Die Datenschutzgrundverordnung (DSGVO, VO (EU) 2016/679 vom 27. April 2016) wird kommen – und zwar bald. Sie ist seit dem 27. April 2016 in Kraft und gilt ab dem 25. Mai 2018 unmittelbar, wodurch sie die Datenschutz-Richtlinie (Richtlinie 95/46/EG vom 24. Oktober 1995) vollständig und das Bundesdatenschutzgesetz (BDSG) zum Teil ersetzt. Das heißt, die DSGVO ist nicht – wie eine europäische Richtlinie – erst in nationales Recht umzusetzen, sondern gilt unmittelbar für jeden Unternehmer und für den Datenschutzverantwortlichen im Unternehmen.

Ab dem Tag der unmittelbaren Geltung der DSGVO ist jene damit auch im Rahmen eines (bereits bestehenden) Compliance-Managements zu beachten, so dass der Datenschutz insoweit weiter an Bedeutung gewinnt. Auch wenn sich die Anforderungen der DSGVO zum Teil mit denen aus dem BDSG überschneiden, so muss dennoch beachtet werden, dass punktuell auch Verschärfungen und Erweiterungen datenschutzrechtlicher Vorgaben eingetreten sind. Damit verbunden sind zwangsläufig auch neue Compliance-Pflichten, mit denen sich ein Unternehmer auseinander setzen sollte, um diese rechtzeitig im Unternehmen umsetzen zu können.^[1] Doch was beinhalten die Compliance-Pflichten?

Compliance heißt nichts anderes, als die Einhaltung von Gesetzen und Richtlinien, also die Gesetzeskonformität. Wer die rechtlichen Vorgaben und Pflichten der DSGVO beachtet und nicht dagegen verstößt, ist seiner daraus erwachsenden Compliance-Pflicht aus der DSGVO nachgekommen. Daher werden im Folgenden die neuen Anforderungen und Verschärfungen der DSGVO im Gegensatz zum BDSG erläuternd dargestellt, um einen Einstieg in die Thematik zu bieten. Denn ein Unternehmer, der sich Industrie 4.0-Anwendungen bedient, wird zwangsläufig mit den Themen Big Data und Datenschutz konfrontiert.

Ein langfristiger Erfolg von Industrie 4.0 kann daher nur dort stattfinden, wo schon heute zukunftsorientiert der datenschutzrechtliche Rahmen der DSGVO in strategische Erwägungen einbezogen wird. Genau daran knüpft der Beitrag an, indem unter Erörterung der DSGVO konkrete Handlungsempfehlungen für Unternehmen herausgegeben werden.

1          Die Datenschutzgrundverordnung – Ein zahnloser Tiger?

Bisher waren immer wieder Stimmen zu hören, die das aktuelle Datenschutzrecht – fast spöttisch – als zahnlosen Tiger bezeichneten.^[2][3] So wies man darauf hin, dass die datenschutzrechtlichen Vorgaben von Unternehmen oft ignoriert werden.^[4] Selbst das zurzeit noch geltende BDSG, welches die europäische Datenschutz-Richtlinie umsetzt, ändert daran nichts, da die vorgesehenen Bußgelder von vielen größeren Unternehmen zumeist aus der „Portokasse“ beglichen wurden.^[5] § 43 Abs. 3 S. 1 BDSG sieht bspw. nur Bußgelder von bis zu 300.000 € vor. Diese Zeiten sollen jedoch mit Inkrafttreten der DSGVO der Vergangenheit angehören.

Unternehmen und Verantwortliche werden mit einer deutlichen Verschärfung der Bußgelder konfrontiert. Nach der DSGVO können Bußgelder von bis zu 20.000.000 € bzw. 4 % des globalen Jahresumsatzes (Art. 83 Abs. 5 DSGVO) verhängt werden.

Zusätzlich ist die zivilrechtliche Haftung für materielle und immaterielle Schäden möglich, die durch einen Verstoß gegen die Vorschriften der DSGVO verursacht werden (Art. 82 Abs. 2 lit. b) DSGVO). Mit dem Risiko von rund 66mal höheren Geldbußen sieht es derzeit so aus, als ob dem zahnlosen Tiger doch langsam Zähne wachsen, wobei die Schärfe der Zähne mittels einer Detailbetrachtung der DSGVO festgestellt werden muss.

Hierfür gilt es zunächst deren Anwendungsbereich zu betrachten, um festzustellen, inwieweit ein Umgang mit Daten überhaupt der DSGVO unterfällt, um anschließend zu den Grundprinzipien und den Pflichten des Verantwortlichen sowie abschließend zu den Rechten des Betroffenen zu gelangen.

2          Anwendungsbereich der DSGVO

Entscheidungserheblich ist sonach der Anwendungsbereich der DSGVO, der durch Art. 1 bis 4 DSGVO bestimmt wird. Fällt ein Sachverhalt im Unternehmen in den Anwendungsbereich, so hat es die weiteren Anforderungen und Pflichten aus der DSGVO zu beachten.

2.1         Sachlicher Anwendungsbereich, Art. 2 DSGVO

In sachlicher Hinsicht gilt die DSGVO gem. Art. 2 DSGVO für alle nicht-/automatisierten Verarbeitungsprozesse von personenbezogenen Daten, deren Speicherung in Frage steht (Ausnahmen: Art. 2 Abs. 2 DSGVO).

Entscheidend für jeden Unternehmer ist damit das Kriterium des personenbezogenen Datums. Damit ein solches vorliegt, ist gem. der zu § 3 Abs. 1 BDSG ähnlichen Legaldefinition in Art. 4 Nr. 1 DSGVO erforderlich, dass sich die Information auf eine identifizierte oder identifizierbare natürliche Person bezieht. Auf anonymisierte Daten findet die DSGVO folglich keine Anwendung (Erwägungsgrund Nr. 26 DSGVO). Zu beachten ist dabei allerdings, dass eine bloße Pseudonymisierung (Art. 4 Nr. 5 DSGVO) nicht immer genügt. Dies liegt darin begründet, dass auch eine indirekte Identifizierbarkeit durch Heranziehung weiterer Informationen zum vorliegenden Datum (z.B. Online-Kennungen, IP-Adressen etc.) ausreichend ist. Jeder einzelne Unternehmer hat mithin die Pflicht, mit allen ihm zur Verfügung stehenden Mitteln zu überprüfen, ob Vorsorge gegen die Möglichkeit der Identifizierung einer natürlichen Person vorgebeugt wurde. Dabei muss der Unternehmer in einer ihm zumutbaren Weise überprüfen, d.h. als objektive Identifikationsfaktoren sind u.a. der Kosten- und Zeitaufwand sowie die verfügbare Technologie und deren Entwicklung zu berücksichtigen (Erwägungsgrund Nr. 26 DSGVO).

Es ist darauf hinzuweisen, dass auch scheinbar anonymisierte Daten noch einen Personenbezug aufweisen können. Bei einer ausreichenden Menge an anonymisierten Daten kann die Möglichkeit bestehen, dass sich aus deren Zusammenschau ein Persönlichkeitsprofil und damit eine Identifizierbarkeit ableiten lassen.^[6][7] Als Beispiel sei nur auf die Datenerhebung durch Sensoren an einer Maschine verwiesen. Gerade durch Hinzuziehung etwa der elektronischen Arbeitszeiterfassung lässt sich relativ einfach der entsprechende Maschinenbediener identifizieren, so dass von einem personenbezogenen Datum auszugehen ist.^[8]

2.2         Räumlicher Anwendungsbereich, Art. 3 DSGVO

Mit der Einführung des Marktortprinzips hat der europäische Gesetzgeber dagegen einen wesentlichen Schritt hin zum flächendeckenden Datenschutz geleistet. Gem. Art. 3 Abs. 1 DSGVO findet die DSGVO nämlich nicht nur Anwendung, wenn das datenschutzrechtlich beauftragte Unternehmen in der EU niedergelassen ist. Sondern nach Art. 3 Abs. 2 DSGVO gilt die DSGVO auch für Unternehmen, die nicht in der EU niedergelassen sind, jedoch Daten von Personen verarbeiten, die sich in der EU befinden. Letzteres gilt allerdings nur dann, wenn sie innerhalb der EU ihre Waren oder Dienstleistungen un-/entgeltlich anbieten und/oder dabei das innereuropäische Verhalten der Personen beobachten (z.B. deren Internetaktivitäten, Erwägungsgrund 24 DSGVO). Die Staatsangehörigkeit (Erwägungsgrund 14 DSGVO) ist dagegen ebenso wie der Ort des vertraglich regulierten Datenverarbeitungsprozesses unerheblich.

Es soll keine Möglichkeit geben, sich der DSGVO zu entziehen. Sobald personenbezogene Daten von Unionsbürgern auch von außerhalb der EU verarbeitet werden, findet die DSGVO Anwendung.

3          Grundprinzipien der DSGVO

Die in der DSGVO enthaltenen Grundprinzipien bilden die Grundlage für die weiteren datenschutzrechtlichen Pflichten und sind als solche zu beachten. Daher sollten die Grundsätze der Datenverarbeitung und die Rechtmäßigkeitserfordernisse der DSGVO jedem Unternehmer bekannt sein.

3.1         Grundsätze der Datenverarbeitung nach der DSGVO

Die aus dem Datenschutzgrundrecht in Art. 8 GRCh abgeleiteten^[9] Grundsätze der Datenverarbeitung ergeben sich aus Art. 5 DSGVO. Jedes der DSGVO unterfallende Unternehmen ist gem. Art. 5 Abs. 2 DSGVO für deren Befolgung verantwortlich und muss zudem die Einhaltung der Grundsätze entsprechend nachweisen können (Stichwort: Datenschutzmanagementsystem, vgl. Art. 24 und Art. 30 DSGVO). Im Einzelnen zählen zu den Grundsätzen der Datenverarbeitung nach Art. 5 Abs. 1 lit. a) DSGVO zunächst der Rechtmäßigkeitsgrundsatz, der Grundsatz von Treu und Glauben sowie ein entsprechendes Transparenzgebot, so dass es für jede Form der Datenverarbeitung einer rechtlichen Grundlage bedarf und die Datenverarbeitung für den Betroffenen nachvollziehbar sein muss. Des Weiteren dürfen Daten – ausgenommen zu Forschungszwecken – wie bereits zuvor nur zu einem bestimmten legitimen Zweck verarbeitet werden (Zweckbindung, Art. 5 Abs. 1 lit. b) DSGVO). Nachträgliche Zweckänderungen sind deshalb auch nur innerhalb der strengen Grenzen des Art. 6 Abs. 4 DSGVO zulässig. Ebenso bekannt (§ 3a BDSG) ist auch der Grundsatz der Datenminimierung, um die Quantität der zu verarbeitenden Daten auf ein im Vergleich zum verfolgten legitimen Zweck notwendiges Maß zu beschränken, Art. 5 Abs. 1 lit. c) DSGVO. Darauf zielt auch der unten zu behandelnde Grundsatz „Privacy by Default“ ab.^[10] Zur Vorbeugung veralteter/unrichtiger Daten sieht Art. 5 Abs. 1 lit. d) DSGVO weiterhin vor, dass alle angemessenen Maßnahmen zur Sicherstellung der Richtigkeit zu treffen sind. Dies umfasst bspw. die unverzügliche Löschungs- oder Berichtigungspflicht durch die verarbeitende Stelle. Der Verantwortliche muss nach Art. 5 Abs. 1 lit. e) DSGVO im Übrigen die Erforderlichkeit zur Zweckverfolgung prüfen, da sich daran die zulässige Speicherdauer der Daten bemisst. Verneint er diese wie bspw. im Fall der Zweckerreichung, so sind die Daten zu löschen. Big Data-Anwendungen fehlt damit allerdings schon die Rechtsgrundlage, da diese gerade darauf ausgelegt sind, ohne konkrete Zweckverfolgung zur späteren Datenanalyse selbige zu sammeln.^[11]

Jeder einzelne Unternehmer hat geeignete (und ihm zumutbare) technische und organisatorische Maßnahmen zu ergreifen, um vor Datenmissbrauch oder einem unbeabsichtigten Verlust von Daten zu schützen, Art. 5 Abs. 1 lit. f) DSGVO. Welche Maßnahmen von den Unternehmen erwartet werden, ist im Einzelfall unter Berücksichtigung einer Zweck-Mittel-Relation festzustellen.

3.2         Rechtmäßigkeit der Datenverarbeitung, Art. 6 DSGVO

Darüber hinausgehend ist dafür zu sensibilisieren, dass praktisch jede Form der Datenverarbeitung verboten ist, es aber Erlaubnistatbestände gibt (Art. 6 DSGVO), die von diesem grundsätzlichen Verbot befreien. In der Praxis relevant ist dabei u.a. Art. 6 Abs. 1 lit. a) DSGVO, namentlich die vorherige Zustimmung bzw. Einwilligung zur Datenverarbeitung. Die Einwilligung muss dabei freiwillig und durch den informierten Betroffenen erfolgen. Gemäß Art. 4 Nr. 11 DSGVO muss die Einwilligung im Übrigen in einer eindeutig bestätigenden Handlung erfolgen, so dass bloßes Schweigen oder eine bereits vorausgewählte Zustimmung im elektronischen Rechtsverkehr (Opt-Out) nicht (mehr) zulässig sind (Erwägungsgrund Nr. 32 DSGVO).

Die Beweispflicht für das Vorliegen einer entsprechenden Einwilligung trägt dabei immer der jeweilige Unternehmer (Art. 7 Abs. 1 DSGVO). Empfohlen wird daher die Wahrung der Schriftform, wohingegen auch eine elektronische oder sogar nur eine mündliche Einwilligung zulässig sind (Erwägungsgrund Nr. 32 DSGVO).

Neben der Einwilligung des Betroffenen ist die Datenverarbeitung aber auch dann rechtmäßig, wenn sie zur Erfüllung eines (Vor-)Vertrages, von rechtlichen Verpflichtungen oder zum Schutz lebenswichtiger Interessen erforderlich ist (Art. 6 Abs. 1 lit. b) – d) DSGVO). Für besonders sensible Daten, wie bspw. genetisches Datenmaterial oder Patientendaten, gelten ferner gem. Art. 9 DSGVO strengere Rechtmäßigkeitsanforderungen, auf die an dieser Stelle aber nur verwiesen werden soll.

4          Pflichten des Verantwortlichen

Der „Verantwortliche“ ist nach Art. 4 Nr. 7 DSGVO das Unternehmen bzw. der Verantwortungsträger im Unternehmen, das oder der über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten die Entscheidungsbefugnis/-hoheit hat. Daher sollte das Unternehmen oder der verantwortlich Handelnde im Unternehmen die allgemeinen Pflichten des Verantwortlichen (Art. 24 bis 31 DSGVO) kennen und beachten.

4.1         Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, Art. 25 DSGVO

Art. 25 DSGVO verlangt erstmals europaweit das Prinzip des Datenschutzes durch Technikgestaltung („Privacy by Design“) und das Prinzip der datenschutzfreundlichen Voreinstellungen („Privacy by Default“).^[12]

Dem Prinzip „Privacy by Design“ entsprechend, hat der Verantwortliche bereits bei der Festlegung der Mittel zur Datenverarbeitung sowie bei der Verarbeitung selbst, geeignete technische und organisatorische Maßnahmen zu ergreifen, damit die Anforderungen der DSGVO gewahrt bleiben (Art. 25 Abs. 1 DSGVO).

Daraus ergibt sich die Pflicht, die Datenverarbeitungssysteme im Unternehmen derart zu gestalten, dass sie die bereits zuvor beschriebenen Datenschutzgrundsätze erfüllen – und zwar bereits während des Prozesses der Produktentwicklung.^[13]

Das Prinzip „Privacy by Default“ fordert, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen ergreift, um sicherzustellen, dass durch eine entsprechende Voreinstellung nur die für den bestimmten Zweck tatsächlich erforderlichen personenbezogenen Daten verarbeitet werden (Art. 25 Abs. 2 DSGVO).

Voreingestellt muss daher immer der höchste Datenschutz sein, bspw. im Hinblick auf die erhobene Datenmenge, den Verarbeitungsumfang und die Speicherfrist. Entspricht die Voreinstellung beispielsweise der Datenminimierung und -sparsamkeit (Art. 25 Abs. 1 DSGVO), kann sich jedoch ein Zielkonflikt zwischen den Datenschutzgrundsätzen aus Art. 5 Abs. 1 lit. c) DSGVO (Datenminimierung) und Art. 5 Abs. 1 lit. d) DSGVO (Datenrichtigkeit) ergeben. So ließe sich etwa bei Big Data-Anwendungen die Datenrichtigkeit durch eine vergrößerte Datenbasis herbeiführen, was zugleich dem Prinzip der Datenminimierung widersprechen würde.^[14] Von Unternehmen wird daher eine angemessene Balance zwischen den Datenschutzgrundsätzen erwartet. Das Prinzip „Privacy by Default“ zwingt vor allem Online-Dienste-Anbieter zum größtmöglichen Datenschutz durch gewählte Voreinstellungen und nicht erst durch die eigene Auswahl des Betroffenen.^[15]

In Anbetracht der umfassenden Dokumentationspflicht und der drohenden Bußgelder kann es ratsam sein, die korrekte Umsetzung mittels des bereitgestellten Zertifizierungsverfahrens nachzuweisen (Art. 25 Abs. 3 DSGVO).

4.2         Dokumentationspflicht, Art. 30 DSGVO

Der Verantwortliche muss nachweisen können, dass er die Datenschutzgrundprinzipien im Umgang mit personenbezogenen Daten eingehalten hat (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO). Vor diesem Hintergrund ist es empfehlenswert, der Dokumentationspflicht aus Art. 30 DSGVO nachzukommen. Danach hat das Unternehmen bzw. der Verantwortungsträger die Pflicht, ein Verzeichnis über die durchgeführten Datenverarbeitungstätigkeiten zu führen.

In der DSGVO findet mit Blick auf das BDSG eine Beweislastumkehr statt.^[16] Mit Inkrafttreten der DSGVO ist im Streit vom Verantwortlichen zu belegen und zu beweisen, dass er die Dokumentationspflicht korrekt umgesetzt hat. In einem Schadensersatzprozess kann folglich nur mit einer umfassenden Dokumentation der Datenverarbeitungsvorgänge sowie einer Dokumentation über die Einhaltung der erforderlichen Datenschutzmaßnahmen ein Entlastungsbeweis gelingen. Hierdurch lassen sich zudem mögliche Bußgelder nach Art. 83 Abs. 4 lit. a) DSGVO vermeiden. Es ist aber ergänzend darauf hinzuweisen, dass die Dokumentationspflicht KMUs mit weniger als 250 Mitarbeitern von der Pflicht ausnimmt, es sei denn, dass eine risikobehaftete Datenverarbeitung vorliegt.^[17] Dahingegen werden die Auftragsdatenverarbeiter von Art. 30 Abs. 2 DSGVO erfasst, die bspw. im Rahmen des Cloud Computing mit der Datenverarbeitung beauftragt werden.

Es ist grundsätzlich jedem Unternehmen anzuraten, ein Dokumentationsmanagement zu implementieren, das die Datenverarbeitungsvorgänge z.B. durch ein entsprechendes (auch digitales) Verfahrensverzeichnis lückenlos und nachvollziehbar erfasst.

Auch Unternehmen mit weniger als 250 Beschäftigten (KMUs) wird die Dokumentations­verpflichtung künftig ggf. im Rahmen von Zulieferverträgen – also innerhalb der Vertriebs­kette – abverlangt. Damit auch KMUs schnell auf entsprechende Pflichten vorbereitet sind, ist es sicher von Vorteil entsprechende Dokumentationen im eigenen Unternehmen vorzuhalten.

Von der Aufsichtsbehörde ist bis Mitte 2017 geplant, ein Muster für ein solches Verzeichnis zu erarbeiten^[18], was die Führung eines Verzeichnisses über die Datenverarbeitungsvorgänge erleichtern würde.

4.3         Datenschutzfolgenabschätzung, Art. 35 Abs. 1 DSGVO

Sollte eine neue Form der Datenverarbeitung, insb. mit Bezug zu den neuen Technologien, ein hohes Risiko für die Rechte und Freiheit von natürlichen Personen mit sich bringen, so hat der Verantwortliche bzw. das Unternehmen zuvor eine Datenschutzfolgenabschätzung der beabsichtigten Verarbeitungsvorgänge bzgl. des Schutzes der personenbezogenen Daten gem. Art. 35 Abs. 1 DSGVO durchzuführen.

Dies ist insb. für die in Art. 35 Abs. 3 lit. a) bis c) DSGVO genannten Fälle verpflichtend, welche das Profiling einschließen und somit ebenfalls Big Data-Anwendungen erfassen. Die Datenschutzfolgenabschätzung tritt an die Stelle der Vorabprüfung aus dem BDSG, führt aber zusätzlich Regeln über den Ablauf und die Folgen des Verfahrens ein.^[19] Ergibt die Datenschutzfolgenabschätzung ein erhöhtes Risiko, dann ist dies der Aufsichtsbehörde – welche gem. Art. 51 DSGVO von den Mitgliedstaaten einzurichten ist – mitzuteilen, damit sie eine Handlungsempfehlung an das Unternehmen abgeben kann, Art. 36 Abs. 2 DSGVO.^[20] Grds. ist für den Datenschutz im nicht-öffentlichen Bereich die (Datenschutz-)Aufsichtsbehörde des Bundeslandes (abhängig von dem Sitz der verantwortlichen Stelle) zuständig.

Es ist jedem Unternehmen zu empfehlen, dass für jedes neu implementierte Verfahren eine Datenschutzfolgenabschätzung vorgenommen wird und die Aufsichtsbehörde darüber zu informieren. Reaktionen / Anregungen der Behörde können zu einem frühen Zeitpunkt hilfreiche Hinweise geben. Für Kleinstunternehmen oder KMUs sieht die DSGVO dabei keine Ausnahmen vor. Die Datenschutzfolgenabschätzung sollte möglichst zeitnah durchgeführt werden, damit auf die Handlungsempfehlung – die binnen 8-Wochen-Frist erfolgen muss – abgestimmte Maßnahmen veranlasst werden können.

Daneben dient die Datenschutzfolgenabschätzung der eigenen Dokumentation, einem datenschutzkonformen Umgang sowie einer datenschutzkonformen Struktur innerhalb des Unternehmens. Das Unternehmen bzw. der Verantwortliche sollte es vermeiden, eine verpflichtende Datenschutzfolgenabschätzung zu versäumen oder mit der entsprechenden Behörde nicht in Kontakt zu treten, um den Bußgeldern aus Art. 83 Abs. 4 lit. a) DSGVO zu entgehen.

4.4         Datenschutzbeauftragter, Art. 37 ff. DSGVO

Die bußgeldbewährte Pflicht zur Bestellung eines Datenschutzbeauftragten mit Aufgaben nach Art. 39 Abs. 1 DSGVO besteht grundsätzlich nur für öffentliche Stellen sowie für Unternehmen, deren Kerntätigkeit eine umfangreiche regelmäßige und systematische Überwachung oder eine umfangreiche Verarbeitung von sensiblen Daten gem. Art. 9 DSGVO darstellt. Zu den sensiblen Daten zählen u.a. Daten, aus denen die rassische und ethnische Herkunft, politische Meinung oder religiöse oder weltanschauliche Überzeugungen hervorgehen, Art. 9 Abs. 1 DSGVO. Eine Anwendung der Art. 37 ff. DSGVO auf KMUs erscheint zunächst weniger wahrscheinlich, da diese regelmäßig keine derart quantitative Überwachung als Kerntätigkeit wahrnehmen werden.^[21] Es wird jedoch den nationalen Gesetzgebern gem. Art. 37 Abs. 4 DSGVO eine Öffnungsklausel zur weiteren nationalen Ausgestaltung eingeräumt, so dass § 4f Abs. 1 BDSG weiter Geltung besitzen könnte, wonach grundsätzlich ein Datenschutzbeauftragter zu bestellen ist, wenn eine automatisierte Verarbeitung von personenbezogenen Daten vorliegt. Die Pflicht zur Bestellung eines Datenschutzbeauftragten würde für Unternehmen, die weniger als 10 Mitarbeiter haben, entfallen.

Die Bestellung des Datenschutzbeauftragten kann notwendig werden, sofern die umfangreiche regelmäßige und systematische Überwachung oder eine umfangreiche Verarbeitung von sensiblen Daten das Kerngeschäft des Unternehmens darstellen. Allerdings ermöglicht die DSGVO auch die Bestellung externer Dienstleister (§ 37 Abs. 5 DSGVO) sowie die „nebenamtliche“ Bestellung eines Datenschutzbeauftragten, soweit keine Interessenkonflikte entstehen können (§ 38 Abs. 5 DSGVO).

5          Datenschutz durch Selbstregulierung, Art. 40 ff. DSGVO

Neben den Pflichten, die den Unternehmen und Verantwortlichen auferlegt werden, beinhaltet die DSGVO Anreize zur Selbstregulierung durch Verhaltensregeln (Art. 40 f. DSGVO) und zur Zertifizierung von Verarbeitungsvorgängen (Art. 42 f. DSGVO), die nicht unerwähnt bleiben dürfen. Mit der regulierten Selbstregulierung wird die Möglichkeit eines europaweiten Zertifizierungsverfahrens eröffnet.^[22]

Ziel der Selbstregulierungsanreize ist es, dass Verbände, Vereinigungen aber auch Unternehmensverbünde Verhaltensregeln – gerade auch abgestimmt auf die Bedürfnisse und Möglichkeiten von Kleinstunternehmen sowie KMUs – erarbeiten.^[23]

Die erarbeiteten Selbstregulierungsmechanismen müssen – um Allgemeingültigkeit zu erlangen – von der nationalen Aufsichtsbehörde (derzeit der Sächsische Datenschutzbeauftragte im Freistaat Sachsen) genehmigt und veröffentlicht bzw. dem Europäischen Datenschutzausschuss vorgelegt werden (Art. 40 Abs. 5 und Abs. 6 DSGVO). Mögliche Inhalte der Verhaltensregeln werden in Art. 40 Abs. 2 DSGVO aufgelistet. In Erwägungsgrund 98 DSGVO wird der risikobasierte Ansatz der Verhaltensregeln hervorgehoben, der die Schutzmaßnahmen in abgestufter technischer und organisatorischer Form zu dem verbundenen Risiko abhängig stellt.^[24]

Mit der DSGVO wird die Möglichkeit geschaffen, den Nachweis über die Einhaltung der Vorgaben aus der DSGVO über das Durchlaufen eines Zertifizierungsverfahrens (mit Datenschutzprüfzeichen und Datenschutzsiegeln) zu erbringen.

Das Zertifizierungsverfahren kann von einer akkreditierten Zertifizierungsstelle (Art. 43 DSGVO) oder von der Aufsichtsbehörde (Art. 58 f. DSGVO) durchgeführt werden. Die Akkreditierung der Zertifizierungsstelle wird von der zuständigen Aufsichtsbehörde oder von der nationalen Akkreditierungsstelle vorgenommen (Art. 43 Abs. 1 DSGVO). Für Unternehmen aus Drittländern bietet es sich ebenfalls an, das Zertifizierungsverfahren zu durchlaufen oder sich den Verhaltensregeln zu unterwerfen, da aufgrund dessen der Datentransfer zu diesen Unternehmen zulässig wird (Art. 46 Abs. 2 lit. e) und f) DSGVO).

Es empfiehlt sich grundsätzlich, die Maßnahmen der Selbstregulierung zu nutzen, da durch die Zertifizierung der Verarbeitungsvorgänge und die von der zuständigen Behörde genehmigten Verhaltensregeln die Beweisbarkeit der Einhaltung der Bestimmungen und die datenschutzkonforme Umsetzung der DSGVO ermöglicht und vereinfacht wird.

6          Rechte des Betroffenen

Abschließen wird der Blick auf die Rechte der Betroffenen aus Art. 12 bis 23 DSGVO gerichtet. Denn ein Unternehmer sollte die Rechte des Betroffenen nicht unberücksichtigt lassen, da sich hieraus ebenfalls Pflichten in Verbindung mit den eingangs erwähnten Grundprinzipien ergeben können.

6.1         Informations- und Transparenzgebot, Art. 12 DSGVO

Einleitend soll dabei zunächst Art. 12 DSGVO im Fokus stehen.

Nach Art. 12 Abs. 1 DSGVO hat der verantwortliche Unternehmer den Betroffenen die Informationen gem. Art. 13 f. DSGVO und Mitteilungen gem. Art. 15 bis 22 und 34 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zu übermitteln.

Dies kann sowohl schriftlich, elektronisch oder in anderer Form erfolgen, wobei der Verantwortliche die Kosten hierfür zu tragen hat, Art. 12 Abs. 5 DSGVO. Im Übrigen ist der Verantwortliche gem. Art. 12 Abs. 2 bis 4 DSGVO auch verpflichtet, der betroffenen Person die Ausübung ihrer Rechte aus Art. 15 bis 22 DSGVO zu erleichtern sowie ihr über dahingehend ergriffene oder unterlassene Maßnahmen unverzüglich Information zu erstatten. Diese Ausweitung der bußgeldbewährten (Art. 83 Abs. 4 DSGVO) Informationspflicht zwingt damit bereits frühzeitig, vorhandene Datenschutzerklärungen anzupassen.

6.2         „Recht auf Vergessenwerden“, Art. 17 DSGVO

Mit dem „Recht auf Vergessenwerden” aus Art. 17 DSGVO erhält zunächst das altbekannte Löschungsrecht einen neuen aufwertenden Bezeichnungszusatz^[25] und unterliegt dem Bußgeldtatbestand aus Art. 83 Abs. 5 lit. b) DSGVO. Zusätzlich hat der Verantwortliche angemessene Maßnahmen zu ergreifen, damit alle Links, Kopien oder Replikate der von ihm öffentlich gemachten personenbezogenen Daten gelöscht werden (Art. 17 Abs. 2 DSGVO). Dadurch entsteht eine originäre Pflicht des Unternehmens bzw. des Verantwortlichen, veröffentlichte Daten zu löschen und darüber hinaus auch andere Stellen die die Daten verarbeiten über diese Löschungsverpflichtung in Kenntnis zu setzen.^[26] Das dem Löschungsanspruch vorausgehende „Öffentlich-machen der Daten“ bezieht sich mangels Definition auf einen unbestimmten Personenkreis, so dass die zu benachrichtigenden anderen Stellen z.B. auch die Betreiber von internetbasierten Suchmaschinen umfassen.^[27] Allerdings darf diese nachgelagerte Pflicht auch nicht überstrapaziert werden, sondern die Maßnahmen des Unternehmens bzw. des Verantwortlichen müssen angemessen sein, d.h. der Aufwand muss zum erreichbaren Zweck (Recht des Vergessenwerdens) in einem vertretbaren Rahmen stehen. Letzteres ist im Einzelfall abzuwägen (siehe oben 3.1 und 4).

6.3         Datenübertragbarkeit, Art. 20 DSGVO

Durch das Recht der Datenübertragbarkeit gem. Art. 20 DSGVO erhält der Betroffene das Recht, seine eigenen dem Unternehmen bzw. dem Verantwortlichen zur Verfügung gestellten personenbezogenen Daten in einer übersichtlichen Struktur übermittelt zu bekommen. Bedeutung könnte diese Norm bspw. für Arbeitgeber erlangen, die durch interne Ermittlungen Auskünfte von Mitarbeitern erhalten, deren Offenlegung ihnen gegenüber nicht bereits vertraglich verpflichtend ist.^[28] Zur Erfüllung der Verpflichtung aus Art. 20 DSGVO ist ggf. eine Anpassung der Datenstruktur im Unternehmen und damit eine Umstellung der IT-Systeme erforderlich, damit diese ohne Mehraufwand und zeitnah möglich ist und Bußgelder (Art. 83 Abs. 5 lit. b) DSGVO) vermieden werden können.

7          Schlussfolgerung

Bestenfalls ist die Datenschutzstruktur in einem Unternehmen derart gestaltet, dass keine Gefahr einer Verletzung der Datenschutzvorgaben vorliegt und keine Bußgelder drohen.

Um die Datenschutzstruktur im Unternehmen zu ermitteln, sind zunächst die eigenen Prozesse, Abläufe und Strukturen zu analysieren und diese dann entsprechend der Konformität mit der DSGVO auszuwerten. Sollte Anpassungsbedarf bestehen – was zum Teil anzunehmen sein wird – sind die Änderungen in der Unternehmensstruktur und eine Einführung bzw. Änderung des Datenschutzmanagementsystems vorzunehmen. Insg. ist zu empfehlen, die Instrumente der Selbstregulierung (z.B. Zertifizierungen) zu nutzen und zu Beweiserleichterungs­zwecken darauf zurückzugreifen.^[29] Zudem scheint es für die Unternehmenspraxis sinnvoll, Standardvertragsklauseln zu entwickeln und diese vor der Nutzung von der Aufsichtsbehörde bzw. dem Europäischen Datenschutzausschuss genehmigen zu lassen.^[30] Daneben ist auch Art. 83 Abs. 2 DSGVO beachtenswert, der einen Katalog mit Bußgeldbemessungskriterien aufführt. Werden diese Kriterien in der Unternehmensstruktur beachtet, so wird das Risiko eines Verstoßes bzw. einer Bußgeldverhängung gemindert.

Durch die DSGVO wurden zwar die Bußgelder massiv erhöht, es ist aber auch gleichzeitig anzumerken, dass das übrige Datenschutzrecht keine allzu deutliche Verschärfung erfahren hat. Viele der Vorschriften sind bereits ähnlich zu denen des BDSG und wurden nur modifiziert anstatt wesentlich geändert. Dies liegt darin begründet, dass zum Teil fundamentale Regelungen des BDSG als Vorbild in die DSGVO integriert wurden.^[31] Insofern ist anzunehmen, dass einige Unternehmen auch im Hinblick auf die DSGVO gut aufgestellt sind. Dennoch ist ratsam, eine Analyse der Datenschutzstruktur im Unternehmen vorzunehmen und ggf. das Datenschutzmanagementsystem entsprechend anzupassen.

Autoren: Dagmar Gesmann-Nuissl / Gernot Kirchner / Kathrin Nitsche | März 2017

___________________________________________________________________

Quellen:

[1] Thode, Die neuen Compliance-Pflichten nach der Datenschutz-Grundverordnung, in: CR 2016, S. 714.

[2] Hansen-Oest/Heidrich, Neu verordnet: Welche Änderungen die neue EU-Datenschutz-Regulierung in Deutschland bringen wird, in: c’t 2016, S. 169.

[3] Mühlich, Datenschutz in der Industrie 4.0, in: MM 2015, S. 39.

[4] Mühlich, Datenschutz im „smarten“ Business – Industrie 4.0 darf nicht zum Monitoring 4.0 werden, in: ZWF 2015, S. 236 f.

[5] Hansen-Oest/Heidrich, Neu verordnet: Welche Änderungen die neue EU-Datenschutz-Regulierung in Deutschland bringen wird, in: c’t 2016, S. 169.

[6] Spindler, Die neue EU-Datenschutz-Grundverordnung, in: DB 2016, S. 938.

[7] Bertermann, Datenschutzrechtliche Anforderungen der Digitalisierung meistern, in: IT-Spezial 2016, S. 7.

[8] Werkmeister/Brandt, Datenschutzrechtliche Herausforderungen für Big Data, in: CR 2016, S. 234.

[9] Schantz, Die Datenschutz-Grundverordnung: Beginn einer neuen Zeitrechnung im Datenschutzrecht, in: NJW 2016, S. 1841.

[10] Bertermann, Datenschutzrechtliche Anforderungen der Digitalisierung meistern, in: IT-Spezial 2016, S. 7.

[11] Buchner, Grundsätze und Rechtmäßigkeit der Datenverarbeitung unter der DS-GVO, in: DuD 2016, S. 156.

[12] Schantz, Die Datenschutz-Grundverordnung: Beginn einer neuen Zeitrechnung im Datenschutzrecht, in: NJW 2016, S. 1846.

[13] Thode, Die neuen Compliance-Pflichten nach der Datenschutz-Grundverordnung, in: CR 2016, S. 719 f.

[14] Härting, Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der betrieblichen Praxis, 2016, S. 137, Rn. 566.

[15] Härting, Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der betrieblichen Praxis, 2016, S. 31, Rn. 113.

[16] Hansen-Oest/Heidrich, Neu verordnet: Welche Änderungen die neue EU-Datenschutz-Regulierung in Deutschland bringen wird, in: c’t 2016, S. 168.

[17] Thode, Die neuen Compliance-Pflichten nach der Datenschutz-Grundverordnung, in: CR 2016, S. 718.

[18] Thode, Die neuen Compliance-Pflichten nach der Datenschutz-Grundverordnung, in: CR 2016, S. 718.

[19] Härting, Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der betrieblichen Praxis, 2016, S. 10, Rn. 34.

[20] Hansen-Oest/Heidrich, Neu verordnet: Welche Änderungen die neue EU-Datenschutz-Regulierung in Deutschland bringen wird, in: c’t 2016, S. 168 f.

[21] Härting, Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der betrieblichen Praxis, 2016, S. 2, Rn. 9.

[22] Kühling/Martini, Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen und deutschen Datenschutzrecht?, in: EuZW 2016, S. 452.

[23] Härting, Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der betrieblichen Praxis, 2016, S. 188, Rn. 778.

[24] Härting, Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der betrieblichen Praxis, 2016, S. 188 f., Rn. 779.

[25] Schantz, Die Datenschutz-Grundverordnung: Beginn einer neuen Zeitrechnung im Datenschutzrecht, in: NJW 2016, S. 1845.

[26] Hansen-Oest/Heidrich, Neu verordnet: Welche Änderungen die neue EU-Datenschutz-Regulierung in Deutschland bringen wird, in: c’t 2016, S. 168.

[27] Härting, Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der betrieblichen Praxis, 2016, S. 176 f., Rn. 723 f.

[28] Wybitul/Böhm, Das neue EU-Datenschutzrecht: Folgen für Compliance und interne Ermittlungen (Update vom 14.04.2016), in: CB 2016, S. 106.

[29] Hansen-Oest/Heidrich, Neu verordnet: Welche Änderungen die neue EU-Datenschutz-Regulierung in Deutschland bringen wird, in: c’t 2016, S. 168.

[30] Schantz, Die Datenschutz-Grundverordnung: Beginn einer neuen Zeitrechnung im Datenschutzrecht, in: NJW 2016, S. 1846.

[31] Hansen-Oest/Heidrich, Neu verordnet: Welche Änderungen die neue EU-Datenschutz-Regulierung in Deutschland bringen wird, in: c’t 2016, S. 166.