Die DSGVO Schonfrist ist vorbei — Aufsichtsbehörden machen ernst
Seit Mai 2018 ist die EU Datenschutz-Grundverordnung (DSGVO) wirksam, nachdem sie bereits Mai 2016 in Kraft getreten ist. Zeit bestand ausreichend, sich auf die Neuerungen vorzubereiten. Die eine oder andere Organisation hat die Gelegenheit genutzt, bestehende Lücken in der eigenen Datenschutz-Organisation zu schließen. In den letzten Monaten haben wir öfter mal den Satz gehört „Woher soll ich wissen, was da im Datenschutz zu tun ist?“. Hier gilt eine Holschuld durch die Organisationsleitung getreu dem Motto „Unwissenheit schützt vor Strafe nicht“. Für die Einhaltung gesetzlicher Vorschriften ist die Leitung zuständig und verantwortlich. Für Geschäftsführer gilt hier § 130 Gesetz über Ordnungswidrigkeiten (OWiG) mit der treffenden Bezeichnung “Verletzung der Aufsichtspflicht in Betrieben und Unternehmen“. Ähnliche Verpflichtungen für Behörden trifft sogar unser Grundgesetz.
Die DSGVO-Schonzeit ist vorbei
Die meisten Landesdatenschutzbehörden haben jedoch in den letzten Monaten ein Auge zugedrückt und eine im Gesetz nicht vorgesehene freiwillige Karenzzeit eingeschoben. In diesem Zeitraum sollten Organisationen die Gelegenheit letztmalig nutzen, die rechtlichen Verpflichtungen aus der DSGVO in Verbindung mit dem neuen Bundesdatenschutzgesetz (BDSG) für Unternehmen und den Landesdatenschutzgesetzen für Landesbehörden und kommunale Einrichtungen umzusetzen. Diese Schonzeit ist nun vorbei!
Es wird ernst — aber Bußgelder sind nicht das eigentliche Problem
Ende Oktober wurde ein erstes Bußgeld gegen ein portugiesisches Krankenhaus verhängt. 400.000 Euro für den laxen Umgang mit Patientendaten. Das ist erst mal ein Brocken. Weitere Bußgelder und verstärkt Sanktionen in Form von Auflagen haben jetzt auch die deutschen Landesdatenschutzbehörden angekündigt. In den nächsten Wochen wird in der Presse davon zu lesen und zu hören sein. Glücklicherweise gilt es für die Aufsichtsbehörden nach wie vor, bei der Bemessung von Bußgeldern Angemessenheit und Verhältnismäßigkeit zu wahren. Die in der Presse oder auch in Beratungsangeboten gerne zitierten 10 bis 20 Millionen Euro (bzw. 2–4% des weltweiteren Konzernumsatzes im Vorjahr) sind natürlich im Gesetz so vorgesehen. In der unreflektierten Kommunikation sind diese Zahlen jedoch reine Panikmache. Kleine und mittelständische Betriebe werden sich mit solchen Summen sicher nicht konfrontiert sehen. Das heißt aber nicht, sich weiter zurücklehnen und das Thema aussitzen zu können.
Denn abgesehen von Bußgeldern und Sanktionen, geht schnell mit Datenschutzverstößen auch ein Imageschaden einher. Auch Schadenersatz ist im Datenschutz möglich. Grund genug, zumindest ein paar „Basics“ in der eigenen Organisation umzusetzen.
Hier ein paar Tipps und Hinweise zur Umsetzung der DSGVO Anforderungen:
1. Verzeichnis der Verarbeitungstätigkeiten (VVT)
Ihre Organisation wird im Zweifel mit einer Vielfalt und Vielzahl an personenbezogenen Daten von Mitarbeitern, Kunden, Bürgern, Interessenten, Geschäftspartnern etc. umgehen. Aus diesem Grund trifft eigentlich (fast) jede Organisation die Pflicht, ein sog. Verzeichnis der Verarbeitungstätigkeiten zu führen. Dabei handelt es sich um detaillierte Übersichten, wo und wie und in welchen sog. „Verfahren“ (nicht immer identisch mit Programmen) Ihre Organisation personenbezogene Daten verarbeitet. Das VVT ist Grundlage für weitere Datenschutz-Tätigkeiten und elementarer Bestandteil Ihrer Rechenschaftspflicht, die rechtlichen Datenschutz-Anforderungen in Ihrer Organisation umgesetzt zu haben
2. Rechte der Kundschaft sicherstellen
Im Rahmen der DSGVO haben sich die Rechte der sog. Betroffenen weiter verbessert. So kann jede Person von Unternehmen und Behörden sehr umfänglich Auskunft über die gespeicherten und verarbeiteten Daten verlangen. Neben der reinen Auskunft ist eine sog. „Datenkopie“, sowohl von vorhandenen analogen als auch digitalen Daten in geeigneter Form mitzuliefern. Wenn Sie keine Übersicht haben, wo und wie welche personenbezogenen Daten in Ihrer Organisation gespeichert sind, wird es schwerfallen, diesem ausführlichen Anspruch ohne Fehler und / oder Beanstandung gerecht zu werden.
Weiterhin sind personenbezogene Daten nach Ablauf der gesetzlichen Aufbewahrungsfrist umgehend zu löschen. Peinlich, wenn Sie im Rahmen der Auskunft Informationen herausgeben, die schon längt hätten gelöscht sein müssen.
3. Informationspflichten
Jede Organisation muss Betroffene bei direkter und indirekter Erhebung über die Verarbeitung der personenbezogenen Daten aufklären (Art. 13+14 DSGVO). Diese Pflichtangaben sind recht umfangreich und müssen leicht zugänglich sein. Hier gilt es, diese Pflichtangaben für die Verarbeitungen in der Organisation zusammenzustellen und dann z.B. über Webseite, Aushänge, Hinweise auf die Angaben auf der Webseite an die Betroffenen zu kommunizieren. Bitte verwechseln Sie das nicht mit der Datenschutzerklärung auf Ihrer Webseite. Das ist ein ganz anderes Thema.
Da das Vorhandensein und Durchführen der Informationspflichten mit einem Blick auf die Webseite oder einem einfachen Anruf bei Ihnen sofort festgestellt werden kann, sind fehlende Umsetzungen schnell festzustellen.
4. Einwilligungen
Wenn Sie personenbezogene Daten zur Durchführung eines Vertrages oder aufgrund einer Rechtsvorschrift erheben, benötigen Sie keine Einwilligung (das wird auch nicht wahrer, wenn viele Medien das Gegenteil behaupten). In vielen anderen Fällen (Email-Werbung, Telefon-Werbung etc.) ist eine Einwilligung unerläßlich. Einwilligungen müssen aktiv, freiwillig, transparent und ausführlich sowie mit Hinweis auf die Widerrufsmöglichkeit erteilt werden. Prüfen Sie Ihre Einwilligungen, ob diese den Anforderungen entsprechen.
5. Werbung
Briefwerbung (also wirklich klassische Post) ist nach der DSGVO im Einklang mit dem UWG (Gesetz gegen den unlauteren Wettbewerb) ohne Einwilligung möglich. Für Email-Werbung gilt dies nur für Bestandskunden. Dabei darf aber der vorgeschriebene Hinweis auf die jederzeitige Widerrufsmöglichkeit nicht vergessen werden. Alle anderen Daten dürfen nur mit gültiger Einwilligung (siehe 4) für Werbezwecke genutzt werden.
6. Sicherheit der Datenverarbeitung
Ungeschützte Datenspeicherung, unverschlüsselte Datenübertragung, Endgeräte (PC, Laptops, Tablet und Smartphone) ohne Passwortschutz, unzureichende oder nicht dem Stand der Technik entsprechende Datensicherungen sind Geschichte. Die DSGVO schiebt dem laxen Umgang mit der IT-Sicherheit einen heftigen Riegel vor. Zukünftig muss nicht der Betroffene im Schadenfall nachweisen, dass Ihre Organisation keine ausreichenden Schutzmaßnahmen für dessen personenbezogene Daten ergriffen hat. Stattdessen ist Ihre Organisation beweispflichtig, das alles Mach- und Zumutbare an Sicherheitsmaßnahmen eingeführt und regelmäßig auf Funktionsfähigkeit geprüft wurde.
7. Meldepflicht von Datenpannen
Verbummelte Papierunterlagen, verlorene technischen Geräte, fehlerhafter Versand (Post / Email), mit Schadcode befallene IT-Systeme und viele Anlässe mehr führen schnell zu einer meldepflichtigen Datenpanne, wenn personenbezogene Daten im Spiel sind. Diese Datenpannen sind allesamt intern zu dokumentieren und auf Risiko für den Betroffenen zu bewerten. Liegt ein Risiko für Betroffene vor, gilt es die Datenpanne innerhalb von 72h an die zuständige Aufsichtsbehörde online zu melden. Bei besonders hohem Risiko müssen zusätzlich die Betroffenen durch Sie informiert werden. Schauen Sie auf die Webseite Ihrer Landesdatenschutzbehörde mit dem dazugehörigen Meldeformular. Sie werden staunen, wie schnell und umfangreich eine solche Meldung getätigt werden muss. Ohne interne Prozesse zur Erkennung, Bewertung und Meldung sind die Anforderungen nicht zu erfüllen. Damit ist nicht zu spaßen. Und nach der Datenpanne nicht die Nachbearbeitung vergessen: Was ist zu tun, damit sich diese Art der Datenpanne möglichst nicht wiederholt.
8. Datenschutzbeauftragter / DSB
Sobald mehr als 9 Mitarbeiter regelmäßig personenbezogene Daten von Kunden und / oder Mitarbeitern verarbeiten, muss Ihre Organisation einen Datenschutzbeauftragten bestellen. Öffentliche Stellen unterliegen einer generellen Bestellpflicht, ganz unabhängig von der Mitarbeiteranzahl. Die Ausführung dieser Bestellpflicht kann die Aufsichtsbehörde seit Mai 2018 ganz einfach überprüfen. Denn Ihre Organisation muss den Datenschutzbeauftragten offiziell bei der Aufsichtsbehörde mit Name und Kontaktdaten melden. Ein Abgleich bringt schnell zutage, welche Einrichtung wohl der Bestellpflicht unterliegt, aber keine Meldung vorgenommen hat. Zusätzlich müssen Sie Ihren Datenschutzbeauftragten offiziell im Rahmen der Datenschutzerklärung auf Ihrer Webseite mit Kontaktdaten benennen. Sie haben noch keinen Datenschutzbeauftragten? Dann wird es Zeit. Dieser hilft Ihnen übrigens auch sofort bei der Umsetzung der 7 anderen Punkte aus dieser Liste — und bei vielen weiteren Datenschutz-Themen, die Ihre Organisation umgesetzt haben muss.
Viel Erfolg!
PS: Die Punkte 1–8 sind einer Informationsbroschüre des Bayerischen Landesamts für Datenschutzaufsicht entnommen. Unser Artikel stellt keine Rechtsberatung dar.