1. Kommunikation und Sensibilisierung
Geschäftsleitung und andere für das Thema Datenschutz Zuständige sollten innerhalb des Unternehmens dafür sensibilisieren, dass die EU-DSGVO direkte Auswirkungen auf datenverarbeitende Unternehmen haben. Anders
als eine EU-Richtlinie ist eine EU-Verordnung in den Mitgliedstaaten der Europäischen Union unmittelbar anwendbar, also auch in Deutschland. Neben der EU-DSGVO gibt es weiterhin ein Bundesdatenschutzgesetz und bereichsspezifisches nationales Datenschutzrecht.
2. Bestandsaufnahme im Unternehmen nach DSGVO
Um möglichen Änderungsbedarf im Umgangmit personenbezogenen Daten identifizieren zu können, sollten Unternehmen in einem ersten Schritt eine Bestandsaufnahme der Prozesse durchführen, in denen personenbezogene Daten verarbeitet werden.
3. Rechtsgrundlagen prüfen
Auch unter der EU-DSGVO ist für die Verarbeitung personenbezogener Daten stets eine Rechtsgrundlage erforderlich (Verbot mit Erlaubnisvorbehalt). Die Rechtsgrundlage kann sich unmittelbar aus der EU-DSGVO ergeben. In Betracht kommt etwa die Einwilligung des Betroffenen (Art. 6 Abs. 1 lit. a EU-DSGVO). Eine Datenverarbeitung ist ferner u. a. dann zulässig, wenn sie zur Erfüllung eines Vertragesmit dem Betroffenen erforderlich ist (Art. 6 Abs. 1 lit. b EU-DSGVO). Rechtsgrundlagen für Datenverarbeitungen können sich darüber hinaus aus dem BDSG (vgl. u. a. §§ 3, 23, 25 BDSG neu) sowie dem bereichsspezifischen nationalen Datenschutzrecht ergeben.
4. Anforderungen an die datenschutzrechtliche Einwilligung nach DSGVO
Vielen Unternehmen dient die Einwilligung (etwa von Kunden) als Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Bei der Einholung von Einwilligungen sind die spezifischen Anforderungen der
EU-DSGVO zu beachten (Art. 7 EU-DSGVO). Für die Einwilligungen von Kindern gelten darüber hinausgehende Vorgaben (Art. 8 EU-DSGVO). Bei der Datenerhebungmüssen zudem die – gegenüber der früheren Rechtslage erweiterten – Informationspflichten der EU-DSGVO eingehalten werden (Art. 13 EUDSGVO).
5. Verträge und Regularien überprüfen
Unternehmen sollten ihre bestehenden Verträge zur Auftragsdatenverarbeitung überprüfen und überarbeiten. In Artikel 28 EU-DSGVO sind Vorgaben für Vereinbarungen mit Auftragsdatenverarbeitern (jetzt: „Auftragsverarbeiter“) geregelt. Auch bestehende Geschäftsprozesse, Regularien/Richtlinien und Handbücher, wie z.B. Dienstvereinbarungen, sollten daraufhin überprüft werden, ob sie mit den Anforderungen der DSGVO
vereinbar sind.
6. Datenschutz-Folgenabschätzung nach DSGVO
Der europäische Gesetzgeber hat die frühere Vorabkontrolle (§ 4d Abs. 5 BDSG) nicht in die EU-DSGVO übernommen. Sie wurde abgelöst durch die Datenschutz-Folgenabschätzung (Artikel 35 EU-DSGVO). Eine Datenschutz-
Folgenabschätzung ist durchzuführen, wenn eine Datenverarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten betroffener Personen zur Folge hat (Artikel 35 Abs. 1 EU-DSGVO). An eine Datenschutz-
Folgenabschätzung kann sich eine verpflichtende Konsultation der zuständigen Aufsichtsbehörde anschließen, die vor Durchführung der eigentlichen Datenverarbeitung zu erfolgen hat (Artikel 36 DSGVO).
7. Melde– und Konsultationspflichten
Die Melde- und Konsultationspflichten gegenüber den Aufsichtsbehörden (Artikel 33, 36 und 37 EU-DSGVO) müssen in den internen Abläufen des Unternehmens abgebildet werden. Gleichzeitig sollte sichergestellt sein,
dass der betriebliche Datenschutzbeauftragte bei datenschutzrechtlichen Fragestellungen und der Ausgestaltung von Datenverarbeitungsprozessen frühzeitig beteiligt wird. ImRahmen der Datenschutz-Folgenabschätzung sieht die EU-DSGVO dies ausdrücklich vor (Artikel 35 Abs. 2 EU-DSGVO). Wann ein
betrieblicher Datenschutzbeauftragter verpflichtend zu benennen ist, regeln Artikel 37 EU-DSGVO und § 38 BDSG neu.
8. Betroffenenrechte und Informationspflichten
Die in der DSGVO geregelten Betroffenenrechtemüssen in den Geschäftsabläufen des Unternehmens abgebildet und gegenüber den Betroffenen umgesetzt werden. Hierzu gehören etwa das Recht auf Löschung
(Artikel 17), das Recht auf Datenübertragbarkeit (Artikel 20) sowie die Informationspflichten des Verantwortlichen gegenüber demBetroffenen (Artikel 13, 14) einschließlich der übergreifenden Rahmenvorgaben (Artikel 12). Spezifische Beschränkungen der Betroffenenrechte nach dem BDSG (vgl.
etwa § 35 BDSG) oder dem bereichsspezifischen Datenschutzrecht sind zu beachten.
9. Dokumentation nach DSGVO
Die DSGVO enthält an verschiedenen Stellen Dokumentationspflichten, beispielsweise in Artikel 30 (Verarbeitungsverzeichnis), Artikel 33 Abs. 5 (Dokumentation von Datenschutzvorfällen) oder Artikel 28 Abs. 3 lit. a
(Dokumentation von Weisungen im Rahmen von Auftragsverarbeitungsverhältnissen). Die Dokumentationspflichten dienen der betrieblichen Selbstkontrolle sowie der effektiven Überprüfung durch
die Aufsichtsbehörde.
10. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („Privacy-by-Design“ und „Privacy-by-Default“)
Die DSGVO gibt Rahmenbedingungen vor, wie die datenschutzrechtlichen Anforderungen der EU-DSGVO durch die verantwortliche Stelle schon bei der Prozessgestaltung und bei Voreinstellungen umzusetzen sind (Artikel 25 EU-DSGVO). Dies sollte bei Einrichtung und Ausgestaltung der Datenverarbeitungssysteme im Unternehmen frühzeitig bedacht werden.
11. Zusammenfassung
Die EU-DSGVO setzt auf ein Datenschutzmanagementsystem mit einem Pflichtenkatalog, der die Einhaltung datenschutzrechtlicher Anforderungen frühzeitig, effektiv und schnell gewährleisten soll. Es liegt in der Verantwortung des Unternehmens, dieses Systemproaktiv umzusetzen. Datenschutzverletzungen können empfindliche Geldbußen (Artikel 83 EU-DSGVO) und/oder Schadensersatzansprüche der betroffenen Personen (Artikel 82 EU-DSGVO) nach sich ziehen.