Die Datenschutzgrundverordnung (DSGVO) kommt! To dos für Unternehmen bis zur Umsetzungsfrist am

Transkript

1 Die Datenschutzgrundverordnung (DSGVO) kommt! To dos für Unternehmen bis zur Umsetzungsfrist am Bereits seit dem 25.Mai 2016 ist die DSGVO in Kraft. Verbindlich anzuwenden sind die Vorschriften jedoch gem. Art. 99 Abs. 2 DSGVO erst ab dem 25. Mai Die ursprünglich 2-jährige Übergangsfrist sollte den Unternehmen genug Zeit geben, um ihre Datenschutzbestimmungen und -Prozesse an die Neuregelung anzupassen. Zwar ähnelt die DSGVO in ihrem Regelungskern den Vorschriften des BDSG, gleichwohl sind aber eine Reihe von Änderungen zu beachten und vor allem schon bislang Vernachlässigtes schleunigst nachzubessern oder Versäumtes zu beheben. Ein Unsicherheitsfaktor ist hierbei, dass bestehende nationale Datenschutzgesetze (Bundesdatenschutzgesetz[BDSG], Landesdatenschutzgesetze [LDSG], Telemediengesetz [TMG], Sozialgesetzbücher [SGB] und sonstiges Fachrecht) nach dem nicht etwa automatisch außer Kraft gesetzt werden, sondern weiter bestehen bleiben. Mithin gibt es entgegen anderslautender Einschätzungen gerade keinen Anwendungsvorrang, sondern nur einen (komplizierten) Geltungsvorrang der DSGVO mit Ausnahmen und Rückausnahmen. Beispielsweise kann der Geltungsvorrang der DSGVO bei einzelnen nationalen Gesetzen und Regelungen entfallen, wenn eine Regelung eine der über 70 Öffnungsklauseln der DSGVO für nationale Gesetzgeber ausfüllt. Dies setzt allerdings voraus, dass der nationale Gesetzgeber im Rahmen seiner Kompetenzen gehandelt hat und die nationale Regelung nicht gegen Grundprinzipien des europäischen Datenschutzes verstößt. Bund und Länder arbeiten derzeit mehr oder weniger fieberhaft (je nach Legislaturperiode) daran, zunächst das BDSG und die LDSG und sodann das Fachrecht an die europarechtlichen Vorgaben anzupassen und damit auch die Öffnungsklauseln auszunutzen. Mithin besteht derzeit keine eindeutige und konsistente Rechtslage als Blaupause, nach der deutsche Unternehmen die Umsetzung der DSGVO verfolgen könnten. Und dennoch raten wir Unternehmen dazu nicht abzuwarten, sondern jetzt zu handeln! Denn bei Nichteinhaltung der datenschutzrechtlichen Vorschriften der DSGVO ab dem 25.Mai 2018 drohen horrende Geldbußen und Strafen! Die Behörden können nach Art. 83 DSGVO Strafzahlungen in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens oder, falls höher bis zu 20 Mio. verhängen. DSGVO_kommt! Seite 1 von 6

2 Was sind die wesentlichen Neuerungen?: 1. Anwendungsbereich Weiterhin bedarf es eines personenbezogenen Datums, damit die DSGVO sachlich anwendbar ist. Die große Neuerung liegt in der räumlichen Anwendbarkeit der DSGVO, die das Marktortprinzip statuiert. Damit müssen weltweit alle Unternehmen die DSGVO beachten, die Geschäft in Europa generieren und dabei personenbezogene oder -beziehbare Daten erheben und/oder verarbeiten. Damit fallen nahezu alle internationalen Konzerne in den Anwendungsbereich der DSGVO, was insbesondere bei US-Unternehmen bereits ein gesteigertes Umsetzungsinteresse ausgelöst hat, weil traditionell in den USA Risiken von Strafzahlungen mehr im Fokus stehen, als bei deutschen Unternehmen. 2. Rechenschaftspflicht und Transparenz durch Dokumentation Ein wesentliches Ziel der DSGVO ist es, die Rechte der Betroffenen zu stärken. Verantwortliche müssen deshalb die Einhaltung der Datenschutzbestimmungen jederzeit nachweisen können. Ein wesentliches Element der erforderlichen Dokumentation bilden dabei die für deutsche Unternehmen in der Regel bekannten Verfahrensverzeichnisse. Diese heißen zukünftig Verzeichnis von Verarbeitungstätigkeiten, werden allerdings in Artikel 30 DSGVO erheblich detaillierter und strikter geregelt, als dies bislang in 4e BDSG der Fall ist. Eine Mammutaufgabe steht mithin insbesondere jenen Unternehmen bevor, die derzeit noch keine Verzeichnisse oder Dokumentationen vorhalten. 3. Datenschutz-Folgenabschätzung Gem. Art. 35 DSGVO müssen Unternehmen, wenn Sie Datenverarbeitungstechnologien einführen wollen, zuvor prüfen, inwiefern sich diese auf den Schutz personenbezogener Daten auswirken können. Auch dieses Prinzip ist für deutsche Unternehmen als Vorabkontrolle nicht neu. Vollständig neu ist hingegen, dass die Aufsichtsbehörde zur Beratung und Risikominimierung konsultiert werden muss, sofern die Prüfung ergibt, dass ein hohes Risiko für personenbezogene Daten besteht. 4. Einwilligung Auch im Bereich der Einwilligung (Art. 7 ff. DSGVO) ergeben sich Änderungen. So muss die informierte Einwilligung eindeutig erklärt werden (Art. 7 Abs. 1 DSGVO) und eine schriftliche Einholung muss separat von anderen Erklärungen erfolgen (Art. 7 Abs. 2 DSGVO). Kombinierte Einwilligungserklärungen sollten zukünftig also besser aufgesplittet werden und es ist verstärkt auf das sog. Koppelungsverbot zu achten. Der Nutzer ist vor der Erteilung der Einwilligung darauf hinzuweisen, dass er seine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Erfreulich ist, dass Einwilligungen nunmehr auch in nicht-schriftlicher Form eingeholt werden können. DSGVO_kommt! Seite 2 von 6

3 Die DSGVO legt erstmalig fest, dass Kinder und Jugendliche bis zu einem Alter von 16 Jahren nur mit dem Einverständnis der Erziehungsberechtigten einwilligen können (Art. 8 DSGVO). Den EU- Mitgliedstaaten steht es jedoch frei, die Altersgrenze auf maximal 13 Jahre herabzusetzen. Ob alle oder einzelne Nationalstaaten von dieser Öffnungsklausel Gebrauch machen, sollten Unternehmen mit der Zielgruppe Jugendliche im Auge behalten. 5. Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen Die DSGVO verankert erstmalig den Grundsatz Datenschutz durch Technik (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) gesetzlich. Datenschutz durch Technik bedeutet, dass die Software so zu entwickeln ist, dass sie möglichst wenige personenbezogene Daten mit einem angemessenen Datenschutzstandard (etwa Pseudonymisierung; Art. 25 Abs. 1 DSGVO) erhebt und verarbeitet. Eine Voreinstellung ist dann datenschutzfreundlich, wenn nur so viele personenbezogene Daten verarbeitet werden, wie gemessen am jeweiligen Zweck erforderlich ist. Die Verpflichtung trifft Hersteller und Anwender gleichermaßen. So werden Anwender diese Anforderungen in ihren Ausschreibungen und Lastenheften berücksichtigen müssen. 6. Profiling Nach Art. 22 Abs. 1 DSGVO hat die betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung einschließlich Profiling beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Verantwortliche haben angemessene Maßnahmen zu treffen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren. 7. Auftragsverarbeitung Die alte Auftragsdatenverarbeitung wird jetzt zur Auftragsverarbeitung. Es sind neue Pflichten des Auftragsverarbeiters vorgesehen, so dass die alten Verträge anzupassen sind. Besonders wichtig erscheint, dass die Übermittlung von personenbezogenen Daten an Auftragsverarbeiter nicht mehr privilegiert ist und der Auftragsverabeiter gemeinsam die Verantwortung mit dem Auftraggeber trägt und haftet. 8. Betroffenenrechte; Recht auf Vergessenwerden Dem Einzelnen gewährt die DSGVO Rechte, die ebenfalls unmittelbar in unternehmensinterne Prozesse zu intergieren sind. Das prominenteste Beispiel hierfür ist das Recht auf Vergessenwerden (Art. 17 DSGVO) basierend auf der Google-Entscheidung des EuGH (Urteil vom Aktenzeichen C-131/12). Danach können Betroffene von dem Verantwortlichen die Löschung ihrer personenbezogenen Daten verlangen, soweit diese nicht mehr für den Zweck notwendig sind, für den sie erhoben wurden, Art. 17 Abs. 1 lit. a) DSGVO. Insoweit sollte sich der Anpassungsaufwand für deutsche Unternehmen jedoch in Grenzen halten, weil das BDSG bereits heute eine entsprechende Regelung vorsieht ( 35 Abs. 2 Nr. 4). DSGVO_kommt! Seite 3 von 6

4 9. Datenportabilität Artikel 20 der DSGVO führt das neue Recht auf Datenübertragbarkeit ein. Dies gibt der betroffenen Person das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln. 10. Datenschutzbeauftragter Ein Unternehmen muss nach der DSGVO nur dann einen Datenschutzbeauftragten bestellen, sofern die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder sensible Daten verarbeitet werden (Art. 37 DSGVO). De jure bleibt die Regelung der DSGVO demnach hinter der Regelung des BDSG zurück. De facto dürfte aber die Stellung des betrieblichen Datenschutzbeauftragten durch das neue Haftungsregime der DSGVO mit horrenden Strafzahlungen bei Verstößen einen enormen Bedeutungszuwachs erfahren. Erfreulich bei der Neureglung ist, dass eine Unternehmensgruppe sodann einen gemeinsamen Datenschutzbeauftragten ernennen darf, sofern dieser von jeder Niederlassung aus leicht erreicht werden kann. 11. Meldung von Datenschutzverstößen Künftig müssen verantwortliche Stellen jede Verletzung des Schutzes personenbezogener Daten, der zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde gem. Art. 33 DSGVO melden. Diese Verpflichtung verschärft insofern die bereits im BDSG verankerte Informationspflicht, als dass 42a BDSG nur auf die unrechtmäßige Übermittlung, nicht jedoch auf jeden Datenschutzverstoß und auch nur auf einen bestimmten Datensatz, nicht jedoch auf jegliche personenbezogene Daten abstellt. Die nunmehr eingeführte Frist verlangt von Unternehmen, Prozesse für solche Meldungen zu implementieren und den Ernstfall zu proben. Ansonsten werden 72 Stunden kaum einzuhalten sein. 12. Sanktionen und Haftungsverschärfungen Schließlich betrifft eine wesentliche Neuerung das Sanktionssystem. Während nach dem BDSG bei Datenschutzverstößen ein Bußgeld in Höhe von bis zu oder verhängt werden kann und gegebenenfalls Gewinne abgeschöpft werden können, sind die Sanktionen für Verstöße gegen die DSGVO weitreichender: Die Behörden können nach Art. 83 DSGVO Strafzahlungen in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens oder, falls höher bis zu 20 Mio. verhängen. Des Weiteren ergeben sich Haftungsverschärfungen für Auftragsverarbeiter. Sie werden stärker zur Verantwortung gezogen und machen sich bei Verstößen ggf. bußgeldpflichtig (Art. 83 DSGVO). Vor allem aber haften Auftragsverarbeiter gegenüber Betroffenen gesamtschuldnerisch mit dem Verantwortlichen (= verantwortliche Stelle), Art. 82 Nr. 4 DSGVO. DSGVO_kommt! Seite 4 von 6

5 13. Zertifizierungen Art. 42 DSGVO regelt die Einführung von datenschutzspezifischen Zertifizierungen. Das Zertifikat soll bescheinigen, dass datenschutzrechtliche Anforderungen im Unternehmen eingehalten werden. Zertifikate dürfen gemäß Art. 42 Abs. 5 DSGVO nur von den Aufsichtsbehörden oder akkreditierten Zertifizierungsstellen ausgestellt werden. Eine Zertifizierung kann von der verantwortlichen Stelle und den Datenschutzbehörden als Nachweis herangezogen werden, dass bestimmte Anforderungen der DSGVO eingehalten werden. Damit wird die Beauftragung und Überwachung vor allem von Auftragsverarbeitern erleichtert. Wie das Zertifizierungsverfahren im Einzelnen aussehen wird und welche privaten Stellen (TÜV, DEKRA) sie erteilen darf, ist jedoch derzeit noch nicht konkretisiert. Wie gehe ich es an, DSGVO Compliance in meinem Unternehmen zu erreichen? 1. Projekt aufsetzen; Ressourcen anfordern, Starten Erforderlichkeit und Dringlichkeit im Unternehmen und beim Management darlegen Notwendige Ressourcen festlegen und organisieren Interne Projekt- und Führungsstruktur etablieren Priorität festlegen Kick-Off des Projektes 2. Bestimmung des konkreten Handlungsbedarfs mittels Gap-Analyse/Soll-Ist-Abgleich; Feststellung der neuen gesetzlichen Anforderungen (Soll-Zustand) Bestandsaufnahme des betrieblichen Ist-Zustands Bestimmung des Handlungs- und Umsetzungsbedarfs Risikoanalyse und Accountability 3. Umsetzung Prüfung und Anpassung der Datenverarbeitung; Verträge, Einwilligungserklärungen Prüfung der DS-Organisationsstruktur; Anpassung unternehmensinterner Regularien/Richtlinien/Policies/Handbücher Etablierung eines Datenschutzmanagementsystems Was ist im Einzelnen zu tun To-Dos?: 1. Datenschutzmanagementsystem aufbauen 2. Datensicherheitskonzept weiterentwickeln und state-of-the-art erhalten 3. Neupositionierung des Datenschutzbeauftragten in die Wege leiten 4. Dokumentation, Dokumentation, Dokumentation DSGVO_kommt! Seite 5 von 6

6 a. Verarbeitungstätigkeitsverzeichnisse für alle Verfahren anfertigen b. Rechtsfolgenabschätzungen vornehmen c. Ggf. vorherige Konsultation der Behörden in die Wege leiten d. Risikoklassifizierungen vornehmen 5. Einwilligungserklärungen anpassen, aufsplitten, entkoppeln 6. Auftrags(daten)verarbeitungsverträge überprüfen und anpassen 7. Datenschutzerklärungen, -Hinweise. Policies anpassen 8. Betriebsvereinbarungen überprüfen und anpassen 9. Zuständigkeiten und Verfahren für die Erfüllung von Betroffenenrechten aufbauen a. Informieren b. Auskunft erteilen c. Berichtigen d. Einschränken e. Löschen f. Übertragen oder strukturiert Herausgeben (portieren) 10. Löschkonzept etablieren, erhalten und aktualisieren Stunden-Meldewesen für etwaige Verstöße errichten 12. Privacy by Design and Default-Grundsatz etablieren bei Programmierung, Ausschreibung, Projektplanung und Vertragsgestaltung 13. Zertifizierung anstreben 14. Internationalen Datentransfer legal gestalten 15. Notos Rechtsanwälte um Hilfe fragen! Ihre Ansprechpartner: Jens Engelhardt Rechtsanwalt Partner Fachanwalt für IT-Recht Fachanwalt für gewerblichen Rechtsschutz Fachanwalt für Urheber- Medienrecht Björn Riedinger Rechtsanwalt Assoziierter Partner Fachanwalt für Arbeitsrecht Fachanwalt für IT-Recht Notos - Rechtsanwälte Heidelberger Straße Darmstadt Tel.: +49 (0)6151/ Fax: +49 (0)6151/ Notos - Rechtsanwälte Pariser Straße Berlin Tel.: +49 (0)30/ Fax: +49 (0)30/ Mail: anwalt@notos.de - Internet: DSGVO_kommt! Seite 6 von 6