Newsletter EU-DSGVO

EU-Datenschutz – das müssen Unternehmen unbedingt wissen

02 18

Zusammenfassung

Gleichgültig, ob Sie einen Sitz in der Europäischen Union (EU) haben oder nur in die EU liefern: Die Europäische Datenschutzgrundverordnung (EU-DSGVO) ist ab dem 25. 5. 2018 in allen Unter - nehmen anzuwenden. Sie gilt für alle Unternehmen gleichermaßen, somit auch für gemeinnützige Unternehmen und auch für den öffentlichen Sektor. Ziel der Verordnung ist es, innerhalb der EU ein einheitlich hohes Daten schutzniveau durchzusetzen. Dafür sorgen Dokumentationspflichten, empfind­liche Bußgelder von bis zu 20 Mio € oder 4 % des globa len Unternehmensumsatzes und umfangreiche Betroffenenrechte.

Zentrales Anliegen der EU-DSGVO ist es, in allen Unternehmen eine der Verordnung entsprechende Datenschutzorganisation zu etablieren, sprich ein Datenschutz-Management-System nachweisbar aufzubauen und auch im Unternehmensalltag „zu leben“. Hierzu gehören neben den datenschutz-rechtlichen Vorgaben für das Unternehmen und klaren Zuständigkeitszuweisungen vor allem auch

2

Kontrollen und Prozesse zur Verbesserung der Datenschutzorganisation. Weiter fordert die EU-DSGVO angemessene Datensicherheits-maßnahmen. In diesem Zusammenhang ist die IT-Sicherheit in besonderer Weise angesprochen, die anhand eines Informationssicherheits-Manage-ment-Systems (ISMS) ausgerichtet werden sollte.

Die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz­Grund-verordnung) wurde vom Europäischen Parlament und dem Rat der Europäischen Union im April 2016 nach fast vierjähriger Debatte auf den Weg gebracht. Der Bundestag hatte im Anschluss die Aufgabe, die Öffnungsklauseln zu füllen. Im April letzten Jahres hat das Datenschutz-Anpassungs- und Umsetzungsgesetz („BDSG-neu“) den Bundestag passiert. Das neue Recht ist ab dem 25. 5. 2018 in allen Unternehmen anzuwenden.

3

Mit konkreten Schritten zur Umsetzung

Implementierung Datenschutz-Grundverordnung (DSGVO)

Initiierung

Pro

zessT

ätigkeit

Do

kum

ente

Planung LückenanalyseMaßnahmen- bestimmung Umsetzung

Information der

Geschäfts- leitung

gesetzliche Neuerungen Rechenschaftspflichten Auskunftspflichten an Betroffene Bußgelder

Bedeutung des Projekts

gesetzliche Neuerungen Projektziel Verantwortlichkeiten Zeitplan Projektkalkulation

Projektplan

Dokumentation Soll-Ist-Abgleich inkl. Identifikation Handlungsbedarf

Maßnahmenkatalog inkl. Priorisierung

Dokumentation der Maßnahmen- umsetzung

Aufbau, Projekt­

organisation

Soll-Ist-Abgleich

Festlegung der Maßnahmen

unter Berück-sichtigung der Risiken

Umsetzung der festgelegten Maßnahmen

Kommunikation

Weitere Details zur Skizze finden Sie auf den Folgeseiten.

4

Die Zeit läuft – jetzt starten

Initiierung: Information

der Geschäftsleitung

Obwohl bereits umfangreiche Kommuni-kationsmaßnahmen auf breiter Ebene zur EU-DSGVO stattfanden, ist vielen Entschei-dern noch immer nicht so recht bewusst, was dies ganz konkret für das eigene Un-ternehmen bedeutet. Je nach Unterneh-mensgröße und Geschäftsfeld stellt die Umstellung auf die EU-DSGVO einen nicht unerheblichen Projektumfang dar. Spätes-tens jetzt muss ein solches Projekt ini-tiiert werden. Denn es drohen erhebliche Bußgelder, wenn die Datenschutzorgani-sation bis zum 25. 5. 2018 nicht nachweisbar auf die EU-DSGVO ausgerichtet wird. Es sollten finanzielle und personelle Ressour-cen eingeplant werden, insbesondere auch, um die IT-Sicherheit auf den geeigneten Stand zu bringen.

Aufbau Projekt ­

organisation

Planen Sie das Umstellungsprojekt ganz konkret. Wichtig sind Aufgabenverteilung und Verantwortlichkeiten, insbesondere mit Blick darauf, welche Aufgaben intern und extern erledigt werden.

Soll-Ist-Abgleich

Nehmen Sie zu Beginn den datenschutz- rechtlichen Ist-Zustand auf. Hierzu gehören neben der Aufnahme der Kern-Daten-schutz-Themen auch die Unternehmens-organisation und vor allem die IT-

Land schaft. Bestimmen Sie dann den Soll- Zustand. Hierfür sollten zunächst die Pflichten skizziert werden, die sich aus der EU-DSGVO ergeben:

Rechtmäßigkeit der Verarbeitung Ohne Erlaubnis darf kein personenbezo-genes Datum verarbeitet werden. Daher bedarf es für jede Datenverarbeitung einer dokumentierten Erlaubnis. In der Regel handelt es sich dabei um explizite Einwilligungen. Daneben existieren ge-setzliche Erlaubnisse (Vertragserfüllung, Interessenabwägung, Spezialnormen). Eine besondere Herausforderung stellt der Nachweis der Rechtmäßigkeit für eine Verarbeitung von Altdatenbeständen dar. Korrespondierend zur Erlaubnis zu Beginn der Datenverarbeitung ist sicher-zustellen, dass mit dem Wegfall der Er-laubnis (z.B. Widerruf Einwilligung, Ende Aufbewahrungsplicht) eine Löschung erfolgt.

Betroffenenrechte Durch die umfangreichen Betroffenen-rechte sollen die Bürger in die Lage ver-setzt werden, ihr Recht auf Datenschutz durchsetzen zu können. Betroffenen-rechte sind: Recht auf Auskunft, Recht auf Berichtigung, Recht auf Löschung/ Recht auf Vergessenwerden, Recht auf Sperrung und Recht auf Datenübertrag-barkeit. Eines haben die Betroffenen-

5

Was will ich erreichen?

Ziele

Was muss ich dafür tun?Maßnahmen

Wie gehe ich weiter vor?

Neue Maßnahmen und Ziele

Wie nahe bin ich am Ziel?

Überprüfen der Zielerreichung

rechte gemeinsam: Das Unternehmen kann ihnen nur dann entsprechen, wenn es einen Überblick über die verwende-ten Daten hat und datenschutzkonform arbeitet.

Dokumentationspflichten In den Dokumentationspflichten liegt ein wesentlicher Unterschied zum

alten Recht. Künftig muss nicht nur die Verfolgung der Datenschutzgrundsät-ze, sondern auch die Erfüllung sämtli-cher Detailverpflichtungen durch das Unternehmen nachgewiesen werden. Praktisch erfolgt die Dokumentation durch das Verzeichnis der Verarbeitungs-tätigkeiten, eine Datenschutzrichtlinie mit geeigneten Prozessen, Folgenab-schätzungen und den Jahresbericht des Datenschutzbeauftragten.

6

In der Datenschutzrichtlinie wird die Daten-schutzorganisation beschrieben. Hier geht es darum, ein wirksames Datenschutz- Management-System aufzubauen, sprich einen lebenden Organismus mit geeigne-ten Prozessen, klaren Zuständigkeiten und ständiger Anpassung und Optimierung. Dies beinhaltet selbstverständlich nicht nur zu befolgende Regeln, sondern auch wirksame Kontrollen. Hierdurch wird gewährleistet, dass auf Betroffenenrechte fristgerecht geantwor-tet wird, dass im Verfahrensverzeichnis die ak-tuellen Verarbeitungsvorgänge dokumentiert sind, dass Datenschutzpannen umgehend an die Aufsichtsbehörde gemeldet werden etc.

Ein wichtiger Teilaspekt sowohl der Daten-schutzrichtlinie als auch der Datenschutz-organisation ist die Folgenabschätzung und ein diesbezüglicher Prozess. Es gilt, bei kritischen Datenverarbeitungen (z.B. Videoüberwachung, Einsatz von Big Data/Profiling-Tools, neuar-tige IT-Verarbeitungsvorgänge, Verarbeitung großer oder sensibler Datensätze) vorab den Verarbeitungsprozess zu beschreiben und die datenschutzrechtliche Zulässigkeit des Ver-fahrens zu untersuchen, wobei insbesondere die Risiken für den Betroffenen und die Abhil-femaßnahmen darzustellen sind. Bei Zweifeln hinsichtlich der Zulässigkeit der Verarbeitung ist die Aufsichtsbehörde zu konsultieren.

Der vielleicht wichtigste Aspekt der Daten-schutzorganisation ist die Datensicherheit. Dahinter verbergen sich angemessene IT- Sicherheitsmaßnahmen, die wir später noch ausführlich darstellen.

Auftragsverarbeitung

Die Weitergabe personenbezogener Da-ten an Dritte oder der Zugriff von diesen auf die Daten ist grundsätzlich unzulässig. Eine wichtige Privilegierung hiervon ist die Auftragsverarbeitung. Anwendungs-fälle sind die Beauftragung von IT-Dienst-leistern, Rechenzentren, Cloud-Anbietern und auch der Datenaustausch im Kon-zern. Achten Sie darauf, potenzielle Auf-tragsverarbeiter unter Datenschutzaspek-ten sorgfältig auszusuchen und mit ihm eine Vereinbarung zur Auftragsverarbei-tung zu schließen.

Festlegung Maßnahmen

Nach der Lückenanalyse geht es an die eigentliche Umsetzung der EU-DSGVO. Auch wenn alle Unternehmen sie am 25. 5. 2018 umgesetzt haben müssen, so bedarf es einer Priorisierung der Maßnah-men, da die EU-DSGVO vom Verhältnis-mäßigkeitsprinzip geleitet ist und insofern immer zuerst die wesentlichen Risiken an-zugehen sind.

Umsetzung Maßnahmen

Die festgelegten Maßnahmen sind im Zuge der Umsetzung zu dokumentie-ren. Auf die Maßnahmenumsetzung folgt dann der laufende Betrieb, der von Kon-trollen und der Weiterentwicklung der Da-tenschutzorganisation geprägt ist.

7

EU-Datenschutz-Grund-verordnung fordert ange-messene IT-Sicherheits-maßnahmen

Datenschutz und IT-Sicherheit sind eng miteinander verbunden. Fehlende oder unzu reichende IT-Sicherheitsmaßnahmen kö nnen ab dem 25. 5. 2018 aufgrund der erweiterten Vorgaben der EU-Datenschutz-Grundverordnung (EU-DSGVO) für die IT- Sicherheit mit weiteren Bußgeldern sanktio-niert werden. Zudem müssen Datenpannen in den meisten Fällen innerhalb von 72 Stun den der Aufsichtsbehörde gemeldet werden. Sowohl der Verantwortliche als auch der Auftragsverarbeiter werden, wie bisher auch, verpflichtet, technische und organisatorische Maßnahmen für die Daten- sicherheit zu ergreifen. Diese gehen über die bisher bekannten Maßnahmen des BDSG hinaus.

Informationssicherheits-Management-System ist ein Muss

Die EU-DSGVO fordert Datensicherheits-maßnahmen, die geeignet sind, ein Schutz-niveau zu gewährleisten, das dem Risiko für die Rechte und Freiheiten der Betrof-fenen angemessen ist und den aktuellen Stand der Technik berücksichtigt. Mithin müssen die Datensicherheitsmaßnahmen verhältnismäßig sein. Weiterhin fordert die EU-DSGVO ein Verfahren zur regelmäßi-gen Überprüfung, Bewertung und Evalu-ierung der Wirksamkeit der technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleis-ten. Damit unterstellt die EU-Datenschutz- Grundverordnung prinzipiell, dass ein Infor-

mationssicherheits-Management umgesetzt ist, beispielsweise nach dem Standard DIN ISO/IEC 27001 (Managementsysteme für Informationssicherheit, ISMS). Hierdurch werden die klassischen IT-Sicherheitsziele wie Vertraulichkeit, Integrität und Verfüg-barkeit im Hinblick auf personenbezogene Daten wie Name, Adresse, Telefonnummer, Gehaltsdaten, Gesundheitsdaten, Religion etc. verfolgt und gewährleistet.

Aufbau des EU-DSGVO-Informations-sicherheits-Managements in vier Schritten

Konkret sollte wie folgt vorgegangen werden:

Datenklassifizierung (Einteilung in drei Schutzklassen (hoch, mittel, niedrig), z.B. Einteilung in Klasse „hoch“ bei hohem Schutzbedarf, z.B. bei Gesundheitsdaten)

Risiken analysieren und bewerten (Ermitt-lung von Schwachstellen und Bedrohun-gen sowie Betrachtung der Auswirkun-gen und der Eintrittswahrscheinlichkeit)

Mit Blick auf das Risiko sind verhältnismä-ßige Maßnahmen zu ergreifen (z.B. Pseu-donymisierung, Verschlüsselung, Kontrol-len, Berechtigungen etc.)

Nachweise erbringen (Prozess dokumen-tieren, regelmäßige Überprüfungen)

Die dargestellten Schritte zeigen, dass zu-nächst sachgerechte Maßnahmen innerhalb des Unternehmens konzipiert werden müs-sen. Der Arbeitsaufwand hierfür wird häufig unterschätzt. Zu bedenken ist jedoch, dass ohne angemessene IT-Sicherheitsmaßnah-men für ein Unternehmen auch jenseits des Datenschutzes Gefahren drohen, die exis-tenzbedrohlich werden können.

Zertifizierungsmöglichkeiten nach DIN ISO/IEC 27001 werden empfohlen

8

Um nachzuweisen, dass die DSGVO bei Verarbeitungsvorgängen von Verantwort-lichen oder Auftragsverarbeitern eingehal-ten wird, wäre für den Bereich der Anbieter- bzw. Auftragsverarbeiter-Zertifizierung die DIN ISO/IEC 27001-Familie zu empfehlen, denn hier sind bereits branchenspezifische Standards entwickelt worden, die in ein ISMS integriert werden können.

Datenschutzbeauftragter bei vielen Unternehmen jetzt Pflicht

Ab dem 25. 5. 2018 kommt dem Daten-schutz beauftragten eine noch wichtigere Stellung zu. Nachfolgend werden die sieben wichtigsten Fragen zum Datenschutzbeauf-tragten unter der EU-DSGVO beantwortet:

1. Wer muss einen Datenschutzbeauf- tragten bestellen?

Fast jeder. § 38 BDSG-neu, der die Rege-lungen der EU-DSGVO verschärft, normiert, dass eine Bestellung eines Datenschutz-beauftragten erforderlich ist, wenn sich mindestens zehn Personen ständig mit der automatisierten Verarbeitung personen-bezogener Daten beschäftigen. Im Ergeb-nis benötigt jedes Unternehmen, in dem zehn Personen einen Bildschirmarbeitsplatz haben, einen Datenschutzbeauftragten. Bei kritischen Datenverarbeitungen ist zudem unabhängig von der Mitarbeiterzahl ein Da-tenschutzbeauftragter erforderlich.

2. Wer kann als Datenschutzbeauftragter bestellt werden?

Erforderlich sind nachgewiesene daten-schutzrechtliche Fachkenntnisse, die sich auf die rechtlichen, technischen und or-ganisatorischen Aspekte des Datenschut-zes beziehen. Es kann eine interne oder externe Person eingesetzt werden. Bei in-ternen Personen ist verstärkt zu beachten, dass diese nicht in einem Interessenkonflikt mit den datenschutzrechtlichen Anforde-rungen stehen, wie dies beispielsweise bei Geschäftsführern und IT-Leitern der Fall ist. Aufgrund der komplexen Anforderungen der EU-DSGVO gehen viele Unternehmen zur Bestellung eines externen Datenschutz-beauftragten über.

3. Welche Aufgaben hat der Datenschutz-beauftragte?

Der Datenschutzbeauftragte unterrichtet und berät das Unternehmen und die Mit-arbeiter. Er überwacht die Einhaltung des Datenschutzes sowie insbesondere die Durchführung der erforderlichen Folgen-abschätzungen und ist der Ansprechpartner für die Aufsichtsbehörde. Daneben können ihm weitere Aufgaben übertragen werden.

4. Welche Konsequenzen drohen bei Nichtbestellung eines Datenschutzbe-auftragten?

Art. 83 EU-DSGVO eröffnet für die Nicht-bestellung einen nicht unerheblichen Buß-geldrahmen.

9

Ihr dhpg-Kompetenzteamin Fragen des Datenschutzes und der IT-Sicherheit

Dr. Christian Lenz Rechtsanwalt/Fachanwalt für Steuerrecht T +49 2261 8195 0E christian.lenz@dhpg.de

Markus Müller Diplom-Wirtschaftsinformatiker/CISA ISO 27001-Certified Information Security Auditor T +49 221 33636 0 E markus.mueller@dhpg.de

Philipp Rothmann CISA/ISO 27001-Certified Information Security AuditorT +49 221 33636 0 E philipp.rothmann@dhpg.de

5. Muss die Bestellung des Datenschutz-beauftragten veröffentlicht werden?

Die Kontaktdaten des Datenschutzbeauf-tragten müssen der Aufsichtsbehörde mit-geteilt und veröffentlicht werden, beispiels-weise auf der Homepage.

6. Wie haftet der Datenschutzbeauftragte?

Zunächst kommt eine zivilrechtliche Haf-tung wegen Pflichtverletzung infrage, wo-bei der Pflichtenkreis umfassend ist. Bei internen Datenschutzbeauftragten sind hier die Grundsätze des innerbetrieblichen Schadensausgleichs zu berücksichtigen, die den Arbeitnehmer haftungsrechtlich privi-legieren. Die EU-DSGVO sieht keine Geld-bußen für den Datenschutzbeauftragten bei Schlechterfüllung seiner Aufgaben vor. Noch in der Diskussion ist, inwiefern eine Strafbarkeit durch Unterlassen als Garant in Betracht kommt, wenn der Datenschutz-beauftragte nicht seiner Überwachungs-pflicht nachkommt.

7. Was ändert sich hinsichtlich des Daten-schutzbeauftragten nach dem neuen Recht?

Viele Aspekte des neuen Datenschutz-beauftragten sind Datenschützern nicht un-bekannt. Zu beobachten ist eine graduelle Verschiebung dergestalt, dass der Daten-schutzbeauftragte in der neuen theoreti-schen Konzeption weniger operativ und mehr kontrollierend tätig wird. Allerdings besteht die Möglichkeit, den Datenschutz-beauftragten durch den Verantwortlichen mit operativen Aufgaben zu betrauen, was

die theoretische Verschiebung in der Praxis teilweise einebnen dürfte. Insgesamt dürfte die Bedeutung des Datenschutzbeauftrag-ten steigen, da die Bedeutung des Daten-schutzes steigt und der Datenschutzbeauf-tragte auch nach neuem Recht die zentrale Rolle ausfüllt.

10

Machen Sie den Datenschutz Ihres Unternehmens zur Chefsache.

Als modernes mittelständisches Beratungsunternehmen mit

über 60 Jahren Erfahrung im sicheren Umgang mit Daten

entwickeln wir im persönlichen Austausch mit Ihnen pass­

genaue Lösungen. An unseren Standorten in Deutschland und

als Teil von Nexia International.

www.dhpg.de

Wir beraten Sie persönlich

Nationale und internationale Kooperation

dhpg Standorte

Nexia Deutschland GmbHwww.nexia.de

Nexia Internationalwww.nexia.com

BonnMarie-Kahle-Allee 253113 BonnT +49 228 81000 0F +49 228 81000 20E bonn@dhpg.de

AachenAdalbertsteinweg 3452070 AachenT +49 241 8874783 0F +49 241 8874783 20E aachen@dhpg.de

BerlinJean-Monnet-Straße 2 10557 BerlinT +49 30 203015 0F +49 30 203015 20E berlin@dhpg.de

BornheimAdenauerallee 45−4953332 BornheimT +49 2222 7007 0F +49 2222 7007 199E bornheim@dhpg.de

EuskirchenCarmanstraße 4853879 EuskirchenT +49 2251 7009 0F +49 2251 7009 50E euskirchen@dhpg.de

Frankfurt am MainLurgiallee 1660439 Frankfurt am MainT +49 69 57005 0F +49 69 57005 190E frankfurt@dhpg.de

GummersbachBunsenstraße 10a51647 GummersbachT +49 2261 8195 0 F +49 2261 8195 199E gummersbach@dhpg.de

KölnErna­Scheffler­Straße 351103 KölnT +49 221 33636 0F +49 221 33636 36E koeln@dhpg.de

SaarbrückenAm Staden 1366121 SaarbrückenT +49 681 387242 0F +49 681 387242 10E saarbruecken@dhpg.de

TrierSimeonstiftplatz 154290 TrierT +49 651 2006853 0F +49 651 2006853 60E trier@dhpg.de

WiesbadenKranzplatz 1165183 WiesbadenT +49 611 99930 0F +49 611 99930 30E wiesbaden@dhpg.de