Mit der zunehmenden Digitalisierung und Vernetzung ist der Schutz von Daten und ihre Sicherheit in einem neuen Licht zu diskutieren. Mit der Anwendung von Digitalisierungs-Technologien nimmt der Datenfluss und somit generell die Erhebung, Verarbeitung und Speicherung von Daten zu.

Die anfallenden Daten sind danach zu unterscheiden, ob sie einen Personenbezug besitzen oder nicht, also inwieweit sie einer (identifizierbaren) natürlichen Person zugeordnet werden können. Mit Blick auf Digitalisierungsanwendungen könnte der Eindruck entstehen, dass anfallende Daten – beispiels­weise maschinengenerierte Daten – vornehmlich keinen Personenbezug aufweisen, sondern vielmehr technikbezogen sind. Fehlt der Personenbezug, findet das Datenschutzrecht keine Anwendung. Dabei darf man sich jedoch nicht darüber täuschen lassen, dass Daten, die augenscheinlich keinen Personenbezug aufweisen, diesen dennoch mittelbar besitzen können. So ist es vorstellbar, dass eine große Menge an scheinbar technischen Daten vorgehalten wird und im Rahmen der späteren Analyse und Verarbeitung einen Personenbezug entstehen lässt. Handelt es sich um personenbezogene Daten, ist die rechtskonforme Einhaltung des Datenschutzrechts zu gewährleisten, so dass sich hieraus eine Unternehmens-Compliance im Bereich des Datenschutzes ergibt. Compliance bedeutet nichts anderes als die Gesetzestreue zu gewährleisten, also die Einhaltung von gesetzlichen Vorgaben und Pflichten.

1          Unternehmens-Compliance im Datenschutz

Bislang richtet sich die Datenschutz-Compliance im Wesentlichen nach den Regelungen des Bundesdaten­schutzgesetzes (BDSG). Dies ändert sich schlagartig, wenn die Datenschutzgrund­verordnung (DSGVO) am 25. Mai 2018 ihre unmittelbare Wirkung entfaltet und zwingend anzuwenden ist. Mit der DSGVO werden die Pflichten verschärft und erweitert und die drohenden Sanktionen für etwaige Verstöße steigen drastisch an. Die DSGVO nimmt nicht nur den für die Datenverarbeitung Verantwortlichen in die Pflicht, sondern auch den Auftragsverarbeiter (dessen Eigenverantwortung das BDSG bislang nicht kannte) und sieht Bußgelder von bis zu 20 Mio. € beziehungsweise bis zu 4 % des globalen Jahresumsatzes von Unternehmen vor (das BDSG nur bis zu 300.000 €). Damit geht eine entsprechende Anpassung der Unternehmens-Compliance im Datenschutzrecht einher. Die Verantwortlichen im Unternehmen haben sicherzustellen, dass in ihrem Unternehmen den Anforderungen der DSGVO genügt wird, um vordergründig eine Bußgeldzahlung zu vermeiden. Es ist daher ratsam, sich mit den anstehenden Veränderungen auseinanderzusetzen, um die eigene Unternehmens-Compliance entsprechend anpassen zu können. Dazu sollte diese hinterfragt und überprüft werden. Es gilt zu erörtern, welche Anforderungen die DSGVO enthält und inwieweit die Compliance im Unternehmen dieselben erfasst, um im Nachgang die Unternehmens-Compliance gegebenenfalls an die Vorgaben der DSGVO anzupassen – und zwar bevor die DSGVO unmittelbar zur Anwendung kommt. Wird eine Compliance-Kontrolle im Unternehmen durchgeführt, ist zu beachten, dass die Vorschriften der DSGVO selbstredend ebenfalls während der Überprüfung verbindlich zu beachten sind, wenn personenbezogene Daten erhoben werden. Unter Berücksichtigung einer umfangreichen Interessenabwägung könnte die Compliance-Kontrolle als Wahrung des berechtigten Interesses des Verantwortlichen unter den Erlaubnis­tatbestand des Art. 6 Abs. 1 lit. f DSGVO fallen^[1], so dass in deren Rahmen keine Einwilligung des Betroffenen zur rechtmäßigen Datenverarbeitung erforderlich wäre. Dies ist aber keinesfalls grundsätzlich anzunehmen, sondern äußerst sorgfältig zu überprüfen.

2          Die Datenschutzgrundverordnung

Werden personenbezogene Daten verarbeitet, ist das Datenschutzrecht zwingend zu beachten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Die Datenverarbeitung kann durch Behörden, Einrichtungen und durch natürliche und juristische Personen (Art. 4 Nr. 7 DSGVO) erfolgen – vergleichbar zum BDSG (§ 3 Abs. 1 beziehungsweise § 1 Abs. 2 BDSG). Die DSGVO findet im Rahmen einer Datenverarbeitung (vergleichbar zum Territorialprinzip des BDSG) Anwendung, wenn sich der für die Verarbeitung Verantwortliche beispielsweise durch eine Niederlassung auf europäischem Territorium befindet (Art. 3 Abs. 1 DSGVO). Mit der DSGVO wird der Anwendungsbereich insoweit erweitert, dass eine Datenverarbeitung ebenso vom Anwendungsbereich der DSGVO erfasst wird, wenn sich die von der Datenverarbeitung betroffene Person innerhalb der EU aufhält und die Datenverarbeitung in Zusammenhang mit den ihr angebotenen Waren oder Dienstleistungen steht oder ihr Verhalten beobachtet wird (sog. Marktortprinzip, Art. 3 Abs. 2 DSGVO).

Mit Art. 24 DSGVO werden im Rahmen einer Generalnorm die datenschutzrechtlichen Pflichten – die Einhaltung der DSGVO sowie die Veranlassung der dazu notwendigen Maßnahmen – dem Verantwortlichen, also demjenigen, der über die Verarbeitung der personenbezogenen Daten entscheidet, auferlegt.^[2] Die Generalnorm knüpft an den risikobasierten Ansatz der DSGVO an und findet in verschiedenen Normen (siehe unter 3.3) eine Konkretisierung.

3          Compliance-relevante Vorschriften der Datenschutzgrundverordnung

Am Anfang der Unternehmens-Compliance steht zunächst eine Gefährdungsanalyse, in deren Rahmen die Risiken von möglichen Verstößen gegen datenschutzrechtliche Vorgaben ermittelt werden.^[3] Wiederholt sei der Hinweis, dass die DSGVO im Vergleich zum BDSG ebenfalls den Schutz von personenbezogenen Daten beabsichtigt und neben den noch anzusprechenden Neuerungen (siehe nachfolgend) die bekannten Regelungen aus dem BDSG an einigen Stellen modifiziert. Daneben hält die DSGVO Öffnungsklauseln vor, welche die Anwendung der bisher geltenden Regelungen des BDSG teilweise zulassen. Durch die bevorstehende Ausweitung und Stärkung des Schutzes von personenbezogenen Daten werden sich jedoch insgesamt die Anforderungen an die Unternehmens-Compliance im Bereich des Datenschutzes erhöhen.^[4] Folglich steigt der Anspruch an die Datenschutz-Compliance mit zunehmender Datenverarbeitung im Unternehmen. Nachfolgend wird auf die modifizierten oder neu eingefügten Regelungen der DSGVO eingegangen, die im Rahmen einer Gefährdungsanalyse und dem entsprechenden Compliance-Management-System nicht außer Acht gelassen werden sollten.

3.1         Grundsätze der Datenverarbeitung (Art. 5 DSGVO)

Zunächst sind die allgemeinen Grundsätze für die Verarbeitung von personenbezogenen Daten (Art. 5 Abs. 1 lit. a – f DSGVO) zwingend zu beachten. Im Wesentlichen sind die Grundsätze aus dem BDSG bereits bekannt, wie das generelle Verbot der Verarbeitung von personenbezogenen Daten mit Erlaubnisvorbehalt, die Verarbeitung nach Treu und Glauben, das Transparenzgebot, der Zweckbindungsgrundsatz und das Gebot der Datenrichtigkeit, welche mit der DSGVO zudem um die Grundsätze der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) und der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO) erweitert werden. Das Grundprinzip der Verarbeitung nach Treu und Glauben (Art. 5 Abs. 1 lit. a DSGVO) beinhaltet mit Blick auf Erwägungsgrund 39 DSGVO das bereits bekannte Verhältnismäßigkeitsprinzip, so dass der verfolgte Zweck und das notwendige Maß der Datenverarbeitung immer zu berücksichtigen sind sowie die Abwägung zwischen dem Interesse des Betroffenen und des für den Datenschutz Verantwortlichen – wobei entsprechend Erwägungsgrund 4 DSGVO das Unternehmensinteresse ebenfalls von Belang ist^[5], da das Recht auf Schutz der personenbezogenen Daten explizit kein uneingeschränktes Recht darstellt.

Der Verantwortliche und der Auftragsverarbeiter müssen den Nachweis über den rechtskonformen Umgang mit den soeben genannten Grundsätzen erbringen können. Denn Abs. 2 des Art. 5 DSGVO weist dem Verantwortlichen eine Rechenschaftspflicht über deren Einhaltung zu. Zusätzlich muss der Verantwortliche nachweisen können, dass die Datenverarbeitung im Einklang mit den Vorgaben der DSGVO erfolgt (Art. 24 Abs. 1 DSGVO). Dazu sind – als allgemeine Pflicht des Verantwortlichen und des Auftragsverarbeiters – geeignete technische und organisatorische Maßnahmen zu ergreifen. Die Rechenschaftspflicht wird durch die Pflicht zum Führen eines Verzeichnisses über alle Verarbeitungs­tätigkeiten aus Art. 30 DSGVO ergänzt. Dabei ist zu beachten, dass diese Pflicht entsprechend Abs. 5 des Art. 30 DSGVO grundsätzlich nur für Unternehmen mit 250 oder mehr Mitarbeitern gilt. Unternehmen mit weniger Mitarbeitern unterliegen der Norm nur, sofern ihre Datenverarbeitung ein Risiko für die Rechte und Freiheiten betroffener Personen darstellt, nicht nur gelegentlich vorgenommen wird oder einer besonderen Kategorie von Daten (Art. 9 Abs. 1 beziehungsweise Art. 10 DSGVO, z.B. genetische, biometrische Daten) unterfällt. Es kann – trotz dieser Einschränkungen – jedem Unternehmen zugeraten werden, ein Verzeichnis über alle Datenverarbeitungsvorgänge zu führen. Ein derartiges Verzeichnis leistet zweierlei. Zum einen sorgt es für Transparenz im Unternehmen und hilft konfliktäre Datenverarbeitungsvorgänge zu identifizieren. Zum Zweiten kommt ein solches Verzeichnis der Rechenschafts- und Beweispflicht zugute, da mit dessen Hilfe unproblematisch der Beweis des rechtskonformen Umgangs mit Daten gelingen sollte, was zum einen von der DSGVO verlangt wird und zum anderen auch in einem etwaigen Rechtsstreit die Beweismöglichkeit beziehungsweise ‑erleichterung für das handelnde (datenverarbeitende) Unternehmen schafft. Im Übrigen würden den nach der DSGVO verpflichteten Unternehmen bei Missachtung wesentliche Bußgeldzahlungen drohen. Sollte jedoch ein Verstoß gegen eine datenschutzrechtliche Vorgabe auftreten, so besteht gemäß Art. 33 DSGVO eine (gegenüber dem BDSG modifizierte) Meldepflicht gegenüber der zuständigen Aufsichtsbehörde sowie gegenüber dem Betroffenen.

3.2         Rechte des Betroffenen (Art. 12 – 22 DSGVO) sind Pflichten des Verantwortlichen

Die DSGVO normiert in den Art. 12 – 22 DSGVO Betroffenenrechte, unter anderem das Recht auf Auskunft, Berichtigung oder auf Löschung von Daten sowie das Recht auf die Datenübertragbarkeit oder ein Widerspruchsrecht der zur Datenverarbeitung gegebenen Einwilligung. Darunter ist die Möglichkeit der Datenübertragbarkeit (Art. 20 DSGVO) neu mit der DSGVO eingeführt worden, wohingegen das Auskunftsrecht zwar nicht gänzlich neu, aber gegenüber dem BDSG doch erweitert worden ist, so dass hieraus ein Zugriffsrecht des Betroffenen erwächst.^[6] Zwar stellen diese Vorgaben Rechte des Betroffenen dar, aber im Umkehrschluss binden und verpflichten sie den Verantwortlichen, sofern ein Betroffener von seinen Rechten Gebrauch macht. Daher sind die Rechte des Betroffenen ebenso relevant wie die Pflichten des Verantwortlichen.

3.3         Allgemeine Pflichten – risikobasierter Ansatz

Mit den Pflichten, die dem Verantwortlichen von der DSGVO auferlegt werden, verfolgt die DSGVO den eingangs genannten risikobasierten Ansatz, indem Maßnahmen vorgesehen sind, die den rechtskonformen Umgang mit Daten gewährleisten sollen.^[7] In den Rahmen des risikobasierten Ansatzes fallen technikbezogene organisatorische Vorgaben, die im Vorfeld einer Datenverarbeitung zu beachten sind – und nicht erst im Nachgang, wie es das BDSG im Rahmen der Meldepflicht vorsieht.^[8] Dies zeigt sich zunächst eher allgemein in Art. 24 Abs. 1 DSGVO, indem verlangt wird, dass der Verantwortliche „unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen“ zur Sicherstellung und zum Nachweis des rechtskonformen Umgangs mit der DSGVO umzusetzen hat.

3.3.1          Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

Im Rahmen der Datenschutz-Folgenabschätzung aus Art. 35 DSGVO (die von der DSGVO neu gebildet wurde, aber gewisse Ähnlichkeiten zu der Vorabkontrolle aus dem BDSG aufweist) spiegelt sich der risikobasierte Ansatz wider. Es wird gefordert, dass bei einer Datenverarbeitung, „insbesondere bei Verwendung neuer Technologien“, die „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ haben, eine Abschätzung der Folgen der Datenverarbeitung im Vorfeld vorzunehmen ist, Art. 35 Abs. 1 DSGVO.

3.3.2          Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO)

Mit der DSGVO werden der Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Privacy by Design und Privacy by Default, Art. 25 DSGVO) in das Datenschutzrecht eingeführt. Werden diese Prinzipien als Standard in die Unternehmensstruktur eingefügt, so wird jedenfalls dem Grundsatz der Datenminimierung (Datensparsamkeit und Datenvermeidung) Rechnung getragen. Im Rahmen der Unternehmens-Compliance sollte darauf geachtet werden, dass beide Grundsätze frühestmöglich in den unternehmensinternen Abläufen berücksichtigt und durchgeführt werden.

3.4         Datenschutzbeauftragter

Zudem besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten für Unternehmen (und zwar unabhängig von deren Größe), sofern ihre Kerntätigkeit die Datenverarbeitung zum Zwecke der umfangreichen regelmäßigen und systematischen Überwachung von Personen erfordert oder eine besondere Kategorie (gem. Art. 9 f. DSGVO, beispielsweise bei der Verarbeitung genetischer oder biometrischer Daten, Letzteres kann bereits bei einer Zugangskontrolle mittels biometrischer Fingerscanner der Fall sein) von personenbezogenen Daten betrifft (Art. 37 Abs. 1 lit. b und c DSGVO). Auch wenn diese Voraussetzung nicht vorliegen sollte, könnte trotz allem eine Pflicht zur Bestellung eines Datenschutzbeauftragten bestehen, da die DSGVO den Mitgliedstaaten eine Ausgestaltung dieser Regelung ermöglicht. Sofern an der bisherigen Regelung des BDSG festgehalten wird, besteht für alle Unternehmen die grundsätzliche Pflicht zur Ernennung eines Datenschutz­beauftragten, wenn mehr als 9 Personen (inkl. Teilzeitkräfte und Leiharbeitnehmer) personen­bezogene Daten automatisiert verarbeiten. Die Verarbeitung personenbezogener Daten liegt schon vor, wenn Mitarbeiter ein E-Mail-Programm nutzen, z.B. Outlook, in dem E-Mails verarbeitet beziehungsweise gespeichert werden.

Gerade der Datenschutzbeauftragte bedarf einer näheren Betrachtung, da dessen Aufgaben und Pflichten recht ausführlich von der DSGVO geregelt und ihm dabei ebenfalls Compliance-Aufgaben übertragen werden. Beispielsweise ist in den Mindestaufgaben aus Art. 39 DSGVO unter Abs. 1 lit. b die Überwachung der Einhaltung der DSGVO sowie von anderen Datenschutzvorschriften zu finden. Mit derartigen Überwachungsfunktionen obliegen dem Datenschutzbeauftragten typische Compliance-Aufgaben, so dass dieser eine zentrale Bedeutung für die Unternehmens-Compliance erhält.^[9] Wird beabsichtigt eine Datenschutz-Compliance-Kontrolle durchzuführen, so ist – sofern vorhanden – der Datenschutzbeauftragte zwingend mit einzubeziehen, da dieser „frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen“ einzubinden ist (Art. 38 Abs. 1 DSGVO) und die „Überwachung der Einhaltung dieser Verordnung“ gerade zu seinen Aufgaben zählt (Art. 39 Abs. 1 lit. b DSGVO). Diesen Aspekt sollte ein Unternehmen mit in Betracht ziehen, wenn es die Position des Compliance-Beauftragten ausgestaltet (die Pflicht zur Bestellung eines Datenschutzbeauftragten ist gesetzlich vorgeschrieben, die Bestellung eines Compliance-Beauftragten liegt zum Teil im Ermessen des Unternehmens). Grundsätzlich besteht die Möglichkeit die Aufgaben des Compliance-Beauftragten und des Datenschutzbeauftragten in einer Person zu vereinen und zusammenzuführen (bei kleinen Unternehmen sicher empfehlenswert) oder voneinander zu separieren (in Form von komplett getrennten Geschäftsbereichen oder aber in Form von einer Kooperation)^[10]. Beides ist denkbar und muss im jeweiligen Unternehmensumfeld entschieden werden.

4          Fazit

Bedenkt man, dass die DSGVO ab dem 25. Mai 2018 ihre Wirkung unmittelbar entfalten wird und ihre Missachtung zu enormen Bußgeldern führen kann, sollten die Anforderungen und Pflichten der DSGVO zur Kenntnis genommen und die Compliance des Unternehmens darauf angepasst werden. Es gilt die Abläufe im Unternehmen zu analysieren und mit Blick auf die Vorgaben der DSGVO eine Risikoanalyse zur Erkennung der Schwachstellen im Unternehmen vorzunehmen. Anschließend ist auf eventuell erkannte Defizite mit entsprechenden Maßnahmen zur Anpassung der Unternehmensabläufe oder -struktur an die DSGVO zu reagieren. Es sollte darüber hinaus laufend der Erfolg der implementierten Maßnahmen kontrolliert/auditiert und die Entwicklung der gesetzlichen Vorgaben verfolgt werden, um regelmäßig und bei Bedarf die Compliance im Unternehmen mit den Vorgaben des Datenschutzrechts abzugleichen. Es geht stets darum, frühzeitig und angepasst zu reagieren.

Autoren: Dagmar Gesmann-Nuissl / Kathrin Nitsche | März 2017

___________________________________________________________________

Quellen:

[1] Wybitul, Welche Folgen hat die EU-Datenschutz-Grundverordnung für Compliance?, in: CCZ 2016, S. 196.

[2] Martini, Kapitel IV, Abschnitt 1. Allgemeine Pflichten, Art. 24, in: Paal/Pauly (Hrsg.), Datenschutzgrundverordnung, Kommentar, 2017, Rn. 1.

[3] Wybitul, Die DS-GVO – ein Compliance-Thema?, in: ZD 2016, S. 106.

[4] Freiherr von dem Bussche/Zeitner/Brombach, Die Umsetzung der Vorgaben der EU-Datenschutz-Grundverordnung durch Unternehmen, in: DB 2016, S. 1359.

[5] Wybitul/Böhm, Das neue EU-Datenschutzrecht: Folgen für Compliance und interne Ermittlungen (Update vom 14.04.2016), in: CB 2016, S. 101.

[6] Müller/Janicki, Die Wechselbeziehung zwischen Datenschutz und Unternehmenscompliance unter Geltung der neuen Datenschutz-Grundverordnung, in: InTeR 2016, S. 214.

[7] Martini, Kapitel IV, Abschnitt 1. Allgemeine Pflichten, Art. 24, in: Paal/Pauly (Hrsg.), Datenschutzgrundverordnung, Kommentar, 2017, Rn. 2.

[8] Müller/Janicki, Die Wechselbeziehung zwischen Datenschutz und Unternehmenscompliance unter Geltung der neuen Datenschutz-Grundverordnung, in: InTeR 2016, S. 214.

[9] Müller/Janicki, Die Wechselbeziehung zwischen Datenschutz und Unternehmenscompliance unter Geltung der neuen Datenschutz-Grundverordnung, in: InTeR 2016, S. 216.

[10] Müller/Janicki, Die Wechselbeziehung zwischen Datenschutz und Unternehmenscompliance unter Geltung der neuen Datenschutz-Grundverordnung, in: InTeR 2016, S. 216 f.