Datenschutz-Grundverordnung: Pflichten für Unternehmen

konzern 04
Fachbeitrag

Die EU-Datenschutz-Grundverordnung statuiert neben altbekannten Pflichten auch neue Pflichten für Unternehmen im Bereich Datenschutz. Als erfreulich ist die Pflicht zu verbraucher- und datenschutzfreundlichen Voreinstellungen z. B. bei elektronischen Geräten einzuschätzen. Allerdings könnte vor allem die vorgesehene Pflicht zur Datenschutz-Folgenabschätzung sowie die sich daran evtl. anschließende Konsultation der zuständigen Aufsichtsbehörde zu noch nicht abschätzbaren (negativen) Auswirkungen und zu vermehrter Bürokratie führen. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

I. Technischer Datenschutz

Was versteht man unter den für die Verarbeitung Verantwortlichen nach Art. 24 EU-DSGVO?

Darunter fällt jede natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, Art. 4 Nr. 7 EU-DSGVO.

Wozu werden Unternehmen nach Art. 24 EU-DSGVO verpflichtet?

Unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die persönlichen Rechte und Freiheiten haben die für die Verarbeitung verantwortlichen Unternehmen geeignete technische und organisatorische Maßnahmen zu installieren.

Was bedeuten die Vorgaben des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen nach Art. 25 EU-DSGVO?

Der für die Verarbeitung Verantwortliche sollte interne Strategien festlegen und Maßnahmen treffen, die insbesondere dem Grundsatz des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) sicherstellen. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Datenverarbeitung zu überwachen, und der für die Verarbeitung Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern, vgl. Erwägungsgrund 61 EU-DSGVO.

Was sollte das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 EU-DSGVO beinhalten?

  • Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen (ggf. auch Vertreter und Datenschutzbeauftragter)
  • Zwecke der Verarbeitung
  • Kategorien von betroffenen Personen und personenbezogenen Daten
  • Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben worden sind oder noch weitergegeben werden (auch in Drittländern)
  • Übermittlungen von Daten an ein Drittland oder an eine internationale Organisation
  • Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Wann muss ich mit der Aufsichtsbehörde zusammenarbeiten?

Nach Art. 29 EU-DSGVO dann, wenn es die Aufsichtsbehörde zur Erfüllung ihrer Aufgaben verlangt.

II. Meldepflicht

Müssen Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde gemeldet werden?

Nach Art. 33 EU-DSGVO grundsätzlich ja.

Gilt die Meldepflicht ausnahmslos immer?

Nein. Es entsteht keine Meldepflicht, wenn ein Risiko für Rechte und Freiheiten von Individuen unwahrscheinlich ist.

Gibt es eine Frist für die Meldepflicht?

Ja, nach Art. 33 EU-DSGVO unverzüglich und ohne unangemessene Verzögerung. Möglichst binnen höchstens 72 Stunden, nachdem die Verletzung bekannt wurde.

Gilt die Meldepflicht auch für öffentliche Stellen?

Ja. Allerdings bleibt abzuwarten, wie der öffentlich-rechtliche Grundsatz der Polizeifestigkeit von Hoheitsträgern mit den Vorgaben der EU-Datenschutz-Grundverordnung in Einklang zu bringen ist. Zudem bleibt den Mitgliedstaaten in diesem Bereich ein großzügiger Handlungsspielraum durch nationale Regelungen.

Muss auch der Betroffene der Datenschutzverletzung benachrichtigt werden?

Nach Art. 34 EU-DSGVO grundsätzlich ja.

Muss der Betroffene nach Art. 34 EU-DSGVO ausnahmslos immer benachrichtigt werden?

Nein, der Betroffene muss nicht benachrichtigt werden, wenn technische oder organisatorische Maßnahmen wie z. B. eine Verschlüsselung die Kenntnisnahme von personenbezogenen Daten verhindern oder sichergestellt ist, dass kein hohes Risiko besteht.

Wie muss der Betroffene benachrichtigt werden?

Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene Person gerichtete Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen dieser Verletzung enthalten und so rasch wie nach allgemeinem Ermessen möglich geschehen, vgl. Erwägungsgrund 67a EU-DSGVO.

III. Datenschutz-Folgenabschätzung

Wann muss ein Unternehmen eine Datenschutz-Folgenabschätzung nach Art. 35 EU-DSGVO vornehmen?

Dann, wenn eine Form der Verarbeitung wahrscheinlich ein hohes Risiko verursacht, insbesondere bei neuen Technologien oder aufgrund ihres Wesens, ihres Umfangs, ihres Kontexts oder ihrer Zwecke.

Was sind Beispiele für derartige neue Technologien?

  • Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen aufgrund automatisierter Verarbeitung
  • Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten
  • Systematische weiträumige Überwachung öffentlich zugänglicher Bereiche

Wann muss die Aufsichtsbehörde konsultiert werden?

Nach Art. 36 EU-DSGVO dann, wenn die Datenschutz-Folgeabschätzung nach Art. 35 EU-DSGVO ergibt, dass eine Datenverarbeitung ohne Maßnahmen ein hohes Risiko bedeutet.

Sind die Aufsichtsbehörden auch schon vorab in die Datenschutz-Folgenabschätzung eingebunden?

Ja, sie werden vorab Positiv-/Negativ-Listen zu umfassten Technologien veröffentlichen.

Müssen auch die Betroffenen an der Datenschutz-Folgenabschätzung beteiligt werden?

Ja und zwar dann, wenn es als angemessen erscheint.

Was passiert, wenn die Aufsichtsbehörde der Auffassung ist, die Maßnahme verstoße gegen die EU-DSGVO?

Es erfolgt ein schriftlicher Rat der Aufsichtsbehörde mit einer Frist von acht Wochen.

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Rechtskonforme Datentransfers von Unternehmen in das Ausland
  • Wie geht es weiter nach dem Wegfall von Safe Harbor?
  • Einsatzmöglichkeiten von EU-Standardvertragsklauseln und Binding Corporate Rules

Informieren Sie sich hier über unser Leistungsspektrum: Internationaler Datenschutz

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.