Steuerberatung
Steuerberatung

Datenschutz im Unternehmen

 

die sog. EU-Datenschutz-Grundverordnung ist am 25.5.2016 in Kraft getreten. Entsprechend einer darin geregelten Übergangsfrist kommt sie 2 Jahre nach ihrem Inkrafttreten zur Anwendung. Verpflichtend gilt die EU-Datenschutz-Grundverordnung also ab dem 25.5.2018. Ab diesem Datum wird deren Einhaltung durch die EU-Datenschutzaufsichtsbehörden und die Gerichte überprüfbar sein. Sollten zu diesem Stichtag Ihre Prozesse nicht unternehmensspezifisch angepasst worden sein, und sollten in diesem Zusammenhang die Vorgaben der EU-Datenschutz-Grundverordnung nicht oder nicht in ausreichendem Maß umgesetzt worden sein, können empfindliche Sanktionen und Bußgelder verhängt werden! Denn von den Regelungsinhalten sind nicht nur wir als Steuerberatungskanzlei betroffen, sondern auch Sie als unternehmerisch tätiger Mandant. Es entstehen neue Transparenzpflichten, deren Einhaltung im Rahmen von Kontrollen der zuständigen Aufsichtsbehörde gegenüber nachgewiesen werden muss. Daher möchte ich/möchten wir Ihnen die wichtigsten Regelungsinhalte der EU-Datenschutz-Grundverordnung darstellen.

Welche Bindungswirkung entfaltet die EU-Datenschutz-Grundverordnung für Deutschland?

Da es sich im Rahmen der EU-Datenschutz-Grundverordnung (DS-GVO) um eine europäische Verordnung handelt, ist selbige direkt in allen EU-Mitgliedstaaten umzusetzen. Das bedeutet, es bedarf keines "Umsetzungsgesetzes" ins nationale Recht der Bundesrepublik Deutschland. Allerdings besteht auf nationaler Ebene an einigen Stellen der Verordnung die Möglichkeit, die Regelungen individuell zu konkretisieren oder zu ergänzen. Z. B. gibt es eine Öffnungsklausel, die es den einzelnen Mitgliedstaaten ermöglicht, eigene Inhalte in der Verordnung niederzulegen, z. B. hinsichtlich der Verarbeitung personenbezogener Daten. Allerdings dürfen diese auf nationaler Ebene eingebrachten Ergänzungen keine Verschärfung oder Lockerung bewirken. Es dürfen lediglich "Konkretisierungen" oder "Ergänzungen" eingebracht werden. Auch bereits geschlossene unternehmensspezifische Betriebsvereinbarungen, die das Thema Datenschutz abbilden, bleiben weiterhin gültig. Ebenso behält auch die Rechtsprechung deutscher Arbeitsgerichte zum Datenschutz weiterhin Gültigkeit.

Welche wichtigen Regelungsinhalte bildet die EU-Datenschutz-Grundverordnung im Vergleich zum geltenden Recht ab?

Der Geltungsbereich der Verordnung wird auf alle Datenverarbeitungen ausgeweitet, die sich an EU-Bürger richten und die personenbezogene Daten von EU-Bürgern verarbeiten. Bemerkenswert ist darüber hinaus, dass auch bei Suchdiensten und sozialen Netzwerken die Verordnung Anwendung findet. Sogar der Tourist, der nach Deutschland kurzfristig urlaubsbedingt einreist, fällt für diesen Zeitraum unter die Regelungsinhalte der Verordnung, sofern in Deutschland ansässige Unternehmen seine Daten speichern und verarbeiten. Auch finden sich in der Verordnung eine ganze Reihe neuer Begriffe wie z. B. "umfassende Verarbeitung" oder "Profiling". Auch neue Definitionen sind zu finden, für die Begriffe "biometrische Daten" und "genetische Daten". Diesen Definitionen sollte insbesondere von denjenigen Unternehmen besondere Beachtung geschenkt werden, die z. B. mit Gesichtserkennung oder Erkennungsverfahren über den Fingerabdruck arbeiten.

Kinder genießen im Rahmen der EU-Datenschutz-Grundverordnung einen besonderen Schutz. Sofern Ihr Unternehmen in verschiedenen EU-Mitgliedstaaten tätig ist, sollten Sie individuell prüfen, welche Altersgrenzen dort jeweils gelten. Denn die Beweispflicht für die Einwilligung von Kindern oder deren Erziehungsberechtigten bezüglich Datenschutz liegt beim Unternehmen.

Der Widerruf der erteilten Einwilligung wurde in seinen Anforderungskriterien deutlich herabgesetzt. Hat der Betroffene zunächst seine Einwilligung zur Speicherung und Verarbeitung seiner personenbezogenen Daten zugestimmt, so kann er diese Einwilligung jederzeit und ohne Begründung widerrufen. Hierbei muss unternehmensspezifisch darauf geachtet werden, dass der Widerruf für den Betroffenen mindestens so einfach gestaltbar ist wie die erteilte Einwilligung. Das bedeutet, dass Webseiten, Apps und andere vom Unternehmen angebotene digitale Dienste so gestaltet sind, dass sie den Vorgaben der EU-Datenschutz-Grundverordnung entsprechen.

Auch das sog. Kopplungsverbot wurde verschärft. Nach bisher geltendem Recht durfte der Abschluss eines Vertrags uneingeschränkt mit einer erteilten Einwilligung hinsichtlich der Speicherung und Verarbeitung der personenbezogenen Daten des Vertragspartners gekoppelt werden. Mit Inkrafttreten der Verordnung kann es notwendig werden, denselben Vertrag einmal mit und einmal ohne die zu erteilende Einwilligung zur Speicherung und Verarbeitung der personenbezogenen Daten anzubieten.

Die sog. Informations- und Auskunftspflichten wurden um weitere Angaben ergänzt. Ihr Unternehmen muss dem Betroffenen zukünftig eine Reihe weiterer Informationen zur Verfügung stellen. Dazu gehören insbesondere Informationen zu der Rechtsgrundlage, auf die sich die unternehmensspezifische Datenverarbeitung stützt. Auch Angaben zur Dauer der Speicherung müssen gemacht werden. Zusätzlich muss beachtet werden, dass es jede Form der Weiterverarbeitung der Daten zu einem anderen Zweck zukünftig erforderlich macht, dass dem Betroffenen erneute Informationen zur Verfügung gestellt werden.

Auch gibt es für die erhobenen und gespeicherten Datensätze sog. Portabilitätsverpflichtungen. Das Unternehmen, das die Daten gespeichert und verarbeitet hat, die der Betroffene ihm zur Verfügung gestellt hat, muss diese gegebenenfalls in einem gängigen Format wieder zur Verfügung stellen und auf Wunsch so aufbereiten, dass sie jederzeit an Dritte weitergegeben werden können. Das stellt insbesondere für alle Unternehmen eine große Herausforderung dar, die mit elektronischen Plattformen arbeiten.

Des Weiteren werden die sog. Löschpflicht und die Hinweispflicht bei Weitergabe von Daten an Dritte erweitert. Das birgt insbesondere dann Brisanz, wenn ein Unternehmen veraltete Datenbestände an Dritte weitergereicht hatte. Es ergibt sich die unternehmerische Pflicht, diese Daten zu korrigieren und diesen Korrekturbedarf an das entsprechende Unternehmen weiterzuleiten. Für Ihr Unternehmen bedeutet das, dass möglichst bereits schon jetzt darauf geachtet werden sollte, welche personenbezogenen Daten Ihr Unternehmen verarbeitet, woher diese Daten stammen und an wen Sie diese Daten weitergeben. Andernfalls wird es sehr schwierig sein, den Vorgaben der EU-Datenschutz-Grundverordnung gerecht zu werden! Auch sollten Sie das unternehmensspezifische Löschverfahren dahingehend überprüfen, ob es tatsächlich jederzeit möglich wäre, bei einem geltend gemachten Löschanspruch die Daten zügig aufzufinden und zu löschen.

Ebenso wird das Widerspruchsrecht deutlich erweitert. Der Betroffene kann insbesondere der Datenverarbeitung seiner Daten widersprechen, wenn diese zu Zwecken des Direktmarketings, einschließlich der Profilbildung für diese Zwecke genutzt werden sollen. Hier gilt es vonseiten des Unternehmens darauf zu achten, dass der Betroffene explizit und separiert von jeglicher Art anderer Information darauf hingewiesen wird, dass dieses Recht besteht.

Auch werden die sog. Meldepflichten bei Datenpannen deutlich verschärft. So ist jedes Unternehmen zukünftig dazu verpflichtet, jeden Vorfall, der ein Risiko für die Rechte und Pflichten der Betroffenen darstellt, innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Zudem muss auch der Betroffene selbst unverzüglich über die aufgetretene Datenpanne informiert werden, wenn diese voraussichtlich zu einem hohen Risiko für ihn führt. Gerade in diesem sehr sensiblen Bereich sollte Ihr Unternehmen Richtlinien und Verfahren entwickeln, die eine unverzügliche Meldung solche Datenpannen zeitnah gewährleisten. Ich unterstützte/Wir unterstützten Sie bei der Entwicklung solcher Richtlinien gerne.

Dabei sollte zwingend auf die erforderlichen Mindestinhalte geachtet werden, die sich aus der DS-GVO ergeben. Darüber hinaus ist jedes Unternehmen verpflichtet, die Datenpannen unternehmensintern zu dokumentieren.

Zu beachten ist weiterhin, dass sich die zuständige Aufsichtsbehörde für ein europaweit tätiges Unternehmen nach dem Hauptsitz oder nach der Niederlassung richtet, die generell über Datenverarbeitung entscheidet. Bei international tätigen Unternehmen sollte demnach zwingend eine Zuordnung getroffen werden, an welcher Örtlichkeit die maßgeblichen Entscheidungen hinsichtlich der Verarbeitung personenbezogener Daten getroffen werden.

Es werden auch erhöhte Anforderungen an die sog. Freiwilligkeit der Erklärung gestellt. Die Einwilligung zur Speicherung der Daten erfordert bei demjenigen, von dem sie eingefordert werden, eine freiwillige, spezifisch informierte und eindeutige Handlung. Dies kann online z. B. durch das bewusste Anklicken eines Kästchens erfolgen. Keine ordnungsgemäß erteilte Einwilligung läge insbesondere dann vor, wenn ein sog. stillschweigendes Einverständnis vorausgesetzt würde, z. B. durch ein bereits standardmäßig vorab angekreuztes Kästchen. Sind in den Prozess sogar verschiedene Datenverarbeitungsvorgänge eingebunden, muss in jeden einzelnen dieser Prozesse gesondert eingewilligt werden. Es muss im Einzelnen sogar vom Unternehmen der Nachweis erbracht werden, dass eine effektive Einwilligung gegeben wurde! Diese Einwilligung kann elektronisch abgegeben werden.

Für besonders risikobehaftete Datenverarbeitungen kann die Durchführung einer sog. Datenschutz-Folgenabschätzung vorgeschrieben werden. Muss selbige im Unternehmen durchgeführt werden, sollte dieser ein entsprechendes Risikomanagement zugrunde liegen. Eine risikobehaftete Datenverarbeitung liegt insbesondere dann vor, wenn man zu dem Ergebnis gelangt, dass ein hohes Risiko für die Rechte und Freiheiten des Betroffenen besteht. Auch die Einführung neuer Technologien begründet die Implementierung einer Datenschutzfolgeabschätzung.

Welche Prozesse und Daten sollten in Ihrem Unternehmen hinsichtlich der Anpassung an die EU- Datenschutz-Grundverordnung überprüft werden?

Die Datenverarbeitungsprozesse sollten im Unternehmen so dokumentiert werden, dass sie den Erweiterungen der Dokumentationspflicht bei der Auftragsverarbeitung gerecht werden: Möglichst mit zusätzlichen Funktionen zur Erkennung von Risiken.

Die Datenschutzerklärungen sollten an die erweiterten Informationspflichten angepasst werden. Insbesondere muss auch Ihre Unternehmens-Homepage angepasst werden.

Zudem müssen die entsprechenden Einwilligungserklärungen angepasst werden, damit diese den Verschärfungen der formlagen Vorgaben gerecht werden, ebenso der Prozess für den Widerruf der Einwilligung. Die im Unternehmen vorhandenen Betriebsvereinbarungen müssen dahingehend überprüft werden, ob sie mit den Regelungsinhalten der Verordnung vereinbar sind in Form und Inhalt. Des Weiteren sollten die Prozesse zur Umsetzung von Widersprüchen angepasst werden, damit eine unverzügliche zeitliche Umsetzung gewährleitet ist. Ein besonderes Augenmerk sollte darüber hinaus auf die Prozesse gelegt werden, die sich mit der Meldung und Weitergabe aufgetretener Datenverarbeitungspannen beschäftigen. Zudem sollten alle Daten in solchen Formaten gespeichert werden, in denen sie elektronisch an Dritte oder Aufsichtsbehörden übertragbar sind. Diese Formate sollten dann so hinterlegt sein, dass ein schnelles Auffinden gesuchter Dateien jederzeit problemlos möglich ist.

Welche Aufgaben sollte der Datenschutzbeauftragte in Ihrem Unternehmen erfüllen?

Die gesamte Steuerung sollte in der Abteilung Datenschutz bzw. beim Datenschutzbeauftragten angesiedelt sein. Ist diese Person aktuell in Ihrem Unternehmen noch nicht vorhanden, rate ich/raten wir dringend, diese Position zeitnah zu besetzen. Der Datenschutzbeauftragte sollte dann damit betraut werden, zielgruppengerechte Schulungen hinsichtlich der am 25.5.2018 eintretenden Verordnung durchzuführen, die unternehmensbezogene Prozessoptimierung zu betreuen und die technisch und organisatorisch notwendig werdenden Maßnahmen zu überwachen. Und letztendlich sollte er dauerhaft die Entwicklungen der Verordnung auf nationaler und internationaler Ebene beobachten und die unternehmensinternen Prozesse dahingehend anpassen. Zu beachten ist weiterhin die sog. erweiterte Rechenschaftspflicht. Das bedeutet, die Verantwortlichkeit liegt unisono in Händen der jeweiligen Unternehmen. Alle Prozesse müssen so gestaltet werden, dass Prozesstransparenz eintritt, die jederzeit von den zuständigen Aufsichtsbehörden eingefordert werden kann. Sie müssen im Einzelfall jederzeit nachweisen können, dass gezielte Maßnahmen und Strategien von Unternehmensseite implementiert wurden. Kann dieser Nachweis nicht erbracht werden, hat dies schwerwiegende Auswirkungen auf die Höhe des Bußgelds.

Mein/Unser Service

Ich konnte/Wir konnten Ihnen in diesem Schreiben nicht alle möglichen Sachverhalte und Details zu den unterschiedlichen Aspekten der zum 25.5.2018 erstmalig in Kraft tretenden EU-Datenschutz-Grundverordnung darstellen. In einem individuellen persönlichen Gespräch erläutere ich/erläutern wir Ihnen deshalb gerne alle weiteren Teilaspekte, die für die Umstellung Ihrer unternehmensinternen Prozesse erforderlich sind, um den Inhalten der Verordnung gerecht zu werden. Die nachfolgende Checkliste soll Ihnen als roter Faden gemeinsam mit mir/uns dienen. Die Checkliste ersetzt nicht die individuelle Beratung. In einem Gespräch sollten wir die Details besprechen. Ich freue mich/Wir freuen uns auf das Beratungsgespräch!

Mit freundlichen Grüßen