DSGVO_SFH_2018

Weitere Magazine

Info

10 | DOSSIER | DSGVO Juni 2018 Die DSGVO vereinheitlicht die Datenschutzbestimmungen innerhalb der EU. Eine Übermittlung personenbezogener Daten in ein Drittland erfordern jedoch weitere Maßnahmen zur Rechtfertigung. An der Transparenzvorgabe müssen sich insbesondere die Betriebsvereinbarungen mit den Arbeitnehmern messen lassen und für den Angestellten klar zu erkennen geben, welche ihn betreffenden personenbezogenen Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden sollen. Die Rechtsgrundlage zur Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses ergibt sich künftig aus dem BDSG 2018. Danach dürfen personenbezogene Daten des Beschäftigten für die Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies, kurz gesagt, für dieses Verhältnis erforderlich ist. Neben diesem Erlaubnistatbestand kann der Arbeitgeber die Datenverarbeitung auch auf die in der DSGVO benannten Verarbeitungserlaubnisse, wie z.B. die Einwilligung, stützen. Auch wenn das BDSG 2018 den Beschäftigtendatenschutz regelt, hat ein Unternehmen hinsichtlich der Daten seiner Arbeitnehmer – bei den Themen GPS-Tracking oder Videoüberwachung – die allgemeingültigen Vorgaben der DSGVO, insbesondere die Informations- und Betroffenenrechte der Arbeitnehmer, zu beachten. Eine besondere Neuerung liegt im Wegfall der Verpflichtung auf das Datengeheimnis, wie sie bislang nach § 5 BDSG vorzunehmen war. Weder die DSGVO, noch das BDSG 2018 enthalten eine mit § 5 BDSG – aus dem sich bislang die Pflicht aber auch der Inhalt des Datengeheimnisses ergab – vergleichbare Regelung. Dennoch ergibt sich die Verpflichtung der Arbeitgeber, ihre Arbeitnehmer über eine rechtskonforme Datenverarbeitung zu unterrichten, unmittelbar aus der DSGVO. Die bislang in den Arbeitsverträgen verwendeten Klauseln samt Verweis auf § 5 BDSG bedürfen daher einer entsprechenden Anpassung. Hinzu kommt, dass der Arbeitgeber nunmehr verpflichtet ist, seine Mitarbeiter regelmäßig zum Datenschutz und vertrauensvollen Umgang mit personenbezogenen Daten im Unternehmen, etwa von Kunden, zu schulen. Diesbezüglich gilt es zu prüfen, inwieweit neben den Arbeitsverträgen abgeschlossene Verpflichtungen auf das Datengeheimnis nebst dazugehöriger Merkblätter anzupassen sind und welche geeigneten Schulungsmaßnahmen der Arbeitgeber zu ergreifen und deren Durchführung zu dokumentieren hat. Was tun bei einer Datenpanne? Die Pflichten des Unternehmens Von besonderer Relevanz sind die in der DSGVO festgeschriebenen Meldepflichten bei Datenpannen. Bislang bestand eine Meldepflicht nach dem alten BDSG nur in Fällen, in denen besondere Arten personenbezogener Daten (z.B. Daten über die Gesundheit oder die ethnische Herkunft einer Person) durch eine Datenpanne betroffen waren und diese Panne eine Bedrohung für die Rechte oder die schutzwürdigen Interessen der Betroffenen darstellte. Dann erst hatte der Verantwortliche die Pflicht, dies unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Diese Meldepflicht wird durch die DSGVO deutlich verschärft. Nunmehr genügt es, wenn jede Art eines personenbezogenen Datenelements von einer Datenpanne betroffen ist. Dabei ist es irrelevant, ob die Datenpanne in Form eines rechtswidrigen Zugriffs, etwa durch einen Dritten, vorliegt oder aber versehentlich, durch eine unbeabsichtigte Löschung, erfolgte. Dann muss der Verantwortliche binnen 72 Stunden nach Bekanntwerden dieser Panne eine Meldung an die zuständige Aufsichtsbehörde machen, wenn es durch die Verletzung der Datensicherheit voraussichtlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Person führt. Hinsichtlich der Frage, ob ein solches Risiko vorliegt, hat der Datenverantwortliche eine Prognose zu treffen. Eine Prognostizierung und gegebenenfalls daran anschließende Reaktion binnen 72 Stunden nach Bekanntwerden der Datenpanne machen ein Daten-Managementsystem erforderlich, das es ermöglicht, innerhalb dieser kurzen Frist eine belastbare Prognose unter Einbeziehung aller relevanten Umstände zu treffen und zu dokumentieren sowie gegebenenfalls Informationen im erforderlichen Umfang an die Aufsichtsbehörde zu übermitteln. Eine Meldepflicht tritt nur dann nicht ein, wenn eine durch den Verantwortlichen zu stellende Prognose ergibt, dass die Verletzung einer Datenschutzvorrichtung voraussichtlich kein Risiko für die geschützten Daten bedeutet. Das Risiko einer unzutreffenden Prognose sowie die entsprechende Beweislast treffen den Verantwortlichen und sind bußgeldbewehrt.
Juni 2018 DSGVO | DOSSIER | 11 INTERVIEW DSGVO – Welche sind die dringendsten To-do‘s? Ende Mai ist die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Noch sind längst nicht alle Unternehmen der Branche DSGVO-konform. Wir sprachen mit Dr. Dennis Werner, einem TÜV-zertifizierten Datenschutzbeauftragten und Fachanwalt für IT-Recht, was bei der Umsetzung zu beachten ist und warum Panik unangebracht ist. Interview: Christian Bonk FOTO: JURANDO sportFACHHANDEL: Als Betreiber eines Sportgeschäfts mit eigener Webseite sind für die Umsetzung der DSGVO etliche Teilprojekte wichtig. Zu welchen Teilprojekten raten Sie zuerst? Dr. Dennis Werner: Prüfen Sie zunächst, ob Sie einen Datenschutzbeauftragten benennen müssen. Wenn ja, benennen Sie einen und melden Sie diesen bei der Aufsichtsbehörde. Prüfen Sie dann, ob Ihre Website, insbesondere Ihre Datenschutzerklärung, DSGVO-konform ist. Verpflichten Sie Ihre Beschäftigten zur Vertraulichkeit und fangen Sie dann an, ihren Dokumentationspflichten nachzukommen, indem Sie ein Verfahrensverzeichnis aufbauen und Ihre technischen und organisatorischen Maßnahmen dokumentieren. Schließlich erstellen Sie eine Übersicht Ihrer Dienstleister, die personenbezogene Daten für Sie verarbeiten, und prüfen Sie, ob Sie wirksame Auftragsverarbeitungsverträge mit diesen geschlossen haben. Besonders auf der Webseite müssen viele Textbausteine erneuert werden. Gibt es zuverlässige Quellen für rechtsverbindliche Texte, die bezahlbar sind? Ja, es gibt im Internet zahlreiche – teilweise auch kostenlose –Datenschutzerklärungsgeneratoren. Die Krux daran ist nur häufig, dass die Verwendung dieser Generatoren ein gewisses Maß an technischem und rechtlichem Verständnis für Datenschutzfragestellungen voraussetzt, was nicht bei allen Website-Betreibern und Web-Designern vorhanden ist. Eine individuell zugeschnittene Datenschutzerklärung muss aber auch nicht teuer sein. Mehr als 150 Euro sollte sie nicht kosten, wenn man keine ganz wilden Dinge auf seiner Website oder im Marketingbereich macht. Dafür ist man dann auf der sicheren Seite. Wenn die Zeit partout nicht reicht und ich mich entscheide, das komplette Projekt von externen Fachleuten erledigen zu lassen: Mit welchen Kosten muss ich rechnen? Das kommt auf den Umfang des Geschäftsbetriebes an. Der Aufwand reicht von wenigen Stunden bis zu vielen Leistungstagen. Einen richtigen Experten wird man kaum für weniger als 800 Euro am Tag bekommen. Kostengünstiger können digitale Lösungen sein, die Sie bei den meisten zu erledigenden Punkten an die Hand nehmen und persönliche Beratung nur an wenigen Stellen erforderlich machen. Wie wahrscheinlich ist es, dass ich in absehbarer Zeit von einer Behörde hinsichtlich DSGVO kontrolliert werde? Sehr unwahrscheinlich, weil die personelle Ausstattung der Behörden derzeit noch dünn ist. Anlasslose Kontrollen wird es nach meiner Einschätzung auf absehbare Zeit nicht geben. Auf der anderen Seite ist die Behörde jetzt aber verpflichtet, Hinweisen nachzugehen. Solche Hinweise werden erfahrungsgemäß gerne von ausgeschiedenen Mitarbeitern oder Mitbewerbern gegeben. Größer dürfte die Gefahr von Abmahnungen sein. Jetzt ist es passiert: eine Abmahnung liegt im Briefkasten. Was ist nun unbedingt zu tun? Ruhe bewahren! Und dann einen spezialisierten Rechtsanwalt hinzuziehen. Auf keinen Fall selbst schreiben oder vorschnell eine Unterlassungserklärung abgeben. Datenschutzrecht ist eine absolute Spezialmaterie. Vieles ist äußert umstritten und jede Abmahnung bedarf einer eingehenden Einzelfallprüfung. Häufig finden sich aber Ansätze für eine erfolgreiche Verteidigung. Das wird gerade in der nächsten Zeit gelten, wenn Sachverhalte abgemahnt werden, für die es keine gesicherte Grundlage im Gesetz oder in der Rechtsprechung gibt. Wenn ich mich entscheide, die DSGVO in Eigenregie umzusetzen: Gibt es ein Art „TÜV“, der mir eine vollständige Umsetzung bescheinigt? Nein, so etwas gibt es nicht. Herr Dr. Werner, wir danken Ihnen für das Gespräch. Eine Kontrolle ist sehr unwahrscheinlich, weil die personelle Ausstattung der Behörden derzeit noch dünn ist. Größer dürfte die Gefahr von Abmahnungen sein.« Dr. Dennis Werner Dr. Dennis Werner ist Fachanwalt für IT-Recht und TÜV-zertifizierter Datenschutzbeauftragter. Er leitet das Datenschutz-Team des Legal-Tech Start-ups JURANDO.
Seite 1 und 2: DAS INSIDER-MAGAZIN: NEWS • FAKTE
Seite 3 und 4: GRAFIK TITELSEITE: ISTOCKPHOTO.COM/
Seite 5 und 6: Juni 2018 DSGVO | DOSSIER | 5 ist n
Seite 7 und 8: © Daniel Ernst - Fotolia Mein spor
Seite 9: Juni 2018 DSGVO | DOSSIER | 9 FOTOS
Seite 13 und 14: Juni 2018 DSGVO DSGVO | DOSSIER | 1

DSGVO_SFH_2018

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?