Constantin Herfurth, Ass. Jur., Universität Kassel
Philian Hole, B.A., Universität Kassel
Einführung[1]
Die Europäische Datenschutz-Grundverordnung (DS-GVO) wird nach einer zweijährigen Übergangszeit das Bundesdatenschutzgesetz (BDSG) größtenteils ablösen. Ab dem 25.05.2018 gilt die Verordnung europaweit einheitlich und unmittelbar in allen Mitgliedstaaten. Unternehmen in Deutschland müssen daher ihr derzeitiges Datenschutzmanagement anhand der neuen Rechtslage überprüfen und gegebenenfalls anpassen.
Diese Prüfung ist Bestandteil des unternehmenseigenen Risikomanagements, denn etwaige Verstöße gegen die Datenschutz-Grundverordnung können für Unternehmen erhebliche Nachteile mit sich bringen. Die möglichen Geldbußen seitens der Aufsichtsbehörden wurden drastisch auf bis zu 20 Millionen EUR oder im Fall eines Unternehmens auf bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs erhöht (Art. 83 Abs. 5 DS-GVO). Daneben sind Schadensersatzansprüche seitens Betroffener (Art. 82 DS-GVO) und Verbandsklagen (Art. 80 DS-GVO) zu berücksichtigen. Sollten etwaige Verstöße in der Öffentlichkeit bekannt werden, drohen zudem erhebliche Reputationsschäden. Ziel eines jeden Unternehmens muss es daher sein, diese Risiken zu analysieren und anschließend zu minimieren.
Ausgangspunkt: Verarbeitung personenbezogener Daten
Der Ausgangspunkt des Datenschutzrechts ist das personenbezogene Datum. Nur wenn ein solches verarbeitet wird, ist die Datenschutz-Grundverordnung überhaupt anwendbar (Art. 2 Abs. 1 DS-GVO). Nach Art. 4 Nr. 1 DS-GVO versteht man hierunter alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person ist identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann. Werden dagegen anonyme Daten verarbeitet, finden die datenschutzrechtlichen Vorschriften keine Anwendung (EwG 26 DS-GVO). Als „Datenverarbeitung“ bezeichnet man jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art. 4 Nr. 2 DS-GVO).
Um zu verstehen, ob die Vorschriften der Datenschutz-Grundverordnung für sie gelten, sollten sich Unternehmen einen Überblick über ihre Datenflüsse verschaffen und prüfen, ob sie personenbezogene Daten verarbeiten.
Verantwortlichkeit
Werden personenbezogene Daten verarbeitet, sieht die Datenschutz-Grundverordnung diverse Regelungen und Handlungspflichten zum Schutz der betroffenen Personen vor. Um diese Regelungen effektiv umsetzen zu können, muss deutlich sein, wer die daraus folgenden Maßnahmen ergreifen soll. Zunächst ist also zu klären: „Wer ist verantwortlich für was gegenüber wem?“. Nach Art. 4 Nr. 7 DS-GVO ist der Verantwortliche diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dabei geht es nicht darum, wer formal über die Datenverarbeitung entscheidet, sondern wer sie wirklich veranlasst und maßgeblich beeinflusst. Der danach ermittelte Akteur („Wer?“) ist für die Verarbeitung personenbezogener Daten im Einklang mit der Datenschutz-Grundverordnung („für was?“) gegenüber dem Betroffenen und weiteren Kontrollstellen („gegenüber wem?“) verantwortlich.
Allgemeine Datenverarbeitungsgrundsätze
Wenn ein Unternehmen für die Verarbeitung personenbezogener Daten im Einklang mit der Datenschutz-Grundverordnung verantwortlich ist, erscheint es sinnvoll, sich zunächst einen Überblick über die Systematik und die wesentlichen Ziele der Verordnung zu verschaffen. Eine Hilfestellung hierfür können die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten in Art. 5 DS-GVO leisten:
- Rechtmäßigkeit (Art. 5 Abs. 1 a) DS-GVO)
- Transparenz (Art. 5 Abs. 1 a) DS-GVO)
- Zweckbindung (Art. 5 Abs. 1 b) DS-GVO)
- Datenminimierung (Art. 5 Abs. 1 c) DS-GVO)
- Richtigkeit (Art. 5 Abs. 1 d) DS-GVO)
- Speicherbegrenzung (Art. 5 Abs. 1 e) DS-GVO)
- Datensicherheit bzw. „Integrität und Vertraulichkeit“ (Art. 5 Abs. 1 f) DS-GVO)
- Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO)
Diese Grundsätze werden an vielen Stellen der Verordnung wieder aufgegriffen und durch detaillierte Regelungen konkretisiert. Im Folgenden sollen sie daher kurz beschrieben werden.
Rechtmäßigkeit
Nach Art. 5 Abs. 1 a) DS-GVO muss sich jede Verarbeitung von personenbezogenen Daten auf eine Rechtsgrundlage stützen können. Ohne Rechtsgrundlage ist die Datenverarbeitung verboten (sog. Verbotsprinzip). Eine solche Rechtsgrundlage kann sich entweder aus der Datenschutz-Grundverordnung oder aus dem sonstigen Unionsrecht oder aus dem Recht der Mitgliedstaaten ergeben. In der Datenschutz-Grundverordnung ist Art. 6 DS-GVO die zentrale Vorschrift zur Zulässigkeit der Datenverarbeitung. Danach ist die Verarbeitung ist rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
- Einwilligung des Betroffenen (Art. 6 Abs. 1 a) DS-GVO)
- Erforderlichkeit zur Vertragserfüllung oder zum Vertragsabschluss (Art. 6 Abs. 1 b) DS-GVO)
- Erforderlichkeit zur Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 c) DS-GVO)
- Erforderlichkeit zum Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 d) DS-GVO)
- Erforderlichkeit zur Wahrnehmung öffentlicher Aufgaben (Art. 6 Abs. 1 e) DS-GVO)
- Erforderlichkeit zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 f) DS-GVO)
Nachdem Unternehmen sich einen Überblick über ihre Datenflüsse verschafft haben, sollten sie in einem nächsten Schritt prüfen, auf welchen Rechtsgrundlagen ihre Datenverarbeitung derzeit beruht und ob diese über den 25.05.2018 hinaus fortbestehen können. Das gilt insbesondere für Rechtsgrundlagen aus dem nationalen Recht.
Transparenz
Nach Art. 5 Abs. 1 a) DS-GVO muss die Datenverarbeitung für den Betroffenen nachvollziehbar sein. Der Betroffene soll verstehen, dass ihn betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten derzeit und künftig noch verarbeitet werden (EwG 39 DS-GVO). Dafür sieht die Datenschutzgrundverordnung Informationspflichten des Verantwortlichen (Art. 13 und 14 DS-GVO) und ein Auskunftsrecht des Betroffenen (Art. 15 DS-GVO) vor. Alle diese Informationen müssen vom Verantwortlichen leicht verständlich, unverzüglich und unentgeltlich bereitgestellt werden (Art. 12 DS-GVO).
Unternehmen sollten zunächst feststellen, ob überhaupt Ablaufprozesse zur Erfüllung ihrer Transparenzpflichten bestehen. Falls ja, sollten sie abgleichen, in welchem Umfang und in welcher Form sie derzeit Informationen bereitstellen und ob dies den neuen Anforderungen der Art. 12 ff. DS-GVO entspricht.
Zweckfestlegung und -bindung
Dieser Zweck muss vor der erstmaligen Datenerhebung bestimmt werden. Wird er erst später oder überhaupt nicht bestimmt, liegt eine unzulässige Datenverarbeitung „auf Vorrat“ vor. Werden die personenbezogenen Daten in der Zukunft weiterverarbeitet, so ist der Verantwortliche weiterhin an den ursprünglichen Zweck gebunden. Die Verarbeitung für einen anderen Zweck (sog. Zweckänderung) ist nur unter strengen Voraussetzungen (Art. 6 Abs. 4 DS-GVO) möglich.
Unternehmen sollten sich daher vergewissern, dass vor Erhebung der personenbezogenen Daten eine Zweckfestlegung erfolgt und diese (beispielsweise in einem Verarbeitungsverzeichnis nach Art. 30 DS-GVO) dokumentiert wird. Sollen die Daten später zu einem anderen Zweck weiterverarbeitet werden, muss vorher geprüft werden, ob eine Zweckänderung zulässig ist.
Datenminimierung
Daten dürfen nach Art. 5 Abs. 1 c) DS-GVO nur insoweit verarbeitet werden, wie es für die Erreichung des Zwecks erforderlich ist. Zunächst muss der Verantwortliche prüfen, ob zur Erreichung des Zwecks überhaupt personenbezogene Daten erforderlich sind oder ob stattdessen anonymisierte Daten verarbeitet werden können (EwG 39). Sollte ersteres der Fall sein, dann sind die personenbezogenen Daten auf das notwendige Maß zu beschränken. Als Richtschnur hierfür gilt: „So wenig Daten wie möglich, so viele Daten wie nötig.“.
Unternehmen sollten prüfen, inwieweit ihre bisherige Datenverarbeitung mit diesem Grundsatz konform ist und gegebenenfalls Anpassungen vornehmen.
Richtigkeit
Die Verarbeitung von Daten ist nach Art. 5 Abs. 1 d) DS-GVO nur zulässig, wenn die Daten vollständig, richtig und (soweit erforderlich) aktuell sind. Dies macht es notwendig, dass der Verantwortliche von sich aus die Daten regelmäßig auf ihre Korrektheit hin überprüft. Stellt er hierbei fest, dass Daten unrichtig sind, so müssen sie berichtigt oder gelöscht werden. Das Gleiche gilt für den Fall, dass ein Betroffener einen begründeten Berichtigungs- (Art. 16 DS-GVO) oder Löschungsanspruch (Art. 17 DS-GVO) geltend macht.
Unternehmen müssen daher sicherstellen, dass sie über Strukturen verfügen, die eine regelmäßige Überprüfung der Daten ermöglichen. Für die Reaktion auf Berichtigungs- und Löschungsansprüche sollten sie (wie auch bei den Transparenzpflichten) geeignete Ablaufprozesse implementieren.
Speicherbegrenzung
Personenbezogene Daten dürfen nach Art. 5 Abs. 1 e) DS-GVO nur so lange gespeichert werden, wie es für die Erreichung des Zwecks notwendig ist. Danach sind die Daten zu löschen (Art. 17 Abs. 1a) DS-GVO). Eine Ausnahme hiervon gilt, wenn für das Unternehmen gesetzliche Aufbewahrungspflichten, beispielsweise aus dem Handelsgesetzbuch (HGB), bestehen (Art. 17 Abs. 3 b) DS-GVO).
Unternehmen müssen daher prüfen, welche Löschfristen für sie gelten und anschließend ein individuelles Löschkonzept etablieren, das den Vorgaben des Art. 17 DSGVO entspricht.
Datensicherheit
Der Verantwortliche hat nach Art. 5 Abs. 1 f) DS-GVO eine sichere Verarbeitung der Daten zu gewährleisten („Integrität und Vertraulichkeit“). Datensicherheit bedeutet in diesem Kontext insbesondere Schutz vor Vernichtung, Verlust, Veränderung oder unbefugter Offenlegung der personenbezogenen Daten (Art. 32 Abs. 2 DS-GVO). Das erforderliche Schutzniveau ist abhängig von der Risikobewertung. Je höher das wahrscheinliche Risiko einzuschätzen ist, desto stärkere Schutzmaßnahmen muss der Verantwortliche ergreifen.
Unternehmen sollten zwingend überprüfen, ob die vorliegenden Verarbeitungsstandards diesen Anforderungen entsprechen. Werden dabei Schwachstellen aufgedeckt, sind angemessene Maßnahmen zur Verbesserungen der Datensicherheit zu implementieren.
Rechenschaftspflicht
Durch Art. 5 Abs. 2 DS-GVO wird dem Verantwortlichen die Pflicht auferlegt, die rechtmäßige Verarbeitung der Daten entsprechend der zuvor genannten Grundsätze zu dokumentieren und gegebenenfalls nachzuweisen. Im Streitfall muss der Verantwortliche nachweisen können, dass die Verarbeitung gemäß den Vorgaben der Datenschutzgrundverordnung erfolgt ist.
Für Unternehmen bedeutet das, dass es zwingend erforderlich ist, ihre Datenverarbeitung vollständig zu dokumentieren, um in Konflikten die Rechtmäßigkeit ihres Handelns nachweisen zu können.
Ausblick
Die ab dem Jahr 2018 geltende Datenschutz-Grundverordnung bringt für Unternehmen einen nicht unerheblichen Mehraufwand mit sich. Abhängig vom Ist-Zustand des Datenschutzmanagements, der Komplexität der Datenverarbeitungsvorgänge und der vorhandenen Ressourcen im Unternehmen kann die zweijährige Übergangsfrist bis zum Stichtag durchaus anspruchsvoll sein. Viele Unternehmen haben daher bereits mit der Umsetzung begonnen. Alle anderen sollten möglichst zeitig prüfen, wo sie jetzt stehen und welche Schritte bis zum 25.05.2018 noch zu gehen sind.
[1] Die Autoren: Ass. iur. Constantin Herfurth ist wissenschaftlicher Mitarbeiter am Wissenschaftlichen Zentrum für Informationstechnik-Gestaltung (ITeG) an der Universität Kassel. Philian Hole ist Bachelor of Arts B.A. Recht-Wirtschaft-Personal und Mitarbeiter am Fachgebiet Öffentliches Recht, IT-Recht und Umweltrecht der Universität Kassel.