Wie schon im newsletter immobilienrecht vom 04.04.2018 berichtet, tritt am 25. Mai 2018 die neue europäische Datenschutz-Grundverordnung (DSGVO) in Kraft und damit ein neues Datenschutzrecht in Deutschland und der EU. Die DSGVO gilt für Sie, wenn in Ihrem Unternehmen personenbezogene Daten natürlicher Personen verarbeitet werden. Es gibt keine Übergangsfristen. Sämtliche Anforderungen des neuen Rechts müssen ab dem 25. Mai 2018 eingehalten werden. Bei Verstößen drohen aufsichtsrechtliche Maßnahmen und hohe Bußgelder. Aber es ist nicht zu spät, sich mit dem Thema zu beschäftigen. Nachfolgend haben wir für Sie noch einmal die Top 10 an Last-Minute Maßnahmen zusammengestellt:
1. Benennung eines betrieblichen Datenschutzbeauftragten
Gemäß Art. 37 Abs. 4 DSGVO i. V. m. § 38 Abs. 1 BDSG-neu ist ein Datenschutzbeauftragter zu benennen, sobald in einem Betrieb mehr als 10 Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt sind.
2. Erstellung eines Verzeichnisses aller Verarbeitungstätigkeiten – Data-Mapping
Art. 30 DSGVO schreibt die Führung eines Verzeichnisses aller Verarbeitungstätigkeiten vor, auch Data Mapping genannt. Das Verzeichnis dient dem Nachweis einer DSGVO-konformen Datenverarbeitung in dem Betrieb. Als Verarbeitungstätigkeiten gelten beispielsweise: elektronische Akten; Software zur Versendung und Verwaltung von E-Mails; Adressdatenbanken; Software zur Terminverwaltung; Websites.
3. Lückensuche bzw. „Gap Analysis“
Die Data-Map ist der Ausgangspunkt für eine „Lückensuche“, die in den DSGVO-Umstellungsprozessen „Gap Analysis“ genannt wird. Diese Schwachstellensuche soll für jedes einzelne Verarbeitungsverfahren unter den folgenden Aspekten durchgeführt werden: Datensparsamkeit (Nur so viel Daten verarbeiten wie nötig.), Datenrichtigkeit (Aktualität der Informationen), Rechtmäßigkeit der Datenverarbeitung, Löschung der Daten nach Ende der Nutzung (Notwendigkeit der Datenvorhaltung), Zugriffskontrolle und -berechtigung (Wer hat Zugriff auf die Daten?) und Datensicherheit (Schutz gegen Hacker und Malware). Am Ende jeder „Gap Analysis“ steht ein Maßnahmenplan mit dem Ziel der möglichst umfassenden Datenschutzkonformität aller Verfahren.
4. Datensicherheit
Gemäß Art. 32 DSGVO sind technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der verarbeiteten Personendaten zu gewährleisten. Die Vorschrift konkretisiert den Grundsatz der „Integrität und Vertraulichkeit“ gem. Art. 5 Abs. 1 lit. f DSGVO. Die bereits bei Ihnen ergriffenen Maßnahmen sind mit Blick auf Verschlüsselung, Stabilität und Wiederherstellbarkeit zu überprüfen und ggf. zu verbessern, damit der Stand der Technik eingehalten wird.
5. Implementierung der neuen Rechtslage in die Arbeitsprozesse
Bei der Datenverarbeitung wird sich zumeist der Unterstützung durch Dienstleister aller Art bedient. All diese Verfahren waren bereits nach bisherigem Recht als Auftragsdatenverarbeitung anzusehen mit der Folge, dass es entsprechender Verträge bedurfte. Nach neuem Recht bleibt dies so, allerdings müssen bestehende Verträge an das neue Recht angepasst werden. Sind Ihre Dienstleister schon auf Sie zugekommen?
6. Datenschutzinformationen
Die Informationspflichten sind nach neuem Recht wesentlich umfangreicher als dies bisher der Fall war (Art.13 und 14 DSGVO). Beispielsweise müssen die Datenschutzbestimmungen auf Websites überarbeitet werden. Zudem empfehlen sich allgemeine „Hinweise zur Datenverarbeitung“, die jedem neuen Vertrag beigefügt werden sollten, den Sie abschließen. Entsprechende Hinweise gehören zudem in Zukunft auch in jeden Arbeitsvertrag.
7. Geltendmachung von Betroffenenrechten
Die DSGVO gibt dem Betroffenen eine Palette von Rechten an die Hand. In Ihrem Betrieb sollte es daher klare Regeln geben, wie zu verfahren ist, wenn beispielsweise ein (früherer) Kunde sein gesetzliches Recht auf „Datenübertragbarkeit“ gem. Art. 20 DSGVO geltend macht und die Herausgabe aller Daten verlangt, die Sie über ihn gespeichert haben. Auch für andere Betroffenenrechte, wie etwa das Auskunftsrecht (Art. 15 DSGVO) oder das Recht auf Löschung (Art. 17 DSGVO) sollten interne Reglungen existieren.
8. Meldepflichten
Jeder Datenschutzverstoß muss gemäß Art. 33 DSGVO innerhalb von maximal 72 Stunden bei der zuständigen Datenschutzbehörde gemeldet werden. Verliert ein Mitarbeiter beispielsweise sein Dienst-Handy und befinden sich auf dem Handy personenbezogene Daten, muss geprüft werden, ob eine Meldepflicht in Betracht kommt. Der bloße Verstoß gegen die Meldepflicht kann ein Bußgeld nach sich ziehen. Interne Arbeitsanweisungen sollten festlegen, wie bei einer Datenpanne vorzugehen ist.
9. Datenschutzrichtlinien
Generell sollten in schriftlichen internen Richtlinien klare Regeln für die Datenverarbeitung aufgestellt werden mit dem Ziel des rechtskonformen Handelns. Art. 24 DSGVO legt die Erstellung derartiger Richtlinien nahe. Interne Richtlinien geben Mitarbeitern Orientierung, wenn es darum geht, Datenschutzverstöße, Datenpannen und Datenlecks zu vermeiden.
10. Rechnen Sie mit Anfragen der Behörden
Es wird nicht allzu lange dauern, bis es erste Berichte über Datenschutzkontrollen und Datenpannen nach dem neuen Recht gibt. Sobald es Beschwerden bei der Aufsichtsbehörde gibt, muss Ihr Betrieb damit rechnen, dass die Behörde kritische Fragen stellt. Spätestens zu diesem Zeitpunkt sollte es ein vorzeigbares Verarbeitungsverzeichnis sowie Datenschutzinformationen und -richtlinien geben, die die Handhabung des Datenschutzes dokumentieren. Zeigen Sie, dass Sie Datenschutz ernst nehmen.
Autor: Daniel Pahl