Accountability.

Rechenschaftspflichten

Ab 2018 kommt den Dokumentationspflichten eine noch entscheidendere Bedeutung zu: Denn auch wenn eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten besteht, haben Einwilligungen und gesetzliche Erlaubnisse eines gemeinsam: die hohen Anforderungen an deren Dokumentation und Nachweis.

Zukünftig liegt die Beweislast und Rechenschaftspflicht für eine ordnungsgemäße Datenverarbeitung beim Unternehmen. Es wird also noch wichtiger als bislang, auf eine rechtskonforme Erhebung von Daten zu achten.

Nachstehend die wichtigsten Informationen zur verstärkten Accountability (Rechenschaftspflicht) von Unternehmen.

Auch wenn viele der bisher geltenden Datenschutzprinzipien und -bestimmungen sich in der DSGVO wiederfinden, bedeutet die DSGVO vor allem Fleißarbeit bei der Dokumentation der Verarbeitungsprozesse und erhöhten Nachweisplichten. Denn eine zentrale Änderung liegt vor allem bei den Rechenschaftspflichten (auch bezeichnet als „Accountability“). Der für die Verarbeitung Verantwortliche muss die gemäß Art. 5 Abs. 2 DSGVO beschriebenen Grundsätze einhalten und diese auch nachweisen können.

Rechenschaftspflicht bedeutet deshalb, dass man jederzeit einen Nachweis über seine Datenverarbeitungsprozesse führen muss und belegen kann, dass deren Zwecke, Art und Umfang und risikomindernde Maßnahmen wie „Privacy by Design“ oder „Privacy by Default“ dokumentiert und die Zulässigkeit geprüft worden ist.

Nachstehend geben wir ein paar Beispiele wie eine solche Dokumentation erfolgen kann:

Einsatz eines Datenschutz-Managementsystems

Einführung eines unternehmensweiten Datenschutzmanagementsystems, welches auf die Anforderungen der EU DSGVO angepasst ist.

Dazu gehören:

  • Datenschutzorganisation und Verantwortlichkeiten
  • Einbindung eines Datenschutzbeauftragten
  • Verzeichnis für Verarbeitungstätigkeiten
  • Datenschutz-Folgenabschätzung: diese ist durchzuführen, wenn eine Form der Verarbeitung wahrscheinlich ein hohes Risiko für personenbezogenen Daten verursacht
  • Vertragsmanagement: Ausrichtung der Vertragsbeziehungen mit Dienstleistern auf die DSGVO
  • Verpflichtung der Mitarbeiter auf das Datengeheimnis
  • Datenschutz-Schulung
  • Implementierung eines Prozesses zur Wahrnehmung von Betroffenenrechten
  • Meldung von Datenschutzverstößen / Datenpannen

Umsetzung des Verzeichnisses für Verarbeitungstätigkeiten

Unternehmen welche bereits ein Verfahrensverzeichnis nach BDSG führen haben bereits eine Grundlage für das neue Verzeichnis nach der DSGVO.

Das Verzeichnis von Verarbeitungstätigkeiten löst ab Mai das alte Verfahrensverzeichnis ab und bringt einige Neuerungen mit sich:

  • Pflicht der Veröffentlichung besteht nur noch gegenüber den Aufsichtsbehörden
  • Auch Auftragsverarbeiter müssen zukünftig ein Verzeichnis für Verarbeitungstätigkeiten führen
  • Pflicht auch für Kleinstunternehmer, da eine Befreiung nur selten zutrifft

Für das Verzeichnis der Verarbeitungstätigkeiten bestehen zwar inhaltliche Vorgaben (Art. 30 DSGVO), die Form ihrer Umsetzung ist jedoch frei wählbar.

Grundlegend setzt sich das Verzeichnis der Verarbeitungstätigkeiten aus Grundangaben, einzelnen Verarbeitungstätigkeiten und dem Sicherheitskonzept zusammen.

Grundangaben:

  • Daten zum Unternehmen (Name, Adresse, Geschäftsführer, Kontaktdaten, Registergericht/-nummer, Datenschutzbeauftragter)

Einzelne Verarbeitungstätigkeiten:

  • konkrete Verarbeitungstätigkeit, Zweck, Rechtsgrundlage, Datenquelle, Empfänger/Transfer in Drittländer, Information der Betroffenen, Datenkategorien, Kategorien Betroffener, Löschung / Einschränkung der Verarbeitung, Schutzmaßnahmen (TOMs: Zutrittskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Gewährleistung des Zweckbindungs-/Trennungsgebotes)

Vertrag zur Auftragsverarbeitung als Erlaubnis zur wirksamen Datenweitergabe

Beauftragt ein Unternehmen ein anderes Unternehmen, personenbezogene Daten auf seine Anweisung hin zu verarbeiten, handelt es sich um eine Datenverarbeitung im Auftrag. Beispielsweise wird ein Newsletterversender mit dem Versand von Mailings oder Google mit der Websiteanalyse beauftragt.

Für den Fall der Auftragsverarbeitung sieht das Gesetz den Abschluss und die Erfüllung eines Vertrags zur Auftragsverarbeitung als hinreichend zur Wahrung der Datenschutzinteressen der Betroffenen und damit als Erlaubnisgrundlage zur Weitergabe vor (Art. 28 Abs. 3 S. 1 DSGVO). Hierzu müssen der Vertrag und seine Umsetzung den gesetzlichen Vorgaben entsprechen.

In einem Auftragsverarbeitungsvertrag muss sich der Auftragnehmer dazu verpflichten, die Daten nur entsprechend dem Auftrag und nach Weisung zu verarbeiten.

Die Auftragsverarbeitung sollte u.a. folgende Punkte enthalten:

  • Angaben zum Auftraggeber und Auftragnehmer
  • Kategorien der verarbeiteten Daten
  • Kategorien der von der Verarbeitung betroffenen Personen
  • Zweck der Verarbeitung
  • Vertragsdauer
  • Verpflichtung der Mitarbeiter auf Vertraulichkeit
  • Regelungen zur Beauftragung von weiteren Subunternehmern
  • Kontrollrechte des Auftraggebers
  • technisch-organisatorische Maßnahmen zum Schutz der Daten

Der Vertrag kann ab 25. Mai 2018 auch elektronisch geschlossen werden und muss nicht mehr wie bisher eigenhändig unterschrieben werden.

Data Breach Notification - Meldepflichten bei Datenschutzverstößen

Bereits jetzt sind Unternehmen verpflichtet, die Aufsichtsbehörden oder die Betroffenen im Fall von „Verletzungen des Schutzes personenbezogener Daten“ – sogenannte Data Breaches – zu informieren. Diese Verpflichtungen werden mit der DSGVO deutlich verschärft. Nach bisheriger Rechtslage mussten von der Datenpanne besonders sensible Daten betroffen sein, wie z.B. Gesundheits- oder Bankdaten.

Zukünftig löst jeder Datenschutzverstoß die Meldepflicht an die zuständige Aufsichtsbehörde aus. Eine Ausnahme besteht nur dann, wenn die Datenpanne „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“ (Art. 33 abs. 1 DSGVO). Diese Risikoabwägung muss jedoch zu Nachweiszwecken dokumentiert werden. D.h. wenn bereits ein USB-Stick außerhalb der Betriebsstätte verloren geht und darauf z.B. Kundendaten gespeichert waren, muss eine Meldung erstellt und eine Abwägung getroffen werden. Das gilt auch, wenn der USB-Stick sofort wiedergefunden wurde.

Kann ein Risiko nicht ausgeschlossen werden, muss eine Meldung sowohl an die Datenschutzbehörde, als auch an die Betroffenen erfolgen.

Checkliste bei Datenpannen

Meldung an die Datenschutzbehörde (Art. 33 DSGVO):

  • Wurde der Schutz personenbezogener Daten verletzt? (z.B. Hack, USB-Stick verloren, etc.)
  • Kann das Risiko von Nachteilen für Betroffene ausgeschlossen werden? Falls nicht, ist auch eine Meldung an Betroffene erforderlich?
  • Meldefrist: unverzüglich, möglichst innerhalb 72 Stunden
  • Formale Anforderung: Mindestanforderungen (Art. 33 Abs. 3 DSGVO) beachten und per E-Mail vorab an die zuständige Aufsichtsbehörde

Meldung an Betroffene (Art. 34 DSGVO):

  • Führt Risikoabwägung zur Informationspflicht der Betroffenen?
  • Meldefrist: unverzüglich, möglichst innerhalb 72 Stunden
  • Formale Anforderung: Mindestanforderungen (Art. 33 Abs. 3 lit. b, c, d DSGVO) beachten und per E-Mail ausreichend

Die Bedeutung und Anzahl von Data Breach Notifications, zumindest die, die Aufsichtsbehörden gemeldet werden, dürften mit Wirksamwerden der DSGVO deutlich steigen, da dann die Meldepflicht unabhängig von der Art der personenbezogenen Daten besteht.

Angesichts der kurzen Fristen für eine Data Breach Notification, der Meldepflicht unabhängig von der Art der personenbezogenen Daten und der gesteigerten Anforderung an Dokumentation, sollte die Übergangszeit genutzt werden, um effiziente Prozesse im Unternehmen zu implementieren, durch die Datenpannen schnell erkannt und die entsprechenden Meldepflichten umgesetzt werden können.

EU-Datenschutz-Grundverordnung: Das sollten Sie wissen

Dieser Beitrag ist Teil unserer Reihe zur Umsetzung der EU-DSGVO im Online-Marketing:

Rechtlicher Hinweis

Die Columbus Interactive GmbH übernimmt keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der in dieser Unterlage bereit gestellten Informationen. Die Informationen sind allgemeiner Art und stellen keine Rechtsberatung im Einzelfall dar. Zur Lösung von konkreten Rechtsfällen und Fragen konsultieren Sie bitte einen auf dieses Gebiet spezialisierten Fachanwalt.

Diese Website verwendet Cookies

Wenn Sie der Cookie-Nutzung zustimmen, können wir unsere Inhalte nach Ihren Bedürfnissen gestalten.
Jegliche Auswertung erfolgt anonymisiert. Mehr Informationen über Cookies und die Option, der Cookie-Verwendung zu widersprechen enthält unsere Datenschutzerklärung.

Verstanden & Akzeptiert
Mehr Infos