen die Artt. 44 bis 50 DS-GVO geeignete Instrumente vor.
- Werden bei der Leistungserbringung durch den Cloud-Provider Subunternehmer eingesetzt?
Warum die Umstellung auf die DSGVO nicht verpasst werden darf!
Der CPC wurde vor dem Inkrafttreten der DS-GVO entwickelt. Er ist gleichwohl weiterhin anwendbar, weil sich insoweit durch die DSGVO nichts Grundlegendes geändert hat. Die wesentlichen vom „alten Datenschutzrecht“ zur DS-GVO finden auf anderen Ebenen statt.Die grundlegende Neuerung ist, dass die DS-GVO dem Ansatz „Datenschutz durch Dokumentation und Organisation“ folgt: Die DS-GVO hat drei grundlegende „Stellschrauben“ zur Dokumentation und Organisation:
- Das Unternehmen muss durch Dokumentation nachweisen, dass es die Vorgaben der Datenschutzgrundverordnung einhält (Art. 5 Abs. 2 DS-GVO).
- Das Unternehmen muss durch nachweisbare Maßnahmen die Einhaltung des Datenschutzrechts sicherstellen (Art. 24 DS-GVO).
- Durch dokumentierte Maßnahmen muss ebenfalls sichergestellt sein, dass der umfangreiche Katalog der Betroffenenrechte erfüllt werden kann (Art. 12 DS-GVO).
Allein mit diesen Schlagworten können Sie natürlich so noch nichts anfangen und wissen auch nicht, was zu tun ist. Aber Sie können erkennen, dass die DS-GVO von Ihnen mehr und anderes verlangt als das bisherige Datenschutzrecht.
Derjenige, dessen Daten verwendet werden, ist zukünftig viel umfassender proaktiv (!) über den Umgang mit seinen Daten zu informieren. Die Erweiterung der Informationspflicht geht so weit, dass auch die Rechtsgrundlage genannt werden muss, die zur Datenerhebung berechtigt. Ein Verstoß hiergegen ist leicht feststell- und damit sanktionierbar. Die vorstehende Informationspflicht bedeutet damit auch, dass der Datenverarbeiter für jede Verarbeitung die Zulässigkeit prüfen muss, um die Rechtsgrundlage benennen zu können. Kommt es zu einer Datenpanne – sprich insbesondere Verlust, Offenlegung der Daten oder Fremdzugriff – ist die Aufsichtsbehörde und der Betroffene zu informieren. Bei risikobehafteten Datenverarbeitungen muss eine Folgenabschätzung durchgeführt werden und gegebenenfalls sogar die Datenschutzaufsichtsbehörde verpflichtend zur geplanten Datenverarbeitung befragt werden.
Dieser Effekt der Pflicht zur Befassung und Mehraufwand ist durch die DS-GVO sehr wohl gewollt. Denn die DS-GVO will die Unternehmen geradezu dazu zwingen, sich mit der Datenverarbeitung auseinanderzusetzen. Das zeigt sich auch darin, dass allein schon der Verstoß gegen die vorgenannten Dokumentations- und Organisationspflichten zu Bußgeldern und zur Haftung führen kann.
Was Sie jetzt tun müssen? In einem ersten Schritt müssen Sie sich die neuen Anforderungen für Ihr Unternehmen verdeutlichen. In einem zweiten Schritt erfassen Sie den Ist-Zustand und passen ihn an die Vorgaben der DS-GVO an.
Dr. Jens Eckhardt, Sozietät Derra, Meyer & Partner Rechtsanwälte, Düsseldorf, Ulm, Berlin, Rechtsanwalt und Fachanwalt für Informationstechnologierecht sowie Datenschutz-Auditor (TÜV) und Compliance-Officer (TÜV) Seit 2001 als Rechtsanwalt in den Bereichen Datenschutz, Informationstechnologie, Telekommunikation und Marketing tätig. Er berät nationale und internationale Unternehmen in diesen Bereichen - sowohl strategisch (insbesondere beim Outsourcing, der Einführung von neuen Systemen, Prozessen und Technologien und Marketingstrategie und -technologien) als auch fallbezogen (insbesondere bei Anfragen durch Aufsichtsbehörden, gerichtlichen Auseinandersetzungen und Einzelfragen). Seit 15 Jahren auch regelmäßig Vorträge und Veröffentlichungen, insbesondere zum Datenschutzrecht und Marketing.
www.derra.eu