RA'in Julia Studt, RAe Dr. Hantke & Partner
Wenn man in den letzten Tagen und Wochen die Nachrichten hört, in die Zeitung oder in sein Email-Postfach schaut, scheint ein Thema nicht verschwinden zu wollen: Die Datenschutzgrundverordnung, kurz auch DSGVO, ist in aller Munde. Ab 25. Mai 2018 gilt die DSGVO unmittelbar in allen EU-Mitgliedstaaten und bis dahin wartet auf viele noch Einiges an Arbeit.
Doch wie kommt es, dass die DSGVO in der letzten Zeit ein Dauerthema zu sein scheint? Für viele kommen die Neuerungen überraschend und in der Kürze der Zeit als nicht mehr umsetzbar. Eine Übergangszeit gibt es ab 25. Mai nicht mehr, denn die Übergangszeit läuft jetzt gerade. Die DSGVO ist nämlich schon vor zwei Jahren in Kraft getreten und hat seitdem bei vielen ein Schattendasein geführt. Erst kürzlich ist die DSGVO in das Blickfeld vieler gerückt.
Dabei fällt bei der DSGVO vor allem eines ins Auge: Verstöße werden von nun an stärker sanktioniert, Geldbußen in bis zu sechststelligen Höhen können verhängt werden.
Die Intention, die hinter der DSGVO steckt, ist die Privatsphäre des Einzelnen zu schützen, indem nur noch unter bestimmten Voraussetzungen die jeweiligen Daten erhoben und verarbeitet werden dürfen. Zudem werden die rechtlichen Vorgaben innerhalb der EU in gewissen Grenzen vereinheitlicht, damit der freie Datenverkehr innerhalb der Europäischen Union gewährleistet wird. Man liest von Datenminimierung, Recht auf Vergessenwerden, Recht auf Datenübertragbarkeit und vielem mehr. Der Gedanke, der dahintersteckt, ist, dass Vorfälle wie kürzlich bei Facebook geschehen, verhindert werden. Durchgesetzt werden soll dieses, indem zahlreiche Vorgaben an die Art und Weise sowie den Hintergrund der Datenverarbeitung gestellt werden. Doch was genau steht uns nun eigentlich ab dem 25. Mai bevor? Was ist vorher zu tun? Und von wem?
Wer ist betroffen?
Betroffen ist jeder, der personenbezogene Daten in einem automatisierten Verfahren verarbeitet oder aber personenbezogene Daten in einem nichtautomatisierten Verfahren verarbeitet, die dann in einem Dateisystem gespeichert sind oder werden sollen. Kurz und bündig: Eigentlich jede Form der Verarbeitung von personenbezogenen Daten fällt unter den Anwendungsbereich der DSGVO und somit ist auch fast jeder hiervon betroffen.
Einzige Ausnahme: Die Verarbeitung erfolgt zur Ausübung einer persönlichen oder familiären Tätigkeit.
Doch nicht jeder, der von der DSGVO betroffen ist, ist auch für deren Umsetzung verantwortlich. Wie das Wort schon erkennen lässt, gibt es eine oder einen oder auch mehrere Verantwortliche/n, die für die Einhaltung der DSGVO zuständig sind. Dieses ist derjenige, der über die Art und Weise sowie die Zwecke der Datenverarbeitung entscheidet, somit der Inhaber, Geschäftsführer, Partner, Vorstandsmitglied etc.
Was ist alles erfasst?
Erfasst von der DSGVO ist die Verarbeitung personenbezogener Daten. Dabei ist in Art. 4 Nr. 1 DSGVO der Begriff der personenbezogenen Daten sehr weit gefasst. Ebenso verhält es sich mit der Definition der Verarbeitung, welche in Art. 4 Nr. 2 DSGVO geregelt ist. Treffend wird dort aufgeführt, dass hiermit „jeder Vorgang“ gemeint ist. Insofern ist vor allem auch zu beachten, dass auch das Vernichten und Löschen von Daten eine solche Verarbeitung darstellt.
Was ist zu tun?
Nachdem der Verantwortliche ermittelt worden ist, sind eine Vielzahl an Punkten vor dem 25. Mai noch zu erledigen.
1.
Der Verantwortliche muss prüfen, ob die Bestellung eines Datenschutzbeauftragten notwendig ist. Dieses ist bereits der Fall, sofern ständig mehr als 10 Personen mit der Verarbeitung von Daten beschäftigt sind, wohlgemerkt fällt bereits das Kopieren unter die Datenverarbeitung. Insofern muss auch jeder Auszubildende, studentische Hilfskraft oder geringfügig Beschäftigte mitbedacht werden. Sobald mehr als 10 Personen mit der Datenverarbeitung befasst sind, ist die Bestellung eines Datenschutzbeauftragten erforderlich. Dieser muss dann auch bis zum 25. Mai 2018 namentlich der Aufsichtsbehörde, dem Beauftragten für Datenschutz und Informationsfreiheit des jeweiligen Landes, mitgeteilt werden. Zudem muss dieser auf einer eventuellen Internetseite des Unternehmens/Betriebs im Impressum namentlich aufgeführt werden.
2.
Es muss zudem ein nichtöffentliches Verarbeitungsverzeichnis erstellt werden, welches auf Nachfrage der Aufsichtsbehörde dieser vorgelegt werden muss. Inhalt des Verzeichnisses müssen alle Verarbeitungstätigkeiten des jeweiligen Verantwortlichen sein, Sinn und Zweck soll vor allem auch die jeweilige Qualitätskontrolle des Verantwortlichen sein, da Verbesserungsmöglichkeiten so leichter erkannt werden sollen.
Neben der Verarbeitungstätigkeit soll zudem jeweils der Zweck und die Rechtsgrundlage für die Datenverarbeitung genannt werden, die Art der Personen, die Zugriff auf die jeweiligen Daten haben sowie diese verarbeiten, die Art der verarbeiteten Daten, möglich Empfänger der Daten, insbesondere auch, ob eine Übermittlung der Daten in ein anderes Land außerhalb der EU stattfindet sowie die Löschfristen der jeweils verarbeiteten Daten. Zudem sollen noch die Maßnahmen für die Datensicherheit, kurz auch TOM´s aufgeführt werden.
Die Erstellung des Verzeichnisses ist ein mühsamer und langwieriger Prozess, welcher deswegen nicht erst kurz vor dem 25. Mai 2018 erfolgen sollte.
3.
Weiter muss auch eine möglicherweise betriebene Internetseite angepasst werden, indem dort die Datenschutzerklärung erneuert wird. Den Betroffenen steht nunmehr nach der DSGVO eine Vielzahl an Rechten zu, wie bspw. ein Widerrufsrecht oder ein Recht auf Löschung. Auf diese Recht muss der Betroffene hingewiesen werden.
4.
Zudem müssen die jeweiligen Datenbestände der Verantwortlichen überprüft und im Zweifelsfall Daten gelöscht werden. Sinn und Zweck der DSGVO ist gerade die Datenminimierung.
5.
Es müssen ferner Auftragsverarbeitungsverträge mit den jeweiligen Auftragsverarbeitern abgeschlossen werden. Auftragsverarbeiter ist, wer personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, bspw. IT-Dienstleister. Zu beachten ist, dass auch jeder Auftragsverarbeiter ein eigenes Verarbeitungsverzeichnis zu führen hat.
6.
Zu guter Letzt müssen noch Maßnahmen der Datensicherheit erfolgen, wie z.B. das Einrichten von Zugangskontrollen, Datenträgerkontrollen bzw. Speicherkontrollen sowie insbesondere Übertragungs- sowie Transportkontrollen. Letzteres wird wohl vor allem im Wege von verschlüsselten Emails in Erscheinung treten.
Ab dem 25. Mai 2018 ist dann der (falls vorhanden) Datenschutzbeauftragte für die Überwachung der Datenverarbeitungsprozesse sowie die Schulung der an der Datenverarbeitung beteiligten Mitarbeiter zuständig. Zudem ist er die Anlaufstelle für die Aufsichtsbehörde.
Fazit
Die Datenschutzgrundverordnung kommt und mit ihr zahlreiche Vorgaben, die eingehalten werden müssen, ansonsten können hohe Bußgelder drohen. Gerade in unserer heutigen Zeit, in welcher wir durch das Internet und soziale Plattformen immer transparenter werden, hat jedoch die DSGVO ihre Berechtigung. Inwiefern die Umsetzung sich dann jedoch in der Praxis genau ausgestaltet, bleibt abzuwarten. Sicherlich dürften einige noch erste „Anlaufschwierigkeiten“ haben. Und bestimmt werden noch offengebliebene Fragen zu beantworten sein. Die Entwicklung diesbezüglich bleibt also abzuwarten.