Zum Inhalt springen

Bundesdatenschutzgesetz

Auf­trags­ver­ar­bei­tung — Defi­ni­ti­on, Bei­spie­le, Mass­nah­men, Risi­ken (Update) — frü­her Auftragsdatenverarbeitung

Auf­trags­ver­ar­bei­tung, das Aus­la­gern von Daten­ver­ar­bei­tungs­pro­zes­sen durch den Auf­trag­ge­ber auf exter­ne Dienst­leis­ter, ist ein häu­fi­ges Mit­tel zur Kos­ten­sen­kung und der Nut­zung von exter­nem Know How — Stich­wort “Out­sour­cing”. Sind hier­von per­so­nen­be­zo­ge­ne Daten betrof­fen, fin­det Art. 28 DSGVO Auf­trags­ver­ar­bei­ter Anwendung.

Schnell kommt es bei der Ein­schät­zung, ob eine Auf­trags­ver­ar­bei­tung vor­liegt, zu Miß­ver­ständ­nis­sen und der Auf­trag­ge­ber läuft Gefahr, gemäß DSGVO mit Geld­bu­ßen durch die Daten­schutz­be­hör­den belegt zu wer­den. Von Image­schä­den in der Öffent­lich­keits­wahr­neh­mung nicht zu reden. Eine sorg­fäl­ti­ge Prü­fung durch einen Bera­ter für Daten­schutz oder einen Daten­schutz­be­auf­trag­ten hilft, die­se Risi­ken zu mini­mie­ren und die not­wen­di­gen Rege­lun­gen umzusetzen.

Fol­gen­de Kri­te­ri­en (Aus­wahl) unter­stüt­zen die Bewer­tung über das Vor­lie­gen einer Auftragsverarbeitung:

  • Dem Auf­trag­neh­mer fehlt die Ent­schei­dungs­be­fug­nis über die über­mit­tel­ten Daten.
  • Dem Auf­trag­neh­mer ist die Nut­zung der über­las­se­nen Daten über den eigent­li­chen Über­las­sungs­zweck hin­aus verboten.
  • Der Auf­trag­neh­mer nutzt nur die ihm über­las­se­nen Daten.
  • Die Daten­ver­ar­bei­tung wird nach außen durch den Auf­trag­ge­ber vertreten.
  • Der Auf­trag­neh­mer steht in kei­ner ver­trag­li­chen Bezie­hung zu den Betrof­fe­nen der per­so­nen­be­zo­ge­nen Daten.

Eini­ge prak­ti­sche Bei­spie­le von Auftragsverarbeitung:

  • Out­sour­cing des Rechen­zen­trums (ganz oder teilweise).
  • Soft­ware as a Ser­vice /​ Cloud-Ser­vices (nicht nur rei­ne Dateiablage).
  • Mar­ke­ting­ak­tio­nen, Kun­den­um­fra­gen, News­let­ter­ver­sand durch eine exter­ne Agentur.
  • Beauf­tra­gung eines Call­cen­ters für Kun­den­sup­port oder Kundengewinnung.
  • Papier- und Akten­ver­nich­tung sowie die Ver­nich­tung von Datenträgern.
  • Exter­ne Lohn- und Gehaltsabrechnung.
  • Exter­ne Rech­nungs­be­ar­bei­tung /​ Buch­hal­tung.
  • Zugriff auf per­so­nen­be­zo­ge­ne Daten vor Ort bei Auftraggeber

Aber auch wei­te­re Leis­tun­gen sind eben­falls von den Rege­lun­gen zu Art. 28 DSGVO betrof­fen (Bei­spie­le):

  • War­tung von Ser­vern und Com­pu­tern durch einen exter­nen Dienst­leis­ter (wich­tig: auch Fern­war­tung!)
  • Para­me­tri­sie­rung oder Pfle­ge von Soft­ware (Updates etc.), über die Zugriff auf per­so­nen­be­zo­ge­ne Daten mög­lich ist.
  • Sys­tem­mi­gra­tio­nen.

Was heisst das jetzt für Sie als Auftraggeber?

  • Liegt eine Auf­trags­ver­ar­bei­tung vor, muss die­se schrift­lich gere­gelt werden.
  • Sie als Auf­trag­ge­ber müs­sen die im Ver­trag fest­ge­schrie­be­nen Mass­nah­men zum Daten­schutz und zur Daten­si­cher­heit beim Auf­trag­ge­ber in geeig­ne­ter Form kon­trol­lie­ren — im Zwei­fel per­sön­lich vor Ort beim Auftragnehmer.
  • Für die Ein­hal­tung der gesetz­li­chen Daten­schutz­vor­schrif­ten sind Sie als Auf­trag­ge­ber ver­ant­wort­lich, nicht der Auf­trag­neh­mer (dies wird oft irr­tüm­lich falsch eingeschätzt).
  • Eine ein­fa­che Erklä­rung des Auf­trag­neh­mers über die Ein­hal­tung der Daten­schutz­vor­schrif­ten ist nicht ausreichend!

Was heisst das jetzt für Auftragnehmer?

  • Als Auf­trag­neh­mer haben Sie sich eben­falls den Rege­lun­gen des Art. 28 DSGVO zu unter­wer­fen und ste­hen in der Pflicht, Ihren Auf­trag­ge­ber bei der Umset­zung zu unterstützen.
  • Zukunfts­ori­en­tier­te Unter­neh­men haben ein stich­hal­ti­ges Daten­schutz­kon­zept samt einer vor­for­mu­lier­ten Ver­ein­ba­rung gem. Art. 28 DSGVO bereits in der Schub­la­de und gehen damit aktiv auf ihre Bestands­kun­den zu. Ein klei­nes, aber sehr wir­kungs­vol­les Detail, um sich posi­tiv vom Wett­be­werb abzu­he­ben und ihren Auf­trag­ge­ber  von ihrer Leis­tungs­fä­hig­keit zu überzeugen.
  • Wenig hilf­reich: den Auf­trag­ge­ber vor die Wahl stel­len — ent­we­der ohne die­se Ver­ein­ba­rung samt Kon­troll­rech­te zusam­men­zu­ar­bei­ten oder es eben sein zu las­sen. Außer Sie sind sich sicher, Ihrem Auf­trag­ge­ber ist Ihre Dienst­leis­tung oder Ihr Pro­dukt ohne Rege­lun­gen zur Auf­trags­ver­ar­bei­tung ein Buß­geld wert.

Mit Bedacht soll­ten Mus­ter­ver­trä­ge aus dem Inter­net ein­ge­setzt wer­den. Teil­wei­se ent­spre­chen die­se nicht den aktu­el­len Rege­lun­gen aus den letz­ten Novel­lie­run­gen des Daten­schutz­rechts. Die­se kön­nen zwar sinn­vol­le Ansatz­punk­te lie­fern, erset­zen jedoch weder die indi­vi­du­ell not­wen­di­ge Anpas­sung auf die vor­lie­gen­de Auf­trags­ver­ar­bei­tung noch die recht­lich siche­re Ein­schät­zung, wel­che Maß­nah­men hier­zu not­wen­dig sind.

Daher kann zur Ver­mei­dung von Buß­gel­dern und Image­schä­den nur jedem Unter­neh­men und Unter­neh­mer gera­ten wer­den, einen Bera­ter /​ Anwalt für Daten­schutz oder Daten­schutz­be­auf­trag­ten hin­zu­zu­zie­hen. Die­ser stellt die kor­rek­te Umset­zung sicher und haf­tet im Zwei­fel für mög­li­che Ver­säum­nis­se aus sei­ner Tätigkeit.

Hilf­rei­che Links und Tipps zur Auf­trags­ver­ar­bei­tung im Internet:

Bericht 2019 der Daten­schutz­be­hör­de Saar­land — Überblick

Druck­frisch zu berich­ten — die Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit der Auf­sichts­be­hör­de Unab­hän­gi­ges Daten­schutz­zen­trum Saar­land (UZD) hat die­ser Tage den 28. Tätig­keits­be­richt im Daten­schutz für das Saar­land vor­ge­legt (Land­tags­druck­sa­che Saar­land 16/​1200). Dar­in wur­de unter ande­rem auf kon­kre­te, ein­zel­fall­be­zo­ge­ne Ent­wick­lun­gen und Maß­nah­men, erfolg­te Vor­trä­ge, Ver­fah­ren und Bera­tun­gen sowie auf fach­li­che Aspek­te der DSGVO-Vor­ga­ben und ‑umset­zun­gen und Recht­spre­chung detail­liert eingegangen.

News in 2019

Im Jahr 2019 wur­den zwei neue Stel­len für Mit­ar­bei­ter im UDZ vom Land­tag Saar­land bewil­ligt, die erfolg­reich besetzt wur­den, aller­dings sieht das UDZ hier quan­ti­ta­ti­ven Optimierungsbedarf.

Die Web­site des UDZ wur­de mit einem neu­en CMS ange­bun­den und hat ein neu­es Design bekom­men mit Opti­mie­rung auf Bar­rie­re­frei­heit, der Mel­de- und Kon­takt­for­mu­la­re sowie für Mobilgeräte.

Vor dem Hin­ter­grund der Not­wen­dig­keit, wach­sen­den Anfor­de­run­gen, recht­li­chen Vor­ga­ben und einer effek­ti­ven, ange­mes­se­nen Abwehr von Cyber-Angrif­fen kos­ten­ef­fi­zi­ent nach­zu­kom­men, wur­de in dem Bericht die Ein­füh­rung eines ISMS erläu­tert und dabei ins­be­son­de­re ISIS12 „als prag­ma­ti­sches und leicht ska­lier­ba­res Vor­ge­hens­mo­dell“, das auch gera­de Kom­mu­nen eine gute Ver­bin­dung von den Vor­ga­ben und rea­len Res­sour­cen ermögliche.

Der gesam­te Pro­zess von der Sen­si­bi­li­sie­rung der Mit­ar­bei­ter, Ein­schät­zung der Gefähr­dungs­la­ge bis hin zur Abwehr von Angrif­fen kann durch ein ISMS wie ISIS12 gesteu­ert und über­wacht wer­den.

Nach der Imple­men­tie­rung und einem TOM-bezo­ge­nen Audit wur­de das UDZ zum 09.10.2019 zertifiziert.

Bera­tun­gen und Öffentlichkeitsarbeit

Das UDZ hat im Berichts­jahr 50 Ver­an­stal­tun­gen zur Infor­ma­ti­on und Sen­si­bi­li­sie­rung zum Daten­schutz und der DSGVO aus­ge­rich­tet, bei denen es unter ande­rem schwer­punkt­mä­ßig um Aus­le­gungs­fra­gen der DSGVO ging. Ins­ge­samt sieht man auch bei der Öffent­lich­keit ein stei­gen­des Inter­es­se an Daten­schutz­the­men und ‑fra­gen.

In Bezug auf das im Dezem­ber 2019 beschlos­se­ne Jus­tiz­voll­zugs­da­ten­schutz­ge­setz, bei des­sen Ent­wür­fen das UZD bera­tend invol­viert war, stellt der Bericht fest, dass man sich eine umfas­sen­de Moder­ni­sie­rung des Daten­schutz­rechts auch in die­sem Bereich gewünscht hätte.

Die UDZ nahm an Bera­tungs­ge­sprä­chen mit der Enquête­kom­mis­si­on „Digi­ta­li­sie­rung im Saar­land“ teil und führ­te hier unter ande­rem die wich­ti­ge Rol­le des Daten­schut­zes in der Ent­wick­lung des E‑Government aus.

In Brüs­sel tausch­te man sich bei der EU-Ver­tre­tung des Saar­lan­des über die inner­eu­ro­päi­sche Zusam­men­ar­beit der Daten­schutz­be­hör­den aus. In den 154 Fäl­len nahm die Lan­des­da­ten­schutz­be­hör­de ihre Ver­fah­rens­zu­stän­dig­keit iSd. Art. 56 DSGVO in Bezug auf inner­eu­ro­päi­sche, län­der­über­grei­fen­de Ver­ar­bei­tun­gen wahr. Die Behör­de war an elf Recht­set­zungs­vor­ha­ben beteiligt.

Daten­schutz­ver­let­zun­gen nach Art. 33 DSGVO

Dem Bericht zufol­ge wur­den im ver­gan­ge­nen Jahr 286 Daten­schutz­ver­let­zun­gen an die Lan­des­da­ten­schutz­be­hör­de gemel­det und elf amt­li­che Maß­nah­men iSd. Art. 58 DSGVO zur Prä­ven­ti­on von Daten­pan­nen vor­ge­nom­men. Den Anstieg der Mel­dun­gen von Daten­pan­nen wird auf höhe­re Kri­te­ri­en durch die DSGVO, aber auch eine höhe­re Sen­si­bi­li­tät für Daten­schutz­the­men gesehen.

Prü­fun­gen

In sei­nem Bericht spricht das UZD von „meh­re­ren Prü­fun­gen“, die — meist anlass­be­zo­gen und oft im Kon­text des Beschäf­tig­ten­da­ten­schut­zes — in 2019 in Ein­rich­tun­gen sowohl ange­kün­digt als auch unan­ge­kün­digt durch­ge­führt wur­den. Kri­te­ri­um für die Fra­ge der Vor­ab­an­kün­di­gung sei die Abwä­gung der Wahr­schein­lich­keit eines Weg­falls des Prüf­ge­gen­stands durch Mani­pu­la­ti­on im Fal­le der Ankün­di­gung. Im Vor­feld wür­den Prüf­ge­gen­stand und ‑ablauf klar defi­niert und im Regel­fall zunächst die Vor­la­ge von VVT, einer DSFA „oder zumin­dest [..] Risi­ko­be­wer­tung“, der TOM, Doku­men­ta­tio­nen zum Umgang mit Betrof­fe­nen­rech­ten, Lösch­fris­ten und wei­te­re Daten­schutz­kri­te­ri­en vor Ort ange­for­dert. Dar­auf­fol­gend die Prü­fung des kon­kre­ten Anlas­ses und Ver­fer­ti­gung einer Kurz­zu­sam­men­fas­sung vor Ort, die zusam­men mit dem Ver­ant­wort­li­chen erör­tert wird.

Der eigent­li­che Prüf­be­richt wird der Ein­rich­tung /​ dem Ver­ant­wort­li­chen zuge­stellt und die­ser kann dazu Stel­lung neh­men. Gege­be­nen­falls erfol­gen Abhil­fe­maß­nah­men nach Art. 58 Abs. 2 DSGVO und die Ver­hän­gung einer Geldbuße.

Das UZD führ­te nach der Ein­füh­rung des Ein­sat­zes von Body-Cams bei der Poli­zei Saar­land Stich­pro­ben durch, bei denen es erheb­li­che Defi­zi­te bei der Ein­hal­tung der Daten­schutz­vor­ga­ben fest­ge­stellt hat.

Bei der Prü­fung von BCR (Bin­ding Cor­po­ra­te Rules) zur Daten­si­cher­heit inner­halb inter­na­tio­nal agier­den­der Kon­zern­struk­tu­ren iSd. Art. 47 DSGVO war das UDZ in 2019 ins­ge­samt zwei­mal betei­ligt — bei 20 BCR-Ver­fah­ren europaweit.

Rechen­schafts­pflicht Großunternehmen

Ende 2018, Anfang 2019 wur­den drei der größ­ten Unter­neh­men des Saar­lands um Rechen­schaft ersucht hin­sicht­lich DSGVO Umset­zungs­stand, VVT, Risi­ko­ab­schät­zun­gen und Pro­zes­se und die daten­schutz­kon­for­me Ver­ar­bei­tung von per­so­nen­be­zo­ge­ner Daten im all­ge­mei­nen sowie im Detail.

Wei­te­re Themen

Der Bericht ent­hält außer­dem detail­lier­te Kapi­tel unter ande­rem zu Rechts­fra­gen, recht­li­chen Aus­le­gun­gen und Bewer­tun­gen sowie Rechts­an­wen­dung der DSGVO, die inter­es­san­te und wich­ti­ge Aspek­te beleuchten:

  • Infor­ma­ti­ons­pflich­ten
  • Aus­kunfts­recht
  • Abgren­zung der klas­si­schen AV zur Gemein­sa­men Verantwortlichkeit
  • DSFA
  • Zer­ti­fi­zie­rung und Akkreditierung
  • Fashion ID
  • Planet49
  • Ori­en­tie­rungs­hil­fe Tele­me­di­en der DSK
  • ePri­va­cy-Ver­ord­nung
  • Win­dows 10
  • Daten­schutz­kon­for­me Nut­zung von Whats­App im Rah­men kom­mu­na­ler Bürgerdienste
  • Strea­ming von Ratssitzungen
  • Nut­zung von Geodaten
  • Tele­ar­beit bei der Polizei
  • Licht­bild­ab­gleich in Ord­nungs­wid­rig­kei­ten­ver- fahren
  • Foto­gra­fie­ren an Schu­len und Kindergärten
  • Video­über­wa­chung
  • Daten­schutz im Verein
  • Daten­schutz­recht­li­che Bewer­tung tele­fo­ni­scher Werbeansprachen
  • Ein­sicht in die Patientenakte

Den Bericht fin­den Sie im pdf Voll­text auf der Web­site der Lan­des­be­auf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit der Auf­sichts­be­hör­de Unab­hän­gi­ges Daten­schutz­zen­trum Saar­land — UZD.

Wenn Sie Fra­gen zu The­men oder Begrif­fen des Berichts haben, nut­zen Sie hier­für ger­ne die Kom­men­tar­funk­ti­on — Ihr Team von a.s.k. Datenschutz.

14. Euro­päi­scher Daten­schutz­tag 2020

Am 28.01.2020 fand in Ber­lin der dies­jäh­ri­ge, 14. Euro­päi­sche Daten­schutz­tag der Daten­schutz­kon­fe­renz statt. Auf Initia­ti­ve des Euro­pa­rats jährt sich der Daten­schutz­tag seit 2007 um den 28. Janu­ar und wird in Deutsch­land als Ver­an­stal­tung der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der ausgerichtet.

In die­sem Jahr lag das Augen­merk ins­be­son­de­re auf Daten­schutz im Kon­text des Ent­wick­lungs­fort­schritts der KI. Unter dem Mot­to “Künst­li­che Intel­li­genz — Zwi­schen Bän­di­gung und För­de­rung” wur­den Frei­hei­ten, Grund­rech­te und Schutz­be­dürf­nis­se bei der Schaf­fung von Rah­men­be­din­gun­gen und der Ent­fal­tung dies­be­züg­li­cher Akti­vi­tä­ten the­ma­ti­siert von Refe­ren­ten aus Poli­tik, Wis­sen­schaft, Recht und den Teilnehmern.

Die Vor­trä­ge beschäf­tig­ten sich unter ande­rem mit den Themen:

  • Aspek­te des Uni­ons­rechts im Hin­blick auf Digi­ta­li­sie­rung und Daten­schutz
  • Der Hand­lungs­rah­men für KI-Anwen­dun­gen: Wirt­schaft, Tech­nik, Ethik und (Daten­schutz-) Recht in Deutsch­land, Euro­pa und der Welt” und
  • Was ver­ste­hen Nut­zer unter Algo­rith­men?

“Per­sön­lich” wur­de es — in fach­li­cher Hin­sicht — im Rah­men der Podi­ums­dis­kus­si­on zum “Nut­zen und Scha­den von KI für den Ein­zel­nen — Was geht mich KI an?”. Die KI und ihr Daten­schutz sind ein span­nen­des und leben­di­ges The­ma, das jeden All­tag in naher Zukunft in greif­ba­rer Wei­se bestim­men wird. Wei­te­re Infor­ma­tio­nen zu dem The­men­be­reich erhal­ten Sie unter nach­fol­gen­den Links.

Was mei­nen Sie zu dem The­ma, lie­be Leser? Freu­en Sie sich auf Ihr ers­tes Robo­ter­au­to oder ist Ihnen das alles spoo­ky? Sie kön­nen es uns im Kom­men­tar­feld wis­sen las­sen. Wir sind gespannt, Ihr Team von a.s.k. Datenschutz

BSI IT-Sicher­heits­kon­gress — KI         BSI — KI im Auto         Fraun­ho­fer Insti­tut — KI

Auf­ga­ben des exter­nen Datenschutzbeauftragten

Was sind die Auf­ga­ben des exter­nen Datenschutzbeauftragten?

Arti­kel 39 Absatz 1 DSGVO defi­niert die Auf­ga­ben des Daten­schutz­be­auf­trag­ten. Dar­aus erge­ben sich 1:1 die Auf­ga­ben des exter­nen Daten­schutz­be­auf­trag­ten, denn hier wird kei­ne Unter­schei­dung zwi­schen intern und extern getroffen:

Dem Daten­schutz­be­auf­trag­ten oblie­gen zumin­dest fol­gen­de Aufgaben:

a) Unter­rich­tung und Bera­tung des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters und der Beschäf­tig­ten, die Ver­ar­bei­tun­gen durch­füh­ren, hin­sicht­lich ihrer Pflich­ten nach die­ser Ver­ord­nung sowie nach sons­ti­gen Daten­schutz­vor­schrif­ten der Uni­on bzw. der Mitgliedstaaten;

b) Über­wa­chung der Ein­hal­tung die­ser Ver­ord­nung, ande­rer Daten­schutz­vor­schrif­ten der Uni­on bzw. der Mit­glied­staa­ten sowie der Stra­te­gien des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters für den Schutz per­so­nen­be­zo­ge­ner Daten ein­schließ­lich der Zuwei­sung von Zustän­dig­kei­ten, der Sen­si­bi­li­sie­rung und Schu­lung der an den Ver­ar­bei­tungs­vor­gän­gen betei­lig­ten Mit­ar­bei­ter und der dies­be­züg­li­chen Überprüfungen;

c) Bera­tung – auf Anfra­ge – im Zusam­men­hang mit der Daten­schutz-Fol­gen­ab­schät­zung und Über­wa­chung ihrer Durch­füh­rung gemäß Arti­kel 35;

d) Zusam­men­ar­beit mit der Aufsichtsbehörde;

e) Tätig­keit als Anlauf­stel­le für die Auf­sichts­be­hör­de in mit der Ver­ar­bei­tung zusam­men­hän­gen­den Fra­gen, ein­schließ­lich der vor­he­ri­gen Kon­sul­ta­ti­on gemäß Arti­kel 36, und gege­be­nen­falls Bera­tung zu allen sons­ti­gen Fragen.

Als exter­ne Daten­schutz­be­auf­trag­te kann und darf man durch­aus noch etwas mehr an Auf­ga­ben übernehmen

  • Pfle­ge des Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten nach inter­ner Zuarbeit
  • Kon­ti­nu­ier­li­che Schu­lung und Sen­si­bi­li­sie­rung Ihrer Mit­ar­bei­ter durch eLear­ning, Web­i­na­re, Vor-Ort-Schu­lun­gen, Mit­ar­bei­ter­zei­tung, News­let­ter und vie­les mehr
  • Prü­fung von Ver­ein­ba­run­gen mit exter­nen Dienst­leis­tern nach Art. 28 DSGVO Auftragsverarbeitung
  • Prü­fen und Über­wa­chen der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men Ihrer exter­nen Dienst­leis­ter nach Art. 28 + 32 DSGVO
  • und noch so eini­ges mehr

Was ein Daten­schutz­be­auf­trag­ter nicht leis­ten kann?

Lei­der immer noch viel zu oft ist eine etwas irra­tio­na­le Erwar­tungs­hal­tung anzu­tref­fen. Mit der Benen­nung eines (exter­nen) Daten­schutz­be­auf­trag­ten ist eine Orga­ni­sa­ti­on mit­nich­ten von den Ver­pflich­tun­gen aus der DSGVO für die Orga­ni­sa­ti­on und die damit ver­bun­de­nen Tätig­kei­ten, Auf­ga­ben und Zuar­bei­ten befreit. Es sind nach wie vor alle Orga­ni­sa­ti­ons­ebe­nen gefor­dert, aktiv das The­ma Daten­schutz zu gestal­ten und dem Daten­schutz­be­auf­trag­ten zuzu­ar­bei­ten. Wenn Sie sich die Auf­stel­lung der Auf­ga­ben des Daten­schutz­be­auf­trag­ten aus Art. 39 DSGVO zu Beginn die­ses Bei­trags noch mal in Erin­ne­rung rufen, sind des­sen Beratungs‑, Kon­troll- und Über­prü­fungs­auf­ga­ben kon­kret defi­niert. Bei die­ser Auf­zäh­lung fehlt zu Recht der Begriff “Umset­zen”. Daten­schutz wird durch alle Mit­ar­bei­ter einer Orga­ni­sa­ti­on “umge­setzt” bzw. gelebt. Der Daten­schutz­be­auf­trag­te wirkt auf die rechts­kon­for­me Daten­ver­ar­bei­tung in der Orga­ni­sa­ti­on hin, u.a. durch Bera­tung, und über­prüft die­se im Rah­men sei­ner Kon­troll- und Überwachungsfunktion.

Inter­es­se an einem exter­nen Daten­schutz­be­auf­trag­ten geweckt?

Sie benö­ti­gen einen (exter­nen) Daten­schutz­be­auf­trag­ten? Dann nut­zen Sie unse­re lang­jäh­ri­ge Erfah­rung und das Know How als exter­ne Daten­schutz­be­auf­trag­te für zahl­rei­che unter­schied­li­che Orga­ni­sa­tio­nen zum Schutz Ihres Unter­neh­mens. Spre­chen Sie uns an.

Über­sicht der DSGVO Bußgelder

Mit schö­ner Regel­mä­ßig­keit hört und liest man in den Medi­en etwas von Buß­gel­dern im Daten­schutz basie­rend auf der DSGVO oder ande­rer Daten­schutz­ge­set­ze. Mer­ken kann man sich die alle nicht. Doch es kann nicht scha­den, das eine oder ande­re Buß­geld für ver­schie­de­ne For­men an Daten­schutz­ver­stö­ßen zu ken­nen. DSGVO Buß­gel­der soll­ten zwar nicht der allei­ni­ge Antrieb zur Ein­hal­tung von Rechts­vor­schrif­ten sein, aber viel­leicht muss man als inter­ner oder exter­ner Daten­schutz­be­auf­trag­ter auch mal mit Zah­len kom­men, damit sich etwas in der Orga­ni­sa­ti­on bewegt 🙂

Über­sicht der DSGVO Bußgelder

Und da ist es sehr hilf­reich, dass sich die Betrei­ber von https://​dsgvo​-por​tal​.de die Mühe machen, stets aktu­el­le Buß­gel­der zu erfas­sen und zu kata­lo­gi­sie­ren. Kann ja ganz hilf­reich sein, zu wis­sen und anzu­füh­ren, dass für Wer­be­an­ru­fe ohne Ein­wil­li­gung, Infor­ma­ti­ons­män­gel in Apps und unzu­rei­chen­de TOM (tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men) die ita­lie­ni­sche Daten­schutz­auf­sicht im Janu­ar 2020 ein Buß­geld in Höhe von 27,8 Mio Euro ver­hängt hat. Die genann­ten Ver­stö­ße sind ja nicht sel­ten. Viel­leicht ein wei­te­rer Anstoß, um sol­che Män­gel in der eige­nen Orga­ni­sa­ti­on anzugehen.

Die im Por­tal gelis­te­ten DSGVO Buß­gel­der las­sen sich nach diver­sen Kri­te­ri­en sor­tie­ren und anzei­gen, z.B. nach Buß­geld­hö­he, Datum, Land und auch Buß­geld­emp­fän­ger (da fin­den sich eini­ge alte Bekann­te, aber auch sehr vie­le neue Namen). Ein Wer­muts­trop­fen, wenn man das so sehen mag, ist jedoch vor­han­den: In der Über­sicht fin­den sich die Buß­gel­der, wel­che von den Auf­sichts­be­hör­den ver­hängt wur­den. Das muss nicht iden­tisch sein, was von den betrof­fe­nen Orga­ni­sa­tio­nen z.B. nach Beschrei­ten des Rechts­we­ges dann wirk­lich gezahlt wur­de. Sofern es hier­zu Erkennt­nis­se gibt, fin­den sich die­se unter den Details, die man zu jedem Vor­gang auf­ru­fen kann. Dar­in wird auch die Art des Ver­sto­ßes wei­ter konkretisiert.

Dan­ke an die Betrei­ber des Portals.

Die DSGVO ver­bie­tet kei­ne Wunsch­zet­tel-Aktio­nen für Kin­der zu Weih­nach­ten — aus aktu­el­len Anlass

Kaum ist die Vor­weih­nachts­zeit auf Hoch­tou­ren star­ten erneut die Falsch­mel­dun­gen über die ach so böse Daten­schutz-Grund­ver­ord­nung (DSGVO). Wie schon im ver­gan­ge­nen Jahr ist nach Mel­dung des einen oder ande­ren Medi­en­ver­tre­ters die DSGVO erneut dar­an schuld, dass trau­ri­ge Kin­der­au­gen auf den lee­ren Weih­nachts­wunsch­baum in der einen oder ande­ren Kom­mu­ne in Deutsch­land star­ren. Das dem nicht so ist, hat bereits im Novem­ber 2018 die Ver­tre­tung in Deutsch­land der Euro­päi­schen Kom­mis­si­on in einer Klar­stel­lung ver­lau­ten lassen.

“Die Euro­päi­sche Daten­schutz­grund­ver­ord­nung ver­bie­tet in kei­ner Wei­se Wunsch­zet­tel-Aktio­nen zu Weih­nach­ten. Berich­te, die auf das Gegen­teil schlie­ßen las­sen, sind falsch. Um Geschen­ke an die Kin­der zu lie­fern, dür­fen die Kon­takt­da­ten der Fami­lie auf­ge­nom­men wer­den — vor­aus­ge­setzt, die Eltern stim­men zu. Das sind die Regeln, die schon seit 20 Jah­ren gel­ten. Die Daten­schutz­grund­ver­ord­nung hat dar­an nichts geändert.”

Wie auch schon zu Zei­ten der DSGVO wird bei Min­der­jäh­ri­gen eine Ein­wil­li­gung der Eltern nach gel­ten­dem Recht benö­tigt. Dabei muss klar dar­über infor­miert wer­den, zu wel­chem Zweck die Daten erho­ben und ver­ar­bei­tet sowie an wen sie wei­ter­ge­ge­ben werden.

Zur Klar­stel­lung aus 11/​2018

Geburts­tags­lis­ten von Mit­ar­bei­tern und die DSGVO

Als aktu­el­le Kurz­in­for­ma­ti­on zum Daten­schutz unter der DSGVO hat der BayLfD jetzt die Num­mer 26 ver­öf­fent­licht, Thema

“Beschäf­tig­ten-Geburts­tags­lis­ten bei baye­ri­schen öffent­li­chen Stellen.”

Jetzt könn­te man als Unter­neh­men oder Ver­ein ver­sucht sein, dar­über hin­weg­zu­le­sen. Schließ­lich han­delt es sich bei die­sen Orga­ni­sa­tio­nen um sog. nicht-öffent­li­che Stel­len. Doch der Inhalt betrifft durch­aus bei­de Berei­che. Ob das The­ma Geburts­tags­lis­te aktu­ell einer der Brenn­punk­te der DSGVO ist, steht auf einem ande­ren Blatt. Aber zur Auf­fri­schung taugt es auf jeden Fall, denn auch noch zu Vor-DSGVO-Zei­ten gab es dazu immer wie­der Nachfragen.

War­um inter­es­siert sich der Daten­schutz für Geburts­tags­lis­ten von Mitarbeitern?

Nun, das ist recht ein­fach erklärt. Wenn abtei­lungs­be­zo­gen oder für die gesam­te Orga­ni­sa­ti­on eine öffent­lich ein­seh­ba­re Lis­te der Geburts­ta­ge der Mit­ar­bei­ter  durch den Arbeit­ge­ber ver­öf­fent­licht wird, dann ver­ar­bei­tet die­ser per­so­nen­be­zo­ge­ne Daten sei­ner Mit­ar­bei­ter und gibt die­se an Drit­te (alle ande­ren Mit­ar­bei­ter) wei­ter. Wie wir nun hin­läng­lich wis­sen, ist dafür einer der Erlaub­nis­tat­be­stän­de aus Art. 6 Abs. 1 DSGVO notwendig:

  • a) Ein­wil­li­gung: liegt im Zwei­fel kei­ne vor, sofern es hier­zu kei­nen gere­gel­ten Pro­zess im Rah­men der Ein­stel­lung gibt.
  • b) Not­wen­dig­keit für die Durch­füh­rung, in die­sem Fall des Arbeits­ver­tra­ges: Für das eigent­li­che Beschäf­tig­ten­ver­hält­nis sicher­lich, für die Ver­öf­fent­li­chung an alle Mit­ar­bei­ter sicher nicht.
  • c) Rechts­vor­schrift: Uns ist zumin­dest kei­ne Rechts­vor­schrift bekannt, wel­che das Ver­öf­fent­li­chen von Geburts­tags­lis­ten der Mit­ar­bei­ter vor­schreibt. Kann ja aber noch kom­men im Zuge der aktu­el­len Gebt-Gesetzen-witzige-Namen-Welle.
  • d) Lebens­wich­ti­ge Inter­es­sen zum Schutz der Mit­ar­bei­ter wird man hier nicht anneh­men können.
  • e) Wahr­neh­mung öffent­li­ches Inter­es­se oder Aus­übung öffent­li­cher Gewalt schei­det aus.
  • f) Ob das sog. berech­tig­te Inter­es­se anwend­bar ist, wird aktu­ell kon­tro­vers dis­ku­tiert. Eine Mehr­heit fin­det sich hier­für kei­ne. Für öffent­li­che Stel­len in Bay­ern ist Buch­sta­be f zumin­dest in der Aus­übung der öffent­li­chen Auf­ga­ben ausgeschlossen.

Bleibt wohl nur die Ein­wil­li­gung für Geburts­tags­lis­ten von Mitarbeitern?

Am Ende des Tages wird es wohl wie frü­her dar­auf hin­aus­lau­fen. Doch ist das Ein­ho­len von schrift­li­chen Ein­wil­li­gun­gen samt deren Abla­ge in der Per­so­nal­ak­te und regel­mä­ßi­gen Prü­fung und Bear­bei­tung von Wider­ru­fen wirk­lich jetzt der Königs­weg. Nein, war es nie und wird es nach unse­rem Dafür­hal­ten auch nie sein. Auch wenn dies durch die oben genann­te Kurz­in­for­ma­ti­on sug­ge­riert wird. Klar kann man die­ses The­ma nun mit viel Papier im Rah­men des Ein­stel­lungs­pro­zes­ses für neue Mit­ar­bei­ter lösen. Allei­ne von den bereits vor­han­de­nen Mit­ar­bei­tern die Ein­wil­li­gung nach­träg­lich ein­zu­ho­len und zu doku­men­tie­ren, ist sicher auch kein zu unter­schät­zen­der Auf­wand. Selbst wenn man die Ein­wil­li­gung mitt­ler­wei­le auch elek­tro­nisch ein­ho­len und doku­men­tie­ren kann. Es geht auch einfacher:

KISS — keep it short and simp­le: Der Geburtstagsliste-Self-Service

Egal, ob orga­ni­sa­ti­ons­weit oder nur abtei­lungs­be­zo­gen: Wenn sich ein Mit­ar­bei­ter frei­wil­lig in einen Geburts­tags­ka­len­der (zen­tral in Out­look oder in Papier­form in der Tee­kü­che) ein­trägt, jeder­zeit die Mög­lich­keit des Wie­der­aus­tra­gens besteht, dann kön­nen Sie sich das gan­ze Klim­bim spa­ren. Aber auch das ist nun nichts Neu­es aus der DSGVO, son­dern wur­de schon frü­her so prag­ma­tisch gehandhabt.

Beson­der­hei­ten bei Geburts­tags­lis­ten per zen­tra­ler Ein­wil­li­gung durch den Arbeitgeber

Soll­ten Sie sich als Arbeit­ge­ber das Pro­ce­de­re mit schrift­li­cher Ein­wil­li­gung den­noch antun wol­len, dann ach­ten Sie dar­auf, dass in Ihren Anga­ben zu den Infor­ma­ti­ons­pflich­ten gem. Art. 13 DSGVO für Mit­ar­bei­ter die Geburts­tags­lis­te Erwäh­nung fin­det. Der dazu­ge­hö­ri­ge Ein­trag in Ihrem Ver­zeich­nis für Ver­ar­bei­tungs­tä­tig­kei­ten darf eben­falls nicht fehlen.

Übri­gens zwei Punk­te, die Sie sich durch den Geburts­tags­lis­te-Self-Ser­vice eben­falls je nach Umset­zung erüb­ri­gen kön­nen. Zumin­dest wenn nicht sei­tens der Orga­ni­sa­ti­on der Anstoß für die­se Geburts­tags­lis­ten und deren Ver­wal­tung /​ Durch­füh­rung kommt, also die Mit­ar­bei­ter den Kalen­der in der Tee­kü­che selbst auf­hän­gen (wäre aber sicher im Detail zu dis­ku­tie­ren). Stellt die Orga­ni­sa­ti­on den Geburts­tags­ka­len­der zen­tral in Out­look o.ä. Pro­gram­men zur Ver­fü­gung, macht es Sinn, einen Ein­trag im VVT und in den Infopflich­ten vor­zu­hal­ten (dan­ke für den Hin­weis im Kommentar).

Damit sind dann auch an der Kuchen-Front alle zufrie­den und das The­ma Daten­schutz wird nicht erneut als Stör­fak­tor wahr­ge­nom­men (was es eigent­lich auch gar nicht ist, ent­spre­chend prag­ma­ti­sche Umset­zung vor­aus­ge­setzt). So und jetzt “KUCHEN”

Bil­der zur Ein­schu­lung und der „böse“ Datenschutz

Sie haben es sicher in den letz­ten Tagen ver­folgt bzw. mit­be­kom­men. TV, Radio, Print und Online-Mel­dun­gen gei­ßeln pas­send zum Schul­be­ginn das The­ma Daten­schutz in Ver­bin­dung mit Bil­dern der neu ein­ge­schul­ten bzw. ein­zu­schu­len­den Kin­der. Der ach so böse Daten­schutz bzw. die DSGVO ist nun schuld, dass die stol­zen Eltern kei­ne Bil­der mehr von ihren Kin­dern im Rah­men der Ein­schu­lung anfer­ti­gen dür­fen. Ver­un­si­che­rung durch Fehl­in­for­ma­tio­nen führt dazu, dass die eine oder ande­re Schu­le ein kom­plet­tes Foto­gra­fier­ver­bot ver­hängt. Neben der Unsi­cher­heit durch fal­sche Pres­se­mel­dun­gen tra­gen da auch die über­zo­ge­nen Sicht­wei­sen und For­de­run­gen ein­zel­ner Heli­ko­pter-Eltern und die Erfah­run­gen im Umgang mit die­sen zu sol­chen Über­re­ak­tio­nen bei. Doch ist das Foto­gra­fie­ren an die­sem Ehren­tag nun wirk­lich eine Sache des Daten­schut­zes? Und ver­bie­tet der Daten­schutz wirk­lich das Anfer­ti­gen sol­cher Bil­der der Liebs­ten an ihrem wich­ti­gen Tag?

Fin­det das The­ma Daten­schutz über­haupt bei Foto­gra­fien die­ser Art Anwendung?

Schau­en wir mal in den Anwen­dungs­be­reich des Daten­schut­zes, kon­kret in den sach­li­chen Anwen­dungs­be­reich im Art. 2 DSGVO. Dort heißt es im Absatz 2:

Die­se Ver­ord­nung fin­det kei­ne Anwen­dung auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten .…
c) durch natür­li­che Per­so­nen zur Aus­übung aus­schließ­lich per­sön­li­cher oder fami­liä­rer Tätigkeiten.

Es ist wohl unstrit­tig, dass ein Foto des eige­nen Kin­des und sogar der Klas­sen­ka­me­ra­din­nen und Kame­ra­den für das pri­va­te Foto­al­bum eine Aus­übung aus­schließ­lich per­sön­li­cher oder fami­liä­rer Tätig­kei­ten dar­stellt. Von daher ist die Auf­re­gung über den bösen Daten­schutz, der sich angeb­lich in immer mehr Berei­che erstreckt, voll­kom­men fehl am Platz. Für genau sol­che Fäl­le hat der Daten­schutz eine Gren­ze gezo­gen (bekom­men). Und dar­an ändert auch die man­tra-arti­ge Wie­der­ho­lung von „Der Daten­schutz ist schuld“ nichts. Ja aber war­um denn dann die gan­ze Aufregung?

Wel­ches Recht spielt denn dann bei Foto­gra­fien zur Ein­schu­lung eine Rolle?

Wie in den meis­ten Fäl­len zum The­ma Foto­gra­fie spielt hier das Kunst­ur­he­ber­ge­setz eine bedeu­ten­de Rol­le. Die­ses Gesetz ist nicht neu, son­dern stammt aus dem Beginn des vori­gen Jahr­hun­derts (!), genau­er aus 1907. Was hier umgangs­sprach­lich auch ger­ne mit dem „Recht am eige­nen Bild“ asso­zi­iert wird, meint den Umstand, dass ich Bil­der von ande­ren nicht ohne deren Zustim­mung öffent­lich machen darf, son­dern dafür eine Ein­wil­li­gung des Betrof­fe­nen bzw. bei Kin­dern deren Erzie­hungs­be­rech­tig­ter benö­tigt wird. Das leuch­tet auch ein, oder? Aber hier kommt jetzt die Tücke der moder­nen Tech­nik zum Tragen.

Braucht die Schu­le (der Kin­der­gar­ten) eine Ein­wil­li­gung aller Erzie­hungs­be­rech­tig­ter, um das Foto­gra­fie­ren am Ein­schu­lungs­tag zuzulassen?

Nein, wie­so auch? Die Bil­der wer­den von den teil­neh­men­den Eltern ange­fer­tigt. Dies ist lt. DSGVO für das pri­va­te Foto­al­bum auch ohne wei­te­re Auf­la­gen zuläs­sig und bedarf kei­ner Ein­wil­li­gung. Da heut­zu­ta­ge Bil­der jedoch ger­ne in sozia­len Netz­wer­ken sofort oder nach kur­zer Zeit ver­öf­fent­licht wer­den, grätscht das Kunst­ur­he­ber­ge­setz, kurz KUG (wohl­ge­merkt, nicht der Daten­schutz!) dazwi­schen und die ver­öf­fent­li­chen­den Eltern (wohl­ge­merkt, nicht die Schu­le) wür­den jetzt eine Ein­wil­li­gung der Erzie­hungs­be­rech­tig­ten der mit­ab­ge­bil­de­ten Kin­der benö­ti­gen. Dies gilt natür­lich nicht, wenn nur der eige­ne Nach­wuchs auf dem Bild zu sehen ist. Aber auch hier wäre die Fra­ge zu stel­len, ob wirk­lich jeder Lebens­schritt der eige­nen Kin­der in sozia­len Netz­wer­ken und damit gegen­über Drit­ten bzw. öffent­lich doku­men­tiert sein muss.

Was ist, wenn die Schu­le jetzt selbst Bil­der anfer­ti­gen lässt und ver­öf­fent­li­chen möchte?

In die­sem Fall muss die Schu­le sich um die im KUG vor­ge­schrie­be­ne Ein­wil­li­gun­gen der Erzie­hungs­be­rech­tig­ten küm­mern, wenn eine Ver­öf­fent­li­chung durch die Schu­le selbst geplant ist.

Was ist, wenn die Schu­le nichts regelt (muss sie ja auch nicht), die foto­gra­fie­ren­den Eltern im Anschluss Bil­der der Ver­an­stal­tung in sozia­len Netz­wer­ken oder an ande­ren Stel­len öffent­lich zugäng­lich machen?

Das ist dann ein kla­res Pro­blem der ver­öf­fent­li­chen Eltern. Der Ver­stoß gegen das Kunst­ur­he­ber­ge­setz wird gegen die Eltern geahn­det, die mein­ten, sich nicht an gel­ten­des Recht hal­ten zu müs­sen. Die Schu­le trifft hier kei­ne Schuld und muss hier für Ver­stö­ße der Eltern auch nicht haf­ten. So kann die Schu­le ja auch kei­nen Ein­fluss dar­auf neh­men, was die Eltern im Anschluss mit den Bil­dern der Ver­an­stal­tung machen.

Hilf­reich — zumin­dest im Sin­ne des Ser­vice­ge­dan­kens — wäre jedoch ein ent­spre­chen­der Hin­weis (schrift­lich gegen­über den Eltern oder Aus­hän­ge am Tag der Ver­an­stal­tung) mit dem Hin­weis, dass Bil­der für pri­va­te Zwe­cke ger­ne gefer­tigt wer­den dür­fen. Eine Ver­öf­fent­li­chung durch die Eltern außer­halb des fami­liä­ren Bereichs z.B. in sozia­len Medi­en wür­de jedoch einen Ver­stoß gegen das KUG dar­stel­len, für den die Eltern dann selbst haften.

Dann ist der Daten­schutz also gar nicht Schuld an der gan­zen Auf­re­gung um Bil­der­ver­bo­te am Einschulungstag?

Nö. Aber irgend­ein Buh­mann wird ja benö­tigt. Und seit Mai 2018 bie­tet sich der böse Daten­schutz gera­de­zu an. Das lenkt per­fekt von zahl­rei­chen ande­ren Ver­säum­nis­sen ab, wie z.B. die bis­he­ri­ge — oft kon­se­quen­te — Miß­ach­tung des Kunst­ur­he­ber­ge­set­zes und des Rech­te am eige­nen Bild. Das The­ma kam zwar im Zuge der DSGVO wie­der an die Öffent­lich­keit, aber die­se Auf­la­gen kom­men aus dem KUG, nicht aus den Daten­schutz­ge­set­zen. Sor­ry, lie­be DSGVO-Kritiker 🙂

Was ist, wenn die Schu­le jetzt den­noch ein Foto­gra­fier­ver­bot aus­spricht? Muss ich mich dann dar­an halten?

In dem Fall ist es egal, ob die Bil­der aus­schließ­lich pri­vat genutzt wer­den oder viel­leicht sogar von wei­te­ren Abge­lich­te­ten Ein­wil­li­gun­gen zur Ver­öf­fent­li­chung vor­lie­gen. Da die Schu­le ihr Haus­recht aus­übt und auf dem Gelän­de der Schu­le Foto­gra­fien ver­bie­ten kann, gilt dies auf jeden Fall. Wer den­noch ein Foto anfer­ti­gen will, muss ein­fach das Schul­ge­län­de ver­las­sen und dann dort das gewünsch­te Bild schießen.
Viel­leicht hilft es aber, wenn die die Betei­lig­ten (Schu­le, Eltern­bei­rat etc.) vor sol­chen Ver­an­stal­tun­gen zusam­men­set­zen und unauf­ge­regt auf Basis der Fak­ten die Vor­ge­hens­wei­se bespre­chen und pla­nen. Für ein Ver­bot gibt es über­haupt kei­nen Grund. Und wenn die Sach­la­ge den Betei­lig­ten bekannt ist, dann wird das ein ent­spann­ter Ein­schu­lungs­tag mit vie­len bild­haf­ten und blei­ben­den Ein­drü­cken. Ganz so wie es sein soll.

Noch ein Tipp an die Han­dy-Süch­ti­gen: Legen Sie das Smart­phone bei sol­chen Ver­an­stal­tun­gen ger­ne mal aus der Hand und schau­en live der Ver­an­stal­tung zu. Die­se Emo­tio­nen sind durch kein Bild oder ver­wa­ckel­tes Han­dy-Video spä­ter zu ersetzen.

Das Anhe­ben der Mit­ar­bei­ter­gren­ze für die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten senkt nicht die Bürokratie

Daten­schutz-Anpas­sungs­ge­setz 2019 und die Folgen

Die Uni­ons­par­tei­en las­sen sich fei­ern bzw. fei­ern sich selbst. Von einem Weg­fall der Büro­kra­tie im Daten­schutz für klei­ne Betrie­be und Ver­ei­ne ist die Rede. Das The­ma Daten­schutz sei jetzt viel ein­fa­cher und weni­ger auf­wän­dig für eine Viel­zahl von Betrie­ben und Ver­ei­nen. Anlass ist die Ver­ab­schie­dung eines Anpas­sungs­ge­set­zes mit not­wen­di­gen Kor­rek­tu­ren in 154 natio­na­len Geset­zen im Bun­des­tag am ver­gan­ge­nen Frei­tag, zu nächt­li­cher Unzeit. Und es stimmt, eine Anpas­sung zahl­rei­cher natio­na­ler Geset­ze und Rege­lun­gen war durch die DSGVO aus Mai 2018 not­wen­dig gewor­den. Doch was aktu­ell in ver­schie­de­nen Medi­en als Erfolg für den Abbau von Büro­kra­tie gefei­ert wird, allen vor­an bei Hand­werks­kam­mern und Ver­ei­nen, das ent­behrt einer Grund­la­ge. Noch dazu zeugt es davon, dass die Betei­lig­ten, das The­ma Daten­schutz und die recht­li­chen Anfor­de­run­gen nicht ganz umris­sen haben.

Hin­ter­grund ist die Anhe­bung der Mit­ar­bei­ter­gren­ze, ab der für Unter­neh­men und Ver­ei­ne die Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten vor­liegt. War hier bis­her die Gren­ze von min­des­tens 10 (mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten befass­ten) Mit­ar­bei­tern gezo­gen, soll zukünf­tig — die Zustim­mung im Bun­des­rat vor­aus­ge­setzt — erst ab 20 Mit­ar­bei­tern eine Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten vor­lie­gen. Die Ver­ant­wort­li­chen ver­spre­chen den betrof­fe­nen Unter­neh­men und Ver­ei­nen eine spür­ba­re büro­kra­ti­sche Ent­las­tung im Daten­schutz. Ist dem so?

Weg­fall des Daten­schutz­be­auf­trag­ten bedeu­tet weni­ger Datenschutz-Bürokratie?

Ein kla­res NEIN. Und das ist auch ganz ohne juris­ti­sche Kennt­nis­se ganz leicht zu beant­wor­ten. Die DSGVO schreibt (wie übri­gens auch das vor­he­ri­ge Daten­schutz­recht) die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten unter gewis­sen Vor­aus­set­zun­gen vor. Eben­so beinhal­tet das Bun­des­da­ten­schutz­ge­setz in neu­er Fas­sung 2018 die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten und kon­kre­ti­siert im Rah­men einer sog. Öff­nung­klau­sel wei­te­re Vor­aus­set­zun­gen. So heißt es im § 38 Abs. 1 BDSG n.F.

Ergän­zend zu Arti­kel 37 Absatz 1 Buch­sta­be b und c der Ver­ord­nung (EU) 2016/​679 benen­nen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter eine Daten­schutz­be­auf­trag­te oder einen Daten­schutz­be­auf­trag­ten, soweit sie in der Regel min­des­tens zehn Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­ti­gen. Neh­men der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter Ver­ar­bei­tun­gen vor, die einer Daten­schutz-Fol­gen­ab­schät­zung nach Arti­kel 35 der Ver­ord­nung (EU) 2016/​679 unter­lie­gen, oder ver­ar­bei­ten sie per­so­nen­be­zo­ge­ne Daten geschäfts­mä­ßig zum Zweck der Über­mitt­lung, der anony­mi­sier­ten Über­mitt­lung oder für Zwe­cke der Markt- oder Mei­nungs­for­schung, haben sie unab­hän­gig von der Anzahl der mit der Ver­ar­bei­tung beschäf­tig­ten Per­so­nen eine Daten­schutz­be­auf­trag­te oder einen Daten­schutz­be­auf­trag­ten zu benennen.

Die­se Gren­ze von min­des­tens 10 Per­so­nen für die Bestell­pflicht eines inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten soll nun mit den aktu­el­len Anpas­sun­gen, denen der Bun­des­rat noch zustim­men muss (was sehr wahr­schein­lich ist), auf 20 Per­so­nen ange­ho­ben wer­den. Weder in den bis­he­ri­gen Begrün­dun­gen und Erläu­te­run­gen zu die­sem Geset­zes­ent­wurf noch in den zahl­rei­chen Pres­se­ar­ti­keln der Uni­ons­par­tei­en, den Befür­wor­tern die­ser Ände­rung oder Wirt­schafts­ver­bän­den ist jedoch eine nach­voll­zieh­ba­re Erklä­rung vor­han­den, wie­so dies nun weni­ger Büro­kra­tie für die betrof­fe­nen Unter­neh­men und Ver­ei­ne bedeutet.

Es wird auch sehr schwer sein, eine sol­che Erklä­rung zu fin­den. Denn der Daten­schutz­be­auf­trag­te sorgt nicht für die Büro­kra­tie im Daten­schutz. Das über­neh­men die Geset­ze und teil­wei­se auch die nicht immer kla­ren bzw. gele­gent­lich pra­xis­fer­nen Aus­le­gun­gen der Landesdatenschutzbehörden.

“Ja, aber jetzt müs­sen klei­ne Unter­neh­men und Ver­ei­ne für den Daten­schutz nichts mehr tun!”

Auch hier wie­der eine kla­re Aus­sa­ge: DOCH! Ohne jetzt mal eine Unter­schei­dung zwi­schen Behör­den, Unter­neh­men oder Ver­ei­nen vor­zu­neh­men: Ein Para­graph von 85 ins­ge­samt im BDSG n.F. wur­de ange­passt, die sons­ti­gen Anfor­de­run­gen aus dem BDSG und der DSGVO (99 wei­te­re Arti­kel) blei­ben von der Gren­ze zur Bestell­pflicht eines Daten­schutz­be­auf­trag­ten unbe­rührt. Rech­nen wir doch ein­fach mal:

85 BDSG + 99 DSGVO = 184 DATENSCHUTZ
1 von 184 = 0,54% Änderung

Da kann schon mathe­ma­tisch kei­ne all­zu­gro­ße Ent­las­tung bei her­aus­kom­men. Denn um es mit aller Deut­lich­keit zu sagen, ALLE Anfor­de­run­gen, die von Unter­neh­men und Ver­ei­nen als büro­kra­ti­sche “Belas­tung” emp­fun­den wer­den, blei­ben wei­ter­hin bestehen und müs­sen ent­spre­chend erfüllt wer­den (eini­ge Beispiele):

  • Pflicht zum Erstel­len und Pfle­gen eines Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten nach Art. 30 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Iden­ti­fi­ka­ti­on, Bewer­tung und Mel­dung von Daten­pan­nen an Auf­sichts­be­hör­de und Betrof­fe­ne nach Art. 33, 34 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Prü­fen aus­rei­chen­der tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men von exter­nen Dienst­leis­tern und Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung gemäß Art. 28, 32 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Bear­bei­ten und Sicher­stel­len von Betrof­fe­nen­rech­ten nach Art. 12–23 DSGVO inkl. Zusam­men­stel­len und Zur­ver­fü­gung­stel­len der Anga­ben zu den Infor­ma­ti­ons­pflich­ten? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Sicher­heit der eige­nen Ver­ar­bei­tung regel­mä­ßig prü­fen und not­wen­di­ge Anpas­sun­gen sicher­stel­len nach Art. 32 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Risi­ko­ab­schät­zung von Ver­ar­bei­tungs­tä­tig­kei­ten bis hin zur Daten­schutz-Fol­gen­ab­schät­zung nach Art. 32+35 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Regel­mä­ßi­ge Schu­lung und Sen­si­bi­li­sie­rung von Mit­ar­bei­tern, nicht nur am Tag der Ein­stel­lung, nach Art. 39 Abs. 1 lit b DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Und die­se Lis­te lie­ße sich noch um vie­le wei­te­re (durch­aus auch mal) “büro­kra­tie­be­haf­te­te” Tätig­kei­ten fort­füh­ren .… CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden

Die von der beschlos­se­nen Anpas­sung aus­ge­sen­de­te Bot­schaft ist durch­aus als toxisch zu bezeich­nen. Der Fehl­glau­be, mit Weg­fall der Bestell­pflicht ent­fie­len auch alle ande­ren daten­schutz­recht­li­chen Anfor­de­run­gen war auch im alten BDSG vor 2018 weit ver­brei­tet. Aus unse­rer Erfah­rung quä­len sich seit der DSGVO gera­de die Betrie­be und Ver­ei­ne mit dem Daten­schutz am meis­ten, wel­che es in den Jah­ren davor unter dem alten Daten­schutz­recht etwas läs­sig haben ange­hen las­sen. Für die­se Ver­säum­nis­se und auch die gene­rel­len recht­li­chen For­ma­li­tä­ten im Daten­schutz­recht kann der Daten­schutz­be­auf­trag­te jedoch nichts. Im Gegen­teil: Der Daten­schutz­be­auf­trag­te wäre der idea­le Ansprech­part­ner mit aus­rei­chend Wis­sen und Sach­ver­stand, um die­se büro­kra­ti­schen Anfor­de­run­gen pro­blem­los zu meis­tern und für eine Daten­schutz-Kul­tur in der Orga­ni­sa­ti­on zu sorgen.

Daten­schutz­ver­stö­ße und Buß­gel­der wer­den zunehmen

Man muss kein Wahr­sa­ger sein, dass sowohl die Zahl der Daten­schutz­ver­stö­ße und die der Buß­gel­der nun zuneh­men wird. Die Lan­des­da­ten­schutz­be­hör­den haben bereits in 2018, in der Pla­nungs­pha­se für die­ses Anpas­sungs­ge­setz signa­li­siert, mit der vor­han­de­nen Per­so­nal­aus­stat­tung kei­ne bera­ten­den, son­dern nur noch kon­trol­lie­ren­de Tätig­kei­ten aus­üben zu kön­nen. Eine Auf­sto­ckung ist nach unse­rem Kennt­nis­stand in kei­nem Bun­des­land geplant. Sorg­te bis­her der Daten­schutz­be­auf­trag­te für das not­wen­di­ge Wis­sen in klei­nen Unter­neh­men und Ver­ei­nen, so geht die­ses Wis­sen nun im Rah­men der ver­meint­li­chen “Ent­bü­ro­kra­ti­sie­rung” von Bord. Damit ste­hen übli­cher­wei­se Inha­ber, Geschäfts­füh­rer und Ver­eins­vor­stän­de in der Pflicht, für die kor­rek­te Umset­zung und den Betrieb des Daten­schut­zes Sor­ge zu tra­gen. Und da reden wir bis­her nur von den For­ma­li­tä­ten, sie­he Abschnitt zuvor. Ein akti­ver Daten­schutz­be­auf­trag­ter ist Bera­ter, Coach, Moti­va­tor und Kon­trol­leur zugleich. Ein akti­ver Daten­schutz­be­auf­trag­ter sorgt bei guter Auf­ga­ben­er­fül­lung für einen geleb­ten Daten­schutz in der Orga­ni­sa­ti­on. Auch die­se Auf­ga­be obliegt nun ande­ren Ver­ant­wort­li­chen. Woher kommt der not­wen­di­ge Zeit­an­teil dafür, wo doch alle Unter­neh­men per­so­nell auf spit­zer Kan­te fah­ren? Woher kommt das not­wen­di­ge Wis­sen für die kor­rek­te Umset­zung des Daten­schut­zes? Wird es jetzt 4‑stündige Crash-Kur­se der ein­schlä­gi­gen Anbie­ter geben “DSGVO ohne Büro­kra­tie und Auf­wand für Geschäfts­füh­rer und Ver­eins­vor­stän­de”, selbst­ver­ständ­lich mit bun­tem Zer­ti­fi­kat auf Hoch­glanz? Gute Kur­se zum Ein­stieg für einen DSB dau­ern 5 Tage. Und danach hat der DSB immer noch einen lan­gen Weg vor sich, bis er weiß, was und wie es kon­kret zu tun ist!

Und wenn etwas pas­siert oder im Fal­le einer Über­prü­fung als Man­gel fest­ge­stellt wird, die Haf­tung bleibt. Die bis­he­ri­ge Art von “Ver­si­che­rung” oder zumin­dest die Mög­lich­keit zur Ver­rin­ge­rung von Ein­tritts­wahr­schein­lich­kei­ten von Risi­ken und Män­geln, die wird jetzt per Gesetz von Bord geschickt, wenn der Bun­des­rat nicht noch zur Ver­nunft kommt.

Der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber twit­ter­te nicht zu Unrecht:

Mit der Ver­wäs­se­rung der Anfor­de­rung zur Ernen­nung eines betrieb­li­chen Daten­schutz­be­auf­trag­ten wird den Unter­neh­men nur Ent­las­tung sug­ge­riert. Daten­schutz­pflich­ten blei­ben, Kom­pe­tenz fehlt ohne bDSB. Fol­ge wer­den mehr Daten­schutz­ver­stös­se und Buß­gel­der sein ☹️

Im Ergeb­nis haben klei­ne Unter­neh­men und Ver­ei­ne nur weni­ge Möglichkeiten:

  1. Igno­ranz des The­mas Daten­schutz: Sie­he Haf­tung und Bußgelder
  2. Eigen­re­gie und Prin­zip Hoff­nung: Inha­ber, Geschäfts­füh­rer oder Ver­eins­vor­stand eig­nen sich in ihrer eh schon knap­pen Zeit das not­wen­di­ge Know How an, hal­ten die­ses aktu­ell und küm­mern sich um die kor­rek­te Umset­zung in der eige­nen Orga­ni­sa­ti­on. Wie rea­lis­tisch wird das sein?
  3. Exter­nes Know How zukau­fen: Da das not­wen­di­ge Wis­sen und die Mög­lich­keit zur Wei­ter­bil­dung nicht gege­ben sind, wird das Know How extern zugekauft
  4. Inter­nen Mit­ar­bei­ter für das The­ma Daten­schutz aus­bil­den und Auf­ga­ben über­tra­gen: Kos­ten für die Aus- und Wei­ter­bil­dung, not­wen­di­ge Zeit­an­tei­le müs­sen ein­ge­plant werden

Übri­gens sind die Vari­an­ten 3 und 4 ganz nah am exter­nen und inter­nen Daten­schutz­be­auf­trag­ten. Und ob Vari­an­ten 1 und 2 so geschickt sind, die Erfah­rung muss jetzt jeder Ver­ant­wort­li­che für sich selbst machen. Sofern die­ser in Betracht zieht, die Auf­wei­chung zur Gren­ze der Bestell­pflicht nach oben für die eige­nen Orga­ni­sa­ti­on zu nutzen.

Was hät­te der Gesetz­ge­ber bes­ser machen können?

Die Sinn­haf­tig­keit der Anhe­bung der Gren­ze für die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten kann man durch­aus in Zwei­fel zie­hen. Dabei hät­te der Gesetz­ge­ber — zumin­dest in Tei­len — durch­aus die Mög­lich­keit gehabt, für Klar­heit zu sor­gen. Die­se wur­de jedoch ver­säumt. So hät­te der immer noch schwe­len­de Kon­flikt mit dem Recht auf freie Mei­nungs­äu­ße­rung und dem Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung auch oder gera­de im Rah­men jour­na­lis­ti­scher Tätig­kei­ten gelöst wer­den kön­nen. Ein paar klä­ren­de Para­gra­phen zu der noch immer herr­schen­den Unsi­cher­heit beim Anfer­ti­gen und Nut­zen von Foto­gra­fien im Kon­flikt mit dem KUG hät­ten durch­aus auch Charme gehabt. Ob es zweck­dien­lich für das The­ma Daten­schutz ist, das BSI von Tei­len der Betrof­fe­nen­rech­te zukünf­tig aus­zu­neh­men und die Rechen­schafts­pflicht hier ein­zu­schrän­ken, darf durch­aus auch in Zwei­fel gezo­gen wer­den. Man hät­te sich aber auch um den vom Bun­des­ver­fas­sungs­ge­richt vor kur­zem für ungül­tig erklär­ten § 4 Abs. 1 BDSG zur Video­über­wa­chung küm­mern kön­nen oder zumin­dest klar­stel­len kön­nen, dass euro­päi­sches Recht hier gilt. Da kann man es auch nur noch mit einem leich­ten Schmun­zeln zur Kennt­nis neh­men, dass jetzt auch der Digi­tal­funk der Poli­zei einer 75-tägi­gen Vor­rats­da­ten­spei­che­rung unter­wor­fen wer­den soll. Und das, wo die aktu­el­le Frist von 70 Tagen zur Zeit aus­ge­setzt ist und vor dem Bun­des­ver­fas­sungs­ge­richt geklärt wird.

Es gibt viel Ver­bes­se­rungs­po­ten­ti­al im Bereich Daten­schutz, gar kei­ne Fra­ge. Ein­heit­li­che und pra­xis­na­he Aus­le­gun­gen sei­tens der Lan­des­da­ten­schutz­be­hör­den hät­ten enor­mes Poten­ti­al, auch die Akzep­tanz des The­mas Daten­schutz gene­rell zu erhö­hen. Hier kann der Gesetz­ge­ber jedoch nicht regelnd ein­grei­fen, außer man wür­de die Lan­des­da­ten­schutz­be­hör­den auf­lö­sen und in einer zen­tra­len Orga­ni­sa­ti­on des Bun­des zusam­men­fas­sen. Statt­des­sen wird nun in klei­nen Schif­fen und Boo­ten der Lot­se von Bord geschickt. Die Zukunft wird zei­gen, ob die gewünsch­te Ent­bü­ro­kra­ti­sie­rung damit Ein­zug hält. Es steht nicht zu vermuten.

Übri­gens ein Schelm, wer Böses dabei denkt: Der Pas­sus zur Anhe­bung der Gren­ze von 10 auf 20 Mit­ar­bei­ter wur­de erst Mon­tag, den 24.06.2019 — also sehr kurz­fris­tig vor der Ver­ab­schie­dung am Frei­tag im Bun­des­tag — (wie­der) eingefügt.

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?

Kom­pe­ten­te Bera­tung, prag­ma­ti­sche Ein­füh­rung eines DSMS und anschlie­ßen­de Betreu­ung als exter­ner Daten­schutz­be­auf­trag­ter erhal­ten Sie selbst­ver­ständ­lich vom Team von a.s.k. Daten­schutz. For­dern Sie Ihr unver­bind­li­ches Ange­bot über unser For­mu­lar an. Wir mel­den uns bei Ihnen zeitnah.

Die DSGVO Schon­frist ist vor­bei — Auf­sichts­be­hör­den machen ernst

Seit Mai 2018 ist die EU Daten­schutz-Grund­ver­ord­nung (DSGVO) wirk­sam, nach­dem sie bereits Mai 2016 in Kraft getre­ten ist. Zeit bestand aus­rei­chend, sich auf die Neue­run­gen vor­zu­be­rei­ten. Die eine oder ande­re Orga­ni­sa­ti­on hat die Gele­gen­heit genutzt, bestehen­de Lücken in der eige­nen Daten­schutz-Orga­ni­sa­ti­on zu schlie­ßen. In den letz­ten Mona­ten haben wir öfter mal den Satz gehört „Woher soll ich wis­sen, was da im Daten­schutz zu tun ist?“. Hier gilt eine Hol­schuld durch die Orga­ni­sa­ti­ons­lei­tung getreu dem Mot­to „Unwis­sen­heit schützt vor Stra­fe nicht“. Für die Ein­hal­tung gesetz­li­cher Vor­schrif­ten ist die Lei­tung zustän­dig und ver­ant­wort­lich. Für Geschäfts­füh­rer gilt hier § 130 Gesetz über Ord­nungs­wid­rig­kei­ten (OWiG) mit der tref­fen­den Bezeich­nung “Ver­let­zung der Auf­sichts­pflicht in Betrie­ben und Unter­neh­men“. Ähn­li­che Ver­pflich­tun­gen für Behör­den trifft sogar unser Grundgesetz.

Die DSGVO-Schon­zeit ist vorbei

Die meis­ten Lan­des­da­ten­schutz­be­hör­den haben jedoch in den letz­ten Mona­ten ein Auge zuge­drückt und eine im Gesetz nicht vor­ge­se­he­ne frei­wil­li­ge Karenz­zeit ein­ge­scho­ben. In die­sem Zeit­raum soll­ten Orga­ni­sa­tio­nen die Gele­gen­heit letzt­ma­lig nut­zen, die recht­li­chen Ver­pflich­tun­gen aus der DSGVO in Ver­bin­dung mit dem neu­en Bun­des­da­ten­schutz­ge­setz (BDSG) für Unter­neh­men und den Lan­des­da­ten­schutz­ge­set­zen für Lan­des­be­hör­den und kom­mu­na­le Ein­rich­tun­gen umzu­set­zen. Die­se Schon­zeit ist nun vorbei!

Es wird ernst — aber Buß­gel­der sind nicht das eigent­li­che Problem

Ende Okto­ber wur­de ein ers­tes Buß­geld gegen ein por­tu­gie­si­sches Kran­ken­haus ver­hängt. 400.000 Euro für den laxen Umgang mit Pati­en­ten­da­ten. Das ist erst mal ein Bro­cken. Wei­te­re Buß­gel­der und ver­stärkt Sank­tio­nen in Form von Auf­la­gen haben jetzt auch die deut­schen Lan­des­da­ten­schutz­be­hör­den ange­kün­digt. In den nächs­ten Wochen wird in der Pres­se davon zu lesen und zu hören sein. Glück­li­cher­wei­se gilt es für die Auf­sichts­be­hör­den nach wie vor, bei der Bemes­sung von Buß­gel­dern Ange­mes­sen­heit und Ver­hält­nis­mä­ßig­keit zu wah­ren. Die in der Pres­se oder auch in Bera­tungs­an­ge­bo­ten ger­ne zitier­ten 10 bis 20 Mil­lio­nen Euro (bzw. 2–4% des welt­wei­te­ren Kon­zern­um­sat­zes im Vor­jahr) sind natür­lich im Gesetz so vor­ge­se­hen. In der unre­flek­tier­ten Kom­mu­ni­ka­ti­on sind die­se Zah­len jedoch rei­ne Panik­ma­che. Klei­ne und mit­tel­stän­di­sche Betrie­be wer­den sich mit sol­chen Sum­men sicher nicht kon­fron­tiert sehen. Das heißt aber nicht, sich wei­ter zurück­leh­nen und das The­ma aus­sit­zen zu können.

Denn abge­se­hen von Buß­gel­dern und Sank­tio­nen, geht schnell mit Daten­schutz­ver­stö­ßen auch ein Image­scha­den ein­her. Auch Scha­den­er­satz ist im Daten­schutz mög­lich. Grund genug, zumin­dest ein paar „Basics“ in der eige­nen Orga­ni­sa­ti­on umzusetzen.

Hier ein paar Tipps und Hin­wei­se zur Umset­zung der DSGVO Anforderungen:

1. Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten (VVT)

Ihre Orga­ni­sa­ti­on wird im Zwei­fel mit einer Viel­falt und Viel­zahl an per­so­nen­be­zo­ge­nen Daten von Mit­ar­bei­tern, Kun­den, Bür­gern, Inter­es­sen­ten, Geschäfts­part­nern etc. umge­hen. Aus die­sem Grund trifft eigent­lich (fast) jede Orga­ni­sa­ti­on die Pflicht, ein sog. Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten zu füh­ren. Dabei han­delt es sich um detail­lier­te Über­sich­ten, wo und wie und in wel­chen sog. „Ver­fah­ren“ (nicht immer iden­tisch mit Pro­gram­men) Ihre Orga­ni­sa­ti­on per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet. Das VVT ist Grund­la­ge für wei­te­re Daten­schutz-Tätig­kei­ten und ele­men­ta­rer Bestand­teil Ihrer Rechen­schafts­pflicht, die recht­li­chen Daten­schutz-Anfor­de­run­gen in Ihrer Orga­ni­sa­ti­on umge­setzt zu haben

2. Rech­te der Kund­schaft sicherstellen

Im Rah­men der DSGVO haben sich die Rech­te der sog. Betrof­fe­nen wei­ter ver­bes­sert. So kann jede Per­son von Unter­neh­men und Behör­den sehr umfäng­lich Aus­kunft über die gespei­cher­ten und ver­ar­bei­te­ten Daten ver­lan­gen. Neben der rei­nen Aus­kunft ist eine sog. „Daten­ko­pie“, sowohl von vor­han­de­nen ana­lo­gen als auch digi­ta­len Daten in geeig­ne­ter Form mit­zu­lie­fern. Wenn Sie kei­ne Über­sicht haben, wo und wie wel­che per­so­nen­be­zo­ge­nen Daten in Ihrer Orga­ni­sa­ti­on gespei­chert sind, wird es schwer­fal­len, die­sem aus­führ­li­chen Anspruch ohne Feh­ler und /​ oder Bean­stan­dung gerecht zu werden.
Wei­ter­hin sind per­so­nen­be­zo­ge­ne Daten nach Ablauf der gesetz­li­chen Auf­be­wah­rungs­frist umge­hend zu löschen. Pein­lich, wenn Sie im Rah­men der Aus­kunft Infor­ma­tio­nen her­aus­ge­ben, die schon längt hät­ten gelöscht sein müssen.

3. Infor­ma­ti­ons­pflich­ten

Jede Orga­ni­sa­ti­on muss Betrof­fe­ne bei direk­ter und indi­rek­ter Erhe­bung über die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten auf­klä­ren (Art. 13+14 DSGVO). Die­se Pflicht­an­ga­ben sind recht umfang­reich und müs­sen leicht zugäng­lich sein. Hier gilt es, die­se Pflicht­an­ga­ben für die Ver­ar­bei­tun­gen in der Orga­ni­sa­ti­on zusam­men­zu­stel­len und dann z.B. über Web­sei­te, Aus­hän­ge, Hin­wei­se auf die Anga­ben auf der Web­sei­te an die Betrof­fe­nen zu kom­mu­ni­zie­ren. Bit­te ver­wech­seln Sie das nicht mit der Daten­schutz­er­klä­rung auf Ihrer Web­sei­te. Das ist ein ganz ande­res Thema.
Da das Vor­han­den­sein und Durch­füh­ren der Infor­ma­ti­ons­pflich­ten mit einem Blick auf die Web­sei­te oder einem ein­fa­chen Anruf bei Ihnen sofort fest­ge­stellt wer­den kann, sind feh­len­de Umset­zun­gen schnell festzustellen.

4. Ein­wil­li­gun­gen

Wenn Sie per­so­nen­be­zo­ge­ne Daten zur Durch­füh­rung eines Ver­tra­ges oder auf­grund einer Rechts­vor­schrift erhe­ben, benö­ti­gen Sie kei­ne Ein­wil­li­gung (das wird auch nicht wah­rer, wenn vie­le Medi­en das Gegen­teil behaup­ten). In vie­len ande­ren Fäl­len (Email-Wer­bung, Tele­fon-Wer­bung etc.) ist eine Ein­wil­li­gung uner­läß­lich. Ein­wil­li­gun­gen müs­sen aktiv, frei­wil­lig, trans­pa­rent und aus­führ­lich sowie mit Hin­weis auf die Wider­rufs­mög­lich­keit erteilt wer­den. Prü­fen Sie Ihre Ein­wil­li­gun­gen, ob die­se den Anfor­de­run­gen entsprechen.

5. Wer­bung

Brief­wer­bung (also wirk­lich klas­si­sche Post) ist nach der DSGVO im Ein­klang mit dem UWG (Gesetz gegen den unlau­te­ren Wett­be­werb) ohne Ein­wil­li­gung mög­lich. Für Email-Wer­bung gilt dies nur für Bestands­kun­den. Dabei darf aber der vor­ge­schrie­be­ne Hin­weis auf die jeder­zei­ti­ge Wider­rufs­mög­lich­keit nicht ver­ges­sen wer­den. Alle ande­ren Daten dür­fen nur mit gül­ti­ger Ein­wil­li­gung (sie­he 4) für Wer­be­zwe­cke genutzt werden.

6. Sicher­heit der Datenverarbeitung

Unge­schütz­te Daten­spei­che­rung, unver­schlüs­sel­te Daten­über­tra­gung, End­ge­rä­te (PC, Lap­tops, Tablet und Smart­phone) ohne Pass­wort­schutz, unzu­rei­chen­de oder nicht dem Stand der Tech­nik ent­spre­chen­de Daten­si­che­run­gen sind Geschich­te. Die DSGVO schiebt dem laxen Umgang mit der IT-Sicher­heit einen hef­ti­gen Rie­gel vor. Zukünf­tig muss nicht der Betrof­fe­ne im Scha­den­fall nach­wei­sen, dass Ihre Orga­ni­sa­ti­on kei­ne aus­rei­chen­den Schutz­maß­nah­men für des­sen per­so­nen­be­zo­ge­ne Daten ergrif­fen hat. Statt­des­sen ist Ihre Orga­ni­sa­ti­on beweis­pflich­tig, das alles Mach- und Zumut­ba­re an Sicher­heits­maß­nah­men ein­ge­führt und regel­mä­ßig auf Funk­ti­ons­fä­hig­keit geprüft wurde.

7. Mel­de­pflicht von Datenpannen

Ver­bum­mel­te Papier­un­ter­la­gen, ver­lo­re­ne tech­ni­schen Gerä­te, feh­ler­haf­ter Ver­sand (Post /​ Email), mit Schad­code befal­le­ne IT-Sys­te­me und vie­le Anläs­se mehr füh­ren schnell zu einer mel­de­pflich­ti­gen Daten­pan­ne, wenn per­so­nen­be­zo­ge­ne Daten im Spiel sind. Die­se Daten­pan­nen sind alle­samt intern zu doku­men­tie­ren und auf Risi­ko für den Betrof­fe­nen zu bewer­ten. Liegt ein Risi­ko für Betrof­fe­ne vor, gilt es die Daten­pan­ne inner­halb von 72h an die zustän­di­ge Auf­sichts­be­hör­de online zu mel­den. Bei beson­ders hohem Risi­ko müs­sen zusätz­lich die Betrof­fe­nen durch Sie infor­miert wer­den. Schau­en Sie auf die Web­sei­te Ihrer Lan­des­da­ten­schutz­be­hör­de mit dem dazu­ge­hö­ri­gen Mel­de­for­mu­lar. Sie wer­den stau­nen, wie schnell und umfang­reich eine sol­che Mel­dung getä­tigt wer­den muss. Ohne inter­ne Pro­zes­se zur Erken­nung, Bewer­tung und Mel­dung sind die Anfor­de­run­gen nicht zu erfül­len. Damit ist nicht zu spa­ßen. Und nach der Daten­pan­ne nicht die Nach­be­ar­bei­tung ver­ges­sen: Was ist zu tun, damit sich die­se Art der Daten­pan­ne mög­lichst nicht wiederholt.

8. Daten­schutz­be­auf­trag­ter /​ DSB

Sobald mehr als 9 Mit­ar­bei­ter regel­mä­ßig per­so­nen­be­zo­ge­ne Daten von Kun­den und /​ oder Mit­ar­bei­tern ver­ar­bei­ten, muss Ihre Orga­ni­sa­ti­on einen Daten­schutz­be­auf­trag­ten bestel­len. Öffent­li­che Stel­len unter­lie­gen einer gene­rel­len Bestell­pflicht, ganz unab­hän­gig von der Mit­ar­bei­ter­an­zahl. Die Aus­füh­rung die­ser Bestell­pflicht kann die Auf­sichts­be­hör­de seit Mai 2018 ganz ein­fach über­prü­fen. Denn Ihre Orga­ni­sa­ti­on muss den Daten­schutz­be­auf­trag­ten offi­zi­ell bei der Auf­sichts­be­hör­de mit Name und Kon­takt­da­ten mel­den. Ein Abgleich bringt schnell zuta­ge, wel­che Ein­rich­tung wohl der Bestell­pflicht unter­liegt, aber kei­ne Mel­dung vor­ge­nom­men hat. Zusätz­lich müs­sen Sie Ihren Daten­schutz­be­auf­trag­ten offi­zi­ell im Rah­men der Daten­schutz­er­klä­rung auf Ihrer Web­sei­te mit Kon­takt­da­ten benen­nen. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Dann wird es Zeit. Die­ser hilft Ihnen übri­gens auch sofort bei der Umset­zung der 7 ande­ren Punk­te aus die­ser Lis­te — und bei vie­len wei­te­ren Daten­schutz-The­men, die Ihre Orga­ni­sa­ti­on umge­setzt haben muss.

Viel Erfolg!

PS: Die Punk­te 1–8 sind einer Infor­ma­ti­ons­bro­schü­re des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht ent­nom­men. Unser Arti­kel stellt kei­ne Rechts­be­ra­tung dar.

Die mobile Version verlassen