Datenschutzpflichten für Unternehmen

I. Verpflichtung und mögliche Konsequenzen

In der heutigen Zeit erfolgt die Verarbeitung von personenbezogenen Daten in nahezu jedem Unternehmen, so dass die DSGVO fast immer einschlägig ist. Auch Freiberufler (Ärzte, Ziviltechniker, Architekten, Steuerberater, etc.) und ihre Praxen und Kanzleien sind betroffen. 

Zum einen sieht die Verordnung im Sinne einer Generalprävention sehr hohe Strafen vor, zum anderen hat jeder Betroffene die Möglichkeit, vom Unternehmen Schadensersatz zu begehren. Aus diesen Gründen ist es unerlässlich, die rechtlichen Anforderungen von Datenverarbeitungsprozessen zu verstehen und diese konkret umzusetzen. Einen Überblick über die notwendigen Maßnahmen soll dieser Beitrag gewähren. 

II. Personenbezogene Daten und Datenverarbeitung

Wichtig zu verstehen ist zunächst, was mit personenbezogenen Daten und Datenverarbeitung gemeint ist. 

An dieser Stelle ist die gesetzliche Situation klar und liefert in Art. 4 Nr. 1, 2 DSGVO eine eindeutig formulierte Definition: „Personenbezogene Daten“ sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Damit sind Daten wie Namen, E-Mail-Adressen und Geburtsdaten personenbezogene Daten. Aber auch Online-Kennungen wie IP-Adressen, Cookies oder Standortdaten sind Daten, die eine Person identifizierbar machen und folglich als personenbezogene Daten einzuordnen sind.

Datenverarbeitung ist jede Handhabung der Daten, also die Erhebung, die Erfassung, die Speicherung, Organisation, Verwendung, Abfrage, Übermittlung, etc., bis hin zum Löschen der Daten. 

III. Pflichten im Einzelnen

1. Informationen zur Datenverarbeitung

Ein wichtiges Ziel der DSGVO ist die Transparenz der Datenverarbeitung. Dies wird unter anderem durch die dem Verantwortlichen obliegenden Informationspflichten erreicht, welche in Art. 12–14 DSGVO niedergelegt sind.

Die Verarbeitung von Daten ist nur zulässig, wenn die jeweilige Person in die Verarbeitung eingewilligt hat, die Verarbeitung für die Erfüllung eines Vertragsverhältnisses oder einer rechtlichen Verpflichtung erforderlich ist. Dabei müssen Daten für begründete Zwecke erhoben werden. Eine Speicherung ist nur so lange gestattet, wie sie für die Zwecke der Datenverarbeitung erforderlich ist.

Informationspflichten gegenüber Betroffenen (z.B. Auskunft über gespeicherte Daten) und Umsetzung von Betroffenenrechten (Recht auf Datenberichtigung, Recht auf Löschung, Widerspruchsrecht, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit) müssen eingehalten werden. 

2. Technischer Datenschutz

Zum einen sind Verantwortliche gemäß Art. 25 DSGVO dazu aufgefordert, datenschutzfreundliche Techniken einzusetzen („Data Protection by Design“) sowie Produkte oder Dienstleistungen mit datenschutzfreundlichen Voreinstellungen anzubieten („Data Protection by Default“). Vereinfacht ausgedrückt bedeutet Privacy by Design, dass die Technologie von vornherein so gestaltet sein muss, dass sie unter Beachtung der Grundsätze des Schutzes personenbezogener Daten operieren kann. Kann der Nutzer einer Anwendung zwischen mehreren Optionen wählen, ist im Rahmen des Verarbeitungszweckes diejenige voreinzustellen, welche die „datenschonendste“ ist (Privacy by Default).

Zum anderen macht Art. 32 DSGVO konkrete Vorgaben, welche technischen und organisatorischen Maßnahmen bei der Speicherung und Verarbeitung von personenbezogenen Daten gewährleistet werden müssen.  Danach müssen Verantwortliche eine ordentliche und sichere Verarbeitung von personenbezogenen Daten im Unternehmen sicherstellen können. Personenbezogene Daten müssen auch vor dem unbefugten Zugriff Dritter ebenso wie vor unbefugter Veränderung oder Löschung geschützt werden.

3. Das Verzeichnis von Verarbeitungstätigkeiten

Gemäß Art. 30 DSGVO hat jeder Verantwortliche ein „Verzeichnis von Verarbeitungstätigkeiten“ zu erstellen. Der gesetzlich erforderliche Inhalt ergibt sich dabei aus Art. 30 Abs. 1 DSGVO.

Je strukturierter und systematischer ein Unternehmen das Verzeichnis führt, desto leichter fällt es, die sonstigen Anforderungen der DSGVO zu erfüllen. 

4. Zusammenarbeit mit „Dritten“: 

Wichtig ist im Rahmen der Zusammenarbeit mit „Dritten“ zu klären, ob es sich um ein Auftragsverhältnis i.S.v. Art. 28 DSGVO, eine gemeinsame Verarbeitung i.S.v. Art. 26 DSGVO oder um eine Übermittlung zwischen zwei Verantwortlichen handelt, die die Daten jeweils zu eigenen Zwecken oder Mitteln verarbeiten. In diesen Fällen sind nach Art. 28 bzw. Art. 26 DSGVO die dort vorgesehenen Verträge abzuschließen.

5. Datenschutzfolgeabschätzung

Darüber hinaus ist eine Datenschutzfolgeabschätzung notwendig, wenn eine durchgeführte Risikoanalyse ergibt, dass die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen bedingt. Die Notwendigkeit für eine Datenschutzfolgeabschätzung ergibt sich vor allem bei der Verwendung neuer Technologien (EDV).

6. Meldungen an die Datenschutzbehörde

Bei einer Datenschutzverletzungen (z.B. Datendiebstahl, Verlust von Laptops, auf denen Kundendaten hinterlegt sind, etc.) besteht eine Meldepflicht an die Datenschutzbehörde und an Betroffene binnen 72 Stunden, Art. 33, 34 DSGVO. 

7. Zusammenarbeit mit der Datenschutzbehörde

Das Unternehmen, das die aufgezeigten Maßnahmen befolgt und umgesetzt hat, wird empfohlen, es in einem Datenschutzmanagement-Handbuch zu dokumentieren. Schließlich ist jedes Unternehmen aufgrund seiner Rechenschaftspflichten nach Art. 5 Abs. 2 DSGVO dazu verpflichtet, alle Bemühungen auf dem Bereich des Datenschutzes zu dokumentieren und gegebenenfalls der Aufsichtsbehörde auf Anfrage Rechenschaft abzulegen. 

Sehr gerne beantwortet Frau Zelzili Ihre Fragen zu diesem Themenbereich und unterstützt Sie bei der Umsetzung der Anforderungen.