Datenschutz-Grundverordnung bei InPega

Die DS-GVO (Datenschutz-Grundverordnung) wird ab dem 25. Mai 2018 europaweit gelten und wird die EU-Datenschutzrichtlinie als eine geltende Verordnung der Europäischen Union ablösen. Sie wird in allen Mitgliedstaaten ab dem 25. Mai 2018 als geltendes Recht bezeichnet. Die Verarbeitung personenbezogener Daten wird durch die EU-DSGVO mit allen beinhalteten Regeln europaweit bei öffentlichen Institutionen und Unternehmen vereinheitlicht.

Der Zeitplan der Datenschutz-Grundverordnung

Die erste DS-GVO (EU-Datenschutz-Grundverordnung) trat am 25. Mai 2016 in Kraft. Genau zwei Jahre später am 25.05.2018 kommt die DS-GVO zur Anwendung, wenn zugleich das revidierte BSDG (Bundesdatenschutzgesetz) mit ergänzenden Bestimmungen in Kraft tritt.

Welche Haftung haben die Verantwortlichen?

Laut EU-DSGVO (Definition 4. Artikel) gelten juristische oder natürliche Personen als “Verantwortliche”, die bei der Verarbeitung personenbezogener Daten über deren Mittel und Zwecke entscheiden. Im Vorentwurf des DSG ist die Definition entsprechend. Damit die Vorschriften stets bei jedem Verarbeitungsvorgang entsprechend der Verordnung eingehalten werden, haften die Verantwortlichen nach EU-DSGVO. Für natürliche Personen gilt die EU-DSGVO nicht, wenn diese lediglich Daten verarbeiten, die sich auf familiäre oder persönliche Tätigkeiten beziehen.

Nur mit Vertrag erfolgt eine Auftragserteilung

Laut Artikel 4, Art. 28 können “Auftragsarbeiter” nur noch Aufträge für die Datenverarbeitung erteilt werden, wenn diese sich auf einen Vertrag beziehen. In diesem Vertrag müssen bestimmte Punkte geregelt sein, dazu gehören auch die Geheimhaltung, die Rechte und Pflichten der Verantwortlichen, dass Beauftragte sich immer an die DS-GVO zu halten haben und bei einer Beauftragung von dritten Auftragsdatenverarbeiter stets dieselben Kriterien bei der Vertragsabschließung gelten. Standardvertragsklauseln können von der Europäischen Kommission festgelegt werden.

Die Datenschutz-Grundverordnung (Neu)

Das Recht auf Löschung und Vergessenwerden (Art. 17 DS-GVO) ist ebenso neu, wie das Recht auf eine eingeschränkte Verarbeitung (Art. 18 DS-GVO). Verantwortliche müssen personenbezogene Daten unverzüglich löschen, wenn betroffene Personen dies in Bezug auf betreffende Daten fordern. Vor allem gilt dies, wenn es sich um sensible Daten handelt und von der betroffenen Person die Einwilligung zur Publikation widerrufen, oder ein Widerspruch eingelegt wurde. Laut Art. 17 Abs. 2 DS-GVO müssen weitere Verantwortliche informiert werden, wenn diese Kopien oder Links betreffender Daten bearbeiten. Mit einer Begründung, dass diese Verpflichtung ein unzumutbarer Aufwand wäre, kann diese nicht einfach unterlassen werden.

Datenschutzbeauftragte und die Datenschutz-Grundverordnung

Der Auftragsverarbeiter und der Verantwortliche benennen Datenschutzbeauftragte, wenn diese als Kerntätigkeit betroffene Personen systematisch, umfangreich und regelmäßig überwachen oder/und (nach Art. 37 DS-GVO) sensible Daten verarbeiten.

Mindestens folgende Aufgaben (Art. 39 DS-GVO) hat ein Datenschutzbeauftragter zu erledigen:

  • der Auftragsverarbeiter oder Verantwortliche muss beraten oder unterrichtet werden
  • die DS-DVO und andere Vorschriften müssen eingehalten und überwacht werden
  • bezüglich der Datenschutz-Folgenabschätzungen muss eine Beratung erfolgen, sowie mit der Aufsichtsbehörde eine Zusammenarbeit

DSFA (Datenschutz-Folgenabschätzung)

Notwendig ist die DSFA (Datenschutz-Folgenabschätzung), wenn ein hohes Risiko voraussichtlich bei einer Verarbeitungsform in Folge bestehen könnte (Art. 35 DS-GVO) betreffend der Freiheiten und Rechte natürlicher Personen. Dies kann beispielsweise bei der Anwendung neuer Techniken oder umfassender und systematischer Bewertungen passieren, wenn persönliche Aspekte von natürlichen Personen für die Grundlagen rechtswirksamer Entscheidungen verwendet werden.

Der Zweck von Verarbeitungen und geplanten Verarbeitungsvorgängen werden daher bei der DSFA systematisch beschrieben. Hierbei geht es um die Verhältnismäßig- und Notwendigkeit von Verarbeitungsvorgängen bezüglich den Rechtsrisiken, den Zweck und den Freiheiten betroffener Personen. Es wird eine Bewertung erstellt und in Bezug zu den Sicherheitsvorkehrungen und den Risiken der Abhilfemaßnahmen (geplanten), sowie deren Bewältigung, gestellt.

Ein Konzept bezüglich der praktischen Umsetzung wurde von den Experten des “Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt” (interdisziplinär) der DSFA vorgelegt, das in einem Weißbuch (White Paper) präsentiert wird.

Strafen und Bußgelder bei der Datenschutz-Grundverordnung

Der Art. 83 DS-GVO bestimmt die Umstände und Höhe von Bußgeldern, die bis zu einer Höhe von 20 Millionen Euro angedroht werden können (alternativ bis zu 4 Prozent von dem unternehmerisch erwirtschafteten Jahresumsatz, der im vorangegangenen Geschäftsjahr ermittelt wurde).

Checkliste beim DS-GVO

Damit Angestellte über die neue DS-GVO geschult und informiert werden können, muss ein Konzept von der Geschäftsleitung erarbeitet werden. Bei diesem Konzept sollten folgende Punkte Berücksichtigung finden:

1. Verantwortlichkeit

  • Von wem wird über die Datenverarbeitung entschieden?
  • Auf welche Daten kann von wem zugegriffen werden? Wie ist die zuständige Person gesichert?
  • Werden bei geheimen oder sensiblen Daten besondere Sicherheitsvorkehrungen getroffen, die den Anforderungen der DS-GVO entsprechen?

2. Verträge

  • die Kriterien, nach denen Auftragsdatenverarbeiter gesucht werden
  • die Kompetenzträger, die Verträge abschließen können
  • die Anforderungen der DS-GVO – Entsprechen die Vertragsmuster den Anforderungen der AGB´s?

Recht auf Vergessen

  • Ist es in einem Betrieb möglich, den Zugriff zu erlangen, dass die Daten einzelner Personen ohne großen Aufwand gelöscht werden können, wenn ein Kunde die Löschung verlangt?
  • Ist es möglich, das Listen erstellt werden, mit denen die verantwortlichen Datenverarbeiter direkt informiert werden können, wenn das Recht auf Vergessenwerden in Anspruch genommen wird?

Datenschutzbeauftragter

  • Wird nach den neuen Vorschriften in einem Unternehmen ein Datenschutzbeauftragter benötigt?
  • Falls ein Datenschutzbeauftragter benötigt wird, für welche Vorgänge (Auflistung)?

Datenschutzfolgeabschätzung

  • Besteht für die betroffene Person ein Risiko durch die Datenbearbeitung des Unternehmens?
  • Bestehen Risiken, durch die Techniken, die für die Bearbeitung verwendet werden?
  • Werden aufgrund der Datenverarbeitung rechtswirksame Entscheidungen getroffen? Falls ja, welche?