Nur noch wenige Wochen bis zum „Go-live“ der EU-Datenschutzgrundverordnung: Mit dem 25. Mai 2018 werden in der EU mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) alle Standards zum Datenschutz auf ein einheitliches Niveau gehoben. Hinsichtlich der Verarbeitung personenbezogener Daten müssen unter anderem Unternehmen, Behörden und Freiberufler ihre Ablauf- und Aufbauorganisation (beispielsweise im Bereich Personalwesen) auf die EU-DSGVO abstimmen. Neben der Erfüllung aller betrieblichen und rechtlichen Anforderungen verlangt die EU-DSGVO auch die Umsetzung technisch-organisatorischer Maßnahmen. Die neue Regelung betrifft nicht nur Unternehmen mit Sitz innerhalb der EU, sondern auch Unternehmen aus Drittstaaten, die u. a. ihre Waren und Dienstleistungen innerhalb der EU anbieten. Ziel der EU-DSGVO ist die Vereinheitlichung des Datenschutzrechts und die Sicherstellung eines höheren Schutzes personenbezogener Daten. Somit fordert die neue Verordnung bei der Verarbeitung personenbezogener Daten wesentliche Pflichten für Unternehmen. Damit wird das Ziel erreicht, die Rechte natürlicher Personen zu stärken. Die Bundesrepublik Deutschland stellte mit dem Bundesdatenschutzgesetz (BDSG) bereits ein hohes Datenschutzrecht sicher. Mit der neuen Verordnung sind andere EU-Staaten nun gefordert, ihre Datenschutzstandards ebenfalls anzupassen. So wird eine bessere Zusammenarbeit bei der Verarbeitung personenbezogener Daten innerhalb der EU ermöglicht.

Die Verschärfung der „Rechte der betroffenen Person“ (Art. 12 – Art. 23 EU-DSGVO) stellt eine der erweiterten Regelungen des europäischen Datenschutzrechts in der neuen Datenschutz-Grundverordnung (DSGVO) dar. Unter den „Rechten der betroffenen Person“ oder auch den „Betroffenenrechten“ versteht die EU-DSGVO die Rechte jeder natürlichen Person im Zusammenhang mit dem Umgang seiner personenbezogenen Daten gegenüber Verantwortlichen (natürliche oder auch juristische Person), die eine Verarbeitung mit diesen Daten tätigen.

Im BDSG war dieses Recht bereits größtenteils in § 33 bis 35 aufgeführt, jedoch wurde davon bisher wenig Gebrauch gemacht. Es ist aber davon auszugehen, dass dieser Aspekt aufgrund der medialen Aufmerksamkeit um die EU-DSGVO bis zum 25.05.2018 in den Fokus vieler EU-Bürger rücken wird.

Durch die vorangegangenen Aspekte kann davon ausgegangen werden, dass in Zukunft deutlich mehr Anfragen zu personenbezogenen Daten auf die Unternehmen oder auch Behörden zukommen werden. Um diesem Aufwand zu begegnen sollte beispielsweise für den Auskunftsprozess ein eigenständiger Prozess in der Ablauf- sowie Aufbauorganisation implementiert werden. Gerade vor dem Hintergrund, dass eine Beauskunftung innerhalb von vier Wochen bearbeitet werden muss, ist der Prozess möglichst schlank aufzustellen. In der Praxis bedeutet das: Wenige Prozessteilnehmer und Schnittstellen zu Fachbereichen ermöglichen eine Einhaltung der Meldefrist. Demnach ist die Anzahl der involvierten Personen innerhalb des Prozesses einzugrenzen. Des Weiteren besteht die Herausforderung, alle Systeme zu ermitteln, die personenbezogene Daten verarbeiten. Aus diesen Systemen sind die personenbezogenen Daten zu generieren, die den „Anfragenden“ neben einem Antwortschreiben als Kopien mit auszuhändigen sind. Hinzu kommt, dass bei europaweit agierenden Unternehmen die Beauskunftung in der jeweiligen Landesprache der Niederlassung zu erfolgen hat. Diese genannten Punkte stellen einen Auszug der Herausforderungen bezogen auf das Auskunftsrecht betroffener Personen dar.

Neben dem Auskunftsrecht müssen auch weitere Rechte der Betroffenen beachtet werden. Diese sind:

Die EU-DSGVO räumt auf und bringt Unternehmen dazu, die Datenquantität zu optimieren, zu erhöhen und ein entsprechendes Daten-Management einzuführen, um damit Compliance-Anforderungen erfüllen zu können. Die größten Herausforderungen in der Betrachtung von Daten im Zusammenhang mit der DSGVO sind historisch gewachsen, wie beispielweise sehr große, exponentiell steigende Datenbestände oder fehlende Einblicke in entsprechende Daten und Datenstrukturen. Unternehmen stehen diesen enormen und fragmentieren Datenmengen gegenüber und haben durch den fehlenden Überblick zunehmend Schwierigkeiten, die gesetzlichen Vorgaben zur Datenspeicherung sowie die Sicherheit für diese Daten einzuhalten. Eine unkontrollierte und unbedachte Datenhaltung führt zu eventuellen Strafen bei Datenschutzverstößen. Des Weiteren verursacht eine unsystematische Speicherung von Daten sehr hohe Kosten. Diese entstehen zum einen bei der Speicher-Ressource selbst, zum anderen auch durch nachfolgende Betriebskosten, wie zum Beispiel Energie für die Server. In der Ablauforganisation führen unauffindbare Daten zu Beeinträchtigungen bei den Workflows. Durch die DSGVO sind Unternehmen in der Pflicht offenzulegen, an welchen Orten und zu welchem Zweck (sensible) personenbezogene Daten verarbeitet, weitergegeben oder gespeichert werden. Darüber hinaus tragen die Unternehmen die Verantwortung dafür, Zugriffe auf entsprechende Daten zu kontrollieren und zu überwachen. Jedoch wird eine ordnungsgemäße Kontrolle durch die Nutzung diverser Cloud-Services oder andere Cloud- und File-Sharing-Dienste erschwert. Beispielsweise durch Unkenntnis darüber, wo sich die Daten (außerhalb der EU) befinden und welche Gesetze diesbezüglich gegeben sind, um einen entsprechenden Schutz zu gewährleisten. Darüber hinaus kann zumeist nicht vollständig sichergestellt werden, ob Daten tatsächlich gelöscht werden, beziehungsweise wurden. Diese Aspekte der Nutzung sind zu berücksichtigen und mit den Unternehmensrichtlinien in Einklang zu bringen, um die Compliance-Anforderungen zu erfüllen.

Datenschutzverletzungen sind gemäß der DSGVO innerhalb von 72 Stunden (gemäß Artikel 33) nach bekanntwerden durch den Verantwortlichen an die zuständigen Aufsichtsbehörden zu melden. Eine verzögerte Übermittlung ist mit einer entsprechenden Begründung zu ergänzen. Diese Meldung enthält:

Im Falle einer Verletzung des Schutzes personenbezogener Daten sind gemäß Artikel 34 die betroffenen Personen in Kenntnis zu setzen. Eine Meldung an die Aufsichtsbehörde ist dann zu vernachlässigen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich „nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“ (Art. 33 Abs. 1). Zur Vermeidung von „Datenpannen“ sollten sich Unternehmen (IT- bzw. IT-Sicherheitsabteilung) präventiv mit der aktuellen Gefährdungslage vertraut machen und entsprechende Analysen durchführen. Den dabei identifizierten Schwachstellen ist durch geeignete Maßnahmen entgegenzuwirken. Ein besonderes Augenmerk ist auf die Einhaltung der Meldepflicht zu legen, da diese neben monetären Risiken auch Reputationsrisiken birgt. Für die Umsetzung muss entweder ein bereits bestehender interner Prozess angepasst oder ein neuer Prozess aufgesetzt werden, der den entsprechenden Kriterien der Meldepflicht an die Aufsichtsbehörden gerecht wird. Die LDA Bayern hat hierzu bereits ein entsprechendes Meldeformular sowie allgemeine Informationen zu Datenschutzverletzungen veröffentlicht.

Um Datenschutzverletzungen zu erkennen, ist eine Sensibilisierung der Mitarbeiter hinsichtlich ebendieser erforderlich. Auch müssen den Mitarbeitern die Kanäle zur Weitergabe von Informationen bei einer Datenschutzverletzung bekannt sein.

Die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) ist (nach Art. 35 Abs. 1 DSGVO) notwendig, wenn die Verarbeitungstätigkeit ein hohes Risiko für die Rechte und Freiheiten der Betroffenen mit sich bringt. Ziel der DSFA: Potenzielle Risiken frühzeitig erkennen und entsprechende Gegenmaßnahmen definieren. Anders als die Vorabkontrolle nach dem BDSG, ist die DSFA nicht mehr Aufgabe des Datenschutzbeauftragten, sondern liegt im Zuständigkeitsbereich des Verantwortlichen für die Verarbeitung (Art. 35 DSGVO). Hierbei steht der Datenschutzbeauftragte während des gesamten Prozesses beratend zur Seite und überwacht die Durchführung der DSFA. Mittels bereitgestellter Templates stellt der Datenschutzbeauftragte die Anforderungen der EU-DSGVO sicher. Im ersten Schritt wird mit Hilfe einer sogenannten Schwellenwertanalyse ermittelt, für welche Verarbeitungstätigkeiten eine DSFA notwendig ist. Diese Schwellenwertanalyse ist ein Kriterienkatalog, dessen Erfüllung eine DSFA notwendig macht. Eine Orientierungshilfe bei der Erstellung der Schwellenwertanalyse bieten die neun Kriterien der Artikel-29-Arbeitsgruppe. Allerdings sind diese Kriterien sehr allgemein gefasst und müssten an die jeweilige Branche beziehungsweise Unternehmen angepasst werden. Beispielsweise erfolgt keine genaue Definition des Kriteriums „Umfangreiche Datenmenge“.

Darüber hinaus werden die Aufsichtsbehörden (nach Art. 35 Abs. 4, 5) einen Katalog mit Verarbeitungsvorgängen erstellen. Die sogenannte „Blacklist“ enthält dabei Verarbeitungstätigkeiten für die zwingend eine DSFA durchzuführen ist. Verarbeitungstätigkeiten der „Whitelist“ erfordern wiederum keine DSFA. Aktuell ist noch unklar wann diese Listen veröffentlicht werden. Fällt die Schwellenwertanalyse für eine Verarbeitungstätigkeit positiv aus, ist im zweiten Schritt eine Risikoanalyse durchzuführen. Hierbei wird das Datenschutzrisiko aus Sicht des Betroffenen anhand objektiver Kriterien (zum Beispiel Art, Umfang, Umstände, Zweck einer Verarbeitung) eingeschätzt. Zusätzlich müssen entsprechende Maßnahmen zur Minderung der identifizierten Risiken ermittelt und umgesetzt werden. Sind die umgesetzten Maßnahmen nicht ausreichend, muss die Aufsichtsbehörde darüber informiert werden. Die Umsetzung der Anforderungen bis zum 25.05.2018 stellt die Unternehmen vor große Aufgaben. Nicht nur der Datenschutz und die IT-Fachbereiche sind hiervon betroffen. Auch in der Ablauf- und Aufbauorganisation entsteht entsprechender Handlungsbedarf.

Es kann mit Spannung erwartet werden, wie die Datenschutzaufsichtsbehörde bei nicht- oder nur mangelhafter Umsetzung der DSGVO reagiert. Eine Übergangsphase von zwei Jahren zur Implementierung der EU-DSGVO dürfte aber wahrscheinlich als ausreichend angesehen werden. Stellen Sie daher zumindest eine ausreichende Umsetzung der Anforderungen in Ihrem Unternehmen sicher.