Die neue Datenschutz-Grundverordnung

Ein Beitrag von Rechtsanwalt Ulrich Poser, Fachanwalt für Urheber- und Medienrecht, Datenschutzbeauftragter TÜV ®, Hamburg/Berlin – www.kanzlei-für-veranstaltungsrecht.de

Am 25. Mai 2018 wird die neue Datenschutz-Grundverordnung (DSGVO) in Kraft treten. Sie enthält im Vergleich zum Bundesdatenschutzgesetz teilweise erhebliche Abweichungen. Nachfolgend werden die Grundprinzipien, einige wichtige Neuerungen und voraussichtliche Auswirkungen der DSGVO auf die Praxis vorgestellt.

  1. Die Grundprinzipien der Datenverarbeitung

Die Grundsätze für die Verarbeitung personenbezogener Daten sind in Art 5. DSGVO niedergeschrieben.

(1) Personenbezogene Daten müssen danach

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2)  Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

  1. Übermittlung in Drittstaaten

Eine Übermittlung von personenbezogenen Daten in ein Drittland oder an eine inter­nationale Organisation ist nur zulässig, wenn der Verantwortliche und der Auftragsver­arbeiter die im Kapitel V zur Datenübermittlung in Drittländer und zu internationalen Organisationen niedergelegten Bedingungen erfüllen und auch die sonstigen Bestim­mungen der DSGVO beachtet werden (Art. 44 DSGVO).

Dies wird interessant für hier genutzte Dienste aus den USA wie z.B. Facebook oder WhatsApp.

  1. Datenpannen – Art. 33 und 34 DSGVO

Eine Datenpanne kann jedes Unternehmen treffen. Der Serverraum wurde von Hochwasser geflutet, die Sicherungskopien der Festplatte wurden Opfer eines Brandes, die Rechner eines Unternehmens oder das betriebliche Laptop wurden gestohlen; das Smartphone fällt ins Meer: Schon ist die Datenpanne da.

Nach den Artikeln 33 und 34 DSGVO besteht ab 25. Mai 2018 eine abgestufte Meldepflicht:

  1. a) Eine Meldung an die Aufsichtsbehörde hat immer zu erfolgen, es sei denn, dass die Datenpanne „voraussichtlich nicht zu einem Risiko“ für den Betroffenen führt.
  1. b) Eine Benachrichtigung an die betroffene Person muss nur dann erfolgen, wenn ein hohes Risiko für deren Rechte und Freiheiten besteht.

Wann muss die Meldung an die Aufsichtsbehörde erfolgen?

Die Meldung der Datenpanne muss innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde erfolgt sein (Art. 33 Abs. 1 S. 1 DSGVO). Wird später gemeldet, ist die Verspätung zu begründen.

Mögliches exorbitant hohes Bußgeld bei Unterlassen der Meldung

Unterlässt die verarbeitende Stelle, welcher die Datenpanne passiert ist,  die obligatorische Meldung, kann die Aufsichtsbehörde Bußgelder von bis zu 10 Mio. Euro bzw. 2% des Umsatzes des Unternehmens verhängen (Art. 83 DSGVO).

Aus diesem Grunde sollten sich alle Unternehmen bereits jetzt darum bemühen, Datenpannen von vornherein zu vermeiden. Als vorbeugende Checkliste zur Vermeidung von Datenpannen kann nach wie vor die Auflistung der technisch-organisatorischen Maßnahmen gem. der Anlage zu § 9 Bundesdatenschutzgesetz dienen:

Anlage (zu § 9 Satz 1 BDSG)

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

1.Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),

2.zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

3.zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

4.zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

5.zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

6.zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

7.zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

8.zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

In anderen Fällen kann nach der DSGVO sogar ein Bußgeld bis 20 Millionen Euro oder 4 % des Unternehmensumsatzes verlangt werden (Art. 83 Abs. 5 DSGVO).

  1. Recht auf Vergessenwerden/Löschung

Art. 17 DSGVO regelt das Recht auf Löschung von erhobenen Daten. Danach kann zukünftig die Löschung von Daten bei Vorliegen folgender Fallgruppen verlangt werden:

  1. Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  2. Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
  3. Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2
    Widerspruch gegen die Verarbeitung ein.
  4. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  5. Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
  6. Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
  1. Neue Regelungen für Auftragsdatenverarbeitung

Nahezu jedes Unternehmen bedient sich der Hilfe von Auftragsdatenverarbeitern. Dazu gehören z.B. IT-Firmen, die mit der ständigen Pflege der Hard- und Software eines Unternehmens beauftragt sind (Beispiel: Wartungsvertrag). Auch Callcenter und Aktenvernichter gehören zu den Auftragsdatenverabeitern.

Gem. Art. 28 Absatz 1 DSGVO muss vom Unternehmen zunächst geprüft werden, ob der Auftragsdatenverarbeiter geeignet ist.  Das Unternehmen darf nur Auftragsdatenverarbeiter einsetzen, die „hinreichend Garantien“ dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen für einen ausreichenden Datenschutz gewährleisten können.

Der Vertrag mit dem Auftragsdatenverarbeiter muss darüber hinaus folgenden Voraussetzungen gem. Art. 28 III  DSGVO genügen:

„(…) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter

  1. die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
  2. gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  3. alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;
  4. die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
  5. angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;
  6. unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt;
  7. nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht,
  8. dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.(…)“

Neue Pflicht: Verzeichnis

Für Auftragsdatenverarbeiter besteht die Pflicht, künftig ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DS-GVO für alle Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung zu führen. Dieses Verzeichnis muss der Aufsichtsbehörde auf Anfrage oder bei  Kontrollen  zur Verfügung gestellt werden.

  1. Die neue Datenschutzfolgenabschätzung

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche gem. Art. 35 DSGVO vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch (Datenschutzfolgenabschätzung).

Die Datenschutz-Folgenabschätzung muss eine systematische Beschreibung der Verarbeitungsvorgänge und die Zwecke der Verarbeitung enthalten (vgl. im Folgenden: Bayerisches Landesamt für Datenschutzaufsicht: https://www.lda.bayern.de/de/datenschutz_eu.html). Dazu sind (technische) Prozesse, IT-Systeme und Produkte sowie Datenflüsse und Systemgrenzen im Detail zu bewerten. Die berechtigten Interessen des Verantwortlichen, z. B. Sicherheit durch neuartige Videoüberwachung oder Erkenntnisse durch Big-Data-Analysen, sind zu beschreiben sowie die Verhältnismäßigkeit und Notwendigkeit der Verarbeitung festzulegen. Zusätzlich ist eine systematische Risikobeurteilung (risk assessment) durchzuführen. Durch geeignete Maßnahmen wird das Risiko minimiert – ist das Restrisiko dann immer noch hoch, ist die zuständige Aufsichtsbehörde zu konsultieren (Art. 36 DS-GVO).

  1. Videoüberwachung

 Zurzeit ist die Videoüberwachung gem. § 6 b Bundesdatenschutzgesetz (BDSG) unter den dort genannten Voraussetzungen noch zulässig.

Die Datenschutzgrundverordnung enthält keine gleichlautende Vorschrift, so dass damit zu rechnen ist, dass die alte Regelung zeitnah gestrichen werden wird.

 

Praxistipp des Bayerischen Landesamts für Datenschutzaufsicht

Jedes Unternehmen, das Videoüberwachung einsetzt, sollte auch schon heute im (jedenfalls internen) Verfahrensverzeichnis dokumentiert haben, in welcher Art und Weise es nach § 6b BDSG geprüft hat und zum Ergebnis gekommen ist, dass sie zulässig ist.

In dem nach der DS-GVO zu erstellenden Verarbeitungsverzeichnis sind die einzelnen Videokameras auszuweisen und u.a. zu dokumentieren, welchem Zweck die Verarbeitung dient, warum sie notwendig und verhältnismäßig ist, welche Risiken für die Rechte und Freiheiten der betroffenen Person berührt werden und welche Abhilfemaßnahmen erwogen und getroffen wurden.

Share
Dieser Beitrag wurde unter Allgemein veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.