Illustration: Absmeier, Daswortgewand
Seit knapp zwei Jahren ist sie schon in Kraft, ab dem 25. Mai 2018 wird die europäische Datenschutzgrundverordnung (EU-DSGVO) unmittelbar anwendbar sein.
Für die letzten Wochen vor der Anwendung der europäischen Datenschutzgrundverordnung ab 25. Mai 2018 empfiehlt der KVD-Partner Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V. Unternehmen und Behörden, qualifizierte fachkundige Berater heranzuziehen.
Damit alle Unternehmen, die jetzt erst tätig werden, optimal vorbereitet sind, hat der Service-Verband KVD e. V. eine Faktensammlung zusammengestellt:
Kommunikation und Sensibilisierung im Unternehmen:
Geschäftsleitung und andere für Datenschutz Zuständige sollten innerhalb des Unternehmens die Mitarbeiter dafür sensibilisieren, dass sich ab dem 25. Mai 2018 nicht nur der Name einer europäischen Datenschutzregelung ändern wird. Die EU-DSGVO wird direkte Auswirkungen auf datenverarbeitende Unternehmen haben.
Bestandsaufnahme der aktuell bestehenden Prozesse:
Welcher Änderungsbedarf im Umgang mit personenbezogenen Daten ergibt sich? Das bisherige Verfahrensverzeichnis nach §4d Bundesdatenschutzgesetz (BDSG) ist dem Bundeswirtschaftsministerium (BMWi) nach ein Ausgangspunkt zur Identifizierung der Datenverarbeitungen. Die Datenschutzkonferenz (DSK) empfiehlt, dann den Soll-Zustand zu ermitteln und im Anschluss daran eine Lückenanalyse zwischen dem jetzigen Ist-Zustand und dem künftigen Soll-Zustand durchzuführen.
Rechtsgrundlage (Verbot mit Erlaubnisvorbehalt):
Sie kann sich unmittelbar aus der EU-DSGVO ergeben. In Betracht kommt etwa die Einwilligung des Betroffenen (Artikel 6 Abs. 1 lit. a EU-DSVO). Eine Datenverarbeitung ist auch zulässig, wenn sie zur Erfüllung eines Vertrages mit dem Betroffenen erforderlich ist (Artikel 6 Abs. 1 lit. b EU-DSGVO). Rechtsgrundlagen für Datenverarbeitungen können sich darüber hinaus aus dem BDSG (vgl. u. a. §§ 3, 23, 25 BDSG neu) sowie dem bereichsspezifischen nationalen Datenschutzrecht ergeben. Das bedeutet konkret: Für jede Datenverarbeitung innerhalb des Unternehmens ist zu prüfen, ob das neue Recht eine Rechtsgrundlage bereitstellt.
Betroffenenrechte:
Kunden stehen umfangreiche Rechte zu. Sie müssen in den Geschäftsabläufen des Unternehmens abgebildet und gegenüber den Betroffenen umgesetzt werden. Hierzu gehören nach Angaben der DSK und des BMWi das Recht auf Löschung (Artikel 17), das Recht auf Datenübertragbarkeit (Artikel 20) sowie die Informationspflichten des Verantwortlichen gegenüber dem Betroffenen (Artikel 13, 14) einschließlich der übergreifenden Rahmenvorgaben (Artikel 12).
Datenschutzrechtliche Einwilligung:
Vielen Unternehmen dient sie als Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Bei der Einholung von Einwilligungen sind spezifische Anforderungen zu beachten (Artikel 7 EU-DSGVO). Bei der Datenerhebung müssen Informationspflichten eingehalten werden (Artikel 13 EU-DSGVO).
Verträge und Regularien:
Das BMWi empfiehlt Unternehmen und Organisationen, ihre bestehenden Verträge zur Auftragsdatenverarbeitung in Dienstleistungsbeziehungen zu überprüfen und zu überarbeiten. In Artikel 28 EU-DSGVO sind Vorgaben für Vereinbarungen mit Auftragsdatenverarbeitern, die jetzt »Auftragsverarbeiter« heißen, genau geregelt. Der Blick sollte auch nach innen gerichtet werden: Geschäftsprozesse, Regularien, Richtlinien oder Handbücher und Dienstvereinbarungen.
Datenschutz-Folgenabschätzung:
Sie ist durchzuführen, wenn eine Datenverarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten betroffener Personen zur Folge hat (Artikel 35 Abs. 1 EU-DSVO). Das BMWi weist darauf hin, dass sich an eine Datenschutz-Folgenabschätzung eine verpflichtende Konsultation der zuständigen Aufsichtsbehörde anschießen kann, die vor Durchführung der eigentlichen Datenverarbeitung zu erfolgen hat (Artikel 36 EU-DSGVO).
Melde-, Konsultations- und Dokumentationspflichten:
Sie sollten in den internen Abläufen des Unternehmens abgebildet werden (Artikel 33, 36 und 37 EU-DSGVO). Gleichzeitig sollte sichergestellt sein, dass der betriebliche Datenschutzbeauftragte bei datenschutzrechtlichen Fragestellungen und der Ausgestaltung von Datenverarbeitungsprozessen frühzeitig beteiligt wird. Dokumentationspflichten sind in Artikel 30 (Verarbeitungsverzeichnis), Artikel 33 Abs. 5 (Dokumentation von Weisungen im Rahmen von Auftragsverarbeitungsverhältnissen) benannt.
»Privacy-by-Design« und »Privacy-by-Default«:
Das BMWi empfiehlt, dies bei Einrichtung und Ausgestaltung der Datenverarbeitungssysteme im Unternehmen frühzeitig zu bedenken. Die EU-DSGVO gibt hier Rahmenbedingungen vor, wie die datenschutzrechtlichen Anforderungen durch die verantwortliche Stelle schon bei der Prozessgestaltung und bei Voreinstellungen umzusetzen sind (Artikel 25 EU-DSGVO).
Wettbewerbsvorteil:
Datenschutz lässt sich auch als Service am Kunden verstehen. Wer sorgfältig und behutsam mit den Daten des Kunden umgeht, vermittelt eine gewisse Wertschätzung für personenbezogene Daten des Kunden. Datenschutz wird zu einem Argument, wenn es um die Vermarktung von Dienstleistungen geht.
[1] Damit alle Unternehmen, die jetzt tätig werden, optimal vorbereitet sind, hat der Service-Verband KVD e. V. jetzt eine Sonderausgabe des Fachmagazins SERVICETODAY veröffentlicht.
DSGVO-Compliance in der Kommunikation – Die sieben häufigsten Fehler bei der digitalen Kommunikation
DSGVO-konform: Container für Smartphone und Laptops – Sicheres Arbeiten auf mobilen Endgeräten