Zum Inhalt springen

Datenschutzbeauftragter

Das Anhe­ben der Mit­ar­bei­ter­gren­ze für die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten senkt nicht die Bürokratie

Daten­schutz-Anpas­sungs­ge­setz 2019 und die Folgen

Die Uni­ons­par­tei­en las­sen sich fei­ern bzw. fei­ern sich selbst. Von einem Weg­fall der Büro­kra­tie im Daten­schutz für klei­ne Betrie­be und Ver­ei­ne ist die Rede. Das The­ma Daten­schutz sei jetzt viel ein­fa­cher und weni­ger auf­wän­dig für eine Viel­zahl von Betrie­ben und Ver­ei­nen. Anlass ist die Ver­ab­schie­dung eines Anpas­sungs­ge­set­zes mit not­wen­di­gen Kor­rek­tu­ren in 154 natio­na­len Geset­zen im Bun­des­tag am ver­gan­ge­nen Frei­tag, zu nächt­li­cher Unzeit. Und es stimmt, eine Anpas­sung zahl­rei­cher natio­na­ler Geset­ze und Rege­lun­gen war durch die DSGVO aus Mai 2018 not­wen­dig gewor­den. Doch was aktu­ell in ver­schie­de­nen Medi­en als Erfolg für den Abbau von Büro­kra­tie gefei­ert wird, allen vor­an bei Hand­werks­kam­mern und Ver­ei­nen, das ent­behrt einer Grund­la­ge. Noch dazu zeugt es davon, dass die Betei­lig­ten, das The­ma Daten­schutz und die recht­li­chen Anfor­de­run­gen nicht ganz umris­sen haben.

Hin­ter­grund ist die Anhe­bung der Mit­ar­bei­ter­gren­ze, ab der für Unter­neh­men und Ver­ei­ne die Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten vor­liegt. War hier bis­her die Gren­ze von min­des­tens 10 (mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten befass­ten) Mit­ar­bei­tern gezo­gen, soll zukünf­tig — die Zustim­mung im Bun­des­rat vor­aus­ge­setzt — erst ab 20 Mit­ar­bei­tern eine Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten vor­lie­gen. Die Ver­ant­wort­li­chen ver­spre­chen den betrof­fe­nen Unter­neh­men und Ver­ei­nen eine spür­ba­re büro­kra­ti­sche Ent­las­tung im Daten­schutz. Ist dem so?

Weg­fall des Daten­schutz­be­auf­trag­ten bedeu­tet weni­ger Datenschutz-Bürokratie?

Ein kla­res NEIN. Und das ist auch ganz ohne juris­ti­sche Kennt­nis­se ganz leicht zu beant­wor­ten. Die DSGVO schreibt (wie übri­gens auch das vor­he­ri­ge Daten­schutz­recht) die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten unter gewis­sen Vor­aus­set­zun­gen vor. Eben­so beinhal­tet das Bun­des­da­ten­schutz­ge­setz in neu­er Fas­sung 2018 die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten und kon­kre­ti­siert im Rah­men einer sog. Öff­nungklau­sel wei­te­re Vor­aus­set­zun­gen. So heißt es im § 38 Abs. 1 BDSG n.F.

Ergän­zend zu Arti­kel 37 Absatz 1 Buch­sta­be b und c der Ver­ord­nung (EU) 2016/​679 benen­nen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter eine Daten­schutz­be­auf­trag­te oder einen Daten­schutz­be­auf­trag­ten, soweit sie in der Regel min­des­tens zehn Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­ti­gen. Neh­men der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter Ver­ar­bei­tun­gen vor, die einer Daten­schutz-Fol­gen­ab­schät­zung nach Arti­kel 35 der Ver­ord­nung (EU) 2016/​679 unter­lie­gen, oder ver­ar­bei­ten sie per­so­nen­be­zo­ge­ne Daten geschäfts­mä­ßig zum Zweck der Über­mitt­lung, der anony­mi­sier­ten Über­mitt­lung oder für Zwe­cke der Markt- oder Mei­nungs­for­schung, haben sie unab­hän­gig von der Anzahl der mit der Ver­ar­bei­tung beschäf­tig­ten Per­so­nen eine Daten­schutz­be­auf­trag­te oder einen Daten­schutz­be­auf­trag­ten zu benennen.

Die­se Gren­ze von min­des­tens 10 Per­so­nen für die Bestell­pflicht eines inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten soll nun mit den aktu­el­len Anpas­sun­gen, denen der Bun­des­rat noch zustim­men muss (was sehr wahr­schein­lich ist), auf 20 Per­so­nen ange­ho­ben wer­den. Weder in den bis­he­ri­gen Begrün­dun­gen und Erläu­te­run­gen zu die­sem Geset­zes­ent­wurf noch in den zahl­rei­chen Pres­se­ar­ti­keln der Uni­ons­par­tei­en, den Befür­wor­tern die­ser Ände­rung oder Wirt­schafts­ver­bän­den ist jedoch eine nach­voll­zieh­ba­re Erklä­rung vor­han­den, wie­so dies nun weni­ger Büro­kra­tie für die betrof­fe­nen Unter­neh­men und Ver­ei­ne bedeutet.

Es wird auch sehr schwer sein, eine sol­che Erklä­rung zu fin­den. Denn der Daten­schutz­be­auf­trag­te sorgt nicht für die Büro­kra­tie im Daten­schutz. Das über­neh­men die Geset­ze und teil­wei­se auch die nicht immer kla­ren bzw. gele­gent­lich pra­xis­fer­nen Aus­le­gun­gen der Landesdatenschutzbehörden.

“Ja, aber jetzt müs­sen klei­ne Unter­neh­men und Ver­ei­ne für den Daten­schutz nichts mehr tun!”

Auch hier wie­der eine kla­re Aus­sa­ge: DOCH! Ohne jetzt mal eine Unter­schei­dung zwi­schen Behör­den, Unter­neh­men oder Ver­ei­nen vor­zu­neh­men: Ein Para­graph von 85 ins­ge­samt im BDSG n.F. wur­de ange­passt, die sons­ti­gen Anfor­de­run­gen aus dem BDSG und der DSGVO (99 wei­te­re Arti­kel) blei­ben von der Gren­ze zur Bestell­pflicht eines Daten­schutz­be­auf­trag­ten unbe­rührt. Rech­nen wir doch ein­fach mal:

85 BDSG + 99 DSGVO = 184 DATENSCHUTZ
1 von 184 = 0,54% Änderung

Da kann schon mathe­ma­tisch kei­ne all­zu­gro­ße Ent­las­tung bei her­aus­kom­men. Denn um es mit aller Deut­lich­keit zu sagen, ALLE Anfor­de­run­gen, die von Unter­neh­men und Ver­ei­nen als büro­kra­ti­sche “Belas­tung” emp­fun­den wer­den, blei­ben wei­ter­hin bestehen und müs­sen ent­spre­chend erfüllt wer­den (eini­ge Beispiele):

  • Pflicht zum Erstel­len und Pfle­gen eines Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten nach Art. 30 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Iden­ti­fi­ka­ti­on, Bewer­tung und Mel­dung von Daten­pan­nen an Auf­sichts­be­hör­de und Betrof­fe­ne nach Art. 33, 34 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Prü­fen aus­rei­chen­der tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men von exter­nen Dienst­leis­tern und Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung gemäß Art. 28, 32 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Bear­bei­ten und Sicher­stel­len von Betrof­fe­nen­rech­ten nach Art. 12–23 DSGVO inkl. Zusam­men­stel­len und Zur­ver­fü­gung­stel­len der Anga­ben zu den Infor­ma­ti­ons­pflich­ten? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Sicher­heit der eige­nen Ver­ar­bei­tung regel­mä­ßig prü­fen und not­wen­di­ge Anpas­sun­gen sicher­stel­len nach Art. 32 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Risi­ko­ab­schät­zung von Ver­ar­bei­tungs­tä­tig­kei­ten bis hin zur Daten­schutz-Fol­gen­ab­schät­zung nach Art. 32+35 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Regel­mä­ßi­ge Schu­lung und Sen­si­bi­li­sie­rung von Mit­ar­bei­tern, nicht nur am Tag der Ein­stel­lung, nach Art. 39 Abs. 1 lit b DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Und die­se Lis­te lie­ße sich noch um vie­le wei­te­re (durch­aus auch mal) “büro­kra­tie­be­haf­te­te” Tätig­kei­ten fort­füh­ren .… CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden

Die von der beschlos­se­nen Anpas­sung aus­ge­sen­de­te Bot­schaft ist durch­aus als toxisch zu bezeich­nen. Der Fehl­glau­be, mit Weg­fall der Bestell­pflicht ent­fie­len auch alle ande­ren daten­schutz­recht­li­chen Anfor­de­run­gen war auch im alten BDSG vor 2018 weit ver­brei­tet. Aus unse­rer Erfah­rung quä­len sich seit der DSGVO gera­de die Betrie­be und Ver­ei­ne mit dem Daten­schutz am meis­ten, wel­che es in den Jah­ren davor unter dem alten Daten­schutz­recht etwas läs­sig haben ange­hen las­sen. Für die­se Ver­säum­nis­se und auch die gene­rel­len recht­li­chen For­ma­li­tä­ten im Daten­schutz­recht kann der Daten­schutz­be­auf­trag­te jedoch nichts. Im Gegen­teil: Der Daten­schutz­be­auf­trag­te wäre der idea­le Ansprech­part­ner mit aus­rei­chend Wis­sen und Sach­ver­stand, um die­se büro­kra­ti­schen Anfor­de­run­gen pro­blem­los zu meis­tern und für eine Daten­schutz-Kul­tur in der Orga­ni­sa­ti­on zu sorgen.

Daten­schutz­ver­stö­ße und Buß­gel­der wer­den zunehmen

Man muss kein Wahr­sa­ger sein, dass sowohl die Zahl der Daten­schutz­ver­stö­ße und die der Buß­gel­der nun zuneh­men wird. Die Lan­des­da­ten­schutz­be­hör­den haben bereits in 2018, in der Pla­nungs­pha­se für die­ses Anpas­sungs­ge­setz signa­li­siert, mit der vor­han­de­nen Per­so­nal­aus­stat­tung kei­ne bera­ten­den, son­dern nur noch kon­trol­lie­ren­de Tätig­kei­ten aus­üben zu kön­nen. Eine Auf­sto­ckung ist nach unse­rem Kennt­nis­stand in kei­nem Bun­des­land geplant. Sorg­te bis­her der Daten­schutz­be­auf­trag­te für das not­wen­di­ge Wis­sen in klei­nen Unter­neh­men und Ver­ei­nen, so geht die­ses Wis­sen nun im Rah­men der ver­meint­li­chen “Ent­bü­ro­kra­ti­sie­rung” von Bord. Damit ste­hen übli­cher­wei­se Inha­ber, Geschäfts­füh­rer und Ver­eins­vor­stän­de in der Pflicht, für die kor­rek­te Umset­zung und den Betrieb des Daten­schut­zes Sor­ge zu tra­gen. Und da reden wir bis­her nur von den For­ma­li­tä­ten, sie­he Abschnitt zuvor. Ein akti­ver Daten­schutz­be­auf­trag­ter ist Bera­ter, Coach, Moti­va­tor und Kon­trol­leur zugleich. Ein akti­ver Daten­schutz­be­auf­trag­ter sorgt bei guter Auf­ga­ben­er­fül­lung für einen geleb­ten Daten­schutz in der Orga­ni­sa­ti­on. Auch die­se Auf­ga­be obliegt nun ande­ren Ver­ant­wort­li­chen. Woher kommt der not­wen­di­ge Zeit­an­teil dafür, wo doch alle Unter­neh­men per­so­nell auf spit­zer Kan­te fah­ren? Woher kommt das not­wen­di­ge Wis­sen für die kor­rek­te Umset­zung des Daten­schut­zes? Wird es jetzt 4‑stündige Crash-Kur­se der ein­schlä­gi­gen Anbie­ter geben “DSGVO ohne Büro­kra­tie und Auf­wand für Geschäfts­füh­rer und Ver­eins­vor­stän­de”, selbst­ver­ständ­lich mit bun­tem Zer­ti­fi­kat auf Hoch­glanz? Gute Kur­se zum Ein­stieg für einen DSB dau­ern 5 Tage. Und danach hat der DSB immer noch einen lan­gen Weg vor sich, bis er weiß, was und wie es kon­kret zu tun ist!

Und wenn etwas pas­siert oder im Fal­le einer Über­prü­fung als Man­gel fest­ge­stellt wird, die Haf­tung bleibt. Die bis­he­ri­ge Art von “Ver­si­che­rung” oder zumin­dest die Mög­lich­keit zur Ver­rin­ge­rung von Ein­tritts­wahr­schein­lich­kei­ten von Risi­ken und Män­geln, die wird jetzt per Gesetz von Bord geschickt, wenn der Bun­des­rat nicht noch zur Ver­nunft kommt.

Der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber twit­ter­te nicht zu Unrecht:

Mit der Ver­wäs­se­rung der Anfor­de­rung zur Ernen­nung eines betrieb­li­chen Daten­schutz­be­auf­trag­ten wird den Unter­neh­men nur Ent­las­tung sug­ge­riert. Daten­schutz­pflich­ten blei­ben, Kom­pe­tenz fehlt ohne bDSB. Fol­ge wer­den mehr Daten­schutz­ver­stös­se und Buß­gel­der sein ☹️

Im Ergeb­nis haben klei­ne Unter­neh­men und Ver­ei­ne nur weni­ge Möglichkeiten:

  1. Igno­ranz des The­mas Daten­schutz: Sie­he Haf­tung und Bußgelder
  2. Eigen­re­gie und Prin­zip Hoff­nung: Inha­ber, Geschäfts­füh­rer oder Ver­eins­vor­stand eig­nen sich in ihrer eh schon knap­pen Zeit das not­wen­di­ge Know How an, hal­ten die­ses aktu­ell und küm­mern sich um die kor­rek­te Umset­zung in der eige­nen Orga­ni­sa­ti­on. Wie rea­lis­tisch wird das sein?
  3. Exter­nes Know How zukau­fen: Da das not­wen­di­ge Wis­sen und die Mög­lich­keit zur Wei­ter­bil­dung nicht gege­ben sind, wird das Know How extern zugekauft
  4. Inter­nen Mit­ar­bei­ter für das The­ma Daten­schutz aus­bil­den und Auf­ga­ben über­tra­gen: Kos­ten für die Aus- und Wei­ter­bil­dung, not­wen­di­ge Zeit­an­tei­le müs­sen ein­ge­plant werden

Übri­gens sind die Vari­an­ten 3 und 4 ganz nah am exter­nen und inter­nen Daten­schutz­be­auf­trag­ten. Und ob Vari­an­ten 1 und 2 so geschickt sind, die Erfah­rung muss jetzt jeder Ver­ant­wort­li­che für sich selbst machen. Sofern die­ser in Betracht zieht, die Auf­wei­chung zur Gren­ze der Bestell­pflicht nach oben für die eige­nen Orga­ni­sa­ti­on zu nutzen.

Was hät­te der Gesetz­ge­ber bes­ser machen können?

Die Sinn­haf­tig­keit der Anhe­bung der Gren­ze für die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten kann man durch­aus in Zwei­fel zie­hen. Dabei hät­te der Gesetz­ge­ber — zumin­dest in Tei­len — durch­aus die Mög­lich­keit gehabt, für Klar­heit zu sor­gen. Die­se wur­de jedoch ver­säumt. So hät­te der immer noch schwe­len­de Kon­flikt mit dem Recht auf freie Mei­nungs­äu­ße­rung und dem Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung auch oder gera­de im Rah­men jour­na­lis­ti­scher Tätig­kei­ten gelöst wer­den kön­nen. Ein paar klä­ren­de Para­gra­phen zu der noch immer herr­schen­den Unsi­cher­heit beim Anfer­ti­gen und Nut­zen von Foto­gra­fien im Kon­flikt mit dem KUG hät­ten durch­aus auch Charme gehabt. Ob es zweck­dien­lich für das The­ma Daten­schutz ist, das BSI von Tei­len der Betrof­fe­nen­rech­te zukünf­tig aus­zu­neh­men und die Rechen­schafts­pflicht hier ein­zu­schrän­ken, darf durch­aus auch in Zwei­fel gezo­gen wer­den. Man hät­te sich aber auch um den vom Bun­des­ver­fas­sungs­ge­richt vor kur­zem für ungül­tig erklär­ten § 4 Abs. 1 BDSG zur Video­über­wa­chung küm­mern kön­nen oder zumin­dest klar­stel­len kön­nen, dass euro­päi­sches Recht hier gilt. Da kann man es auch nur noch mit einem leich­ten Schmun­zeln zur Kennt­nis neh­men, dass jetzt auch der Digi­tal­funk der Poli­zei einer 75-tägi­gen Vor­rats­da­ten­spei­che­rung unter­wor­fen wer­den soll. Und das, wo die aktu­el­le Frist von 70 Tagen zur Zeit aus­ge­setzt ist und vor dem Bun­des­ver­fas­sungs­ge­richt geklärt wird.

Es gibt viel Ver­bes­se­rungs­po­ten­ti­al im Bereich Daten­schutz, gar kei­ne Fra­ge. Ein­heit­li­che und pra­xis­na­he Aus­le­gun­gen sei­tens der Lan­des­da­ten­schutz­be­hör­den hät­ten enor­mes Poten­ti­al, auch die Akzep­tanz des The­mas Daten­schutz gene­rell zu erhö­hen. Hier kann der Gesetz­ge­ber jedoch nicht regelnd ein­grei­fen, außer man wür­de die Lan­des­da­ten­schutz­be­hör­den auf­lö­sen und in einer zen­tra­len Orga­ni­sa­ti­on des Bun­des zusam­men­fas­sen. Statt­des­sen wird nun in klei­nen Schif­fen und Boo­ten der Lot­se von Bord geschickt. Die Zukunft wird zei­gen, ob die gewünsch­te Ent­bü­ro­kra­ti­sie­rung damit Ein­zug hält. Es steht nicht zu vermuten.

Übri­gens ein Schelm, wer Böses dabei denkt: Der Pas­sus zur Anhe­bung der Gren­ze von 10 auf 20 Mit­ar­bei­ter wur­de erst Mon­tag, den 24.06.2019 — also sehr kurz­fris­tig vor der Ver­ab­schie­dung am Frei­tag im Bun­des­tag — (wie­der) eingefügt.

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?

Kom­pe­ten­te Bera­tung, prag­ma­ti­sche Ein­füh­rung eines DSMS und anschlie­ßen­de Betreu­ung als exter­ner Daten­schutz­be­auf­trag­ter erhal­ten Sie selbst­ver­ständ­lich vom Team von a.s.k. Daten­schutz. For­dern Sie Ihr unver­bind­li­ches Ange­bot über unser For­mu­lar an. Wir mel­den uns bei Ihnen zeitnah.

Kei­ne Panik: Die EU-Daten­schutz­grund­ver­ord­nung kommt

Wer die letz­ten Woche und Mona­te die Mel­dun­gen in den Nach­rich­ten, auf Blogs, in sozia­len Netz­wer­ken und auch per Post ver­folgt, kann es nur mit der Angst bekom­men. Da kommt die EU-Daten­schutz­grund­ver­ord­nung im Mai 2018 auf Unter­neh­men und Behör­den zu und man könn­te mei­nen, die Welt ste­he kurz vor ihrem Unter­gang. Ein­zi­ge Abhil­fe natür­lich, jetzt schnell diver­se Semi­na­re buchen oder diver­se Lite­ra­tur­zu­sam­men­stel­lun­gen kau­fen. Doch ist das wirk­lich so schlimm, was da auf Unter­neh­men und Behör­den zu kommt?

Recht­li­ches zur EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO)

Ja, es stimmt. In der Nacht vom 24.05.2018 auf den 25.05.2018 wird es ein har­tes Umschal­ten zwi­schen unse­ren bis­he­ri­gen natio­na­len Daten­schutz­ge­set­zen und der EU-DSGVO geben. Sind wir bis zu die­sem Ter­min noch an das Bun­des­da­ten­schutz­ge­setz und die Lan­des­da­ten­schutz­ge­set­ze gebun­den, so wer­den die­se zum og. Ter­min durch die EU-DSGVO ver­drängt. Hin­zu kom­men in den EU-Mit­glieds­staa­ten mög­li­che Anpas­sungs­ge­set­ze, in Deutsch­land für Bund und Län­der jeweils sepa­rat. Die­se beru­hen auf den soge­nann­ten Öff­nungs­klau­seln in der EU-DSGVO, zu denen die Mit­glieds­staa­ten eige­ne natio­na­le Regeln ergän­zen kön­nen. Der Spiel­raum ist hier jedoch begrenzt, dem Sinn der EU-DSGVO wird es schwer zu wider­spre­chen sein.

Vor die­sem Hin­ter­grund ist auch der Arbeits­ti­tel “BDSG-neu” für das deut­sche Anpas­sungs­ge­setz nicht ganz kor­rekt. Daher heißt es auch im rich­ti­gen Wort­laut “Daten­schutz­an­pas­sungs- und Umset­zungs­ge­setz (DSAn­pUG)” und wur­de gera­de nach eini­gen Dis­kus­sio­nen ver­ab­schie­det. Einer­seits sind die Daten­schutz­be­auf­trag­ten der Län­der nach wie vor nicht ganz zufrie­den, ande­rer­seits haben die ver­schie­de­nen Lob­by­grup­pen zur Auf­wei­chung des bis­he­ri­gen Daten­schutz-Niveaus eben­falls Federn las­sen müs­sen. Eine EU-wei­te Har­mo­ni­sie­rung eines sol­chen The­mas wird immer ein Kom­pro­miss sein. Die­ser ist im Fal­le der EU-DSGVO erfolgt. Ob es wirk­lich der Mei­lein­stein wur­de, der von zahl­rei­chen Betei­lig­ten aus­ge­ru­fen wird, das wird die Zukunft zeigen.

Von den Anpas­sungs­ge­set­zen in den Bun­des­län­dern ist bis­her wenig bis nichts zu sehen. Belast­ba­re Rechts­kom­men­ta­re — zumin­dest zur EU-DSGVO selbst — erschei­nen in den letz­ten Wochen ver­mehrt. Kom­me­na­ta­re zum DSAn­pUG sind noch abzu­war­ten, bis zum Erschei­nen brauch­ba­rer Kom­men­ta­re zu den Anpas­sungs­ge­set­zen der Bun­des­län­der wird noch mehr Zeit ver­strei­chen. Nicht viel anders sieht es mit brauch­ba­ren Vor­la­gen z.B. zu Ände­run­gen in der Auf­trags­da­ten­ver­ar­bei­tung oder mit Prüf- und Check­lis­ten aus, die eine geziel­te Vor­be­rei­tung und Umset­zung ermöglichen.

Dies merkt auch der Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz auf sei­ner Web­sei­te kor­rek­ter­wei­se im Mai 2017 an:

In die­sem Zusam­men­hang ist zu beach­ten, dass die Daten­schutz-Grund­ver­ord­nung gera­de für den öffent­li­chen Bereich eine Viel­zahl von soge­nann­ten “Öff­nungs­klau­seln” vor­sieht, die der Ergän­zung bzw. Aus­fül­lung durch die mit­glied­staat­li­chen Gesetz­ge­ber bedür­fen. Bis die dies­be­züg­li­chen Gesetz­ge­bungs­ver­fah­ren — ins­be­son­de­re auf baye­ri­scher Ebe­ne — abge­schlos­sen sind, kann daher zu bestimm­ten The­men nur eine vor­läu­fi­ge Dar­stel­lung unter dem Vor­be­halt spä­te­rer natio­na­ler Rege­lung erfolgen.

Grund zur Panik?

Die Uhr tickt, das steht fest. Dies ist jedoch kein Grund zur Panik. Die Grund­sät­ze wie Ver­bots­ge­setz mit Erlaub­nis­vor­be­halt (Rechts­vor­schrift, Ver­trag, Ein­wil­li­gung) blei­ben uns erhal­ten. Grund­le­gen­de Ver­fah­rens­wei­sen blei­ben iden­tisch, bekom­men teil­wei­se nur einen ande­ren Namen (Ver­fah­rens­ver­zeich­nis wird zum Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten). Die Rege­lun­gen zur Bestell­pflicht eines (inter­nen oder exter­nen) Daten­schutz­be­auf­trag­ten wur­den in das Anpas­sungs­ge­setz über­nom­men. Für Unter­neh­men ändert sich hier nichts. In eini­gen Bun­des­län­dern wie Bay­ern war bis­her für kom­mu­na­le Ein­rich­tun­gen nur die Bestel­lung eines inter­nen Daten­schutz­be­auf­trag­ten mög­lich, in eini­gen Bun­des­län­dern wur­de die Bestel­lung auf frei­wil­li­ger Basis erwähnt (intern oder extern). Dies wird durch die EU-DSGVO har­mo­ni­siert und ab Mai 2018 müs­sen alle kom­mu­na­le Ein­rich­tun­gen einen Daten­schutz­be­auf­trag­ten bestellt haben und die­se Bestel­lung kann selbst­ver­ständ­lich auch extern erfol­gen (beach­ten Sie hier­zu auch unser Ange­bot “Exter­ner Daten­schutz­be­auf­trag­ter für baye­ri­sche Kommunen”).

 Also alles nur Panikmache?

Nein, selbst­ver­ständ­lich bringt die EU-DSGVO auch Neue­run­gen und Ände­run­gen mit sich. Statt der nur gele­gent­lich durch­zu­füh­ren­den Vor­ab­kon­trol­le wird es nun die soge­nann­te Risi­ko­fol­gen­ab­schät­zung geben. Die­se ist auch öfter durch­zu­füh­ren als bis­her. Die Rech­te der Betrof­fe­nen wer­den erwei­tert. Neben den bekann­ten Rech­ten auf Aus­kunft, Löschung und /​ oder Sper­rung kommt das Recht auf Daten­über­trag­bar­keit hin­zu. Die Ver­ein­ba­run­gen zur Auf­trags­da­ten­ver­ar­bei­tung mit bestehen­den Dienst­leis­tern sind zu aktua­li­sie­ren, sobald hier sinn­vol­le Vor­la­gen vor­lie­gen. Neu hin­zu kom­men Daten­schutz durch Tech­nik­ge­stal­tung und Daten­schutz durch Vor­ein­stel­lung (pri­va­cy by design und pri­va­cy by default). Bei­des kon­se­quen­te Fort­füh­run­gen der bis­he­ri­gen Prin­zi­pi­en Daten­ver­mei­dung und Daten­spar­sam­keit. Wei­ter­hin wur­den die Doku­men­ta­ti­ons­pflich­ten erwei­tert. Mehr Vor­gän­ge und Ent­schei­dun­gen als bis­her sind schrift­lich nach­voll­zieh­bar fest­zu­hal­ten. Hier wer­den unse­re Kun­den bereits durch die Nut­zung unse­rer voll­ver­schlüs­sel­ten Pro­jekt­platt­form bes­tens unter­stützt. Wei­te­re Ände­run­gen und Anpas­sun­gen sind abseh­bar. Doch ein Grund zur Panik ist das nicht.

Inter­es­san­ter­wei­se spielt das The­ma Infor­ma­ti­ons­si­cher­heit (end­lich) eine wich­ti­ge­re Rol­le und fin­det sich inhalt­lich auch in der EU-DSGVO wider. Orga­ni­sa­tio­nen sind gehal­ten, aus­rei­chen­de Maß­nah­men zur Infor­ma­ti­ons­si­cher­heit (nicht IT-Sicher­heit!) ein­zu­füh­ren, um den Schutz per­so­nen­be­zo­ge­ner Daten (und im eige­nen Inter­es­se gene­rell für inter­ne schüt­zens­wer­te Infor­ma­tio­nen) ein­zu­füh­ren und zu betrei­ben. Der Grad der Infor­ma­ti­ons­si­cher­heit wird sich bei Ver­stö­ßen auf die Höhe der Stra­fen aus­wir­ken. Mehr Infos zum The­ma Infor­ma­ti­ons­si­cher­heit fin­den Sie auf unse­rem Blog zur Infor­ma­ti­ons­si­cher­heit. Ger­ne unter­stüt­zen wir Sie neben den Daten­schutz-The­men auch bei Ein­füh­rung und Betrieb eines Informationssicherheitskonzepts.

Für eine kor­rek­te Umset­zung und Anpas­sung emp­fiehlt es sich, belast­ba­re Rechts­kom­men­ta­re und auch Vor­la­gen sowie Stel­lung­nah­men der für Ihre Orga­ni­sa­ti­on jeweils zustän­di­gen Daten­schutz­auf­sicht abzu­war­ten. Wer bis­her nach Bun­des­da­ten­schutz­ge­setz oder Län­der­da­ten­schutz­ge­setz kor­rekt gear­bei­tet hat, muss nicht Schlim­mes befürch­ten. Die­se Rechts­grund­la­gen fal­len zwar weg, inhalt­lich fin­den sich wei­te Tei­le davon in der EU-DSGVO und dem DSAn­pUG wider. Das wird bei den Anpas­sungs­ge­set­zen in den Bun­des­län­dern nicht viel anders sein.

Kon­zer­ne mit inter­na­tio­na­len Ver­flech­tun­gen ste­hen da vor grö­ße­ren Her­aus­for­de­run­gen als natio­nal agie­ren­de Unter­neh­men oder Kom­mu­nal­ein­rich­tun­gen. Jedoch soll­te man sich von der Panik­ma­che nicht anste­cken las­sen. Sofern Grund­la­gen des bis­he­ri­gen Daten­schutz­rechts in Ihrer Orga­ni­sa­ti­on vor­han­den sind und aktu­ell gehal­ten wer­den, wird es zwar Anpas­sungs­auf­wand geben, die­ser wird jedoch über­schau­bar blei­ben. Wer sich bis­her um das gel­ten­de Daten­schutz­recht nicht geküm­mert hat, der wird einen gro­ßen Berg Arbeit vor sich sehen. Für die­se Ein­rich­tun­gen heißt es, früh­zei­tig Gas zu geben — und wenn es zu Beginn noch auf den Vor­la­gen und Mate­ria­li­en zum BDSG oder der Lan­des­da­ten­schutz­ge­set­ze geschieht.

Tipps /​ Hin­wei­se

Die Lan­des­da­ten­schutz­be­hör­de Nie­der­sach­sen hat einen (noch) recht all­ge­mei­nen Leit­fa­den für Unter­neh­men bereit­ge­stellt. Sie fin­den die­sen hier.

Immer einen Abste­cher für Infor­ma­tio­nen wert, sind die fol­gen­den Web­sei­ten /​ Blogs:

  • Die Bei­trags­se­rie “Die EU-DSGVO ist da” von Frau RAin Nina Diercks.
  • Die Web­sei­te mit Tipps und Tricks samt Vor­la­gen des “Daten­schutz-Guru” RA Ste­phan Hansen-Oest.
  • Unser Part­ner­blog “Daten­schutz­be­auf­trag­ter Info” mit aktu­el­len Infor­ma­tio­nen zur EU-DSGVO.

Wir wer­den in den nächs­ten Wochen und Mona­ten eben­falls suk­zes­si­ve nach Erschei­nen belast­ba­rer Vor­la­gen und Kom­men­ta­re wei­te­re Bei­trä­ge zur EU-DSGVO hier veröffentlichen.

Und jetzt … Ruhig Blut!

Die mobile Version verlassen