Datenschutz-Grundverordnung: Pflichten für Unternehmen

Fachbeitrag

Die EU-Datenschutz-Grundverordnung statuiert neben altbekannten Pflichten auch neue Pflichten für Unternehmen im Bereich Datenschutz. Als erfreulich ist die Pflicht zu verbraucher- und datenschutzfreundlichen Voreinstellungen z. B. bei elektronischen Geräten einzuschätzen. Allerdings könnte vor allem die vorgesehene Pflicht zur Datenschutz-Folgenabschätzung sowie die sich daran evtl. anschließende Konsultation der zuständigen Aufsichtsbehörde zu noch nicht abschätzbaren (negativen) Auswirkungen und zu vermehrter Bürokratie führen. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

I. Technischer Datenschutz

Was versteht man unter den für die Verarbeitung Verantwortlichen nach Art. 24 EU-DSGVO?

Darunter fällt jede natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, Art. 4 Nr. 7 EU-DSGVO.

Wozu werden Unternehmen nach Art. 24 EU-DSGVO verpflichtet?

Unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die persönlichen Rechte und Freiheiten haben die für die Verarbeitung verantwortlichen Unternehmen geeignete technische und organisatorische Maßnahmen zu installieren.

Was bedeuten die Vorgaben des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen nach Art. 25 EU-DSGVO?

Der für die Verarbeitung Verantwortliche sollte interne Strategien festlegen und Maßnahmen treffen, die insbesondere dem Grundsatz des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) sicherstellen. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Datenverarbeitung zu überwachen, und der für die Verarbeitung Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern, vgl. Erwägungsgrund 61 EU-DSGVO.

Was sollte das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 EU-DSGVO beinhalten?

  • Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen (ggf. auch Vertreter und Datenschutzbeauftragter)
  • Zwecke der Verarbeitung
  • Kategorien von betroffenen Personen und personenbezogenen Daten
  • Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben worden sind oder noch weitergegeben werden (auch in Drittländern)
  • Übermittlungen von Daten an ein Drittland oder an eine internationale Organisation
  • Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Näheres hierzu finden Sie in unserem Beitrag: Verzeichnis von Verarbeitungstätigkeiten – Infos & Tipps zur Umsetzung

Wann muss ich mit der Aufsichtsbehörde zusammenarbeiten?

Nach Art. 29 EU-DSGVO dann, wenn es die Aufsichtsbehörde zur Erfüllung ihrer Aufgaben verlangt.

II. Meldepflicht

Müssen Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde gemeldet werden?

Nach Art. 33 EU-DSGVO grundsätzlich ja.

Gilt die Meldepflicht ausnahmslos immer?

Nein. Es entsteht keine Meldepflicht, wenn ein Risiko für Rechte und Freiheiten von Individuen unwahrscheinlich ist.

Gibt es eine Frist für die Meldepflicht?

Ja, nach Art. 33 EU-DSGVO unverzüglich und ohne unangemessene Verzögerung. Möglichst binnen höchstens 72 Stunden, nachdem die Verletzung bekannt wurde.

Gilt die Meldepflicht auch für öffentliche Stellen?

Ja. Allerdings bleibt abzuwarten, wie der öffentlich-rechtliche Grundsatz der Polizeifestigkeit von Hoheitsträgern mit den Vorgaben der EU-Datenschutz-Grundverordnung in Einklang zu bringen ist. Zudem bleibt den Mitgliedstaaten in diesem Bereich ein großzügiger Handlungsspielraum durch nationale Regelungen.

Muss auch der Betroffene der Datenschutzverletzung benachrichtigt werden?

Nach Art. 34 EU-DSGVO grundsätzlich ja.

Muss der Betroffene nach Art. 34 EU-DSGVO ausnahmslos immer benachrichtigt werden?

Nein, der Betroffene muss nicht benachrichtigt werden, wenn technische oder organisatorische Maßnahmen wie z. B. eine Verschlüsselung die Kenntnisnahme von personenbezogenen Daten verhindern oder sichergestellt ist, dass kein hohes Risiko besteht.

Wie muss der Betroffene benachrichtigt werden?

Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene Person gerichtete Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen dieser Verletzung enthalten und so rasch wie nach allgemeinem Ermessen möglich geschehen, vgl. Erwägungsgrund 67a EU-DSGVO.

III. Datenschutz-Folgenabschätzung

Wann muss ein Unternehmen eine Datenschutz-Folgenabschätzung nach Art. 35 EU-DSGVO vornehmen?

Dann, wenn eine Form der Verarbeitung wahrscheinlich ein hohes Risiko verursacht, insbesondere bei neuen Technologien oder aufgrund ihres Wesens, ihres Umfangs, ihres Kontexts oder ihrer Zwecke.

Was sind Beispiele für derartige neue Technologien?

  • Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen aufgrund automatisierter Verarbeitung
  • Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten
  • Systematische weiträumige Überwachung öffentlich zugänglicher Bereiche

Wann muss die Aufsichtsbehörde konsultiert werden?

Nach Art. 36 EU-DSGVO dann, wenn die Datenschutz-Folgeabschätzung nach Art. 35 EU-DSGVO ergibt, dass eine Datenverarbeitung ohne Maßnahmen ein hohes Risiko bedeutet.

Sind die Aufsichtsbehörden auch schon vorab in die Datenschutz-Folgenabschätzung eingebunden?

Ja, sie werden vorab Positiv-/Negativ-Listen zu umfassten Technologien veröffentlichen.

Müssen auch die Betroffenen an der Datenschutz-Folgenabschätzung beteiligt werden?

Ja und zwar dann, wenn es als angemessen erscheint.

Was passiert, wenn die Aufsichtsbehörde der Auffassung ist, die Maßnahme verstoße gegen die EU-DSGVO?

Es erfolgt ein schriftlicher Rat der Aufsichtsbehörde mit einer Frist von acht Wochen.

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

Sie haben Fragen?

Wir unterstützen Unternehmen bei der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO). Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Rundum-Service zur DSGVO: Check, Vorbereitung und laufende Beratung
  • Aufbau und Pflege eines Dokumenten-Management-System
  • Mitarbeiterschulung zu den relevanten Neuerungen der Datenschutz-Grundverordnung

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Grundverordnung (DSGVO)

2 Kommentare zu diesem Beitrag

  1. Wir möchten für unsere regelmäßig neueintreffenden Jobs eine WhatsApp Gruppe eröffnen. Hier stellt sich uns die Frage, ob dies nach DSGVO möglich und machbar ist.
    Jeder Bewerber, bzw. jedes Mitglied der Gruppe, wird vorab selbstverständlich gefragt ob er in diese Gruppe möchte und nicht ohne Zustimmung aufgenommen.
    Wie verhält es sich mit den öffentlichen Nummern?

    • Die DSGVO selbst räumt den Mitgliedsstaaten beim Beschäftigtendatenschutz nationale Regelungsspielräume (sog. Öffnungsklauseln) ein. Der heute beschlossene Entwurf der Bundesregierung (DSAnpUG-EU) enthält diesbezüglich vorrangig Informationspflichten und Auskunftsrechten. Das Fehlen von Regelungen nach der Freiwilligkeit einer Einwilligung im Beschäftigtenverhältnis wird dabei bemängelt. Dies ist im Beschäftigtendatenschutz aber gerade Voraussetzung um personenbezogene Daten zu verarbeiten, für welche es andernfalls keine Rechtsgrundlage gibt. Denn eine Einwilligung muss nach der DSGVO u.a. freiwillig sein. Solange es keine Regelungen in einem Beschäftigtendatenschutzgesetz geben wird, sollte weiterhin auf die Rechtsprechung des BAG abgestellt werden, wonach nur in engen Grenzen eine freiwillige Einwilligung möglich ist, insbesondere muss dem Betroffenen auch eine Alternative aufgezeigt werden.
      Die Nutzung von WhatsApp in Unternehmen ist grundsätzlich nicht empfehlenswert, da Datenschutz und Datensicherheit nicht gewährleistet werden können, u.a. werden Metadaten der Nutzer systematisch erfasst und ausgewertet. Die Software ist weder für den Unternehmenseinsatz konzipiert, noch sehen deren Nutzungsbedingungen diese vor.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.