Inhaltsverzeichnis

Jede natürliche und jede juristische Person, die personenbezogene Daten verarbeitet, ist zur Einhaltung der DSGVO verpflichtet. Ausgenommen sind natürliche Personen nur dann, wenn die Daten für den persönlichen oder familiären Zweck verarbeitet werden, wie z.B. die Erstellung eines privaten Anschriftenverzeichnisses. Darüber hinaus sind Unternehmen unter bestimmten Voraussetzungen dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen. Doch dazu später mehr.

Rechenschaftspflicht

Jedes Unternehmen als datenverarbeitende Stelle ist für die ordnungsgemäße Datenverarbeitung verantwortlich und muss dessen Einhaltung nachweisen können (Art. 5 Abs. 2 DSGVO). Dazu gehören insbesondere die Grundsätze der Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Integrität und Vertraulichkeit. Damit ist es zwingend erforderlich im Unternehmen ein dokumentiertes Datenschutzkonzept zu pflegen.

Verarbeitungsverzeichnis

Dementsprechend muss ein Verarbeitungsverzeichnisverzeichnis für die Verarbeitung personenbezogene Daten mit allen Datenkategorien (Personal, Kunden etc.) und mit den jeweiligen Datenarten (Lohn- und Gehaltsabrechnungen, Verträge etc.) von dem Unternehmen geführt werden (Art. 30 Abs. 1 lit. g DSGVO). Diese Verzeichnisse müssen Angaben zu den Löschfristen der verschiedenen Datenarten enthalten sowie eine Beschreibung der Maßnahmen für die Sicherheit der Datenverarbeitung. Sie sind schriftlich oder elektronisch zu führen und der Aufsichtsbehörde auf Anforderung zur Verfügung stellen.

Hinweis: Die Ausnahmeregelung im Art. 30 Abs. 5 DSGVO für Unternehmen unter 250 Mitarbeitern kommt nur bei gelegentlicher Verarbeitung zur Anwendung – also in der Praxis eher selten!

Die Rechtmäßigkeit für jede Datenverarbeitung personenbezogener Daten muss nachgewiesen werden. Es ist damit sinnvoll im Verarbeitungsverzeichnis auch die Rechtsgrundlage auf der die Verarbeitung basiert anzugeben. Kann für einen Verarbei-tungsprozess keine Rechtsgrundlage angegeben werden ist die Verarbeitung verboten!

Das Verarbeitungsverzeichnis bildet damit die Grundlage für den Datenschutz, denn danach richten sich alle Maßnahmen für den Datenschutz und die Datensicherheit.

Auftragsverarbeitung

Wird für die Verarbeitung personenbezogene Daten ein Dienstleister eingeschaltet und handelt der Dienstleister weisungsgebunden, dann stellt die Tätigkeit des Dienstleisters eine Verarbeitung im Auftrag dar. Eine Auftragsverarbeitung liegt auch dann vor, wenn ein Zugriff auf personenbezogene Daten durch den Dienstleister nicht ausgeschlossen werden kann. Typisch sind hier IT-Dienstleister mit Fernzugriff oder Branchensoftware-Anbieter zu nennen. Der Auftraggeber ist in diesem Fall verpflichtet vor Auftragsvergabe zu prüfen, ob bei dem Auftragnehmer ein angemessenes Datenschutzniveau gewährleistet ist. Dazu kann der Auftragnehmer eine entsprechende Zertifizierung vorlegen oder beide Seiten einigen sich auf ein dokumentiertes Datenschutzkonzept beim Auftragnehmer (Art. 28 Abs. 1 DSGVO).

Zusätzlich muss zwischen Auftraggeber und Auftragnehmer ein Vertrag zur Auftragsverarbeitung (AVV) geschlossen werden (Art. 28 Abs. 3 DSGVO). Besteht bereits ein solcher Vertrag auf Basis des § 11 BDSG-alt, muss dieser auf  die Anforderungen der DSGVO überprüft werden. Dazu gehört beispielsweise, dass Subunternehmer beim Auftragnehmer vom Auftraggeber genehmigt werden müssen (Art. 28 Abs. 2 DSGVO). Zudem muss der Auftragnehmer Protokolle zum Nachweis seiner Pflichten führen und diese Protokolle sowie die TOMs (Technische und organisatorische Maßnahmen) dem Auftraggeber zur Prüfung vorlegen (Art. 28 Abs. 3 lit.h DSGVO).

In der DSGVO ist nicht geregelt, wer den AVV erstellen muss. In der Praxis stellt jedoch der Auftragnehmer seinen AVV seinen Kunden bzw. Auftraggebern zur Verfügung.

Typische Auftragsverarbeiter sind folgende Dienstleistungen:

  • Auslagerung der Lohn- und Gehaltsbuchhaltung an einen Dienstleister, sofern dieser kein Steuerberater ist,
  • Provider für die Verwaltung der E-Mail Accounts, z.B. Telekom, 1&1 IONOS, etc.
  • Branchensoftware-Anbieter von Gebäudereiniger-Software,
  • Wartungsarbeiten eines Systembetreuers mit Fernzugriff.

Keine Auftragsdatenverarbeitung sind:

  • Tätigkeiten eines Steuerberaters inkl. der Hilfstätigkeiten, z.B. Lohn/Gehalt,
  • Bankdienstleistungen,
  • Postdienstleistungen für den Transport von Briefen und Paketen,
  • Wartungsarbeiten für die Technik, z.B. Kopiererwartung.

Es ist jedoch zu beachten, dass externe Dienstleister auf die Wahrung der Vertraulichkeit personenbezogener Daten zu verpflichten sind, wenn nicht ausgeschlossen werden kann, dass der Dienstleister auf personenbezogene Daten zugreifen kann. Typisch sind hier Wachdienste für die Gebäudesicherung oder der Kopiererservice zu nennen.

Informationspflicht gegenüber Betroffener

Die Informationspflicht besteht bereits bei der Erhebung personenbezogene Daten (§ 32 BDSG-neu i.V. mit Art. 13 Abs. 1 DSGVO) und nicht erst auf Anfrage der Betroffenen. Betroffene sind in jedem Fall die eigenen Mitarbeiter, ggfs. auch Bewerber und Kunden. Der Informationsumfang beinhaltet neben den Kontaktdaten des Betriebes als verantwortliche Stelle, die Nennung des Datenschutzbeauftragten, die Rechtgrundlage für die Verarbeitung, die Aufbewahrungsdauer bzw. Löschfristen der Datenarten personenbezogener Daten die verarbeitet werden sowie Angaben zum Beschwerderecht der Betroffenen bei der zuständigen Aufsichtsbehörde.

Die Informationen können den Betroffenen elektronisch per E-Mail oder auf dem Postweg mitgeteilt werden. Die Betroffenen müssen der Verarbeitung nicht zustimmen, d.h. eine Rückmeldung mit Unterschrift ist nicht erforderlich. Allerdings sollte der Betrieb einen Nachweis darüber führen, wann die Informationen dem Betroffenen mitgeteilt wurden, z.B. über ein Mailarchiv.

Meldepflicht von Datenschutzpannen

Datenschutzpannen im Umgang mit personenbezogene Daten müssen den Betroffenen (Mitarbeiter und Kunden) und sofern es sich um sensible Daten handelt, z.B. Lohn- und Gehaltsabrechnungen, Kreditkartendaten etc. zusätzlich der Aufsichtsbehörde mitgeteilt werden (Art. 33 Abs. 1 DSGVO). Dabei sind die näheren Umstände der Datenschutzpanne zu dokumentieren und der Datenschutzbehörde vorzulegen.

Beispiele für Datenschutzpannen:

  • Verlust von unverschlüsselten Datensicherungsmedien,
  • Versand einer unverschlüsselten E-Mail mit Gehaltsabrechnungen an einen falschen Empfänger,
  • Nachgewiesener Hackerangriff auf die Computer im Betrieb.

Die verantwortliche Stelle muss eine Organisationsanweisung erstellen in der die Meldung einer Datenschutzpanne mit den geforderten Pflichtangaben nach Art. 33 Abs. 3 DSGVO an die Betroffenen unverzüglich und an die Aufsichtsbehörde innerhalb von 72 Stunden gemeldet wird.

Ohne Vorbereitung in Form einer Organisationsanweisung ist eine unverzügliche Meldung praktisch nicht umzusetzen.

Voraussetzung für die Meldung einer Datenschutzpanne ist auch hier das Verarbeitungsverzeichnis nach Art. 30 DSGVO. Denn darin sind alle Kategorien möglicher Betroffener und der zugehörigen Datenarten gelistet.

Sanktionen

Es können Warnungen gegen Verantwortliche und Auftragsverarbeitern vorsorglich ausgesprochen werden, wenn Datenverarbeitungen beabsichtigt sind, die vorausslichtlich gegen die Grundverordnung verstoßen. Ebenso kann die Aufsichtsbehörde die Verantwortlichen und Auftragsverarbeiter in Form eines Verwaltungsaktes anweisen, zukünftig ihre Datenverarbeitung DSGVO konform durchzuführen, Betroffenenrechte zu wahren und bei Datenschutzverstößen die betroffenen Personen entsprechend zu benachrichten. Als Aufsichtsbehörde greift die Befugnis aber noch weiter: Sie kann Beschränkungen oder Verbote von Datenverarbeitungen auferlegen und die Berichtigung oder sogar Löschung bestimmter Daten verlangen. Darüber hinaus kann die Aufsichtsbehörde Zertifizierungen widerrufen bzw. Zertifizierungsstellen anweisen, ausgestellte Zertifizierungen zu widerrufen oder die Ausstellung neuer Zertifizierungen zu untersagen. Hervorzuheben ist, dass die behördlichen Maßnahmen sich dabei nicht nur gegen die Verantwortlichen selbst, sondern auch gegen die Auftragsverarbeiter richten können.

Verstöße gegen die Grundverordnung können ergänzend oder anstelle der voran gegangenen Maßnahmen mit Geldbußen (Art. 83 DSGVO) geahndet werden. Die Höhe der Geldbußen kann bis zu 10.000.000 € bzw. bei Unternehmen 2 % des weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres betragen.

Bestellung eines Datenschutzbeauftragten

Unternehmen sind gem. Art. 37 DSGVO verpflichtet einen Datenschutzbeauftragten zu bestellen, sofern mehr als 10 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogene Daten beschäftigt sind. Dabei ist es unerheblich ob es sich bei den Personen um Vollzeitkräfte, Teilzeitkräfte, Auszubildende oder Inhaber bzw. Geschäftsführer handelt.

Hinweis: Der Bundestag hat am 28.06.2019 die Bestellungspflicht ab 20 Personen beschlossen und im § 38 BDSG-neu verankert. Die Gesetzesnovelle geht jedoch nicht mit sonstigen Erleichterungen zur Umsetzung von Datenschutzanforderungen in Unternehmen einher.

Regelmäßig bedeutet, dass nur die Personen berücksichtigt werden müssen die im Rahmen ihrer Arbeitsaufgabe personenbezogene Daten verarbeiten. Unberücksichtigt bleiben Aushilfskräfte die nur gelegentlich personenbezogene Daten verarbeiten. Automatisierte Verarbeitung bedeutet in der Praxis die Verarbeitung mit einem Computer. Auch die Mitarbeiter, die personenbezogene Daten über ein Smartphone oder einen Tablet verarbeiten, müssen dazu gezählt werden, z.B. Versendung von E-Mails.

Eine schriftliche Bestellung des Datenschutzbeauftragten ist in der Datenschutzgrundverordnung zwar nicht vorgeschrieben aber auf Grund der Nachweisbarkeit empfehlenswert.