NEUES DATENSCHUTZRECHT FÜR UNTERNEHMEN UND BEHÖRDEN

Transkript

1 NEUES DATENSCHUTZRECHT FÜR UNTERNEHMEN UND BEHÖRDEN Thomas Müthlein, Dr. Niels Lepperhoff Im Mai dieses Jahres hat die EU das Datenschutzrecht in der EU mit der Datenschutz-Grundverordnung (DS-GVO) vereinheitlicht. Ab gilt sie für alle Unternehmen und Behörden in der EU und ist durch sie umzusetzen. Gleichzeitig werden die bisherigen nationalen Datenschutzgesetze der Mitgliedsstaaten wie das deutsche Bundesdatenschutzgesetz (BDSG) außer Kraft gesetzt. Unter Compliance Aspekten kommen mit der DS-GVO auf die Unternehmen neue Anforderungen zu. Durch eine gesetzlich verankerte Rechenschaftspflicht (Accountability) müssen Unternehmen und Behörden zukünftig jederzeit nachweisen können, dass sie im Hinblick auf die Datenverarbeitung insbesondere von Kunden und Mitarbeitern rechtmäßig im Sinne der DS-GVO handeln. Hierdurch entfällt für die Datenschutzaufsichtsbehörden - soweit dieser Nachweis nicht erbracht werden kann - die Notwendigkeit, ein Verschulden zu ermitteln. Die in diesen Fällen drohenden Bußgelder von bis zu 20 Millionen Euro oder sofern höher 4% des weltweiten Jahresumsatzes erreichen in neue Dimensionen und finden ihre Vorbilder im Kartellrecht. Daher ist es geboten, frühzeitig die Anforderungen der DS-GVO mit Blick auf das eigene Unternehmen zu analysieren und die notwendigen Anpassungen vorzunehmen. Neben der Nachweispflicht und dem erhöhten Bußgeldrahmen betreffen die Neuerungen insbesondere folgende Bereiche: Transparenz: Erweiterte Informationspflichten gegenüber Konsumenten und Mitarbeitern in Verbindung mit neuen Rechten Erlaubnis zur Datenverarbeitung: neue Anforderungen an die Art und Weise des Datenumgangs, die bisherigen gesetzlichen Erlaubnisse insbesondere für Marketingaktivitäten entfallen Outsourcing: neue Anforderungen an Verträge mit Dienstleistern, gesamtschuldnerische Haftung von Auftraggebern und Auftragnehmern in Datenschutzfragen, neue Verantwortlichkeiten von Auftragnehmern IT-Sicherheit: Pflicht zur Erstellung eines IT-Sicherheitskonzepts und zur Durchführung von Wirksamkeitstests. 1 Rechenschaftspflicht (Accounability) Im Rahmen der neu eingeführten Rechenschaftspflicht muss ein Unternehmen jederzeit nachweisen können, dass es sicherstellt, dass alle Vorgaben aller Vorschriften der DS-GVO beim Umgang insbesondere mit Kunden- und Mitarbeiterdaten eingehalten werden. Seite 1 von 5

2 Solche Nachweise können sich insbesondere aus folgenden Dokumentationen ergeben: Datenschutzkonzept, IT-Sicherheitskonzept, Beschreibung aller Prozesse, die personenbezogene Daten verarbeiten, Arbeitsanweisung und Belehrungen zum Umgang mit personenbezogenen Daten, Darstellung der rechtlichen Zulässigkeit der Datenverarbeitung pro Datum sowie Löschfrist pro Datum. Dafür reicht es allerdings nicht, diese Dokumente einmal zu erstellen. Sie müssen auch stets auf einem aktuellen Stand gehalten werden. Änderungen in Prozessen, Softwaresystemen, aber auch Werbe- und Marketingmaßnahmen bedürfen regelmäßig sowohl einer Prüfung auf ihre rechtliche Zulässigkeit als auch die Anpassung der Dokumentation. 2 Informationspflichten Eines der Hauptanliegen der DS-GVO ist es, betroffenen Personen wie Mitarbeitern oder Kunden deutlich mehr Transparenz über den Umgang mit ihren Daten zu geben. Aus diesem Grund sind künftig Personen bei der Erhebung Ihrer Daten umfassend über den geplanten Umgang mit den Daten sowie ihre Rechte zu informieren. Soweit Daten nicht bei den Betroffenen selbst - zum Beispiel bei einem Vertragsabschluss - erhoben werden, sondern auf andere Art und Weise - zum Beispiel durch Weitergabe von Adressdaten zu Marketingzwecken an ein Tochterunternehmen - gewonnen werden, sind sie in nahezu den gleichen Umfang in einem Zeitraum von maximal einem Monat zu informieren. Ausnahmen von diesen Informationspflichten sind nahezu keine vorgesehen. Auch wenn diese Informationspflichten erst ab 2018 verbindlich werden, wird man mit der Umstellung schon früher beginnen müssen. Zum Stichtag müssen alle Formulare zur Datenerhebung, wie zum Beispiel bei Bestellungen, Verträgen, Anträgen, ob online oder offline den Anforderungen genügen. Gerade bei Druckwerken wie zum Beispiel Katalogen mit einer längeren Vorlaufzeit für die Produktion sind diese Anforderungen im Rahmen der beiliegenden Bestellformulare frühzeitig zu berücksichtigen. Im Rahmen der Informationspflichten ist z. B. künftig auch das Datum oder die Frist der Datenlöschung anzugeben. Wer bisher Daten insbesondere von Kunden oder Mitarbeitern nicht oder nur nach sehr langen Fristen löscht, wird hier nachbessern müssen. Die Löschfristen sind pro Datum zu bestimmen, d.h. einige Kundendaten sind schneller zu löschen als andere. Auf die Gestaltung der Informationen wird man sich Gedanken machen müssen, da sie in klarer und einfacher Sprache transparent gegeben werden müssen. Dies schließt wohl ein Verstecken in den AGB oder in einer Datenschutzerklärung auf der Webseite aus. Da Verbraucher zukünftig immer wieder insbesondere auf Ihre Beschwerderechte hingewiesen werden müssen, und auch Verbraucherverbände diesbezüglich mit eigenen Rechten ausgestattet werden, steigt das Risiko für Seite 2 von 5

3 Unternehmen bei Verstößen gegen die Transparenzpflichten zu Rechenschaft gezogen zu werden. 3 Erlaubnis zur Datenverarbeitung insbesondere bei Marketing und Werbeaktionen Bisher konnten sich in Deutschland Unternehmen bei ihren Marketing und Werbeaktionen auf besondere Regelungen im Bundesdatenschutzgesetz (BDSG) stützen. Diese Regelungen entfallen im Rahmen der DS-GVO. Dies betrifft insbesondere den erleichterten Umgang mit Daten aus öffentlich zugänglichen Quellen wie zum Beispiel Telefon- oder Adressbüchern. Das bedeutet, dass für die Beschaffung, Aufbereitung und Auswertung von Daten für Marketingsaktionen neue Rechtsgrundlagen gefunden werden müssen, die die Durchführung dieser Marketingaktivitäten gestatten. Dabei ist nicht auszuschließen, dass hierzu zukünftig noch mehr als bisher eine Einwilligung der Betroffenen erforderlich ist. Das gilt nicht nur für B2C- sondern auch für B2B-Bereich. Im Hinblick auf die Schwierigkeit, Einwilligungen nachträglich einzuholen, sollte frühzeitig geprüft werden ob gegebenenfalls erforderliche Einwilligungen bereits mit einer Bestellung oder einem Vertragsabschluss eingeholt werden können. Soweit künftig eine Datenverarbeitung ohne datenschutzrechtliche legitimierende Rechtsgrundlage erfolgt, drohen Bußgelder bis zu 20 Millionen Euro oder sofern höher 4% des weltweiten Jahresumsatzes. Daneben kann ein Betroffener Schadensersatzansprüche für materielle oder immaterielle Schäden z.b. für den mit der Verarbeitung einhergehenden Grundrechtseingriff geltend machen. Die neben den datenschutzrechtlichen Vorschriften im Bereich des Marketings zu beachtenden Regelungen des UWG sowie die Regelungen im Telekommunikationsrecht und für Telemediendienste (Webseiten, Webstatistiken) bleiben grundsätzlich bestehen. 4 Outsourcing Längst ist die Einbeziehung von Dienstleistern in Unternehmensprozesse üblich. Besondere im Hinblick auf die rasant steigende Nutzung von Cloud Dienstleistungen werden zunehmend auch personenbezogene Daten wie zum Beispiel von Kunden oder Mitarbeitern durch Dienstleister verarbeitet. An eine solche Auftragsverarbeitung stellt die DS-GVO ähnliche Anforderungen wie nach geltendem Recht. Allerdings ist auch hier ihre Nichteinhaltung wie zum Beispiel eine Beauftragung ohne hinreichend konkretisierten Datenschutzvertrag bußgeldbewehrt. Die Bußgeldbewehrung aber nicht nur den Auftraggeber sondern auch einen Auftragnehmer. Die DS-GVO sieht eigene - bußgeldbewehrte - datenschutzrechtliche Pflichten der Auftragnehmer vor. So verstößt zum Beispiel ein Dienstleister gegen Seite 3 von 5

4 seine datenschutzrechtlichen Auflagen, wenn er ohne einen hinreichend konkretisierten Datenschutzvertrag Daten seiner Auftraggeber verarbeitet. Seine Verantwortung geht aber auch in Richtung Unterauftragnehmer weiter. Zum Beispiel ist es ihm nicht nur verboten, die ohne Zustimmung seiner Auftraggeber einzusetzen, sondern er haftet auch mit diesem zusammen gesamtschuldnerisch für deren Datenschutzverstöße direkt gegenüber dem Betroffenen. Auftraggeber wie Auftragsverarbeiter müssen bestehende Dienstleistungsverhältnisse daraufhin überprüfen, ob sie den neuen Anforderungen gerecht werden. Soweit dies nicht der Fall ist, zum Beispiel weil entsprechende Verträge fehlen, ist dies bis zur Geltung der DS-GVO in Mai 2018 zu heilen. 5 IT-Sicherheit Gegenüber dem heute in Deutschland geltenden Datenschutzrecht erhöht die DS- GVO die Anforderungen an die IT-Sicherheit deutlich. Sie setzt voraus, dass ein Unternehmen für die Verarbeitung personenbezogener Daten über ein angemessenes, risikoorientiertes und dokumentiertes IT-Sicherheitskonzept bspw. angelehnt an den Standard des BSI verfügt. Eine konzeptlose Aneinanderreihung technischer und organisatorischer Maßnahmen reicht hierzu nicht aus. Auch wenn mit der Angemessenheit und der Risikoorientierung schon zwei Parameter für die Anforderungen an das IT-Sicherheitskonzept vorgegeben werden, fordert die DS-GVO zusätzlich eine Anknüpfung am Stand der Technik. Damit wird zum Beispiel der weitere Einsatz eines Betriebssystems wie Windows XP nicht nur unter Sicherheitsaspekten sondern auch nach den Datenschutzanforderungen zu einem (Bußgeld-) Risiko. Um die Wirksamkeit der Maßnahmen sicherzustellen, haben die Unternehmen regelmäßig dokumentierte Wirksamkeitstests durchzuführen. Soweit ein Unternehmen bisher bereits seine Sicherheit Maßnahmen an etablierten Sicherheitsstandards wie dem BSI-Grundschutz oder der ISO orientiert, können sie für die künftigen Datenschutzanforderungen auf einer guten Grundlage aufbauen. Dennoch hier eine Abgleich mit den Anforderungen der DS-GVO erforderlich. 6 Erste Schritte zur erfolgreichen Umsetzung Diese knappe Übersicht über die Themen der insgesamt 99 Artikel umfassenden DS- GVO zeigt, dass bis zu ihrer Geltung eine Menge zu tun ist. Es sollte daher bald mit den ersten Schritten auf dem Weg zur Umstellung auf die DS-GVO begonnen werden. Hierzu gehören insbesondere folgende Punkte: Information der relevanten Akteure (Geschäftsführung, Fachabteilungen, IT, Betriebsrat) Aufbau oder Einkauf von Fachwissen über die Anwendung der DS-GVO Erhebung des Ist-Zustands u.a. mit Prozessen und ihrer Beschreibung (z.b. QM-Handbücher), Seite 4 von 5

5 Zwecken für jedes Datenfeld, Rechtsgrundlagen für jedes Datenfeld und Einschlägigen Löschfristen, Aufbau eines Datenschutzmanagementsystems, Aufbau oder Ausbau eines Dokumentationssystems, Prüfung und Anpassung der Rechtsgrundlagen an DS-GVO, Anpassung aller Verträge zur Auftragsdatenverarbeitung und Prüfung und Anpassung der IT-Sicherheitsmaßnahmen. Angesichts des hohen Anpassungsbedarfs erscheint die zweijährige Übergangszeit eher zu kurz als zu lang. 7 Autoren Thomas Müthlein DMC Datenschutz Management & Consulting GmbH & Co. KG / Vorstand der Gesellschaft für Datenschutz und Datensicherheit e.v. Dr. Niels Lepperhoff Xamit Bewertungsgesellschaft mbh / DSZ Datenschutz Zertifizierungsgesellschaft mbh Seite 5 von 5