Die DSGVO Schonfrist ist vorbei – Aufsichtsbehörden machen ernst

By | 27. November 2018
Busi­ness con­cept © AKS — Fotolia.com

Seit Mai 2018 ist die EU Daten­schutz-Grund­ver­ord­nung (DSGVO) wirk­sam, nach­dem sie bereits Mai 2016 in Kraft getre­ten ist. Zeit bestand aus­rei­chend, sich auf die Neue­run­gen vor­zu­be­rei­ten. Die eine oder ande­re Orga­ni­sa­ti­on hat die Gele­gen­heit genutzt, bestehen­de Lücken in der eige­nen Daten­schutz-Orga­ni­sa­ti­on zu schlie­ßen. In den letz­ten Mona­ten haben wir öfter mal den Satz gehört „Woher soll ich wis­sen, was da im Daten­schutz zu tun ist?“. Hier gilt eine Hol­schuld durch die Orga­ni­sa­ti­ons­lei­tung getreu dem Mot­to „Unwis­sen­heit schützt vor Stra­fe nicht“. Für die Ein­hal­tung gesetz­li­cher Vor­schrif­ten ist die Lei­tung zustän­dig und ver­ant­wort­lich. Für Geschäfts­füh­rer gilt hier § 130 Gesetz über Ord­nungs­wid­rig­kei­ten (OWiG) mit der tref­fen­den Bezeich­nung “Ver­let­zung der Auf­sichts­pflicht in Betrie­ben und Unter­neh­men“. Ähn­li­che Ver­pflich­tun­gen für Behör­den trifft sogar unser Grund­ge­setz.

Die DSGVO-Schonzeit ist vorbei

Die meis­ten Lan­des­da­ten­schutz­be­hör­den haben jedoch in den letz­ten Mona­ten ein Auge zuge­drückt und eine im Gesetz nicht vor­ge­se­he­ne frei­wil­li­ge Karenz­zeit ein­ge­scho­ben. In die­sem Zeit­raum soll­ten Orga­ni­sa­tio­nen die Gele­gen­heit letzt­ma­lig nut­zen, die recht­li­chen Ver­pflich­tun­gen aus der DSGVO in Ver­bin­dung mit dem neu­en Bun­des­da­ten­schutz­ge­setz (BDSG) für Unter­neh­men und den Lan­des­da­ten­schutz­ge­set­zen für Lan­des­be­hör­den und kom­mu­na­le Ein­rich­tun­gen umzu­set­zen. Die­se Schon­zeit ist nun vor­bei!

Es wird ernst – aber Buß­gel­der sind nicht das eigent­li­che Pro­blem

Ende Okto­ber wur­de ein ers­tes Buß­geld gegen ein por­tu­gie­si­sches Kran­ken­haus ver­hängt. 400.000 Euro für den laxen Umgang mit Pati­en­ten­da­ten. Das ist erst mal ein Bro­cken. Wei­te­re Buß­gel­der und ver­stärkt Sank­tio­nen in Form von Auf­la­gen haben jetzt auch die deut­schen Lan­des­da­ten­schutz­be­hör­den ange­kün­digt. In den nächs­ten Wochen wird in der Pres­se davon zu lesen und zu hören sein. Glück­li­cher­wei­se gilt es für die Auf­sichts­be­hör­den nach wie vor, bei der Bemes­sung von Buß­gel­dern Ange­mes­sen­heit und Ver­hält­nis­mä­ßig­keit zu wah­ren. Die in der Pres­se oder auch in Bera­tungs­an­ge­bo­ten ger­ne zitier­ten 10 bis 20 Mil­lio­nen Euro (bzw. 2–4% des welt­wei­te­ren Kon­zern­um­sat­zes im Vor­jahr) sind natür­lich im Gesetz so vor­ge­se­hen. In der unre­flek­tier­ten Kom­mu­ni­ka­ti­on sind die­se Zah­len jedoch rei­ne Panik­ma­che. Klei­ne und mit­tel­stän­di­sche Betrie­be wer­den sich mit sol­chen Sum­men sicher nicht kon­fron­tiert sehen. Das heißt aber nicht, sich wei­ter zurück­leh­nen und das The­ma aus­sit­zen zu kön­nen.

Denn abge­se­hen von Buß­gel­dern und Sank­tio­nen, geht schnell mit Daten­schutz­ver­stö­ßen auch ein Image­scha­den ein­her. Auch Scha­den­er­satz ist im Daten­schutz mög­lich. Grund genug, zumin­dest ein paar „Basics“ in der eige­nen Orga­ni­sa­ti­on umzu­set­zen.

Hier ein paar Tipps und Hinweise zur Umsetzung der DSGVO Anforderungen:

1. Verzeichnis der Verarbeitungstätigkeiten (VVT)

Ihre Orga­ni­sa­ti­on wird im Zwei­fel mit einer Viel­falt und Viel­zahl an per­so­nen­be­zo­ge­nen Daten von Mit­ar­bei­tern, Kun­den, Bür­gern, Inter­es­sen­ten, Geschäfts­part­nern etc. umge­hen. Aus die­sem Grund trifft eigent­lich (fast) jede Orga­ni­sa­ti­on die Pflicht, ein sog. Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten zu füh­ren. Dabei han­delt es sich um detail­lier­te Über­sich­ten, wo und wie und in wel­chen sog. „Ver­fah­ren“ (nicht immer iden­tisch mit Pro­gram­men) Ihre Orga­ni­sa­ti­on per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet. Das VVT ist Grund­la­ge für wei­te­re Daten­schutz-Tätig­kei­ten und ele­men­ta­rer Bestand­teil Ihrer Rechen­schafts­pflicht, die recht­li­chen Daten­schutz-Anfor­de­run­gen in Ihrer Orga­ni­sa­ti­on umge­setzt zu haben

2. Rechte der Kundschaft sicherstellen

Im Rah­men der DSGVO haben sich die Rech­te der sog. Betrof­fe­nen wei­ter ver­bes­sert. So kann jede Per­son von Unter­neh­men und Behör­den sehr umfäng­lich Aus­kunft über die gespei­cher­ten und ver­ar­bei­te­ten Daten ver­lan­gen. Neben der rei­nen Aus­kunft ist eine sog. „Daten­ko­pie“, sowohl von vor­han­de­nen ana­lo­gen als auch digi­ta­len Daten in geeig­ne­ter Form mit­zu­lie­fern. Wenn Sie kei­ne Über­sicht haben, wo und wie wel­che per­so­nen­be­zo­ge­nen Daten in Ihrer Orga­ni­sa­ti­on gespei­chert sind, wird es schwer­fal­len, die­sem aus­führ­li­chen Anspruch ohne Feh­ler und / oder Bean­stan­dung gerecht zu wer­den.
Wei­ter­hin sind per­so­nen­be­zo­ge­ne Daten nach Ablauf der gesetz­li­chen Auf­be­wah­rungs­frist umge­hend zu löschen. Pein­lich, wenn Sie im Rah­men der Aus­kunft Infor­ma­tio­nen her­aus­ge­ben, die schon längt hät­ten gelöscht sein müs­sen.

3. Informationspflichten

Jede Orga­ni­sa­ti­on muss Betrof­fe­ne bei direk­ter und indi­rek­ter Erhe­bung über die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten auf­klä­ren (Art. 13+14 DSGVO). Die­se Pflicht­an­ga­ben sind recht umfang­reich und müs­sen leicht zugäng­lich sein. Hier gilt es, die­se Pflicht­an­ga­ben für die Ver­ar­bei­tun­gen in der Orga­ni­sa­ti­on zusam­men­zu­stel­len und dann z.B. über Web­sei­te, Aus­hän­ge, Hin­wei­se auf die Anga­ben auf der Web­sei­te an die Betrof­fe­nen zu kom­mu­ni­zie­ren. Bit­te ver­wech­seln Sie das nicht mit der Daten­schutz­er­klä­rung auf Ihrer Web­sei­te. Das ist ein ganz ande­res The­ma.
Da das Vor­han­den­sein und Durch­füh­ren der Infor­ma­ti­ons­pflich­ten mit einem Blick auf die Web­sei­te oder einem ein­fa­chen Anruf bei Ihnen sofort fest­ge­stellt wer­den kann, sind feh­len­de Umset­zun­gen schnell fest­zu­stel­len.

4. Einwilligungen

Wenn Sie per­so­nen­be­zo­ge­ne Daten zur Durch­füh­rung eines Ver­tra­ges oder auf­grund einer Rechts­vor­schrift erhe­ben, benö­ti­gen Sie kei­ne Ein­wil­li­gung (das wird auch nicht wah­rer, wenn vie­le Medi­en das Gegen­teil behaup­ten). In vie­len ande­ren Fäl­len (Email-Wer­bung, Tele­fon-Wer­bung etc.) ist eine Ein­wil­li­gung uner­läß­lich. Ein­wil­li­gun­gen müs­sen aktiv, frei­wil­lig, trans­pa­rent und aus­führ­lich sowie mit Hin­weis auf die Wider­rufs­mög­lich­keit erteilt wer­den. Prü­fen Sie Ihre Ein­wil­li­gun­gen, ob die­se den Anfor­de­run­gen ent­spre­chen.

5. Werbung

Brief­wer­bung (also wirk­lich klas­si­sche Post) ist nach der DSGVO im Ein­klang mit dem UWG (Gesetz gegen den unlau­te­ren Wett­be­werb) ohne Ein­wil­li­gung mög­lich. Für Email-Wer­bung gilt dies nur für Bestands­kun­den. Dabei darf aber der vor­ge­schrie­be­ne Hin­weis auf die jeder­zei­ti­ge Wider­rufs­mög­lich­keit nicht ver­ges­sen wer­den. Alle ande­ren Daten dür­fen nur mit gül­ti­ger Ein­wil­li­gung (sie­he 4) für Wer­be­zwe­cke genutzt wer­den.

6. Sicherheit der Datenverarbeitung

Unge­schütz­te Daten­spei­che­rung, unver­schlüs­sel­te Daten­über­tra­gung, End­ge­rä­te (PC, Lap­tops, Tablet und Smart­pho­ne) ohne Pass­wort­schutz, unzu­rei­chen­de oder nicht dem Stand der Tech­nik ent­spre­chen­de Daten­si­che­run­gen sind Geschich­te. Die DSGVO schiebt dem laxen Umgang mit der IT-Sicher­heit einen hef­ti­gen Rie­gel vor. Zukünf­tig muss nicht der Betrof­fe­ne im Scha­den­fall nach­wei­sen, dass Ihre Orga­ni­sa­ti­on kei­ne aus­rei­chen­den Schutz­maß­nah­men für des­sen per­so­nen­be­zo­ge­ne Daten ergrif­fen hat. Statt­des­sen ist Ihre Orga­ni­sa­ti­on beweis­pflich­tig, das alles Mach- und Zumut­ba­re an Sicher­heits­maß­nah­men ein­ge­führt und regel­mä­ßig auf Funk­ti­ons­fä­hig­keit geprüft wur­de.

7. Meldepflicht von Datenpannen

Ver­bum­mel­te Papier­un­ter­la­gen, ver­lo­re­ne tech­ni­schen Gerä­te, feh­ler­haf­ter Ver­sand (Post / Email), mit Schad­code befal­le­ne IT-Sys­te­me und vie­le Anläs­se mehr füh­ren schnell zu einer mel­de­pflich­ti­gen Daten­pan­ne, wenn per­so­nen­be­zo­ge­ne Daten im Spiel sind. Die­se Daten­pan­nen sind alle­samt intern zu doku­men­tie­ren und auf Risi­ko für den Betrof­fe­nen zu bewer­ten. Liegt ein Risi­ko für Betrof­fe­ne vor, gilt es die Daten­pan­ne inner­halb von 72h an die zustän­di­ge Auf­sichts­be­hör­de online zu mel­den. Bei beson­ders hohem Risi­ko müs­sen zusätz­lich die Betrof­fe­nen durch Sie infor­miert wer­den. Schau­en Sie auf die Web­sei­te Ihrer Lan­des­da­ten­schutz­be­hör­de mit dem dazu­ge­hö­ri­gen Mel­de­for­mu­lar. Sie wer­den stau­nen, wie schnell und umfang­reich eine sol­che Mel­dung getä­tigt wer­den muss. Ohne inter­ne Pro­zes­se zur Erken­nung, Bewer­tung und Mel­dung sind die Anfor­de­run­gen nicht zu erfül­len. Damit ist nicht zu spa­ßen. Und nach der Daten­pan­ne nicht die Nach­be­ar­bei­tung ver­ges­sen: Was ist zu tun, damit sich die­se Art der Daten­pan­ne mög­lichst nicht wie­der­holt.

8. Datenschutzbeauftragter / DSB

Sobald mehr als 9 Mit­ar­bei­ter regel­mä­ßig per­so­nen­be­zo­ge­ne Daten von Kun­den und / oder Mit­ar­bei­tern ver­ar­bei­ten, muss Ihre Orga­ni­sa­ti­on einen Daten­schutz­be­auf­trag­ten bestel­len. Öffent­li­che Stel­len unter­lie­gen einer gene­rel­len Bestell­pflicht, ganz unab­hän­gig von der Mit­ar­bei­ter­an­zahl. Die Aus­füh­rung die­ser Bestell­pflicht kann die Auf­sichts­be­hör­de seit Mai 2018 ganz ein­fach über­prü­fen. Denn Ihre Orga­ni­sa­ti­on muss den Daten­schutz­be­auf­trag­ten offi­zi­ell bei der Auf­sichts­be­hör­de mit Name und Kon­takt­da­ten mel­den. Ein Abgleich bringt schnell zuta­ge, wel­che Ein­rich­tung wohl der Bestell­pflicht unter­liegt, aber kei­ne Mel­dung vor­ge­nom­men hat. Zusätz­lich müs­sen Sie Ihren Daten­schutz­be­auf­trag­ten offi­zi­ell im Rah­men der Daten­schutz­er­klä­rung auf Ihrer Web­sei­te mit Kon­takt­da­ten benen­nen. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Dann wird es Zeit. Die­ser hilft Ihnen übri­gens auch sofort bei der Umset­zung der 7 ande­ren Punk­te aus die­ser Lis­te – und bei vie­len wei­te­ren Daten­schutz-The­men, die Ihre Orga­ni­sa­ti­on umge­setzt haben muss.

Viel Erfolg!

PS: Die Punk­te 1–8 sind einer Infor­ma­ti­ons­bro­schü­re des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht ent­nom­men. Unser Arti­kel stellt kei­ne Rechts­be­ra­tung dar.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

9 + 1 =