Datenschutz-Management-System nach der EU-DSGVO

Dr. Oliver Hornung - 10. Mai 2017 - EU-DSGVO

Die EU-Datenschutzgrundverordnung (EU-DSGVO) verpflichtet Unternehmen zukünftig ein Datenschutz-Management-System einzuführen, dass den Schutz der personenbezogenen Daten im Unternehmen sicherstellen soll. Dieser Beitrag beschäftigt sich mit den wesentlichen Bestandteilen eines Datenschutz-Management-Systems und ist Teil unserer Reihe zur EU-DSGVO. 


1. Regelungen zum Datenschutz-Management-System in der EU-DSGVO

Die für ein Datenschutz-Management-System relevanten Vorschriften in der EU-DSGVO finden sich an unterschiedlichen Stellen, wie zum Bespiel Art. 5, 30, 32 und 35 EU-DSGVO. 

Ein Datenschutz-Management-System (DMS) stellt die Gesamtheit aller dokumentierten und implementierten Regelungen, Prozesse und Maßnahmen dar, mit denen der datenschutzkonforme Umgang mit personenbezogenen Daten im Unternehmen systematisch gesteuert und kontrolliert wird. Zwar existieren bereits heute Vorgaben, wie ein solches DMS umgesetzt werden könnte (z. B. ISO 29100, IDW PS 980), jedoch sind diese an die vielfältigen neuen Vorgaben der EU-DSGVO anzupassen. Im Einzelnen wird es für die zukünftigen Vorgaben eines DMS nach der EU-DSGVO auf die Anwendung der Verordnung durch die Datenschutzaufsichtsbehörden sowie die zukünftige Auslegung der EU-DSGVO durch die Rechtspraxis ankommen. 

Nachfolgend stellen wir die einzelnen Dokumente dar, die in jedem Fall Bestandteil eines DMS sein sollten. Es handelt sich hierbei um eine erste Empfehlung, wie Unternehmen an die Umsetzung eines Datenschutz-Management-Systems herangehen können. 


2. Rechenschaftspflicht (sog. Accountability)

Die EU-DSGVO bringt für Unternehmen umfassende Nachweis- und Rechenschaftspflichten mit sich. Unternehmen müssen nicht nur sicherstellen, dass sie die Vorgaben der EU-DSGVO erfüllen, sondern müssen dies zudem auch nachweisen können. Der Umfang des Nachweises wird nicht abschließend in der EU-DSGVO festgelegt, sondern bestimmt sich nach Art, Umfang, Umständen und Zweck der Datenverarbeitung sowie der Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten der betroffenen Personen. 

Für mittelständische Unternehmen liegt es nahe, die Zuweisung von Verantwortlichkeiten und einzelnen Pflichten nach der Verordnung in einer Datenschutzrichtlinie oder Betriebsvereinbarung zum Datenschutz zu regeln. 


3. Datenschutzorganisation und Zuweisung von Verantwortlichkeiten im Datenschutz

Die Verantwortung für die Einhaltung des Datenschutzes liegt bei der Geschäftsleitung des Unternehmens. Daraus lässt sich die Notwendigkeit ableiten, durch entsprechende Vorgaben die nachgelagerte Führungsebene und deren Mitarbeiter in die Verantwortung für die Einhaltung des Datenschutzes einzubeziehen. So kann in Unternehmen auf jeder Leitungsebene (bspw. der Abteilungsleiter) die Berücksichtigung der Anforderungen zur EU-DSGVO implementiert werden. 


4. Einbeziehung des Datenschutzbeauftragten 

Durch einen Datenschutzbeauftragten kann die besondere Sachkunde genutzt werden, um die Einhaltung der Datenschutz-Compliance sicherzustellen. In der Datenschutz-Richtlinie sollten daher Fälle definiert werden, in denen die Mitarbeiter den Datenschutzbeauftragten anzusprechen und einzubeziehen haben. Dies gilt z. B. für folgende Themen: 

  • Umsetzung der Rechte der Betroffenen
  • Meldepflichten bei Datenschutzverstößen (Data Breach Notification)
  • Notwendige Durchführung einer Datenschutzfolgenabschätzung
  • Einführung neuer IT-Systeme, Anwendungen und Tools
  • Beauftragung von Dienstleistern im Wege der Auftragsverarbeitung


5. Verzeichnis von Verarbeitungstätigkeiten

Die Verordnung schreibt in Art. 30 vor, dass ein Unternehmen ein umfassendes Verzeichnis aller Verarbeitungstätigkeiten führen muss. Dieses Verarbeitungsverzeichnis ist eines der zentralen Instrumente bei der Umsetzung der Dokumentationspflichten und ersetzt das im BDSG geregelte Verfahrensverzeichnis. Vor der Erstellung des Verarbeitungsverzeichnisses sollte eine Erfassung aller relevanten Datenverarbeitungen im Unternehmen erfolgt sein. Datenschutzaufsichtsbehörden werden zukünftig bei Beschwerden von betroffenen Personen die Vorlage des Verarbeitungsverzeichnisses einfordern. Fehlende Verarbeitungsverzeichnisse bzw. Fehler bei der Erstellung des Verarbeitungsverzeichnisses werden mit Geldbußen geahndet. 

Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, müssen grundsätzlich nicht alle Verarbeitungstätigkeiten in einem Verarbeitungsverzeichnis aufführen. 


6. Verpflichtungen der Mitarbeiter auf Vertraulichkeit und Integrität

Die Verordnung kennt nicht mehr eine ausdrückliche Verpflichtung der Mitarbeiter auf das Datengeheimnis nach § 5 BDSG. Vielmehr wird eine Verpflichtung der Mitarbeiter auf die Vertraulichkeit und Integrität bei der Verarbeitung von personenbezogenen Daten verlangt. Die Verpflichtung der Mitarbeiter auf diese Verschwiegenheitspflichten stellt einen wichtigen Bestandteil der Rechenschaftspflicht zur Datenschutz-Compliance dar. 

Darüber hinaus sind regelmäßige Schulungen für Führungskräfte und Mitarbeiter notwendig. Das ist Aufgabe des Datenschutzbeauftragten, der auch ein entsprechendes Schulungskonzept auszuarbeiten hat. 


7. Datenschutz-Folgenabschätzung

Unternehmen sind in bestimmten Fällen verpflichtet, eine sog. Datenschutz-Folgenabschätzung nach Art. 35 EU-DSGVO durchzuführen. Dies gilt insbesondere dann, wenn eine Form der Verarbeitung ein wahrscheinlich hohes Risiko für personenbezogene Daten verursacht, insbesondere bei der Einführung neuer Technologien oder bei der Einführung einer Videoüberwachung. 

Unterlässt ein Unternehmen die vorgeschriebene Datenschutz-Folgenabschätzung oder führt diese nicht korrekt durch, kann dies zukünftig mit einem Bußgeld geahndet werden. 

Die Datenschutzaufsichtsbehörden sind angehalten Positiv- und Negativlisten von Verarbeitungsvorgängen zu erstellen, bei denen typischerweise Folgenabschätzungen vorgeschrieben oder entbehrlich sind. 


8. Vertragsmanagement zur Sicherstellung einer Auftragsverarbeitung

Die Auftragsverarbeitung ist in Art. 28 EU-DSGVO geregelt. Nach Art. 28 Abs. 1 EU-DSGVO muss der Auftragsverarbeiter hinreichende Garantien dafür bieten, dass er geeignete technische und organisatorische Schutzmaßnahmen durchführt, personenbezogene Daten im Einklang mit den Anforderungen der Verordnung verarbeitet und den Schutz der Rechte der betroffenen Personen gewährleistet. Neu ist, dass auch der Auftragsverarbeiter für durch seine Verarbeitung verursachte materielle und immaterielle Schäden haftet (vgl. Art. 82 Abs. 1 EU-DSGVO).

Die Auftragsverarbeitung erfolgt auf der Grundlage eines Vertrages nach den Vorgaben des Art. 28 Abs. 3 EU-DSGVO. 

Für die Nachweis- und Rechenschaftspflichten kommt den vorgeschriebenen Vertragsinhalten eines Auftragsverarbeitungsvertrages eine erhebliche Bedeutung zu. Weitere Hinweise zur Auftragsverarbeitung und zur Datenübermittlung an Dritte erfahren Sie in einem unserer nachfolgenden Beiträge zur EU-DSGVO. 


9. Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen

Die Verordnung sieht in Art. 33 und 34 EU-DSGVO im Vergleich zum BDSG umfassendere Meldepflichten gegenüber den Datenschutzaufsichtsbehörden sowie Meldepflichten gegenüber den betroffenen Personen vor. 

Wesentliche Voraussetzung für eine mögliche Melde- bzw. Benachrichtigungspflicht ist eine Datenschutzverletzung, die in Art. 4 Nr. 12 EU-DSGVO definiert ist. Diese Definition ist im Vergleich zu § 42a BDSG erheblich weiter. 

Grundsätzlich muss ein Unternehmen der Datenschutzaufsichtsbehörde jede Datenschutzverletzung unverzüglich und möglichst binnen 72 Stunden melden, nachdem die Verletzung bekannt wurde. Von einer Meldung kann abgesehen werden, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem hohen Risiko für die Rechte und Pflichten von natürlichen Personen führt. 

Hat die Datenschutzverletzung darüber hinaus voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten betroffener Personen zur Folge, muss ein Unternehmen grundsätzlich die hiervon betroffenen Personen unverzüglich benachrichtigen. Ausnahmsweise kann das Unternehmen von der Benachrichtigung absehen, wenn die persönlichen Risiken und Freiheiten der betroffenen Personen durch geeignete technische und organisatorische Schutzmaßnahmen nach Möglichkeit ausgeschlossen sind. 

Fehler bei der Umsetzung der Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen werden mit Bußgeldern geahndet. Unternehmen müssen daher einen Prozess implementieren, damit die Verletzung des Schutzes personenbezogener Daten erkannt, der Sachverhalt an den Datenschutzbeauftragten weitergeleitet wird und dieser anschließend von ihm bewertet werden kann. 


10. Nachweis der Datensicherheit

Die neuen Vorgaben für die Sicherheit der Verarbeitung finden sich insbesondere in Art. 32 EU-DSGVO, der § 9 BDSG inkl. dessen Anlage ersetzt. Konkrete Maßnahmen, wie sie bspw. die Anlage zu § 9 BDSG aufzeigt, werden in Art. 32 EU-DSGVO leider nicht genannt. Die Gebote zur Datensicherheit werden lediglich durch Begriffe und Beschreibungen ersetzt, die interpretationsbedürftig sind. Es ist davon auszugehen, dass die Datenschutzaufsichtsbehörden die konkreten Maßnahmen zur Datensicherheit noch konkretisieren werden. 

Verstöße gegen Art. 32 EU-DSGVO werden mit Bußgeldern geahndet. 

Gerade im Bereich der Datensicherheit sollten Unternehmen daher Maßnahmen der Datensicherheit in einem Datenschutzkonzept entwickeln, dokumentieren und fortlaufend aktualisieren. Das Thema Datensicherheit wird in unserem nächsten Beitrag ausführlich dargestellt. 


11. Umsetzung der Rechte betroffener Personen

Neben erweiterten Informationspflichten der Unternehmen nach Art. 12 und 13 EU-DSGVO regelt die EU-DSGVO in den Art. 15 ff weitere – im Vergleich zum BDSG – umfangreichere Rechte für betroffene Personen. Zu nennen sind u.a. das Recht auf Berichtigung, die Pflicht zur Löschung von Daten, das Recht auf Vergessen werden, das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit, das Widerspruchsrecht sowie das Recht auf automatisierte Entscheidung im Einzelfall einschließlich Profiling. 

Unternehmen müssen daher einen Prozess zur Wahrnehmung von betroffenen Rechten implementieren. Mit der Verordnung verschärfen sich die von Unternehmen zu berücksichtigenden Pflichten in Bezug auf die Rechte von betroffenen Personen. 

Im Unternehmen sollte des Weiteren ein Prozess definiert werden, wie zu reagieren ist, falls eine betroffene Person (z. B. ein Kunde, ein Interessent oder ein Mitarbeiter) von seinen betroffenen Rechten Gebrauch macht. 

Eine ausführlichere Darstellung zu den neuen Informationspflichten und Rechten der betroffenen Personen können Sie demnächst in unserer Reihe zur EU-DSGVO nachlesen. 


12. Bereitstellung eines Löschkonzepts

Unternehmen müssen auch künftig nach den Vorgaben der Verordnung angemessene Löschkonzepte erstellen und implementieren. Dafür müssen sie Löschfristen und Löschkonzepte festlegen und umsetzen. In der Praxis als hilfreich erweist sich ein Ansatz, der klare Rollen und Regeln definiert und nachvollziehbare Verantwortlichkeiten zuweist. 


13. Notwendigkeit eines Datenschutz-Management-Systems für mittelständische Unternehmen?

Wegen der teilweise gravierenden Haftungsrisiken für Unternehmen und Entscheidungsträger sollten Unternehmen ein Interesse daran haben, effektive Schulungen und Prozesse zur Umsetzung der Verordnung zu schaffen. Denn neben Schadensersatzklagen drohen bei Fehlern im Bereich Datenschutz Bußgelder von bis zu 4 Prozent des globalen (Konzern-)Umsatzes oder bis zu 20 Millionen Euro. Ein effizientes Datenschutz-Management-System kann dazu beitragen, Bußgelder zu vermeiden oder zumindest bußgeldmindernd berücksichtigt zu werden. Auch kleinere und mittelständische Unternehmen sind daher gut beraten, ein DMS zu implementieren, das auf die Unternehmensgröße passt. Das bayerische Landesamt für Datenschutzaufsicht hat bereits angekündigt, in den nächsten Monaten verstärkt anlasslose Prüfungen anzusetzen und Unternehmen zu befragen, wie sie planen, ab Mai 2018 die Anforderungen der EU-DSGVO zu erfüllen. 

In unserem nächsten Beitrag werden wir das Thema Datensicherheit und den technischen Datenschutz ausführlich behandeln. 



Über den Autor:
Dr. Oliver Hornung ist Rechtsanwalt und berät und betreut seit über 15 Jahren nationale und internationale IT-Dienstleister, Cloud Anbieter sowie IT-Anwender, hauptsächlich in IT-Projekten und IT-Outsourcing-Vorhaben, einschließlich notleidender Projekte und der dortigen Konfliktbewältigung. Seine Tätigkeit umfasst insbesondere auch die Beratung und Vertretung in Prozess-, Schlichtungs- und Schiedsverfahren. Ein weiterer Schwerpunkt von Dr. Oliver Hornung sind Fragen des Datenschutzes und der IT-Compliance. Im Urheberrecht und Wettbewerbsrecht begleitet Dr. Oliver Hornung die Verteidigung und Sicherung des geistigen Eigentums seiner Mandanten.


Herr Dr. Hornung steht Ihnen für Fragen gerne persönlich zur Verfügung unter: Tel. +49 69630001-65, Email: o.hornung@skwschwarz.de, SKW Schwarz Rechtsanwälte, Mörfelder Landstraße 117, 60598 Frankfurt am Main


Praxisrelevante Tipps für Führungskräfte, Entscheider und Spezialisten

Archiv

2018 (28)
September (3) August (3) Juli (4) Juni (5) Mai (2) April (8) März (1) Februar (1) Januar (1)
2017 (20)
Dezember (2) November (1) Oktober (1) September (1) August (2) Juli (3) Juni (3) Mai (3) April (3) März (1)