Die EU-Datenschutz-Grundverordnung statuiert neben altbekannten Pflichten auch neue Pflichten für Unternehmen im Bereich Datenschutz. Als erfreulich ist die Pflicht zu verbraucher- und datenschutzfreundlichen Voreinstellungen z. B. bei elektronischen Geräten einzuschätzen. Allerdings könnte vor allem die vorgesehene Pflicht zur Datenschutz-Folgenabschätzung sowie die sich daran evtl. anschließende Konsultation der zuständigen Aufsichtsbehörde zu noch nicht abschätzbaren (negativen) Auswirkungen und zu vermehrter Bürokratie führen.
Der Inhalt im Überblick
- I. Technischer Datenschutz
- Was versteht man unter den für die Verarbeitung Verantwortlichen nach Art. 24 EU-DSGVO?
- Wozu werden Unternehmen nach Art. 24 EU-DSGVO verpflichtet?
- Was bedeuten die Vorgaben des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen nach Art. 25 EU-DSGVO?
- Was sollte das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 EU-DSGVO beinhalten?
- Wann muss ich mit der Aufsichtsbehörde zusammenarbeiten?
- II. Meldepflicht
- Müssen Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde gemeldet werden?
- Gilt die Meldepflicht ausnahmslos immer?
- Gibt es eine Frist für die Meldepflicht?
- Gilt die Meldepflicht auch für öffentliche Stellen?
- Muss auch der Betroffene der Datenschutzverletzung benachrichtigt werden?
- Muss der Betroffene nach Art. 34 EU-DSGVO ausnahmslos immer benachrichtigt werden?
- Wie muss der Betroffene benachrichtigt werden?
- III. Datenschutz-Folgenabschätzung
- Wann muss ein Unternehmen eine Datenschutz-Folgenabschätzung nach Art. 35 EU-DSGVO vornehmen?
- Was sind Beispiele für derartige neue Technologien?
- Wann muss die Aufsichtsbehörde konsultiert werden?
- Sind die Aufsichtsbehörden auch schon vorab in die Datenschutz-Folgenabschätzung eingebunden?
- Müssen auch die Betroffenen an der Datenschutz-Folgenabschätzung beteiligt werden?
- Was passiert, wenn die Aufsichtsbehörde der Auffassung ist, die Maßnahme verstoße gegen die EU-DSGVO?
I. Technischer Datenschutz
Was versteht man unter den für die Verarbeitung Verantwortlichen nach Art. 24 EU-DSGVO?
Darunter fällt jede natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, Art. 4 Nr. 7 EU-DSGVO.
Wozu werden Unternehmen nach Art. 24 EU-DSGVO verpflichtet?
Unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die persönlichen Rechte und Freiheiten haben die für die Verarbeitung verantwortlichen Unternehmen geeignete technische und organisatorische Maßnahmen zu installieren.
Was bedeuten die Vorgaben des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen nach Art. 25 EU-DSGVO?
Der für die Verarbeitung Verantwortliche sollte interne Strategien festlegen und Maßnahmen treffen, die insbesondere dem Grundsatz des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) sicherstellen. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Datenverarbeitung zu überwachen, und der für die Verarbeitung Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern, vgl. Erwägungsgrund 61 EU-DSGVO.
Was sollte das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 EU-DSGVO beinhalten?
- Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen (ggf. auch Vertreter und Datenschutzbeauftragter)
- Zwecke der Verarbeitung
- Kategorien von betroffenen Personen und personenbezogenen Daten
- Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben worden sind oder noch weitergegeben werden (auch in Drittländern)
- Übermittlungen von Daten an ein Drittland oder an eine internationale Organisation
- Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
- Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
Näheres hierzu finden Sie in unserem Beitrag: Verzeichnis von Verarbeitungstätigkeiten – Infos & Tipps zur Umsetzung
Wann muss ich mit der Aufsichtsbehörde zusammenarbeiten?
Nach Art. 31, 58 Abs. 1 und 2 DSGVO dann, wenn es die Aufsichtsbehörde zur Erfüllung ihrer Aufgaben verlangt.
II. Meldepflicht
Müssen Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde gemeldet werden?
Nach Art. 33 EU-DSGVO grundsätzlich ja.
Gilt die Meldepflicht ausnahmslos immer?
Nein. Es entsteht keine Meldepflicht, wenn ein Risiko für Rechte und Freiheiten von Individuen unwahrscheinlich ist.
Gibt es eine Frist für die Meldepflicht?
Ja, nach Art. 33 EU-DSGVO unverzüglich und ohne unangemessene Verzögerung. Möglichst binnen höchstens 72 Stunden, nachdem die Verletzung bekannt wurde.
Gilt die Meldepflicht auch für öffentliche Stellen?
Ja. Allerdings bleibt abzuwarten, wie der öffentlich-rechtliche Grundsatz der Polizeifestigkeit von Hoheitsträgern mit den Vorgaben der EU-Datenschutz-Grundverordnung in Einklang zu bringen ist. Zudem bleibt den Mitgliedstaaten in diesem Bereich ein großzügiger Handlungsspielraum durch nationale Regelungen.
Muss auch der Betroffene der Datenschutzverletzung benachrichtigt werden?
Nach Art. 34 EU-DSGVO grundsätzlich ja.
Muss der Betroffene nach Art. 34 EU-DSGVO ausnahmslos immer benachrichtigt werden?
Nein, der Betroffene muss nicht benachrichtigt werden, wenn technische oder organisatorische Maßnahmen wie z. B. eine Verschlüsselung die Kenntnisnahme von personenbezogenen Daten verhindern oder sichergestellt ist, dass kein hohes Risiko besteht.
Wie muss der Betroffene benachrichtigt werden?
Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene Person gerichtete Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen dieser Verletzung enthalten und so rasch wie nach allgemeinem Ermessen möglich geschehen, vgl. Erwägungsgrund 67a EU-DSGVO.
III. Datenschutz-Folgenabschätzung
Wann muss ein Unternehmen eine Datenschutz-Folgenabschätzung nach Art. 35 EU-DSGVO vornehmen?
Dann, wenn eine Form der Verarbeitung wahrscheinlich ein hohes Risiko verursacht, insbesondere bei neuen Technologien oder aufgrund ihres Wesens, ihres Umfangs, ihres Kontexts oder ihrer Zwecke.
Was sind Beispiele für derartige neue Technologien?
- Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen aufgrund automatisierter Verarbeitung
- Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten
- Systematische weiträumige Überwachung öffentlich zugänglicher Bereiche
Wann muss die Aufsichtsbehörde konsultiert werden?
Nach Art. 36 EU-DSGVO dann, wenn die Datenschutz-Folgeabschätzung nach Art. 35 EU-DSGVO ergibt, dass eine Datenverarbeitung ohne Maßnahmen ein hohes Risiko bedeutet.
Sind die Aufsichtsbehörden auch schon vorab in die Datenschutz-Folgenabschätzung eingebunden?
Ja, sie werden vorab Positiv-/Negativ-Listen zu umfassten Technologien veröffentlichen.
Müssen auch die Betroffenen an der Datenschutz-Folgenabschätzung beteiligt werden?
Ja und zwar dann, wenn es als angemessen erscheint.
Was passiert, wenn die Aufsichtsbehörde der Auffassung ist, die Maßnahme verstoße gegen die EU-DSGVO?
Es erfolgt ein schriftlicher Rat der Aufsichtsbehörde mit einer Frist von acht Wochen.
Wir möchten für unsere regelmäßig neueintreffenden Jobs eine WhatsApp Gruppe eröffnen. Hier stellt sich uns die Frage, ob dies nach DSGVO möglich und machbar ist.
Jeder Bewerber, bzw. jedes Mitglied der Gruppe, wird vorab selbstverständlich gefragt ob er in diese Gruppe möchte und nicht ohne Zustimmung aufgenommen.
Wie verhält es sich mit den öffentlichen Nummern?
Die DSGVO selbst räumt den Mitgliedsstaaten beim Beschäftigtendatenschutz nationale Regelungsspielräume (sog. Öffnungsklauseln) ein. Der heute beschlossene Entwurf der Bundesregierung (DSAnpUG-EU) enthält diesbezüglich vorrangig Informationspflichten und Auskunftsrechten. Das Fehlen von Regelungen nach der Freiwilligkeit einer Einwilligung im Beschäftigtenverhältnis wird dabei bemängelt. Dies ist im Beschäftigtendatenschutz aber gerade Voraussetzung um personenbezogene Daten zu verarbeiten, für welche es andernfalls keine Rechtsgrundlage gibt. Denn eine Einwilligung muss nach der DSGVO u.a. freiwillig sein. Solange es keine Regelungen in einem Beschäftigtendatenschutzgesetz geben wird, sollte weiterhin auf die Rechtsprechung des BAG abgestellt werden, wonach nur in engen Grenzen eine freiwillige Einwilligung möglich ist, insbesondere muss dem Betroffenen auch eine Alternative aufgezeigt werden.
Die Nutzung von WhatsApp in Unternehmen ist grundsätzlich nicht empfehlenswert, da Datenschutz und Datensicherheit nicht gewährleistet werden können, u.a. werden Metadaten der Nutzer systematisch erfasst und ausgewertet. Die Software ist weder für den Unternehmenseinsatz konzipiert, noch sehen deren Nutzungsbedingungen diese vor.
Was mir noch nicht ganz klar ist: Betrifft die Verordnung ausschließlich die Verarbeitung und (gezielte) Übermittlung von personenbezogenen Daten (pbD) oder auch die Lagerung? Beispiel: Ich muss auch als kleine 5-Mann-Firma digitale Belege und Unterlagen wie Lohnzettel lagern und tue das mittlerweile auch auf Webservern, zB indem ich gezippte Ordner in einem Google-Drive und einem Dropbox-Verzeichnis ablege. Theoretisch könnten beide Dienstleister ihrerseits die Daten zu Sicherungszwecken auf weitere Server duplizieren, also theoretisch könnten meine Daten ohne mein Wissen auf einen US-amerikanischen oder anderen Server gelangen, der nicht unter EU-Recht fällt. Muss ich das ausschließen und nachweisen, dass das nicht geschieht? Und wenn ja: kann ich mich aus der Affaire zeihen, indem ich die ZIPs verschlüssle? Dank + Gruß, Frank R. aus K.
So wie Sie den Sachverhalt beschreiben, ist mit den Cloud-Dienstleistern wahrscheinlich eine Vereinbarung zur Auftragsverarbeitung abzuschließen. In dieser Vereinbarung sind klare Regelungen zum Umgang mit den in der Cloud gelagerten Daten und zum Standort der Server des Dienstleisters zu treffen. Hält sich der Dienstleister nicht an diese Vereinbarungen, macht er sich ggf. haftbar.
Sofern die Daten auf Servern außerhalb der EU gespeichert sind, müssen Sie sich außerdem vergewissern, ob der Anbieter für den jeweiligen Serverstandort durch entsprechende Garantien ein angemessenes Datenschutzniveau gewährleisten kann. Darüber hinaus ist eine Verschlüsselung der in der Cloud gespeicherten Daten natürlich immer zweckmäßig.
Sollte es unter der Überschrift:
Wann muss ich mit der Aufsichtsbehörde zusammenarbeiten?
Nicht Art. 31 statt 29 heißen? Liebe Grüße
Vgl.:
Nach Art. 29 EU-DSGVO dann, wenn es die Aufsichtsbehörde zur Erfüllung ihrer Aufgaben verlangt.
Vielen Dank für den Hinweis, Ihre Unterstützung ist für uns sehr wichtig. Wir haben die zitierten Vorschriften geändert.
Man erhält nun immer mehr Infos. auch im Unternehmen, nur eine Info. suche ich und weiss nicht ob das nun für alle Unternehmen gilt, da ich nun ein Schreiben eines Software Lieferanten erhielt, ich möchte expliziet zustimmen das er mir Mails über ggf.Technische
Änderung, Updates etc. zuschicken darf. Ist das nicht übertrieben?
Muss ich nun alle Stammdaten im Unternehmen prüfen und Einwilligungen einholen, z.B. Mail-Versendung von Zahlungsavisen, Mahnungen, Erinnerungen, Kontoabstimmungen?
Gilte das nur für Mails an Vorname, Nachname@ Mails oder auch Mails an eine Info@Adresse?