Fokus

DatenschutZrecht

Die reibungslose Verarbeitung von Daten ist tief im Kern des Wirtschaftslebens verankert. Die Digitalisierung eröffnet neue Geschäftsfelder und damit einhergehend definiert das Datenschutzrecht unternehmesinterne Abläufe neu. Unternehmer werden durch die sich ständig anpassende Rechtslage in Sachen Datenschutz vor völlig neue Herausforderungen gestellt.

DSGVO

Neues Recht

Seit dem 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung (kurz DSGVO) europaweit. Der technische Fortschritt, die Globalisierung und die mit dieser einhergehenden Digitalisierung machten eine Neuregelung des bisherigen Datenschutzrechtes erforderlich, um Gefahren eines unregulierten Umgangs mit personenbezogenen Daten für die betroffenen Personen vorzubeugen. Mit der europaweiten Harmonisierung des Datenschutzechts gehen auch neue Anforderungen an Unternehmen, neue Rechte betroffener Personen und neue aufsichtsrechtliche Maßnahmen einher.

Pflichten für Unternehmen

Insbesondere sind datenverabeitende Stellen (Unternehmen) verpflichtet, zu prüfen, ob die jeweilige Datenverarbeitung auf eine entsprechende Rechtsgrundlage gestützt werden kann – etwa über eine ausdrückliche Einwilligung der betroffen Person, eine Erforderlichkeit im Rahmen einer Vertragserfüllung oder eine Interessenabwägung.

Darüberhinaus sind besondere Transparenz- und Informationspflichten zu erfüllen. Je nach Datenverarbeitung ist hier situationsadäquat die Information der von der Datenverarbeitung betroffenen Person erforderlich (z.B. Datenschutzerklärung Webseite).

Unternehmen im Umgang mit Betroffenenrechte

Den betroffenen Personen stehen besondere Rechte zu, die es zu erfüllen gilt (Auskunft, Löschung, Datenübertragbarkeit). Sobald Dritte außerhalb des Unternehmens im Rahmen der Datenverarbeitung in Kontakt mit den personenbezogenen Daten kommen sollen, muss mit diesen im Vorfeld eine entsprechende Autragsverarbeitungsvereinbarung geschlossen werden. Insbesondere ist auch hier auf die Gewährleistung der Datensicherheit zu achten (Technisch-organisatorische Maßnahmen).

Neue Sanktionsmöglichkeiten

Bei entsprechenden Datenlecks und Datenschutzverstößen sind Benachrichtigungspflichten gegenüber betroffenen Personen und Aufsichtsbehörden zu beachten. Die Bestellung eines Datenschutzbeauftragten ist in der Regel ab einer Beschäftigtenzahl von zehn Personen verpflichtend – wobei hierzu etwa auch Teilzeitkräfte und freie Mitarbeiter zählen.

Insbesondere die Neureglung hinsichtlich der aufsichtsbehördlichen Bußgelder lässt einen nachlässigen Umgang mit dem Datenschutz nicht mehr zu. Angesichts der Komplexität bietet es sich an, externe Expertise in der datenschutzrechtlichen Beratung oder in Form eines externen Datenschutzbeauftragten ins Boot zu holen.

Datenschutz durch Beratung

Datenschutz im Fokus

Spätestens mit der Einführung der europäischen Datenschutzgrundverordnung (DSGVO) ist das Datenschutzrecht endgültig im Bewusstsein der breiten Öffentlichkeit angekommen. Nicht nur die Berichterstattung in der Presse sondern auch das nach einer Übergangsphase nun verstärkte Tätigwerden der Aufsichtsbehörden zeigt, dass sich Unternehmen mit dem Thema Datenschutz intensiver auseinandersetzen müssen, als dies möglicherweise vor dem Inkrafttreten der DSGVO der Fall war.

Anpassungen und Neufassungen erforderlich

Die Neufassung des Datenschutzrechts bringt viele, von den Unternehmen zu beachtende Neuerungen mit sich. Einerseits müssen Dokumente und Prozesse an die neuen Rechtsnormen der DSGVO angepasst werden. Anderseits ist spätestens mit der Neufassung eine möglicherweise komplett neu Herangehensweise an die betriebliche Datenverarbeitung notwendig. Stichworte wie etwa „Privacy by default“ und „Privacy by design“ sollten für Unternehmen daher bekannt sein und Anwendung im Unternehmen finden. Gleichzeitig sind den Aufsichtsbehörden neue Kontroll- und Sanktionsmechanismen an die Hand gegeben, um diese Neuerungen umfassender zu kontrollieren und durchzusetzen.

Datenschutz in der Cloud

Im Alltag der Unternehmen ist die Datenverarbeitung in einer Vielzahl von Anwendungsfällen zwingend erforderlich bzw. überhaupt erst Grundlage der unternehmerischen Tätigkeit.

In jedem dieser Anwendungsfälle findet die DSGVO potentiell Anwendung und ist demnach datenschutzkonform umzusetzen.

Die Verarbeitung und Verwendung von personenbezogene Daten findet bei Unternehmen nicht nur im Bereich des eigentlichen Kundenkontakts oder der Mitarbeiterverwaltung statt. Auch bei Themen wie Cloud Computing, CRM, Social Media, Datenverkehrsanalyse von Webseiten, Software as a Service (SaaS), Infrastructure as a Service (IaaS) sind sämtliche Vorgaben der DSGVO zu beachten. Dies kann dazu führen, dass bestimmte Plattformen und Angebote nicht (mehr) genutzt werden können, um sich datenschutzrechtskonform zu verhalten.

Datenschutz von Anfang an einplanen

Bereits bei der Planung neuer Prozesse und IT-Lösungen ist daher eine begleitende datenschutzrechtliche Beratung unerlässlich, um nicht nach aufwendiger Implementierung mit aufsichtsbehördlichen Sanktionen belegt zu werden sowie ggf. die nicht-konforme Infrastruktur wieder aufgeben und entsprechende Investitionen „abschreiben“ zu müssen.

Vorstehende mögliche Risiken zeigen, dass es einer umfassenden Auseinandersetzung mit den im Unternehmen vorhandenen Prozessen der Datenverarbeitung bedarf, die im Einzelfall des jeweiligen Unternehmens sehr unterschiedlich sein können.

Im Zuge unserer Beratung bieten wir Ihnen dabei eine datenschutzrechtliche Schwachstellen- und Bedarfsanalyse vor Ort an. Dabei erstellen wir einen Bericht, der den Erfüllungsgrad datenschutzrechtlicher Vorgaben und eventuelle Defizite aufzeigt. Hieraus ergeben sich Vorschläge für geeignete Maßnahmen, um diese Defizite zu beheben.

Kontrollen & Sanktionen

Bußgelder bis zu 20 Millionen Euro

Den Aufsichtsbehörden stehen nach auch nach Inkrafttreten der DSGVO umfassende Kontroll- und Sanktionsmechanismen zur Verfügung. So können diese etwa Prüfungen vor Ort bei den Unternehmen durchführen oder (vorab) Information und Dokumente (Verzeichnis der Verarbeitungstätigkeit, Auftragsverarbeitungsvereinbarungen, etc.) von diesen anfordern. Bußgelder sind in Höhen von bis zu 20 Millionen Euro bzw. 4% des weltweiten Konzernumsatzes möglich. Mittlerweile sind Bußgelder im hohen fünfstelligen Bereich keine Seltenheit.

Betroffene kennen ihre Rechte und Möglichkeiten

Vor allem da auch der breiten Öffentlichkeit die Problemkreise mit der Verwendung ihrer Daten bekannt sind, wenden diese sich vermehrt mit entsprechenden Beschwerden an Aufsichtsbehörden. Statt anlasslosen Prüfungen gehen die Aufsichtsbehörden diesen Beschwerden von (möglicherweise) betroffenen Personen in einem ersten Schritt nach.

Handeln vor Auftreten datenschutzrechtlicher Probleme

Zu erwarten ist, dass Aufsichtsbehörden aber auch anlasslose Prüfungen weiter ausweiten werden, um ein effektives Kontrollregime zu gewährleisten.

Daher ist es unerlässlich, dass sich Unternehmen frühzeitig mit den datenschutzrechtlichen Anforderungen auseinandersetzen. Beispielsweise sollten daher bereits jetzt die wichtigsten Dokumentationspflichten erfüllt werden. Sämtliche Datenverarbeitungsvorgänge des Unternehmens müssen einem Verzeichnis der Verarbeitungsvorgänge erfasst sein; sollten Dritte wie etwa IT-Dienstleister, Cloud-Anbieter, Service-Provider und ähnliche mit personenbezogenen Daten des Unternehmens in Kontakt kommen, muss dies im Wege einer Vereinbarung über diese Auftragsverarbeitung eine rechtliche Grundlage finden. In den meisten Fällen ist auch ein betrieblicher Datenschutzbeauftragter zu bestellen. Hierbei muss abgewogen werden, ob dazu ein betrieblichen Mitarbeiter abgestellt oder ein externen Datenschutzbeauftragter bestellt werden sollte.

Datenschutzbeauftragte

Viele Unternehmen haben noch keinen Datenschutzbeauftragten

Die Bestellung eines Datenschutzbeauftragten kann nach der DSGVO zwingend erforderlich sein. Zu dessen Aufgaben gehören etwa das Hinwirken auf die Einhaltung der relevanten Datenschutzvorschriften, die Überwachung und Begleitung datenschutzrechtlich relevanter Prozesse, die Sensibilisierung und Schulung der Mitarbeiter im Unternehmen sowie die Zusammenarbeit mit der Aufsichtsbehörde.

Möglich ist die Bestellung eines unternehmensinternen Mitarbeiters, der diese Aufgaben übernimmt und sich entsprechend und fortlaufend weiterbildet. Daneben ist aber auch die Bestellung eines externen Datenschutzbeauftragten möglich.

Externe Datenschutzbeauftragte

Unternehmen entscheiden sich für externe Datenschutzbeauftragte, da diese über entsprechende Fachkenntnis und Praxiserfahrung verfügen und dementsprechend Synergieeffekte nutzbar machen können. Auch stehen unternehmensinterne Datenschutzbeauftragte unter einem besonderen arbeitsrechtlichen Schutz, um deren Unabhängigkeit gegenüber der Unternehmensleitung sicherzustellen.

Externe Datenschutzbeauftragte erstellen für Unternehmen daher eine Schwachstellen- und Bedarfsanalyse, um eventuelle Defizite aufzuzeigen, und begleiten das Unternehmen bei der Umsetzung zur Erhöhung des Datenschutzniveaus.

Auch fortlaufend betreuen diese die Unternehmen bei der Einführung neuer Datenverarbeitungsprozesse und IT-Systeme und erstellen bei Bedarf einen jährlichen Datenschutzbericht für die Unternehmensleitung.

Neben der fachlichen Expertise bietet sich eine Auslagerung des Datenschutzbeauftragten auch aus Kostengründen an, da für die Freistellung sowie die Aus- und Weiterbildung eines etwaigen internen Datenschutzbeauftragten entsprechend der jeweils aktuellen Rechtslage hohe Kosten anfallen und der Mitarbeiter dem Unternehmen in seinem eigentlichen Tätigkeitsfeld nicht zur Verfügung steht.