(CK) Ab 25. Mai 2018 gilt ein neues Datenschutzrecht in ganz Europa, das ist sicher. Jedoch sind viele Unternehmen und Datenschutzbeauftragte sehr verunsichert, was die neuen Spielregeln eigentlich für Sie konkret bedeuten und welche Herausforderungen in der „Übergangszeit“ auf sie warten oder wie sie diese bewältigen sollen.

Alleine schon die Betrachtung des Regelungsumfangs ist erdrückend. Zu den 99 Artikeln der EU Datenschutz-Grundverordnung (EU DS-GVO) gesellen sich noch 173 Erwägungsgründe, welche ausdrücklich zum Gesetz dazu gehören und entsprechend beachtet werden müssen. Hinzu kommen noch nationale Datenschutzregeln in Form von weiteren Datenschutzgesetzen (in Deutschland einem neuen BDSG), welche die Grundverordnung ergänzen sowie natürlich weiteren Gesetze mit Rechtsgrundlagen für die Verarbeitung personenbezogener Daten (wie gehabt) z.B. TMG, SGB und andere. Da fällt es trotz der „Vereinheitlichung“ des Datenschutzes noch schwerer den Überblick zu behalten.

Erhöhte Dokumentationspflichten
Eine zentrale Änderung durch die DS-GVO wird für alle Unternehmen jedoch mit Sicherheit die Einführung der „Rechenschaftspflicht“ sein, welche gem. Art. 5 Abs. 2 DS-GVO von den Verantwortlichen fordert, dass sie „die Einhaltung des Gesetzes nachweisen können“. Das hört sich zunächst nicht so dramatisch an, bei rechtlicher Betrachtung folgt daraus jedoch, dass es nicht mehr wie bisher nach BDSG ausreicht, sich an das Gesetz bei der Verarbeitung zu halten und die Aufsichtsbehörden einem erst einen Verstoß nachweisen müssen, um ein Bußgeld zu verhängen. Die Lage ist ab 2018 umgedreht: Sie müssen jederzeit in der Lage sein die Rechtmäßigkeit nachweisen zu können. D.h. schon alleine der fehlende Nachweis (in der Regelfall also die notwendige Dokumentation) kann zu einem Bußgeld führen, selbst wenn die dazugehörige Verarbeitung der Daten rechtskonform erfolgt.

Erhöhte Bußgelder
Da gerade das Stichwort Bußgeld gefallen ist, soll natürlich auch nicht unerwähnt bleiben, dass dieses von den bisher im BDSG bekannten Höhen von 50.000 bzw. 300.000 € nun deutlich nach oben angepasst wurde. Bereits „einfache“ Verstöße können ein Bußgeld bis zu 10.000.000 € oder 2% des weltweiten Umsatzes nach sich ziehen, bei schwerwiegenderen Verstößen würden 20.000.000 € oder 4% des Umsatzes den Rahmen markieren. Damit verändert sich natürlich auch die Lage jedes Risikomanagements, denn in vielen Fällen wurden die Bußgelder als „maximaler Schadenswert“ herangezogen, da Imageschäden etc. recht schlecht zu bewerten sind und gerade im Risikomanagement von Unternehmen gerne mit „harten Fakten“ gearbeitet wird.
Dabei sollte man natürlich nicht außer acht lassen, dass hiermit zunächst nur ein Rahmen festgesteckt wurde und nicht grundsätzlich die finale und einzelfallbezogene Bußgeldhöhe feststeht. Das war aber auch bisher nicht der Fall. Dafür steht jedoch fest, dass bereits für Verstöße gegen die Verordnung, die bisher komplett ohne Bußgeld „verpufften“ der kleine oder große Bußgeldrahmen gezogen werden kann.

Verfahrensverzeichnis notwendig?
Dazu gehört beispielsweise die bisher unter dem Begriff „Verfahrensverzeichnis“ bei Unternehmen doch recht ungeliebte und vernachlässigte Dokumentation aller automatisierten Verarbeitungsvorgänge. Die brauchte man zwar offiziell auch schon bisher gem. § 4g Abs. 2 BDSG jedoch gab es kein direktes Bußgeld bei Nachlässigkeiten in diesem Bereich. Zukünftig kann das im Bereich bis zu 10 Mio. € liegen, wenn man die nun als „Verzeichnis von Verarbeitungstätigkeiten“ bezeichnete Dokumentation nicht vorlegen kann. Immerhin muss diese trotz gestiegener Transparenzanforderungen nicht mehr öffentlich gemacht werden. Doch sicherlich haben Sie schon von einer Ausnahme dieser Regel gehört?!

Die ominöse 250 Mitarbeiter-Regel
Angeblich soll man erst ab 250 Mitarbeitern dazu verpflichtet sein, solch ein Verzeichnis zu führen. Schaut man sich das neue Gesetz jedoch einmal genau an, so findet man in Artikel 30 DS-GVO tatsächlich eine Ausnahme. Blöderweise ist das aber in „EU-Rechtsdeutsch“ verfasst und besagt ins Deutsche übersetzt folgendes:
Eine Pflicht zur Führung des Verzeichnisses der Verarbeitungstätigkeiten besteht grundsätzlich für alle Verantwortlichen und entfällt nur, wenn jedes der folgenden Kriterien erfüllt ist:

  • Es werden weniger als 250 Mitarbeiter beschäftigt UND
  • die Verarbeitung birgt keine Risiken für die Rechte und Freiheiten der Betroffenen UND
  • die Verarbeitung erfolgt nur gelegentlich UND
  • es werden keine besonderen Datenkategorien gem. Art. 9 Abs. 1 DS-GVO und Art. 10 DS-GVO verarbeitet.

Damit fällt einem versierten Datenschützer dann vermutlich auch kein Beispiel mehr ein, für welches diese Ausnahme überhaupt gelten kann. Vielleicht für den „Verein der Kaninchenzüchter“, welcher lediglich „gelegentlich“ zu einer Versammlung einlädt (auf keinen Fall „regelmäßig“) und seine Mitgliedsliste (mit Daten aus dem öffentlichen Telefonbuch)noch in einem unter Verschluss gehaltenen Vereinsbuch führt. Jede regelmäßige Gehaltsabrechnung im Unternehmen torpediert diese Ausnahme dann auch schon im 3-Mitarbeiter-Betrieb.
Somit müssen sich nun alle Unternehmen mit dem Verzeichnis der Verarbeitungstätigkeiten beschäftigen und dieses entsprechend der gesetzlichen Vorgaben dokumentieren.

Hier freut sich natürlich jeder Geschäftsführer, der das in weiser Voraussicht bereits hat erstellen lassen. Er muss dann „nur noch schnell“ die Neuerungen ergänzen, die Rechtsgrundlagen aktualisieren, eine Risikoanalyse und entsprechende Datenschutz-Folgenabschätzung durchführen lassen und ist schon wieder auf dem aktuellen Stand.

Noch mehr Dokumentation
Sie merken schon – alleine mit dem Verzeichnis ist es nicht getan. Da kommt noch mehr Arbeit auf die Unternehmen bzw. ihre Datenschutzexperten zu. Dazu aber im nächsten Newsletter (Teil 2) mehr…

Wie muss das neue Verzeichnis aussehen und wie geht man vor?
Wir haben hier einmal exemplarisch die Beschreibung einer Verarbeitungstätigkeit dokumentiert, welche im Laufe der nächsten Newsletter um weitere Inhalte ergänzt werden, damit Sie das Verzeichnis als zentrale Dokumentationsstelle verwenden können.
Wer bisher schon ein Verfahrensverzeichnis auf Basis der Angaben des BDSG erstellt hat, kann dieses erweitern und um die neuen Angaben ergänzen:

Beispiel eines Bewerberverfahrens zur externen Stellenbesetzung
a) Mustermann GmbH, Musterstr. 12, 12345 Musterstadt, Tel. 0123-456789, info@mustermann.de, Geschäftsführer: Peter Muster, Datenschutzbeauftragter: Carsten Knoop.
b) Zweck der Verarbeitung ist die Durchführung von Bewerberauswahlverfahren auf externe Stellenausschreibungen.
c) Beschreibung der betroffenen Personen: Externe Bewerber deren Datenkategorien: Namen,Kontaktdaten, Lebenslauf, Anschreiben, Zeugnisse, Foto
d) Kategorien von Empfängern: Personalabteilung, Betriebsrat, Geschäftsführung, Vorgesetzte der jeweiligen suchenden Fachabteilung, externer Dienstleister (Bewerbungsplattform X)
e) Keine Datenübermittlung ins Drittland
f) Löschung der kompletten Bewerbungsdaten nach 6 Monaten, beginnend mit dem Tag der Absage
g) Beschreibung der allg. technischen und organisatorischen Maßnahmen (TOM)

Es wäre natürlich schön, wenn Sie damit schon fertig wären, denn die Neuerungen halten sich ja in Grenzen. Doch die DS-GVO fordert weit mehr, es müssen nämlich zukünftig bei jeder Erhebung von personenbezogenen Daten dem Betroffenen weitere Informationen mitgeteilt werden, damit eine gem. Art. 13 DS-GVO „faire und transparente“ Datenverarbeitung gewährleistet werden kann.

Zentralle Sammelstelle
Wo wenn nicht im Verzeichnis der Verarbeitungstätigkeiten würden diese Informationen besser gesammelt und zentral dokumentiert?
Daher hier unser Vorschlag auf Erweiterung des Verzeichnisses um folgende Informationen für den Betroffenen:
h) Rechtsgrundlage für die Datenverarbeitung: ist die Einwilligung des Bewerbers gem. Art. 7 DS-GVO.
i) Der Verantwortliche beabsichtigt diese Daten nicht für andere Zwecke zu verwenden.
j) Herkunft: Die Daten wurden direkt beim Betroffenen erhoben.

Noch lange nicht fertig…
Damit haben Sie schon einmal eine gute Grundlage, um mit der Verzeichniserstellung zu beginnen oder das vorhandene zu überarbeiten. Jedoch ist die Dokumentation damit noch nicht erledigt und wir werden im nächsten Teil weitere Pflichten und Ergänzungen beleuchten.