Die Datenschutzgrundverordnung - Pflichten der Verantwortlichen
Am 25.05.2018 endet die Übergangsfrist zur Geltung der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung - DSGVO). Gleichzeitig tritt am 25.05.2018 das zur Umsetzung der DSGVO in Deutschland erlassene neue Bundesdatenschutzgesetz (BDSG-neu) in Kraft. Durch die DSGVO sollen die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten innerhalb der europäischen Union gestärkt werden. In Deutschland erfolgt die Verankerung und teilweise auch die national abweichenden Anpassungen der Vorgaben durch die DSGVO innerhalb des neuen Bundesdatenschutzgesetzes (BDSG-neu).
Durch die Verordnung und die Anpassungen im BDSG-neu ergeben sich für die in der DSGVO definierten „Verantwortlichen“ und deren „Auftragnehmer“ grundlegende Pflichten im Umgang mit personenbezogenen Daten von natürlichen Personen (sog. „Betroffene“). Für Betroffene und die Aufsichtsbehörden werden zudem grundlegende Rechte und deren Durchsetzung, insbesondere gegenüber den Verantwortlichen bestimmt. Die datenschutzrechtlichen Vorgaben in der DSGVO weichen zwar in einigen Bereichen von dem bis zum 25.05.2018 in Deutschland geltenden BDSG-alt ab, jedoch entspricht die DSGVO dem Grundgedanken und den damit verbundenen Regelungen des bisherigen BDSG-alt. Für die Verantwortlichen und deren Auftragnehmer sollten die ab dem 25.05.2018 geltenden Vorgaben also nicht ganz neu sein. Aus der Erfahrung der letzten Jahre zeigt sich jedoch, dass die datenschutzrechtlichen Vorgaben bisher im „Dornröschenschlaf“ lagen. Da die DSGVO zukünftig schmerzhafte Bußgelder durch die Aufsichtsbehörden vorsieht und die Aufsichtsbehörden im Vergleich zur Vergangenheit personell aufgerüstet wurden, ist davon auszugehen, dass das Thema Datenschutz sehr stark in den Unternehmensalltag eingreifen wird.
Die nachfolgenden Ausführungen zu den wichtigsten Regelungen für die Verantwortlichen sollen einen groben Überblick über die datenschutzrechtlichen Vorgaben ermöglichen. Eine detaillierte Wiedergabe der komplexen Anforderungen, die den Unternehmen aufgrund der DSGVO vorgegeben wurden, ist derzeit auch aufgrund der noch nicht abschließend geklärten Auslegung einzelner Bestimmungen nicht möglich.
Wir werden aber bemüht sein, die mit Sicherheit in Zukunft noch aufkommenden Fragen und gerichtlichen Entscheidungen über unsere Webseite zu kommunizieren.
2. Verarbeitung nach Treu und Glauben
8. Integrität und Vertraulichkeit
II. Die Pflichten des Verantwortlichen
1. Verantwortung des „Verantwortlichen“
3. Verantwortlicher mit Sitz außerhalb der Union
5. Verzeichnis der Verarbeitungstätigkeit
6. Sicherheit der Verarbeitung
7. Meldung bei Datenschutzverstoß an die Aufsichtsbehörde
8. Benachrichtigung der Betroffenen
9. Datenschutz-Folgenabschätzung
10. Datenschutzbeauftragter (DSB)
Art 5. der DSGVO bestimmt die Grundsätze der Verarbeitung von personenbezogenen Daten durch den Verantwortlichen oder/und dessen Auftragsverarbeiter.
Als „Verantwortlicher“ gilt nach DSGVO:
„die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werde.“
Als „Auftragsverarbeiter“ gilt nach DSGVO:
„eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;“
Bei der Verarbeitung von personenbezogenen Daten durch den Verantwortlichen oder/und dessen Auftragsverarbeiter legt die DSGVO die folgenden Grundsätze fest:
Erwägungsgrund der EU zu dieser Regelung:
„Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung oder – wann immer in dieser Verordnung darauf Bezug genommen wird – aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt, so unter anderem auf der Grundlage, dass sie zur Erfüllung der rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist.“
Demnach ist eine Verarbeitung von personenbezogenen Daten nur dann zulässig, wenn es eine gesetzliche „Erlaubnis“ hierzu gibt, oder eine Einwilligung des Betroffenen vorliegt. Als „Erlaubnistatbestand“ nennt die DSGVO in Art. 6 beispielsweise das berechtigte Interesse des Verantwortlichen oder die Verarbeitung zur Erfüllung eines Vertrages.
2. Verarbeitung nach Treu und Glauben
Die Auslegung dieser Vorgabe ist zum jetzigen Zeitpunkt noch nicht abschließend möglich. Hier wird es verstärkt auf die richterlichen Auslegungen der Einzelfälle ankommen. Es wäre beispielsweise denkbar, dass die Verarbeitung von personenbezogenen Daten zwar rechtmäßig erfolgt, also auf Grundlage eines gesetzlichen Erlaubnistatbestandes oder einer Einwilligung des Betroffenen, die Verarbeitung aber im Einzelfall aufgrund der besonderen Umstände, beispielsweise derer der Einwilligung des Betroffenen, gegen Treu und Glauben verstößt.
Durch das Erfordernis der transparenten Verarbeitung von personenbezogenen Daten werden insbesondere die Informationsrechte der Betroffenen gegenüber dem Verantwortlichen verankert und in weiteren Regelungen der DSGVO näher bestimmt. In einem Auszug aus den Erwägungsgründen der EU wird diese Vorgabe wie folgt erläutert:
„(…) Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können. (…)“
Wie nachstehend noch zu erläutert wird, spiegelt sich diese Vorgabe vor allem in der Datenschutzerklärung der Verantwortlichen wieder. Im Vergleich zu den bisherigen Vorgaben werden die Datenschutzerklärungen der Verantwortlichen umfangreicher werden, da der Betroffene nunmehr neben der Rechtsgrundlage der Verarbeitung auch über den genauen Zweck der Verarbeitung informiert werden muss.
Der bisher auch im BDSG-alt vorhandene Grundsatz der Zweckbindung beinhaltet die Vorgabe für den Verantwortlichen, dass personenbezogene Daten die rechtmäßig zu einem bestimmten Zweck erhoben wurden, auch nur zu diesem Zweck verarbeitet werden dürfen. Zum Beispiel wäre es nicht zulässig, die personenbezogenen Daten die zum Zweck der Vertragserfüllung, zum Beispiel zur Warenbestellung und deren Versand, erhoben wurden, ohne eine weitere Rechtsgrundlage, zum Beispiel einer Einwilligung des Betroffenen, zu einem anderen Zweck zu verwenden, zum Beispiel zum Versand eines Newsletters.
Der Grundsatz der Datenminimierung erlaubt die Verarbeitung nur der personenbezogenen Daten, die zu dem Verarbeitungszweck auch notwendig sind. Dieser Grundsatz entspricht dem bisher im BDSG-alt vorgegebenen Grundsatz der Datensparsamkeit. In diesem Zusammenhang ist zum Beispiels eine Verarbeitung von Namen und Anschrift eines Betroffenen bei der Anmeldung zu einem Newsletter fraglich, da dies zur Erfüllung des Zwecks (Der Zustellung von Werbeinformationen an eine E-Mail-Adresse) nicht notwendig wäre.
Legt man diesen Grundsatz eng aus, so hat der Verantwortliche eine Pflicht, die zur Verarbeitung erhobenen Daten und die im Anschluss verarbeiteten Daten immer auf dem neusten Stand zu halten. Ob dies dazu führt, dass den Verantwortlichen hier „Nachforschungspflichten“ in Bezug auf die Aktualität der verarbeiteten Daten treffen, wird abzuwarten sein. Unstrittig hat er aber die Pflicht, die unrichtigen Daten zu korrigieren oder zu löschen, wenn ihn der Betroffene darauf hinweist (Art. 16 und Art. 17 DSGVO).
Dieser Grundsatz der DSGVO verpflichtet den Verantwortlichen, wie auch indirekt den Auftragsverarbeiter, die personenbezogenen Daten des Betroffenen zu löschen oder zu anonymisieren, wenn der Zweck für den die Daten verarbeitet wurden, wegfällt und es keine gesetzliche Pflicht zur weiteren Speicherung gibt. Beispielsweise ist die Speicherung der Daten bei einer Warenbestellung nicht mehr erforderlich, wenn die Ware ausgeliefert und bezahlt wurde. Die beidseitigen Leistungspflichten wären damit zunächst erfüllt und der Zweck der Verarbeitung damit weggefallen. Unter anderem aufgrund der steuerrechtlichen Vorgaben liegt jedoch eine gesetzliche „Erlaubnis“ für den Verantwortlichen vor, die Daten trotz "Zweckfortfalles" weiter zu speichern. Fraglich könnte es aber in dem vorgenannten Beispielfall sein, welche personenbezogenen Daten dann noch rechtmäßig gespeichert werden dürfen. Die Speicherung der E-Mail-Adresse wäre gegebenenfalls aus steuerrechtlichen Gründen nicht notwendig.
8. Integrität und Vertraulichkeit
In Art. 32 DSGVO ist die Umsetzung des Grundsatzes der Integrität und Vertraulichkeit genauer festgelegt. Durch das Erfordernis der Integrität und Vertraulichkeit ergibt sich für den Verantwortlichen und auch indirekt für den Auftragsverarbeiter die Pflicht, die personenbezogenen Daten vor Zugriffen durch unberechtigte Dritte zu schützen und dafür Sorge zu tragen, dass die Daten nicht unberechtigt gelöscht oder verändert werden können. Die Absicherung dieser Verpflichtungen sollen über die sogenannten technisch-organisatorischen Maßnahmen (TOM) sichergestellt werden. Zu den TOM gehört beispielsweise auch die Absicherung der Übertragung der Daten über das Internet. Hier ist der Verantwortliche verpflichtet, die Übertragung so zu gewährleisten, dass der Stand der Technik, beispielsweise SSL-Verschlüsselung, eingehalten wird.
Die Rechenschaftspflicht ist kein Grundsatz im eigentlichen Sinne, sie legt aber die „Beweislast“ des Verantwortlichen für die Einhaltung der Grundsätze fest. Demnach muss der Verantwortliche die Einhaltung der vorgenannten Grundsätze nachweisen können. Um dies zu gewährleisten, ergeben sich für den Verantwortlichen entsprechende Dokumentationspflichten, die eigentlich ein gesetzlich nicht eindeutig gefordertes Datenschutzmanagementsystem bei den Verantwortlichen notwendig machen. Im Vergleich zu den bisherigen Vorgaben des BDSG-alt stellt dies eine Verschärfung der Dokumentationspflichten des Verantwortlichen dar.
Einen Überblick über die genauen Erfordernisse der Nachweispflichten und den hierzu auch schon gesetzlich vorgegebenen Verzeichnissen der Verarbeitungstätigkeiten werden wir nachfolgend noch näher beleuchten.
Wie auch unter Geltung des BDSG-alt können Verstöße gegen die datenschutzrechtlichen Vorgaben von den Aufsichtsbehörden mit Bußgelder geahndet werden. Hier wurden durch die DSGVO neue Maßstäbe in Bezug auf die Höhe der Bußgelder bestimmt. Die maximale Geldbuße beträgt nach neuem Recht bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist. Es gilt hierbei der Jahresumsatz des gesamten Konzerns, nicht der der einzelnen juristischen Person. Bis zum 25.05.2018 galt ein „Höchstsatz“ von 300.000,00 EUR je Einzelfall.
Gemäß Art 84 DSGVO müssen die Sanktionen wirksam, verhältnismäßig und abschreckend sein. Gleichzeitig können bestimmte Verstöße aber auch strafrechtlich verfolgt werden.
II. Die Pflichten des Verantwortlichen
Nachdem vorstehend die Grundsätze der Verarbeitung von personenbezogenen Daten wiedergegeben wurden, erfolgt nachfolgend ein grober Überblick über die ab dem 25.05.2018 für die Verantwortlichen und/oder deren Auftragsverarbeiter geltenden Pflichten. Aber auch hier gilt es zu beachten, dass es sich aufgrund des gewaltigen Umfangs bloß um eine grobe Zusammenfassung handelt, die nicht alle Pflichten und diese auch nicht im Detail wiedergibt.
1. Verantwortung des „Verantwortlichen“
In Art. 24 DSGVO wird klargestellt, dass der Verantwortliche die volle Verantwortung für die personenbezogenen Daten trägt, über deren Zwecke und Mittel er zur Verarbeitung entscheidet. Kurzum trägt derjenige die Verantwortung, der die personenbezogenen Daten zu einem bestimmten Zweck erhebt und über deren Verarbeitung entscheidet. Die Verantwortung beginnt dabei schon vor der Erhebung der Daten dahingehend, dass der Verantwortliche die Erhebung risikogebunden anhand von technischen und organisatorischen Maßnahmen absichern muss und dies auch bei der Verarbeitung selbst sicherstellt. Hierzu ist eine entsprechende Risikoabschätzung vor der Erhebung sowie während der Verarbeitung vorzunehmen. Zudem sind die hierzu erforderlichen Maßnahmen sind aktuell zu halten und laufend zu überprüfen.
Dies gilt im Übrigen auch für den Fall, dass der Verantwortliche die Verarbeitung durch einen Auftragsverarbeiter vornimmt. Hier bleibt es bei der Verpflichtung des Verantwortlichen.
Die Vorgaben für den Verantwortlichen aufgrund der Datenschutzgrundsätze werden auch in Bezug auf seine Technikgestaltung bestimmt. In Art. 25 DSGVO wird der Verantwortliche dazu verpflichtet, die technischen organisatorischen Maßnahmen unter Berücksichtigung sowohl seiner Interessen als auch derer des Betroffenen (Risikoabschätzung), vor der Verarbeitung als auch während der Verarbeitung, so auszurichten, dass die Datenschutzgrundsätze wirksam umgesetzt werden.
In den Erwägungsgründen werden hierzu die Begrifflichkeiten „data protection by design“ und „data protection by default“ verwendet.
Letzterer Begriff gibt einen der Ansätze des Art. 25 DSGVO wieder. Die Technikgestaltung bzw. die hierzu zu ergreifenden Maßnahmen sollen sicherstellen, dass durch Voreinstellung durch den Verantwortlichen nur solche personenbezogenen Daten verarbeitet werden, deren Verarbeitung für den Verarbeitungszweck erforderlich sind. Dies entspricht insbesondere den Vorgaben der Datenminimierung.
Der Begriff „data protection by design“ soll den Verantwortlichen schon bei der Entwicklung eines Verarbeitungsvorganges dazu anhalten, die Datenschutzgrundsätze zu beachten. Beispielsweise sollten bei der Entwicklung einer Software zur Verarbeitung von personenbezogenen Daten die Datenschutzgrundsätze berücksichtigt werden. Dazu gehören insbesondere der Stand der Technik, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung.
3. Verantwortlicher mit Sitz außerhalb der Union
Werden Daten von Betroffenen erhoben, die sich in der Union befinden, und hat der Verantwortliche keine Niederlassung innerhalb der Union, so muss ein Vertreter innerhalb der Union benannt werden.
Setzt der Verantwortliche zur Verarbeitung der personenbezogenen Daten Dritte ein, so bleibt er, mit Ausnahme einer gemeinsamen Verantwortlichkeit oder einer sog. „Funktionsübertragung“, verantwortlich für die personenbezogenen Daten. In diesem Fall hat der Verantwortliche nach Art. 28 DSGVO sicherzustellen, dass die personenbezogenen Daten beim Auftragsverarbeiter ebenfalls unter den Grundsätzen der DSGVO verarbeitet werden.
Der Verantwortliche hat vor der Beauftragung sicherzustellen, dass der Auftragsverarbeiter zur Erfüllung dieser Grundsätze im Stande ist und hat die sich daraus ergebenden Pflichten des Auftragsverarbeiters in einem Vertrag festzulegen. Ein solcher Vertrag muss über bestimmte Regelungen verfügen. Beispielsweise muss geregelt werden, dass Unterauftragnehmer der Dritten nur auf Freigabe des Verantwortlichen tätig werden dürfen, dass Weisungen des Verantwortlichen befolgt werden müssen, dass Datenschutzverstöße an den Verantwortlichen gemeldet werden müssen, die technisch-organisatorischen Maßnahmen des Auftragsverarbeiters müssen benannt werden und auch einer Kontrollmöglichkeit des Verantwortlichen unterliegen.
Ein Muster, wie ein solcher Vertrag gestaltet werden kann, finden Sie beispielsweise auf den nachfolgenden Webseiten:
Muster Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)
Muster des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA)
5. Verzeichnis der Verarbeitungstätigkeit
Wie auch nach dem BDSG-alt müssen Verantwortliche über jede Verarbeitung von personenbezogenen Daten ein Verfahrensverzeichnis erstellen, in dem die datenschutzkonforme Verarbeitung dargestellt wird. Aufgrund der Vorgaben der DSGVO wurden die Pflicht-Inhalte dieser Verzeichnisse nunmehr erweitert und sie dienen spätestens ab dem 25.05.2018 auch der Nachweispflicht des Verantwortlichen über die Einhaltung der Bestimmungen der DSGVO. Auf Nachfrage der Aufsichtsbehörde muss der Verantwortliche die Verzeichnisse ebenso vorlegen können. Sollte er dies nicht können oder sind die Verzeichnisse unvollständig, so kann die Aufsichtsbehörde hierfür Bußgelder erlassen.
Als Verarbeitung definiert die DSGVO
„jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“
Für jeden Vorgang, der unter die vorgenannte Definition fällt, muss demnach ein Verzeichnis der Verarbeitungstätigkeit erstellt werden. Vorgänge können beispielsweise sein:
- Kontaktanfragen
- Newsletter
- Personalakte
- Kundendatenbank
- Webtracking
- elektronische Zeiterfassung
- Home Office
- Videoaufzeichnungen
- …
Das jeweilige Verarbeitungsverzeichnis muss dabei über die folgenden Angaben verfügen:
- den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
- die Zwecke der Verarbeitung;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO.
Für die äußere Gestaltung und deren inhaltlichen Anforderungen haben die Aufsichtsbehörden Muster veröffentlicht:
Muster des Landesbeauftragten für den Datenschutz Sachsen-Anhalt
Muster der Landesbeauftragten für den Datenschutz Niedersachsen
Muster des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (B.-W.)
Die Verzeichnisse können elektronisch oder in Papierform geführt werden, die Aufsichtsbehörde hat allerdings einen Anspruch auf eine Auskunft in Papierform.
(Theoretische) Befreiung!?
Die Verpflichtung zum Führen der Verzeichnisse der Verarbeitungstätigkeiten gilt nicht für Verantwortliche, die weniger als 250 Mitarbeiter beschäftigen, und die Verarbeitungen bei dem Verantwortlichen,
- kein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen,
Keine Befreiung liegt daher zum Beispiel bei dem Einsatz der nachfolgenden Verarbeitungstätigkeiten vor:
Videoüberwachungen, Bonitätsscoring- und Betrugspräventionsverfahren, Ortung von Mitarbeitern (z.B. mittels GPS), Verarbeitungen, bei denen Kommunikationsinhalte betroffen sind. - nur gelegentlich erfolgen,
Eine nicht nur gelegentliche Verarbeitung und damit keine Befreiung liegt daher zum Beispiel vor:
Bei fortlaufender oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommender, immer wieder oder wiederholt zu bestimmten Zeitpunkten auftretender, ständig oder regelmäßig stattfindender Verarbeitung. Nach bisherigen Auslegungen entfällt die Befreiung daher schon bei Lohnabrechnungen, Kundendatenverwaltung, IT-/Internet-/E-Mail-Protokollierung des Verantwortlichen. - keine besonderen Datenkategorien gemäß 9 Abs. 1 DSGVO (z. B. Gesundheitsdaten) oder strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DSGVO betreffen. Keine Befreiung liegt daher zum Beispiel bei dem Einsatz der nachfolgenden Verarbeitungstätigkeiten vor: Verarbeitung von Religionsdaten, Gesundheitsdaten, biometrische Daten zur eindeutigen Identifizierung etc.
In der Praxis wird diese Befreiung also kaum in Betracht kommen. Der Großteil der Unternehmen wird schon aufgrund des Tatbestandsmerkmales „nur gelegentlich“ nicht von der Befreiung profitieren können. Zwar ist in den Erwägungsgründen der DSGVO zu der vorgenannten Befreiung der Grundgedanke enthalten, der „besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen“, jedoch wurde dies mehr als „unglücklich“ umgesetzt. Schon allein die Lohn- und Gehaltsabrechnung durch den Verantwortlichen bei einem Angestellten kann als nicht nur „gelegentlich“ definiert werden. Fraglich aber wiederrum, wenn diese Verarbeitung ausschließlich durch den Steuerberater erfolgen sollte, da der Verantwortliche hierbei nicht direkt verarbeitet.
Hier wird abzuwarten sein, wie die Aufsichtsbehörden mit diesen Anforderungen einer Befreiung umgehen werden. Vertraut der Verantwortliche irrig auf eine Befreiung und kann auf Anfrage kein Verzeichnis der Verarbeitungstätigkeit vorlegen, riskiert er allerdings ein Bußgeld.
Ein Fazit der Datenschutzkonferenz (DSK), der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, hierzu aus Februar 2018 lautet:
„Es ist davon auszugehen, dass die Ausnahmen nur selten greifen werden und vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten ist.“
6. Sicherheit der Verarbeitung
Der Verantwortliche und der ggf. vorhandene Auftragsverarbeiter haben sicher zu stellen, dass die Verarbeitung der personenbezogenen Daten mit einem angemessenen Schutzniveau erfolgt. Unter Abwägung des Stands der Technik, der Implementierungskosten, der Zwecke der Verarbeitung und unter Beachtung der Eintrittwahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen müssen von dem Verantwortlichen geeignete technisch und organisatorische Maßnahmen ergriffen werden.
Insbesondere sollten die folgenden Punkte berücksichtigt werden:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung;
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherstellen zu können;
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Oberflächlich können hieraus folgende Schutzziele bzw. interne Prüfkriterien abgeleitet werden:
- Sicherstellung der Verfügbarkeit der Daten (beispielsweise Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, Backup-Strategie, Virenschutz, Firewall, und Notfallpläne).
- Sicherstellung der Integrität der Daten (beispielsweise Einschränkung von Schreibrechten).
- Sicherstellung der Vertraulichkeit (beispielsweise Verschlüsselung, Zutrittskontrollen etc…).
- Sicherstellung der Nichtverkettbarkeit (beispielsweise Trennung von Datenbeständen nach Zweck, Anonymisierung, Pseudonymisierung etc…).
- Sicherstellung der Transparenz durch Prüffähigkeit (beispielsweise Protokollierung von Konfigurationsänderungen).
- Sicherstellung der Intervenierbarkeit (Zugriff auf Daten für den Betroffenen, Auskunft, Berichtigung, Sperrung, Löschung).
Bitte beachten Sie hierzu erneut, dass die vorstehenden Aufzählungen nur eine oberflächliche Betrachtung darstellen und in der Tiefe mit umfangreicher sind.
Weitere Informationen hierzu finden Sie auf der Webseite des Bayrischen Landesamt für Datenschutzaufsicht.
7. Meldung bei Datenschutzverstoß an Aufsichtsbehörde
Kommt es zu einem Datenschutzverstoß, also der Verletzung des Schutzes von personenbezogenen Daten, so hat der Verantwortliche, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, diesen unverzüglich und möglichst binnen 72 Stunden an die Aufsichtsbehörde zu melden. Hierzu werden die meisten Aufsichtsbehörden eine Meldemöglichkeit über eine behördliche Webseite anbieten.
Wann allerdings voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt, ist noch nicht abschließend geklärt. In den Erwägungsgründen der DSGVO sind beispielsweise, aber nicht abschließend, folgende Verarbeitungen als „risikobehaftet“ erwähnt:
"Daten die zu einem physischen, materiellen oder immateriellen Schaden führen können, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen können."
Als „Datenpanne“ kommt beispielsweise ein Verlust eines Datenträgers, Mobiltelefons oder eines Aktenordners in Frage, aber auch eine Fehlversendung per Fax, E-Mail oder Post, deren Inhalte über die vorgenannten Verarbeitungen verfügen.
Unabhängig von dem Risiko für die Rechte und Freiheiten natürlicher Personen, also unabhängig davon, ob eine Meldepflicht besteht, muss ein solcher Verstoß intern mit der Ergänzung der ergriffenen Maßnahmen protokolliert werden.
Eine Meldung umfasst dabei u. a. die Angaben zur Art der Datenpanne, die Kategorien von betroffenen Daten, die Anzahl der Betroffenen und der Datensätze, eine Einschätzung der Folgen für den Betroffenen sowie die Maßnahmen zur Ursachenbeseitigung bzw. zur Schadensminimierung beim Betroffenen.
Der Verantwortliche sollte daher, insbesondere aufgrund der kurzen Fristen, einen entsprechenden Ablauf im Falle einer „Datenpanne“ im Vorfeld festlegen.
8. Benachrichtigung der Betroffenen
Eine weitere Verpflichtung bei einer „Datenpanne“ ist die Benachrichtigung des Betroffenen. So verpflichtet Art. 34 DSGVO den Verantwortlichen im Falle eines Datenschutzverstoßes, welcher voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen zur Folge haben kann, den Betroffenen unverzüglich zu benachrichtigen. Die Benachrichtigung muss zumindest die folgenden Angaben enthalten:
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Eine Benachrichtigung ist allerdings nicht immer erforderlich. Art. 34 DSGVO bestimmt hierbei Ausnahmen, z.B. wenn dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden. Ebenfalls enthält § 29 BDSG-neu eine weitere Ausnahme. So ist eine Benachrichtigung nicht verpflichtend, soweit durch die Benachrichtigung Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen, es sei denn, dass die Interessen des Betroffenen das Geheimhaltungsinteresse überwiegen.
Das Tatbestandsmerkmal „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen zur Folge haben kann“ ist allerdings auslegungsbedürftig und vom Einzelfall abhängig. Die Abgrenzung zwischen einem hohen Risiko und einem geringeren Risiko dürfte nicht immer einfach fallen. Grundlage der Einstufung sollte eine Risikoanalyse sein, die die Eintrittswahrscheinlichkeiten und die möglichen Schäden durch die „Datenpanne“ im Einzelfall wiedergibt. Eine Abstimmung mit der Aufsichtsbehörde ist hier ratsam.
9. Datenschutz-Folgenabschätzung
Eine schon bestehende Pflicht aus dem BDSG-alt enthält die DSGVO in abgewandelter Form. Die bisher bekannte Vorabkontrolle wird durch die Datenschutz-Folgeabschätzung (DSFA) ersetzt. Das Verfahren - alt wie neu - verpflichtet den Verantwortlichen vor der Einführung eines neuen Verarbeitungsverfahrens, dieses in Bezug auf die besonderen Risiken für die Rechte und Freiheiten des Betroffenen, datenschutzrechtlich zu überprüfen. Die DSGVO erweitert dabei im Vergleich zum BDSG-alt die Fälle, in denen eine DSFA vorgenommen werden muss.
Eine DSFA ist nach Art. 35 DS-GVO insbesondere in nachfolgenden Fällen vorgeschrieben:
- wenn umfangreich besondere Kategorien personenbezogener Daten verarbeitet werden,
z.B.: Gesundheitsdaten in Personalprozessen wie Gesundheitsvorsorge oder Tauglichkeitsprüfungen. - wenn eine umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 erfolgt,
z.B.: Führungszeugnisse und Sicherheitsüberprüfungen. - wenn Profiling- und Scoring-Verfahren zum Einsatz kommen,
z.B.: Persönlichkeitstest oder Scorewertberechnungen. - wenn eine systematische und umfassende Überwachung öffentlich zugänglicher Bereiche erfolgt.
z.B.: Videoüberwachung in Gebäuden wie Einkaufszenten, Bahnhöfen, aber auch Zügen oder Bussen.
Die DSFA befasst sich bei der Abschätzung insbesondere mit Abhilfemaßnahmen, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Verordnung nachgewiesen werden kann.
Die Aufsichtsbehörden wurden in Art. 35 Abs. 4 DSGVO zur Benennung und Veröffentlichung der Verarbeitungsverfahren, die nach Ansicht der Behörden eine DSFA erforderlich machen, verpflichtet. Eine solche Liste dieser Verarbeitungsvorgänge ist gegenwärtig noch nicht abschließend erstellt.
Die DSFA muss zumindest die folgenden Angaben enthalten:
- eine Beschreibung der Verarbeitungsvorgänge und die Zwecke der Verarbeitung sowie
- die vom Verantwortlichen verfolgten berechtigten Interessen,
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck,
- eine Bewertung der Risiken für die o.g. Rechte und Freiheiten und
- die zur Kompensation der Risiken vorgesehenen Maßnahmen.
Nach Art. 36 DSGVO ist zudem die Aufsichtsbehörde zu beteiligen, wenn aus der DSFA hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, und der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft oder treffen kann.
10. Datenschutzbeauftragter (DSB)
In der DSGVO ist die Benennung eines Datenschutzbeauftragten durch den Verantwortlichen oder den Auftragsverarbeiter in drei Fällen zwingend vorgeschrieben:
- wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln;
- wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen;
- wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO besteht.
In Deutschland wurde zudem die Benennungspflicht durch die Bestimmungen der über das BDSG-neu erweitert. Demnach muss ein Datenschutzbeauftragter auch benannt werden, wenn
- bei dem Verantwortlichen oder dem Auftragsverarbeiter in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind;
- der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen (die Anzahl der Beschäftigten ist hier unerheblich!);
- der Verantwortliche oder der Auftragsverarbeiter personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten (die Anzahl der Beschäftigten ist hier unerheblich!).
Die Begrifflichkeiten, wie beispielsweise „Kerntätigkeit“, „regelmäßig und systematisch“, „umfangreich“, „ständig“, werden gegenwärtig kontrovers diskutiert. Eine generelle Aussage über das Erfordernis einer Benennungspflicht wird es in Zweifelsfällen nicht geben können.
Nach Ansicht der Artikel-29-Datenschutzgruppe vom April 2017 ist beispielsweise als „Kerntätigkeit“ anzusehen:
„Gleichwohl sollte der Begriff „Kerntätigkeit“ nicht dahingehend interpretiert werden, dass sich dieser nicht auch auf Tätigkeiten erstreckte, bei denen die Verarbeitung von Daten einen untrennbaren Bestandteil der Tätigkeit des Verantwortlichen oder Auftragsverarbeiters darstellt. So besteht beispielsweise die Kerntätigkeit eines Krankenhauses darin, medizinische Versorgung zu leisten. Ohne dabei gesundheitsbezogenen Daten wie etwa Krankenakten von Patienten zu verarbeiten, wäre ein Krankenhaus nicht in der Lage, dies in sicherer und wirksamer Form zu tun. Daher ist die Verarbeitung solcher Daten als Kerntätigkeit eines jeden Krankenhauses anzusehen, weshalb selbige zur Benennung eines DSB verpflichtet sind.“
Quelle: https://www.datenschutz-hamburg.de/uploads/media/wp243rev01_de.pdf
Im Vergleich hierzu die Ansicht der Datenschutzkonferenz (DSK) vom 26.04.2018:
„Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, ist in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 37 Abs. 1 lit. c DS-GVO auszugehen – in diesen Fällen ist unter Berücksichtigung von Punkt 3 dann kein DSB zu benennen, wenn weniger als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.“
Quelle: Veröffentlichung auf www.ldi.nrw.de
Dies sind aus unserer Sicht zwei vergleichbare Fälle, die unterschiedlich ausgelegt werden. Die Artikel-29-Datenschutzgruppe geht davon aus, dass eine Verarbeitung gesundheitsbezogener Daten eine Kerntätigkeit eines Krankenhauses, wohl unabhängig von der Größe, darstellt und auch eine umfangreiche Verarbeitung erfolgt. Die DSK sieht zumindest bis zur Beschäftigung von 10 Personen, die mit der Verarbeitung personenbezogener Daten befasst sind, keine umfangreiche Verarbeitung und damit wohl auch keine Kerntätigkeit.
Bezüglich der Ernennung eines Datenschutzbeauftragten, dessen Fachkunde, dessen Aufgaben, dessen Meldung an die Aufsichtsbehörde und dessen Stellung im Unternehmen enthält die DSGVO sowie das BDSG-neu entsprechende Vorgaben, die bei einer Benennung zu beachten sind.
Einen Leitfaden hierzu wurde ebenfalls von der Datenschutzkonferenz veröffentlicht:
https://www.lda.bayern.de/media/dsk_kpnr_12_datenschutzbeauftragter.pdf
Der Datenschutzbeauftragte kann grundsätzlich intern, also durch die Ernennung eines Mitarbeiters, bestellt werden (interner DSB). Die Bestellung kann aber auch durch die Beauftragung eines Dienstleisters extern erfolgen (externer DSB). Die Abwägung in Bezug auf die Vor- und Nachteile bei einer Bestellung intern oder extern sind im Einzelfall abzuwägen.
Die DSGVO sieht für die Übermittlung personenbezogener Daten in ein Land außerhalb der Europäische Union (EU)/des Europäischer Wirtschaftsraum (EWR) - also in „Drittländer“ - besondere Regelungen vor.
Datenübermittlungen an Drittländer und internationale Organisationen sind nach DSGVO nur unter strikter Einhaltung der diesbezüglichen Bestimmungen der DSGVO zulässig. Die Vorgaben an eine Übermittlung in ein Drittland wurden insbesondere in den Art. 44 – 49 DSGVO geregelt. So ist beispielsweise eine Übermittlung in ein Drittland zulässig, wenn die EU-Kommission das Schutzniveau des entsprechenden Drittlandes per Beschluss als angemessen deklariert hat. Die Angemessenheit wird in der Folge regelmäßig überprüft werden. Eine Liste der „freigegebenen“ Drittländer wird die EU-Kommission veröffentlichen. Z.B. liegt ein solcher Beschluss bei Unternehmen in den USA vor, die sich dem EU-US Privacy Shield unterworfen haben.
Falls kein Angemessenheitsbeschluss vorliegt, kann eine Übermittlung durch die Bereitstellung geeigneter Garantien und unter der Voraussetzung, dass den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, stattfinden. Als geeignete Garantien gelten beispielsweise Zertifikate, vertragliche Vereinbarungen mit dem Empfänger, oder bei grenzüberschreitenden Konzernen, interne Datenschutzvorschriften.
Liegen weder ein Angemessenheitsbeschluss, noch geeignete Garantieen vor, so kann eine Übermittlung auch durch eine Einwilligung des Betroffenen zulässig sein.
Es gibt hierzu noch weitere Ausnahmen, die aber nur in sehr wenigen Fällen anzuwenden sind. Liegen die Voraussetzungen der DSGVO zur Übermittlung der personenbezogenen Daten in ein Drittland nicht vor, so ist eine Übermittlung nach der DSGVO nicht zulässig.
Die Vorgaben der DSGVO und des BDSG-neu für die Verantwortlichen und die Auftragsverarbeiter sind komplex und umfangreich. Teile der Vorgaben galten in Deutschland schon vor der DSGVO. Teilweise wurden Anforderungen verschärft. Eine zusammengefasste Wiedergabe aller Maßnahmen, die zur Umsetzung der Vorgaben der DSGVO notwendig wären, ist im Rahmen dieses informatorischen Artikels nicht möglich. Die notwendigen Maßnahmen zur vollen Umsetzung der Anforderungen der DSGVO werden je nach Betriebsgröße einen nicht geringen zeitlichen Aufwand mit sich bringen. Die Einschätzungen hierzu liegen, je nach Kenntnissen des damit betrauten Personenkreises und der Betriebsgröße, zwischen 6 und 24 Monaten. Hinzu tritt noch der Umstand, dass die diesbezüglichen Bestimmungen gerichtlichen Auslegungen unterliegen und die datenschutzrechtlichen Vorgaben sich dadurch weiterentwickeln werden. Dies führt zu einem durchgehenden Anpassungsbedarf der vom Verantwortlichen zu überwachenden Maßnahmen.
Die nachfolgende „Checkliste“ soll einzig aufzeigen, wie mit der Umsetzung der Vorgaben der DSGVO begonnen werden kann. Die tiefergehenden Anforderungen an die einzelnen Maßnahmen werden sich vermutlich mit der Bearbeitung der nachfolgend wiedergegebenen Grundlagen automatisch ergeben. Insbesondere bei der Erfassung und Erstellung der Verzeichnisse der Verarbeitungstätigkeiten werden Verarbeitungsvorgänge wahrgenommen werden, die datenschutzrechtlich tiefergehend zu prüfen sein werden. Aufgrund der bestehenden Nachweispflicht für die Verantwortlichen sollten die Maßnahmen die anlässlich der DSGVO ergriffen werden auch dokumentiert werden.
Folgende Grundlagen sollten Sie im Zuge der Geltung der DSGVO beachten:
1. Prüfen Sie zunächst, ob Sie einen Datenschutzbeauftragten benennen müssten oder freiwillig benennen wollen. Dieser wird Ihnen dann bei der weitergehenden Erfüllung der Vorgaben aus der DSGVO behilflich sein.
2. Prüfen Sie die Rechtsgrundlagen für die von Ihnen erhobenen personenbezogenen Daten.
Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine gesetzlicher „Erlaubnistatbestand“ vorliegt oder der Betroffene in die Verarbeitung eingewilligt hat. Sollten Sie daher Daten im Wege einer Bestellung verarbeiten, so wäre dies für diesen Zweck erlaubt. Nach Ablauf der gesetzlichen Aufbewahrungsfristen müssten diese allerdings gelöscht werden. Verwenden Sie allerdings die Daten beispielsweise für den Versand eines Newsletters, wird dies von diesem Erlaubnistatbestand nicht mehr erfasst. Die Verwendung für einen Newsletter wäre, mit wenigen Ausnahmen, nur mit der Einwilligung des Betroffenen zulässig.
3. Sollten Sie Einwilligungen beispielsweise für den Versand eines Newsletters einholen wollen, sollte darauf geachtet werden, dass die Einwilligungen ausdrücklich erfolgen. Vor der Einwilligung müssen Sie auf die jederzeitige Widerrufbarkeit dieser Einwilligung hinweisen und auf den konkreten Zweck der Datenverarbeitung hinweisen. Der Betroffene muss in Bezug auf die Einwilligung eine "informierte" Entscheidung treffen können. Sie sollten bei der Einwilligung nur die Daten abfragen, die für den Versand des Newsletters notwendig sind. Einwilligungen die schon vor dem 25.05.2018 erteilt wurden, müssen dahingehend geprüft werden, ob diese den Anforderungen nach der DSGVO entsprechen. Falls nicht, wenn also insbesondere der Hinweis auf den jederzeitigen Widerruf oder die Angabe des Zwecks fehlt, sollten die Einwilligungen neu eingeholt werden. Die Einwilligungen sollten nachweisbar dokumentiert werden.
4. Die bestehenden Datenschutzerklärungen, ob online oder „offline“, sollten an die DSGVO angepasst werden. Die DSGVO stellt hier erweiterte Anforderungen an die Information der Betroffenen. So müssten beispielsweise Zweck, Rechtsgrundlage und die Dauer der Speicherung angegeben werden.
5. Werden personenbezogene Daten von Dritten in Ihrem Auftrag verarbeitet oder haben Dritte in Ihrem Auftrag einen Zugriff auf personenbezogene Daten (beispielsweise Werbeagentur, IT-Dienstleister), müssen Sie den Umgang mit diesen Daten vertraglich - Auftragsverarbeitung - regeln. Bestehende Verträge sollten auf Änderungen in Bezug auf die DSGVO geprüft werden.
6. Zur Erstellung des Verzeichnisses der Verarbeitungstätigkeiten sollte eine Aufstellung erfolgen, die sämtliche Verfahren enthält, bei denen personenbezogene Daten verarbeitet werden. Für jedes Verfahren in diesem Hauptverzeichnis müsste in der Folge ein eigenes Verzeichnis der Verarbeitungstätigkeit erstellt werden. Die inhaltlichen Vorgaben hierzu hatten wir vorstehend schon erläutert.
7. Auch Ihre Lieferanten sind datenschutzrechtlich zu bedenken. Speichern Sie beispielsweise personenbezogene Daten von natürlichen Personen, beispielsweise Ansprechpartner, sollten Sie die Ausführungen unter vorstehender Ziffer 2. zu der Rechtsgrundlage der Verarbeitung beachten.
6. Teilweise benötigen Sie auch von Ihren Mitarbeitern Einwilligungen in bestimmte Verarbeitungsvorgänge. Zudem müssen Ihre Mitarbeiter in Bezug auf die datenschutzrechtlichen Vorgaben geschult werden und die Arbeitsverträge sollten dahingehend geprüft werden, ob alle Mitarbeiter wirksam auf die Verschwiegenheit verpflichtet wurden.
7. Sie sollten sich mit dem Auskunftsrecht der Betroffenen auseinandersetzen und für eine solche Anfrage und deren datenschutzkonforme Beantwortung ein Vorgehen festlegen. Des Weiteren sollten Sie zusätzlich einen Prozess festlegen, falls es zu Datenverstößen kommt und Sie diesen der Aufsichtsbehörde oder dem Betroffenen melden müssen.
Letztendlich sollten Sie auch ein "Löschkonzept" entwickeln und diesbezüglich die gesetzlichen oder aus berechtigtem Interesse bestehenden Löschfristen beachten.
8. Auch müsste die Sicherheit, insbesondere die TOM, der Daten geprüft und dokumentiert werden. Wie die Sicherheit zu gewährleisten ist, hatten wir vorstehend bei dem Punkt Sicherheit der Verarbeitung angedeutet.
