Praxisgerechte Umsetzung der EU-Datenschutzgrundverordnung

Datenschutz steht für die Idee, dass jeder Mensch grundsätzlich selbst entscheiden kann, wem wann welche seiner persönlichen Daten zugänglich sein sollen. Dieses Recht auf informationelle Selbstbestimmung soll geschützt werden, der „gläserner Mensch“ verhindert werden.

Das Thema Datenschutz in den EU-Mitgliedsstaaten sehr unterschiedlich geregelt. Die neue Europäische Datenschutzgrundverordnung soll den Standard in Europa vereinheitlichen. Das deutsche Bundesdatenschutzgesetz ist bereits eines der strengsten in Europa und hat in vielerlei Hinsicht Pate gestanden für die DSGVO. Für deutsche Unternehmen, die bereits nach BDSG gut aufgestellt waren, wird sich daher verhältnismäßig wenig ändern.  

Einige spektakuläre Datenschutz-Fälle haben die Entwicklung der DSGVO beeinflusst, wie z.B.

• der NSA-Skandal im Jahr 2013
• der Rechtsstreit zwischen der spanischen Datenschutzbehörde und Google im Jahr 2014, um die Pflicht zur Löschung von Einträgen.

Datenschutz ist gesetzliche Pflicht für jedes Unternehmen und Verstöße können empfindlich geahndet werden. In unserer digitalen Welt ist Datenschutz immer auch eine Frage von Datensicherheit bzw. IT-Sicherheit.

Der Kernbegriff der DSGVO sind die „personenbezogene Daten“. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen.

Beispiele für personenbezogene Daten sind:

• Name, Alter, Familienstand, Geburtsdatum
• Anschrift, Telefonnummer, E-Mail (auch geschäftliche)
• Konto-, Kreditkartennummer
• Kraftfahrzeugnummer, Kfz-Kennzeichen
• Personalausweisnummer, Sozialversicherungsnummer
• Vorstrafen
• genetische Daten und Krankendaten
• Werturteile wie zum Beispiel Zeugnisse

Es geht also „nur“ um Daten:

• natürlicher Personen, Daten juristischer Personen/Unternehmen unterfallen nicht der DSGVO.
• identifizierbarer Personen, es muss also ein Zusammenhang zwischen den Daten und der zugehörigen Person herstellbar sein. Anonymisierte Daten spielen keine Rolle

Verantwortlich für den Datenschutz ist gem. DSGVO das verarbeitende Unternehmen und dieses wird vertreten durch die Geschäftsführung. Wie in allen Unternehmensverpflichtungen sind es die Geschäftsführer, die für die Einhaltung dieser Verpflichtungen verantwortlich sind und – bei Nicht-Einhaltung gesetzlicher Bestimmungen – sogar persönlich haftbar gemacht werden können.

Die Umsetzung der DSGVO ist kein IT-Thema, sondern vor allem eine organisatorische Aufgabe. Die Geschäftsprozesse des Unternehmens gehören in Bezug auf Datenschutzfragen durchleuchtet und an die neuen Regelungen angepasst, vor allem hinsichtlich der Dokumentationspflichten. Solche Change-Prozesse müssen vom Management getrieben sein, um erfolgreich zu sein.

Zu den weit verbreiteten Irrtümern rund um die DSGVO gehört die Annahme „Das betrifft mich doch gar nicht“, weil z. B. Prozesse oder Systeme, in denen personenbezogenen Daten verarbeitet werden, ausgelagert sind. Diese Annahme trifft leider nicht zu. Verantwortlich bleibt das Unternehmen, welches die Daten erhebt und verarbeitet – auch wenn für diese Verarbeitung ein Dienstleister beauftragt wird. Dies nennt die DSGVO Auftragsverarbeitung und regelt die Bedingungen in Artikel 28 DSGVO.

Dennoch gibt es eine wesentliche Änderung: Bisher lag die Verantwortung für die Einhaltung datenschutzrechtlicher Vorschriften allein bei dem verantwortlichen Unternehmen. Nun gilt, dass auch der Outsourcing-Dienstleister im Falle eines Verstoßen von der betroffenen Person selbst zur Verantwortung gezogen werden kann, d. h. es liegt eine gesamtschuldnerische Haftung vor und die betroffene Person kann gegebenenfalls an beide Stellen ihre Schadensersatzforderungen richten. Das ändert aber natürlich nichts an der Tatsache der Haftung des verantwortlichen Unternehmens, dem es vielmehr sogar explizit obliegt, seine Dienstleister auf die Einhaltung der Datenschutzbestimmungen zu verpflichten.

Die DSGVO stellt nur wenige Anforderungen, die nicht auch schon nach dem alten Bundesdatenschutzgesetz galten. Grundsätzlich lässt sich festhalten, dass Unternehmen, die bereits nach BDSG gut aufgestellt waren, von der DSGVO nichts zu befürchten haben. Allerdings lohnt es sich zu hinterfragen, ob das auf das eigene Unternehmen wirklich zutrifft. Hier ein Überblick.

1. Grundsätze für die Verarbeitung personenbezogener DatenPersonenbezogene Daten dürfen ohne triftigen Grund nicht gespeichert und verarbeitet werden!

Art. 5 der DSGVO regelt die Grundsätze des Umgangs mit personenbezogenen Daten. Zusammengefasst gilt:

• die Speicherung und Verarbeitung ist nur erlaubt, wenn sie einem legitimen Zweck dient. Es ist also eine Interessenabwägung zwischen den Interessen der betroffenen Person und dem verarbeitenden Unternehmen zu treffen
• wenn eine Speicherung und Verarbeitung erfolgt, dann müssen die Daten inhaltlich richtig gespeichert und auf ein Minimum begrenzt werden. Außerdem ist der Schutz vertraulicher Daten zu gewährleisten.

2. Rechte betroffener Personen

Mit der Datenschutz-Grundverordnung vervielfachen sich die von Verantwortlichen zu berücksichtigenden Pflichten in Bezug auf die Information von Betroffenen. Die Betroffenen sollen wissen, wer welche Daten zu welchem Zweck über sie erhebt und in die Lage versetzt werden, die Datenerhebung, -verarbeitung bzw. –nutzung zu prüfen. Damit einher gehen auch die weitergehenden Rechte, eine Korrektur falscher Daten zu erwirken, der Datenverarbeitung zu widersprechen und die Löschung der Daten zu verlangen.

Die Betroffenen einer Datenverarbeitung – also die Personen, über die ein Unternehmen personenbezogene Daten speichert und verarbeitet – haben im Einzelnen die folgende Rechte:

• Informationsrecht (Artikel 13 und 14 DSGVO): Betroffene müssen zum Zeitpunkt der Erhebung der Daten oder zeitnah danach über diese Tatsache, sowie eine Vielzahl von weiteren Details informiert werden. Neu ist, dass Betroffene auch dann informiert werden müssen, wenn die Daten nicht direkt bei ihnen erhoben werden (z.B. wenn eine Kreditauskunft bei einem entsprechnden Dienstleister eingeholt wird)
• Auskunftsrecht (Art. 15 DSGVO): Eine Person hat jederzeit das Recht, Auskunft darüber zu verlangen, ob personenbezogene Daten über sie verarbeitet werden und wenn ja, welche und zu welchem Zweck, etc. Das BDSG-neu definiert jedoch in §34 einige Ausnahmen zum Auskunftsrecht. 
• Widerspruchsrecht (Art. 21 DSGVO): Auch wenn die betroffene Person bereits der Erhebung und Verarbeitung ihrer Daten zugestimmt hat, kann sie diese Einwilligung widerrufen und jederzeit der Verarbeitung widersprechen. 
• Recht auf Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO) und Einschränkung (Art. 18 DSGVO): Erkennt der Betroffene aufgrund einer Datenauskunft, dass falsche Informationen über ihn gespeichert sind, hat er das Recht auf Korrektur. Werden Daten unberechtigt gespeichert, hat er das Recht, nur bestimmte Daten löschen zu lassen oder sogar alle Daten – das berühmte „Recht auf Vergessenwerden“.
• Recht auf Datenübertragbarkeit: Dieses Recht soll es dem Betroffenen ermöglichen, seine Daten von einem Anbieter auf einen anderen zu übertragen. Gemeint sind hier z.B. Anbieter sozialer Netzwerke, aber auch Onlineshops oder Stromanbieter.
   

3. Nachweispflichten

Die DSGVO fordert eigentlich „nur“, die Grundsätze für die Verarbeitung personenbezogener Daten einzuhalten und die Rechte Betroffener zu wahren. Das eigentliche Problem beginnt bei den damit einhergehenden Nachweispflichten. Die Unternehmen müssen nicht nur sicherstellen, dass sie die Vorgaben der Datenschutz-Grundverordnung erfüllen, sondern dies zudem auch nachweisen können. Das heißt, die Unternehmen müssen beweisen können, dass sie geeignete Datenschutzrichtlinien und geeignete Datenschutzvorkehrungen umsetzen. Andernfalls drohen Bußgelder, Schadensersatzansprüche und weitere Nachteile.

Zentrales Element einer Dokumentation des Datenschutzmanagements eines Unternehmens ist die Datenschutzrichtlinie, die alle wichtigen Elemente des Datenschutzmanagements beschreiben muss:

• Verantwortliche für den Datenschutz (Datenschutzbeauftragter, evtl. Abteilungsleiter oder weitere Personen)
• Beschreibung der Einbindung des Datenschutzbeauftragten
• Verzeichnis der Verarbeitungstätigkeiten (früher: Verfahrensverzeichnis)
• Fallweise Datenschutz-Folgenabschätzung
• Vertragsmanagement Dienstleister
• Datenschutz-Schulung/ Sensibilisierung der Mitarbeiter
• Prozess zur Wahrnehmung von Betroffenenrechten
• Vorgehensweise bei Datenschutzverstößen

Ist eine solche schriftliche Richtlinie nicht vorhanden, so wird der Nachweis eines adäquaten Datenschutzmanagements schwer fallen.

Über die Datenschutzrichtlinie hinaus ist die tatsächlich Umsetzung der dort beschriebenen Maßnahmen sinnvollerweise ebenfalls zu dokumentieren, z.B. mit Hilfe von Protokollen, Checklisten und ähnlichen schriftlichen Nachweisen.

4. Vorgaben für die „Sicherheit der Verarbeitung“/Datensicherheit

Es sind geeignete technische und organisatorische Sicherheitsmaßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau bei der Datenverarbeitung zu gewährleisten. Hier wird letztendlich ein gewisses Maß an IT-Sicherheit gefordert, welches aber in der Praxis ohnehin selbstverständlich ist. Konkrete Maßnahmen sind nicht genannt, werden aber bei der Umsetzung in deutsches Recht vermutlich präzisiert.

Auch die Maßnahmen zur Sicherheit der Datenverarbeitung sind nachzuweisen, sollten also ebenfalls Bestandteil einer Dokumentation sein.

Es gibt zahlreiche Checklisten und Empfehlungen zur Vorgehensweise bei der Vorbereitung auf die DSGVO. Dabei liegt die meiste Vorbereitung in organisatorischen Maßnahmen und nur ein Teil im IT-Bereich.

Wie fit sind Sie schon?

• Kennt die Geschäftsleitung die neuen Regelungen? Haben Sie einen Datenschutzbeauftragten bestellt?
• Haben Sie Ihre Mitarbeiter geschult und auf den Datenschutz verpflichtet?
• Haben Sie eine Bestandsaufnahme durchgeführt und ein Verzeichnis der Verarbeitungstätigkeiten erstellt (Verfahrensverzeichnis)?
• Haben Sie die Zulässigkeit der Verarbeitung geprüft und dokumentiert? Haben Sie ggfs. Einwilligungserklärungen eingeholt, deren Formulierungen an die DSGVO angepasst sind?
• Wissen Sie, wie Sie der Ausübung von Betroffenenrechten begegnen? Sind Sie in der Lage, auf Wunsch Auskunft zu erteilen oder Daten zu löschen/ zu anonymisieren?
• Haben Sie für alle relevanten Systeme geprüft, ob ein ausreichendes Schutzniveau besteht und Ihre Maßnahmen zur IT-Sicherheit State-of-the-Art sind?
• Wissen Sie, welche Ihrer Dienstleister personenbezogenen Daten von Ihnen erhalten bzw. für Sie verarbeiten und sind diese auf die Einhaltung der DSGVO verpflichtet?
• Gibt es einen Prozess zur Datenschutzfolgenabschätzung und haben Sie ihn durchgeführt?
• Ist ein Prozess zur Meldung von Datenschutzverstößen beschrieben? Haben Sie Ihren DSB der Aufsichtsbehörde gemeldet?

Wenn Sie all das getan haben: Haben Sie das alles dokumentiert?

Verzeichnis der Verarbeitungstätigkeiten

Zentraler Bestandteil des Datenschutzkonzepts ist das Verzeichnis der Verarbeitungstätigkeiten/Verfahrensverzeichnis. Typische Leitfragen des Verfahrensverzeichnisses sind: 

• Welcher Prozess verarbeitet personenbezogene Daten?
• Was für Personen sind betroffen?
• Was für Daten werden verarbeitet?
• Wo liegen diese Daten?
• Wer hat Zugriff auf diese Daten? Dabei geht auch um die Frage: Werden die Daten in ein Drittland übermittelt?
• Wann werden die Daten gelöscht (Anlässe, Löschfristen)?
• Welche Maßnahmen zum Schutz und zur Löschung gibt es?

Wahrnehmung von Betrofffenenrechten

Um im Falle der Wahrnehmung von Betrofffenenrechten angemessen reagieren zu können, sollte auch dieser Prozess im Datenschutzkonzept beschrieben sein. Zunächst sollte ein Ansprechpartner (idR der Datenschutzbeauftragte) für interne, aber auch für externe Betroffene benannt sein. Das kann z.B. in der Datenschutzerklärung auf der Unternehmenswebseite aufgenommen werden. Im Folgenden sollte definiert werden, wie zu reagieren ist, falls ein Betroffener (z.B. ein Kunde, Interessent oder Mitarbeiter) von seinen Rechten Gebrauch macht:

• Wie läuft der Prozess zur Sicherstellung des Informationsrechtes einschließlich schriftlicher Einwilligung. Wie ist die erfolgte Information dokumentiert? Wie wird die erfolgte Einwilligung dokumentiert?
• An wen und wie wenden sich unternehmensexterne oder –interne Betroffene  zur Wahrnehmung ihres Auskunfts- und Widerspruchsrechts? Wie wird es erfüllt?
• An wen und wie wenden sich Externe oder Interne zur Wahrnehmung ihres Recht auf Berichtigung, Löschung und Einschränkung? Wie wird es erfüllt und dies dokumentiert und dem Betroffenen nachgewiesen?
• Ist das Recht auf Datenübertragbarkeit für Sie ein Thema? Wenn ja, wie können Betroffene ihre Daten erhalten bzw. wie können Sie sie übermitteln?
   

Ebenso wichtig ist die Beschreibung des Prozesses im Falle von Datenschutzverstößen als Bestandteil des Datenschutzkonzepts. Wenn der Schutz personenbezogener Daten verletzt wird und wenn dadurch voraussichtlich ein Risiko für die Rechte und Freiheiten des Betroffenen entsteht, dann ist der zuständigen Aufsichtsbehörde Meldung zu erstatten. Die Frist für die Meldung beträgt im Regelfall 72 Stunden nach Bekanntwerden der Datenschutzverletzung. Die Meldung erfolgt idR durch den Datenschutzbeauftragten nach vorheriger Prüfung, ob ein meldepflichtiger Fall vorliegt. Konkret sind in diesen 72 Stunden also dei Schritte zu durchlaufen:

1. Abschätzung des Risikos für die Rechte und Freiheiten von Betroffenen: kein Risiko, mittleres oder hohes Risiko

2. Ermittlung von Maßnahmen, um weitere Datenschutzverstöße zu verhindern und entstandene Risiken/Schäden abzumildern. Möglichst sofortige Umsetzung der Maßnahmen.

3. Wenn ein Risiko ermittelt wurde: Meldung an die Aufsichtsbehörde (jeweiliger Landesdatenschutzbeauftragter)

Auch in Ihrer Speditionssoftware befinden sich personenbezogene Daten, z.B. in folgenden Bereichen:

• Daten von Mitarbeitern oder Fahrern
• Benutzerdaten
• Daten von Ansprechpartnern bei Adressen
• Adressen selbst, wenn es sich um eine Privatadresse handelt
   

Rechtzeitig zur DSGVO werden die Logistiksoftware-Lösungen DISPONENTplus und DISPONENTgo Funktionalitäten bieten, die Sie bei der Erfüllung der Anforderungen der DSGVO unterstützen.

• Dokumentation aller Felder, die den Zweck haben, personenbezogene Daten zu speichern.
• Report Datenauskunft zur Erfüllung der Anforderungen aus dem Auskunftsrecht
• Anonymisierungsfunktion mit Protokollierung zur Erfüllung der Anforderungen aus dem Löschrecht, einschließlich Nachweispflicht
• Dokumentation der Einwilligung zur Datenverarbeitung bei Ansprechpartnern
• Dokumentation der Datenherkunft bei Ansprechpartnern