VdEW Newsletter 39/2017 – DSGVO

VdEW Newsletter 39/2017 – DSGVO

Wichtige Eckpunkte der Datenschutzgrundverordnung (DSGVO) für Arbeitgeber

Ab dem 25. Mai 2018 gilt die Datenschutzgrundverordnung der EU (DSGVO) unmittelbar und zwingend für die Unternehmen (vgl. Newsletter 32/17).

Dass dieses Thema höchst brisant ist, haben wir auch anhand der Reaktionen zu unserem diesjährigen Personalleiterarbeits­kreis am 07.11. und 08.11.2017 ablesen können. Anlass genug, die wichtigsten Punkte und Handlungsbedarfe für Sie noch einmal in einem kurzen Überblick zusammenzufassen.

1. Allgemeines

Datenschutz dient dem Schutz des Einzelnen vor dem Missbrauch seiner personenbezogenen Informationen. Diese Informationen sind alle Informationen, die die Person als Individuum auszeichnen – neben Namen und Geburtstag/-ort damit auch die Adresse und sogar Telefonnummer.

Gleichzeitig ist die Verordnung eng mit dem sogenannten Datenschutz-Anpassungs- und Umsetzungsgesetz-EU (BDSG neu/2018) verknüpft, indem unbestimmte Begriffe der Verordnung konkretisiert werden.

2. Wesentliche Regelungen

Neu ist insbesondere die Beschreibung von Grundsätzen in Art. 5 Abs. 1 DSGVO. Aber auch die Rechenschaftspflichten wurden weitreichend reformiert.

a) Rechenschaftspflicht und Verantwortlichkeit

Die Einhaltung der Grundsätze muss durch den Verantwortlichen nachgewiesen werden können. Verantwortlicher ist dabei immer derjenige, der für das Unternehmen verantwortlich ist, also der Geschäftsführer oder Vorstand. Die Verantwortung ist nicht delegierbar!

Der Umfang der Rechenschaftspflichten ist weitreichend. Sie reicht von Datenschutzfolgenabschätzungen über Auftragsverarbeitung bis hin zu Datenschutz-Audits.

Sie wird erweitert durch Dokumentationspflichten insbesondere über Verarbeitungstätigkeiten, Einhaltung der Betroffenenrechte und den Umgang mit Datenschutzvorfällen/-pannen.

b) Betroffenenrechte

Die Rechte der Betroffenen sind in den Art. 12 bis 23 DSGVO geregelt und werden durch §§ 37 ff. BDSG-neu ausgefüllt. Diese sind im Wesentlichen Auskunftsrechte, Widerspruchsrechte und Löschungsansprüche.

Die Betroffenen müssen über eine Datenschutzerklärung darüber informiert werden. Diese muss beinhalten:

  • welche Daten erhoben und verarbeitet werden,
  • Zweck der Verarbeitung,
  • Dauer der Datenspeicherung,
  • wer der Datenschutzbeauftragte ist unter Nennung der Kontaktdaten,
  • Namen und Kontaktdaten des Verantwortlichen,
  • auf welcher rechtlichen Grundlage sowie
  • das Beschwerderecht bei Feststellung eines Daten­schutzvorfalles und
  • das Bestehen eines Rechts auf Auskunft, auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Daten­übertragbarkeit

Im Arbeitsverhältnis ist die Grundlage § 26 BDSG-neu, welche die Verarbeitung aller für das Arbeitsverhältnis maßgeblichen Daten erlaubt.

Für die Erhebung und Verarbeitung von Daten, für die keine rechtliche Grundlage vorhanden ist, ist eine Einwilligung erforderlich. Dabei ist über die Widerruflichkeit der Einwilligung zu belehren.

c) Sanktionen

Die Sanktionsvorschriften sehen empfindliche Geldbußen vor.

Die fehlende Bestellung und/oder Meldung eines Daten­schutzbeauftragten kann beispielsweise mit bis zu 10.000.000 Euro bzw. 2 % des weltweiten Jahresumsatzes sanktioniert werden. Bei einem Verstoß, z. B. gegen Betroffenenrechte, sogar mit dem Doppelten.

3. Handlungsbedarfe

a) Pflicht zur Meldung eines Datenschutzbeauftragten

Die Unternehmen sind in der Regel verpflichtet einen Datenschutzbeauftragten zu bestellen und dessen Namen und Kontaktdaten der Aufsichtsbehörde zu benennen.

Dies ist insbesondere immer dann der Fall, wenn mehr als 10 Personen im Unternehmen personenbezogene Daten verarbeiten, aber auch wenn die Pflicht zur Erstellung einer Datenschutzfolgenabschätzung besteht.

Der Datenschutzbeauftragte ist zwar nicht mehr zwingend schriftlich zu bestellen, dennoch empfiehlt es sich dringend. Nach der Benennung sind die Kontaktdaten zu veröffentlichen und der zuständigen Aufsichtsbehörde unverzüglich zu melden. Dies gilt auch für eine Abberufung (Art. 37 Abs. 7 DSGVO).

Das Register über die Datenschutzbeauftragten wird von der/dem Landesbeauftragte/r für den Datenschutz für den öffentlichen Bereich geführt, in dem der Hauptsitz des Unternehmens liegt.

Zu beachten gilt weiter:

Eine Befreiung von der Einhaltung des Datenschutzrechts, weil der Verantwortliche keinen Datenschutzbeauftragten bestellen muss, kann aus dem Verordnungstext nicht entnommen werden.

b) Verzeichnis der Verarbeitungstätigkeit

Wesentlich im Rahmen der Datenschutzgrundverordnung ist die Erstellung eines Verzeichnisses der Verarbeitungs­tätigkeit. Dieses Verzeichnis muss dabei aufgeschlüsselt werden nach Abteilung, Art der personenbezogenen Daten, Verwendungszweck und Rechtsgrundlage der Speicherung. Das Verfahrensverzeichnis nach § 4d BDSG ist dabei Ausgangspunkt zur Identifizierung des Verarbeitungsverfahrens.

Die Führung des Verzeichnisses ist nicht mehr Aufgabe des Datenschutzbeauftragten, welcher gemäß des „neuen BDSG“ primär nur noch als „Berater und Lehrer“ fungiert. Sie kann aber an ihn delegiert werden.

c) Rechtsgrundlagen identifizieren

Unbedingt notwendig ist die Identifizierung der Rechts­grundlagen, die die Verarbeitung der personenbezogenen Daten jeweils erlauben. Dies ist der Dreh- und Angelpunkt um das Verzeichnis der Verarbeitungstätigkeit führen zu können, aber auch um die Betroffenenrechte wahren zu können (Datenschutzerklärung/Einwilligung).

d) Kontrolle/Überarbeitung der Auftragsverarbeitungsverträge

Aufgrund des immens gestiegenen Haftungs- und Bußgeldrisikos sind alle Verträge zur Auftragsdaten­verarbeitung neu zu bewerten.

Dabei gilt:

Der Verantwortliche kann sich seiner Verantwortung nicht entziehen, indem er Dritte mit der Verarbeitung beauftragt (z. B. Rechenzentren, Aktenvernichter). Dieser muss viel­mehr über Überprüfungen und Inspektionen sicherstellen, dass sich auch der Verarbeiter an die DSGVO hält. Es müssen deshalb insbesondere Aufbewahrungsfristen und Vernichtungstätigkeiten in den Verträgen geregelt werden. Geregelt werden muss ferner die Art der Daten, der Gegenstand und die Dauer der Verarbeitung, die Kategorien betroffener Personen, die Vertraulichkeit der Mitarbeiter, die Hinzuziehung von Subunternehmen und die Unterstützung bei der Meldepflicht bei Datenschutz­vorfällen. Die Vorgaben für die Verträge ergeben sich aus den Artikeln 26-28 DSGVO.

e) Meldung bei Datenverlusten

Der Ablauf der Meldepflicht ist dabei in internen Ablauf­plänen abzubilden. Das bedeutet, dass jeder Mitarbeiter sofort wissen muss, was er wann und wie zu tun hat.

Kommt es zu einem Verlust von personenbezogenen Daten, muss gem. Art. 33 DSVGO innerhalb von 72 Stunden eine Meldung an die Aufsichtsbehörde erfolgen. Diese muss neben den Kontaktdaten des Datenschutzbeauftragen auch Informationen darüber enthalten, welche Art von Daten betroffen ist, welcher Kreis von Personen und dessen Anzahl der Betroffenen, welche Folgen eintreten können und welche Maßnahmen ergriffen wurden, um die Lücke zu schließen und Folgen abzumildern.

Eine zusätzliche Informationspflicht gegenüber den Betroffenen besteht, wenn besonders sensible Daten verloren gehen, deren Verlust ein hohes Risiko für die Betroffenen darstellt (z. B. Bankdaten).

0 Kommentare

Antwort hinterlassen