Die Einen blicken mit Angst und Sorge in die Zukunft, die Anderen nehmen es gelassen. Einige behaupten: es bliebe alles beim Alten. Andere wundern sich über die vielen „neuen“ Vorgaben. Die Situation scheint angesichts der bald in Kraft tretenden Europäischen Datenschutzgrundverordnung (EU-DSGVO) unübersichtlich. Was wirklich neu ist und was nach wie vor gilt, wollen wir hier aus unserer Praxis kurz schildern.
Fangen wir vielleicht mit dem Lesen zwischen den Zeilen an. Das Gesetz der Europäischen Gemeinschaft trägt deutsche Handschrift. Viele Artikel fassen das Bundesdatenschutzgesetz und die deutsche Rechtsprechung zusammen. So wundert es wenig, dass wir uns an Dinge erinnert fühlten, die wir schon immer umsetzen wollten aber bisher keine hohe Priorität genossen haben. Manchmal kommen die Dinge im neuen Kleid: die „Verarbeitung“ fasst die frühere Aufzählung „Erfassung, Speicherung, Verarbeitung und Löschung“ zusammen, die „verantwortliche Stelle“ wird zu „Verantwortlicher“ und die „Auftragsverarbeitung“ ersetzt die „Auftragsdatenverarbeitung“. Im Großen und Ganzen ist die Datenverarbeitung den gleichen Regeln unterworfen wie bisher. Jeder Datenverarbeiter und sein Auftragsverarbeiter sind kaskadierend zum best-möglichen Schutz der ihnen anvertrauten Daten verpflichtet. Egal ob es sich hier um Auftragsverarbeitungsvertrag (Auftraggeber-Auftragnehmer), geteilte Zuständigkeit (Kooperation zweier Unternehmen) oder künftig anerkannte Zertifizierung – in allen Fällen kommt man um gewisse Aufgaben nicht herum. Dazu zählen:
- Übersicht über die Verarbeitungsvorgänge, die dazu benötigte personenbezogene Daten, deren Herkunft und die getroffenen technisch-organisatorischen Maßnahmen zum Schutz der Daten.
- Einhaltung aller Vorschriften der DSGVO – unabhängig vom Verarbeitungsort – wenn die Daten der DSGVO unterliegen
- Das Recht der natürlichen Personen auf eine kostenfreie Auskunft über ihre Daten, das Recht auf die Berichtigung, die Löschung oder die Sperrung unverzüglich umsetzen.
- Die Bestellung eines Datenschutzbeauftragten, sobald mit besonders sensiblen Daten (wie Weltanschauung oder Gesundheit) gearbeitet wird, regelmäßig verarbeitet wird oder die Folgenabschätzung auf ein Risiko für die Rechte bzw. die Freiheit der Betroffenen hinweist.
Zu den Neuerungen zählen:
- Ein weit gefasster Begriff der zu schützenden Daten (alle Identifikatoren die auf eine bestimmte in der EU-lebende Personen hinweisen; des Weiteren: das Marktortprinzip, automatische und nicht-automatische Verarbeitungweise sowie die Einbeziehung der strukturierter Daten auch in Papierform).
- Das Gesetzt betrifft alle, die die Daten nicht zu familiären und persönlichen Zwecken verarbeiten: Unternehmen, Ämter, Vereine, Kirchen und sogar Privatpersonen.
- Bußgelder – bis hin zu 20.000.000 € oder 4% des weltweiten Umsatzes des Vorjahres. Auf jeden Fall soll die Strafe wirksam, verhältnismäßig und abschreckend sein.
- Federführende Zuständigkeit der Aufsichtsbehörde der Hauptniederlassung des Unternehmens.
- Meldepflichten bei Datenverlust binnen 72 Stunden bei der Aufsichtsbehörde und Information der Betroffenen.
- Folgenabschätzung für die Rechte und die Freiheit der Betroffenen gehört zu jedem Verarbeitungsvorgang.
- Haftung wird um immaterielle Schäden erweitert.
- Verbot der Verarbeitung von nicht aktuellen Daten.
- Besondere Rechte auf sofortige Löschung bei Minderjähreigen.
- Das Recht auf einen maschinenlesbaren Auszug der gespeicherten Daten.
- Transparenzgebot: Informationspflicht des Verarbeiters in einer klaren und leicht verständlichen Sprache.
- Datenschutzfreundliche Voreinstellungen in Programmen, Kopplungsverbot von Einwilligung und Funktionieren der Software sowie sichere Datenübertragung.
- Der Auftragsdatenverarbeitungsvertrag (neu: „Auftragsverarbeitungsvertrag“) ist für den Auftragnehmer der einzige Weg, die Daten vom Auftraggeber legal zu verarbeiten. Beide Seiten müssen also das Interesse haben, einen solchen Vertrag noch vor dem 25. Mai 2018 abzuschließen.
Im Alltag eines IT-Unternehmens wie eXirius werden die Neuerungen keine Abläufe auf den Kopf stellen. Sie bedürfen eher einer einmaligen aber konkreten Umsetzung durch die IT. Benötigt werden z.B.: Dokumentation zu Backups (Verschlüsselung, Verfügbarkeit, Robustheit, Integrität, Löschpläne und Protokolle) oder vorbereiten von Prozessen und Software für zeitnahe Auskunft bzw. Löschung von Daten. Die Datenverarbeitungsverzeichnisse sind keine Aufgabe der IT. Sie obliegen dem „Verantwortlichen“ (sprich: Geschäftsführer), der diese Aufgabe gerne an den Datenschutzbeauftragten abgibt. Mit diesem Mandat ausgestattet muss der „betriebliche Garant des Datenschutzes“ alle Abteilungen aufsuchen und die Verarbeitungsprozesse samt der verarbeiteten Datenkategorien, der beteiligten Personen/Rollen und der Grundlage für die Rechtmäßigkeit der Verarbeitung (nach Artikel 6 DSGVO) ermitteln. Auf dieser Grundlagen kann er mit der IT die Zeitpunkte des automatischen Löschens der Daten festlegen und technisch-organisatorische Maßnahmen zum Schutz der Daten festschreiben. (Solche Verzeichnisse sind seit Jahren Pflicht und sollten jetzt aktualisiert werden, denn im Falle einer Prüfung werden sie von der Aufsichtsbehörde angefordert und mit der Realität abgeglichen.)
Jedes Unternehmen, das den Schutz der Daten ihrer Kunden tatsächlich ernst nahm, hat 99% der DSGVO bereits umgesetzt. Die Zeiten der Portokasse-Geldbußen ist endgültig vorbei. Wer den Datenschutz bisher als ein lästiges Übel angesehen hat, sollte nun die Prioritäten überdenken. Ab dem 25. Mai 2018 gilt: Datenschutz = geschäftskritisches Risiko. Als Belohnung für den achtsamen Umgang mit Kundendaten bekommt man einen guten Überblick über die Prozesse der Auftragsabarbeitung.
Es gilt nach wie vor: Datenschutz ist eine Frage der Priorität.