Veröffentlicht am

Datenschutz nach DSGVO, die nächste große Hürde nach dem Euro?

GDPR Datenschutz Datenschutzberatung Mecklenburg Vorpommern

ein Abriss zwei Monate nach Inkrafttreten der DSGVO

Wenn man die Diskussion zum Thema verfolgt, so geht es vor allem um Eines: nebulöse neue Bedingungen für den Geschäftsbetrieb, das Business sowie alle möglichen Organisationsstrukturen, z. B. Vereine – Bedingungen, die eigentlich gar nicht umsetzbar seien und nur Kosten in die Höhe trieben, wobei alle Unternehmen und Organisationen, die tatsächlich viele Daten verarbeiten, mit ihren Rechtsabteilungen ohne viele Reibereien davon kämen; und Eigenlob auf der anderen Seite in den gesetzgebenden Instanzen für einen scheinbar gelungenen zeitgemäßen Datenschutz.

Praktisch stellt sich jedoch allein die Frage, welche neuen und beständigen, andererseits, welche unmittelbaren Vorgaben wurden hier seitens EU und deutschem Gesetzgeber, der ja schon mal mit hoher Durchfallquote beim Bundesverfassungsgericht glänzt, gemacht. Und darum soll es hier gehen.

Die erste Frage, die sich stellt: Was ändert sich für mich auch ohne Datenschutzbeauftragten?

Wer sich mit dem Thema Datenschutz auseinander setzt, der weiß, dass künftig nahezu jede Organisationsstruktur, angefangen beim Verein, die personenbezogene Daten, auch im Auftrag Dritter, erfasst und verarbeitet, als Verantwortliche eine Menge Dokumentationen zu erstellen hat, mit denen der Schutz personenbezogener Daten nachgewiesen werden kann und auch muss. Dazu zählt in erster Linie das Verfahrensverzeichnis, welches künftig standardmäßige für alle verbindliche Verfahren definiert, um Daten zu verarbeiten. Gerade bei der Erstellung eines Verfahrensverzeichnisses kann sich durchaus auch herausstellen, dass eine DSFA (Datenschutzfolgeabschätzung, begrifflich eine Nachfolgerin der Technikfolgeabschätzung) notwendig wird. Somit ist auch ein Datenschutzbeauftragter zu bestellen. Daneben wird für alle auch die Dokumentation zu Berechtigungen, Sicherheit, Backup und Notfällen Pflicht. Doch die Dokumentation allein reicht nicht. Es muss künftig gerade auch ein sowohl technisches als auch organisatorisches, gegebenenfalls erhöhtes, Sicherheitsniveau sicher gestellt sein oder geschaffen werden, damit personenbezogene Daten allein überhaupt erfasst und verarbeitet werden dürfen. Wichtig ist vor allem, dass künftig nur noch auf verschlüsselte Datenträger gespeichert wird. Der Gesetzgeber verlangt darüber hinaus auch organisatorische Garantien, wie z. B. spezielle Vereinbarungen. Konkret vorgeschrieben ist die sogenannte Auftragsdatenverarbeitungsvereinbarung (AV-Vereinbarung).
Wird keine Dokumentation erstellt, vor allem – fehlt ein Verfahrensverzeichnis oder AV-Vereinbarungen – wird dies wiederum als grob fahrlässig angesehen.

Was muss ich Betroffenen gegenüber künftig beachten?

Betroffenen, von den Daten verarbeitet werden, steht künftig ein Auskunftsrecht über alle gespeicherten Daten zu. Das gilt auch gegenüber Behörden. Betroffene müssen außerdem anders als bisher informiert werden, sollten sie nicht ohnehin Kenntnis von der Erfassung und Speicherung ihrer Daten erlangt haben.
Außerdem ist die Verfügbarkeit der personenbezogenen Daten sicher zu stellen.

Brauche ich nun einen Datenschutzbeauftragten und was kann mir passieren?

Mit dieser Frage sind nach bisheriger Erfahrung mit dem neuen Datenschutz viele überfordert. Habe ich mehr als 9 Mitarbeiter, die hauptsächlich mit personenbezogenen Daten beschäftigt sind, d. h. in der Regel Management, Verwaltung und Buchhaltung? Wenn ja, dann ist ein Datenschutzbeauftragter notwendig. Doch das ist nicht das einzige Kriterium. Werden möglicherweise besondere Kategorien personenbezogener Daten, also solche, die besonders sensibel sind und eines erhöhten Schutzniveaus bedürfen, verarbeitet oder fallen solche an, z. B. eine weiträumige Videoüberwachung öffentlich zugängiger Bereiche, oder ist für eine Verarbeitung eine DSFA nötig? Auch dann ist ein Datenschutzbeauftragter nötig, unabhängig von der Anzahl der Mitarbeiter. Dazu gibt es von den Datenschutzbehörden Listen mit Verarbeitungstätigkeiten, hier die Liste für Mecklenburg-Vorpommern (https://www.datenschutz-mv.de/static/DS/Dateien/DS-GVO/Hilfsmittel%20zur%20Umsetzung/MV_DSFA_Muss-Liste.pdf), die auf jeden Fall einer DSFA bedürfen. Zusätzlich gibt es für spezielle Berufsgruppen wie z. B. Rechtsanwälte, Steuerberater und Ärzte Ausnahmeregelungen. Trotzdem ist z. B. bei ärztlichen Gemeinschaftspraxen auch bei weniger als 10 Mitarbeitern nach allgemeiner Auffassung ein Datenschutzbeauftragter notwendig.
Es zeigt sich also, dass nicht mehr wie bisher die Unternehmensgröße allein eine Rolle spielt.
Wird ein Datenschutzbeauftragter allerdings trotz mitunter nicht einfach nachvollziehbarer Vorgaben nicht bestellt, dann wird das in Zukunft als fahrlässig angesehen und aller Wahrscheinlichkeit nach mit einem Bußgeld belegt.

Was ist die Grundlage des neuen Datenschutzes nach EU-Recht?

Grundlage des “neuen” Datenschutzes ist ein Verbot der Verarbeitung personenbezogener Daten außer zu gesetzlich vorgeschriebenen Zwecken mit Erlaubnisvorbehalt. Dieser Erlaubnisvorbehalt stützt sich im Wesentlichen auf die Einwilligung des Betroffenen sowie mitunter ein berechtigtes Interesse des Verantwortlichen zu Verarbeitung. Wer also tatsächlich  bedenkenlos persönliche Daten weg gibt, dem ist möglicherweise auch in Zukunft nicht geholfen. Darüber hinaus wird es im Einzelnen schon mal kompliziert. Der Erlaubnisvorbehalt ist zudem an einen genau definierten Zweck der Verarbeitung gebunden. Der Wegfall des Zweckes der Verarbeitung von Daten bedingt grundsätzlich deren Löschung. Zusammen mit dem Zweck gibt es ein Gebot der Minimierung von zu verarbeitenden Daten. Außerdem besteht künftig ein Koppelungsverbot. Es dürfen Informationsdienste nicht an die Erfassung personenbezogener Daten gekoppelt werden. Das bereitet derzeit vor allem Facebook und auch Google Kopfzerbrechen.

Fazit

Der neue Datenschutz hat es in sich. Unternehmen und Organisationen müssen künftig nachweisen, dass sie sich um Datenschutz nicht nur bemüht, sondern diesen aktiv umgesetzt haben und im Tagesgeschäft beachten. Einerseits gibt es mitunter noch keine klaren Vorgaben, was zu tun ist, auf der anderen Seite jedoch bereits drastischere Möglichkeiten der Sanktionierung als bisher.

Was sich allgemeiner definiert als Zweckbindung, Datenminimierung, Betroffenenrechte, Transparenz und Sicherheit und auf der technischen Seite mit Integrität, Vertraulichkeit, Zuverlässigkeit ganz gut anhört, ist doch mitunter nicht so leicht zu verstehen und umzusetzen.
Andererseits möchten mit Sicherheit auch Sie, dass Ihre Geschäftspartner und Dienstleister mit Ihren Daten verantwortungsvoll umgehen.

Updates

04.08.2018 – Fazit

17.08.2018 – Korrekturen und Formulierungen

21.08. 2018 – Beitragsbild

Quellenangaben

https://pixabay.com/en/privacy-policy-privacy-data-security-3583612/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.