Die neue Datenschutz-Grundverordnung (DSGVO). Wie eine erfolgreiche Implementierung im Unternehmen gelingt

Inhaltsverzeichnis

I. Abbildungsverzeichnis

II. Abkürzungsverzeichnis

1. Einleitung
1.1 Problemstellung
1.2 Ziele
1.3 Aufbau
1.4 Methodik/theoretischer Ansatz
1.5 Motivation

2. Historische Entwicklung
2.1 Von der Mitte des 20. Jahrhunderts bis 2012 Die Datenschutz-Grundverordnung (DSGVO) Entstehung der DSGVO
2.2 Inkrafttreten der DSGVO
2.3 Ziele der DSGVO
2.4 Das Bundesdatenschutzgesetz (BDSG) Stellungnahme

3. Implementierung im Unternehmen
3.1 Bedeutung der DSGVO
3.2 Anwendungsbereich der DSGVO
3.2.1 Sachlicher Anwendungsbereich
3.2.2 Räumlicher Anwendungsbereich
3.3 Wichtige Vorschriften der DSGVO
3.3.1 Verzeichnis von Verarbeitungstätigkeiten
3.3.2 Grundsätze für die Verarbeitung personenbezogener Daten
3.3.3 Auftragsverarbeitung
3.3.4 Sicherheit der Verarbeitung
3.3.5 Datenschutzbeauftragter
3.3.6 Rechte von betroffenen Personen (Betroffenenrechte)
3.3.7 Verletzung des Schutzes personenbezogener Daten
3.3.8 Sanktionen und Haftung
3.3.9 Anforderungen an eigene Unternehmensstruktur
3.3.10 Umgang mit der Aufsichtsbehörde
3.3.11 Umgang mit Fotos im Internet
3.3.12 „Privacy by Design“ und „Privacy by Default“
3.3.13 Stellungnahme

4. Anwendungsbeispiele zur Umsetzung der DSGVO
4.1 Projektplanung und Checkliste zur Implementierung im Unternehmen
4.2 Fallbeispiele
4.2.1 Praktische Anleitungen zur Umsetzung
4.2.2 Häufige formelle Fehler
4.2.3 Materielle Fehler
4.3 Stellungnahme

5. Kritik und Würdigung der DSGVO
5.1 Kritische Beleuchtung der Datenschutz-Grundverordnung
5.2 Vorteile der neuen Gesetzgebung
5.2.1 Harmonisierung des Datenschutzniveaus
5.2.2 Verbotsgesetz mit Erlaubnisvorbehalt
5.2.3 Pflicht zur Bestellung des Datenschutzbeauftragten
5.2.4 Konzernprivileg
5.2.5 Erleichterte Meldung an die Datenschutzaufsichtsbehörde
5.2.6 Kohärenzverfahren
5.2.7 „Recht aufVergessenwerden“
5.2.8 Höhere Bußgelder
5.3 Stellungnahme

6. Aktuelle Rechtsprechung
6.1 Rechtsprechung des EuGH
6.2 Rechtsprechung des BVerfG
6.3 Rechtsprechung des BGH
6.4 Fallbeispiele aus der Rechtsprechung
6.5 Stellungnahme

7. Fazit
7.1 Zusammenfassung
7.2 Ausblick

III. Literaturverzeichnis

IV. Quellenverzeichnis

V. Rechtsprechungsverzeichnis

VI. Anlagenverzeichnis

I. Abbildungsverzeichnis

Abbildung 1 Einwilligungserklärung gemäß § 22 KUG

Abbildung 2 Muster Verarbeitungsverzeichnis

Abbildung 3 Bewertung derVerwendung persönlicher Daten

II. Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Hinsichtlich der übrigen Abkürzungen siehe Kirchner,

Abkürzungsverzeichnis der Rechtssprache, 8. Aufl., Berlin 2015.

1. Einleitung

1.1 Problemstellung

Die Einführung der neuen Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die seit dem 25. Mai 2018 Anwendung findet, stellt für viele Unternehmen eine große Herausforderung dar.

„Für Unternehmen hat die Verordnung gravierende Folgen: Neben Schadensersatzklagen drohen bei Fehlern Bußgelder von bis zu vier Prozent des globalen (Konzern-)Umsatzes. Beteiligte Manager, Da­tenschützer und sonstige Entscheidungsträger müssen bei Verstö­ßen mit Geldbußen bis zu 20 Millionen Euro rechnen. Zudem sind die inhaltlichen Anforderungen beim neuen Datenschutz sehr hoch. - Sie betreffen viele Unternehmensbereiche, etwa IT, Personal, Com­pliance, interne Revision, und Vertrieb." (Wybitul, 2016, S. 3, Rn. 6)

Personenbezogene Daten müssen nun noch strenger, gewissenhafter ver­arbeitet und verwaltet werden, damit diese nicht zweckentfremdet werden. Die Vorgaben der DSGVO sind zum Teil recht abstrakt und selbst die eu­ropäischen Datenschutzbehörden geben nur annähernde praxisorientierte Anleitungen zu deren Umsetzung. Da die Umsetzungsfrist der DSGVO von nur zwei Jahren nach ihrer Verabschiedung am 14.05.2016 für die Unternehmen sehr knapp bemessen war, sind erfahrene Datenschutzex­perten gefragter denn je. Mit ihrer Hilfe sollen die Einhaltung und Umset­zung der DSGVO in den Unternehmen gewährleistet werden. Die Imple­mentierung der notwendigen Maßnahmen erweist sich als eine an­spruchsvolle Aufgabe, da die DSGVO aus sich selbst heraus auszulegen ist und daher nicht bloß als eine Anpassung der bisherigen Rechtslage zu verstehen ist. Die Arbeit unterstützt durch die anschaulichen Beispiele zur Implementierung den Leser bei der Umsetzung der DSGVO-Anforderun- gen im Unternehmen.

1.2 Ziele

Gegenstand dieser Arbeit ist es, die neue Gesetzeslage infolge der DSGVO näher zu beleuchten und Möglichkeiten zur Implementierung im Unternehmen aufzuzeigen. Die Arbeit soll lediglich als hinreichenden aber keinesfalls vollständigen Leitfaden für den Praxistransfer gelten, da der Umfang dieser Arbeit dies keinesfalls gewährleisten könnte. Die Arbeit richtet sich vor allem an Arbeitgeber, die mit der Erfüllung der DSGVO-An- forderungen in ihren Unternehmen vor eine große Aufgabe gestellt sind, und soll ihnen einen ersten Einblick und leichteren Zugang zu den wich­tigsten Bestandteilen der DSGVO und deren Umsetzung liefern. Somit kann sich der Verantwortliche eines Unternehmens einen ersten Überblick verschaffen, welche Maßnahmen konkret durch die DSGVO gefordert wer­den. Er kann daraufhin im Rahmen einer internen Projektplanung im Un­ternehmen einen Maßnahmenkatalog zur Implementierung entwickeln und ist im Austausch mit Datenschutzbeauftragten besser vorbereitet.

1.3 Aufbau

Die vorliegende Arbeit gliedert sich in sieben Kapitel. Nach der Einleitung und Beschreibung der Problemstellung, folgt im zweiten Kapitel eine kurze Betrachtung der historischen Entwicklung. Ausgehend vom 20. Jahrhun­dert wird gezeigt, wie sich infolge zunehmender Digitalisierung daten­schutzrechtliche Änderungen ergaben, bis es zur Entstehung der DSGVO kam. Danach wird im dritten Kapitel ein Überblick über wichtige Vorschrif­ten der Verordnung gegeben. Diese werden im Einzelnen erläutert, um die Bedeutung und das Ausmaß der Artikel in der DSGVO herauszuarbeiten. In Kapitel vier werden die vorangegangenen Vorschriften anschließend durch Fallbeispiele illustriert. Es wird dadurch aufgezeigt, wie diese im Un­ternehmen implementiert werden können und wie sich Fehler vermeiden lassen. Danach folgt in Kapitel fünf eine kritische Beleuchtung der neuen Regelungen der DSGVO. Aktuelle Gerichtsurteile werden in Kapitel sechs erläutert. Es wird die aktuelle Rechtsprechung des EuGH, des BVerfG und des BGH zum Datenschutzrecht seit Einführung der DSGVO im Mai 2018 untersucht. Der Leser erhält dadurch einen Einblick in juristische Entschei­dungen in datenschutzrechtlichen Rechtsstreitigkeiten und kann somit wachsamer in der Unternehmenspraxis agieren. Die Ergebnisse der Arbeit werden im siebten Teil (Schlussteil) zusammengefasst, um dann auf die anfangs geschilderte Problemstellung zurückzukommen und am Ende einen Ausblick für die Zukunft zu geben. Zu beachten ist außerdem, dass unter dem Begriff „Verbraucher“ sowohl männliche als auch weibliche Ver­braucher zu verstehen sind.

1.4 Methodik/theoretischer Ansatz

Der erarbeitete Leitfaden orientiert sich an den Erkenntnissen vorhande- nerwissenschaftlicher Literatur. Die Fragestellung soll demnach durch ein­gehende Literaturrecherche beantwortet werden.

1.5 Motivation

DerVerfasser hatte im Rahmen seiner Tätigkeit als Verwaltungsmitarbeiter an der Universität Freiburg selbst viele Berührungspunkte mit dem Thema Datenschutz, da er viele personenbezogene Daten verarbeiten und auf die Einhaltung der Vorgaben der DSGVO achten musste. Da die Verordnung für die Zukunft weiterhin ein sehr wichtiges einzuhaltendes Gesetz für alle EU- Mitgliedstaaten darstellt, ist eine Auseinandersetzung mit ihr sowohl für Arbeitnehmer als auch Arbeitgeber unerlässlich. Mit der gesammelten Expertise im Datenschutz durch die Erstellung der Arbeit möchte der Ver­fasser zukünftig eine wertvolle Unterstützung in Unternehmen liefern. Dar­aus resultiert das Interesse, sich mit der Thematik im Rahmen seiner Mas­terarbeit intensiv zu befassen.

2. Historische Entwicklung

2.1 Von der Mitte des 20. Jahrhunderts bis 2012

Am 10. Dezember 1948 gab es mit der Verabschiedung der Allgemeinen Erklärung der Menschenrechte mit Artikel 12 das Recht auf Privatsphäre auf internationaler Ebene. Bezugnehmend hierauf entwickelte der Europa­rat am 04. November 1950 die Europäische Menschenrechtskonvention (EMRK; vom 04.11.1950; in der Fassung der Protokolle Nr. 11 und 14). Dieser Grundrechtekatalog trat dann am 03. September 1953 in Kraft und sollte das Recht auf Achtung des Privatlebens der Bürger sichern. Bei ei­ner Verletzung dieses Rechts kann der Europäische Gerichtshof für Men­schenrechte (EGMR) angerufen werden. Der Beginn des Datenschutzes in Deutschland erfolgte mit dem 1. Hessischen Datenschutzgesetz (Hess. GVBI. I S. 625 vom 07.10.1970; Inkrafttreten am 13.10.1970; letzte Ände­rung durch: Art. 1 des Gesetzes vom 20. Mai 2011; Hess. GVBI. I S. 208). Es gilt als das älteste Datenschutzgesetz der Welt und diente als Grund­lage für das spätere „Gesetz zum Schutz vor Mißbrauch personenbezoge­ner Daten bei der Datenverarbeitung“ (Bundesdatenschutzgesetz BDSG) vom 27.01.1977 (BGBl. I Nr. 7, S. 201; vgl. Moos/Schefzig/Arning, 2018, S. 15). Man dachte aber über eine Novellierung dieses Gesetzes nach, weil es den verfassungsrechtlichen Anforderungen nicht gerecht wurde. Die Überarbeitung des „neuen BDSG“, durch das „Gesetz zur Fortentwick­lung der Datenverarbeitung und des Datenschutzes“ (DVDSFG: BDSG 1990; vom 20. Dezember 1990, BGBl. I Nr. 73 S. 2954) war dann 1990 abgeschlossen. Kurz vorher war auch auf EU-Ebene die Vorbereitung ei­ner einheitlichen europäischen Datenschutzrichtlinie in vollem Gange. Mit der Veröffentlichung der Datenschutzrichtlinie 95/46/EG am 25. November 1995 (ABI. EG Nr. L 281 S. 31; letzte Änderung durch: Art. 94 VO 2016/679 vom 27. April 2016) war es dann soweit: Eine EU-weite einheitli­che Richtlinie bei der Verarbeitung personenbezogener Daten war ge­schaffen. Sie wurde vom Europäischen Parlament und Rat veröffentlicht und ist unter dem Kürzel „EU-DSRL“ bekannt. Dieses musste auch in Deutschland umgesetzt werden. Da das BDSG aber erst kurz zuvor novel­liert worden war, hielt sich das Interesse einer erneuten Überarbeitung in Grenzen (vgl. Moos/Schefzig/Arning, 2018, S. 16). Die EU drängte aber auf eine erneute Novellierung des BDSG, welche im Jahre 2009 mit drei Gesetzesänderungen als BDSG-Novellen l-lll abgeschlossen wurde (BDSG a.F., in der Fassung der Bekanntmachung vom 14.01.2003, BGBl. I S. 66); zuletzt geändert durch Gesetz vom 30.10.2017 (BGBl. I S. 3618, im Folgenden BDSG-alt). Diese war aber in der „Unabhängigkeit der Auf­sichtsbehörden“ fehlerhaft, weshalb der EuGH die Bundesrepublik Deutschland 2010 verurteilte, dies zu überarbeiten (vgl. Moos/Schefzig/ Arning, 2018, S. 17).

2.2 Die Datenschutz-Grundverordnung

2.2.1 Entstehung der DSGVO

Am 13.12.2007 wurde der Vertrag von Lissabon (ABI. 2007/C 306/01, zu­letzt bekannt gemacht durch Abdruck der konsolidierten Textfassungen im Abi. 2012/C 326/01; Inkrafttreten am: 01.12.2009) verabschiedet. Dieser verpflichtete die EU durch die Einbindung der Grundrechtecharta der EU (Abi. EG, C 364, 18. Dezember 2000, S. 1) eine einheitliche gesetzliche Regelung zum Datenschutz für alle EU-Bürger zu schaffen. Dies war an­gesichts des weltweit zunehmenden Datenverkehrs und der Verbreitung des Internets unabdingbar. Den ersten Entwurf der DSGVO zur Umset­zung des Lissabon-Vertrags legte die Europäische Kommission am 25.01.2012 vor. Bis es letztlich zur finalen Einigung kam, wurde dieser Entwurf oft geändert. Am 15.12.2015 beschlossen der Europäische Rat, die Europäische Kommission sowie das Europäische Parlament die finale Datenschutz-Grundverordnung (Verordnung EU 2016/679) des europäi­schen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Da­tenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz­Grundverordnung), ABI. L 119 S.1; im Folgenden als „Datenschutz-Grund­verordnung” oder „DSGVO” bezeichnet; vgl. Moos/Schefzig/Arning, 2018, S. 18).

2.2.2 Inkrafttreten der DSGVO

Der finale Entwurf der DSGVO wurde dann am 14.05.2016 vom EU-Parla­ment verabschiedet und trat am 20.05.2016 in Kraft. Den Mitgliedstaaten wurde für die Umsetzung der DSGVO eine Frist von zwei Jahren gewährt. Ab dem 25.05.2018 ist sie seitdem EU-weit geltendes Datenschutzrecht für alle EU-Mitgliedstaaten. Die vorherige EU-Datenschutzrichtlinie 95/46/EG (ABI. EG Nr. L 281 S. 31, letzte Änderung durch: Art. 94 VO 2016/679 vom 27. April 2016) ist damit aufgehoben. Da die Anforderungen der DSGVO recht hoch sind, erfordert die Umsetzung erheblichen Auf­wand für die Unternehmen, da bei einer Umsetzungsfrist von nur zwei Jahren schnelles Handeln erforderlich ist (vgl. Wybitul, 2016, S. 5).

2.2.3 ZielederDSGVO

Ziele der DSGVO bestehen darin, eine EU-weite Vereinheitlichung bei der Verarbeitung personenbezogener Daten für natürliche Personen sicherzu­stellen. Sie soll die Grundrechte und Grundfreiheiten natürlicher Personen stärken. Die DSGVO soll in allen Mitgliedstaaten der EU als einheitliche Regelung in Sachen Datenschutz gelten. Jedoch sieht die Verordnung auch Ausnahmen in Form sogenannter „Öffnungsklauseln“ vor. Diese er­lauben es den Mitgliedstaaten, auf nationaler Ebene Spezialgesetze hin­sichtlich der Datenverarbeitung zu schaffen. Durch Art. 88 DSGVO können z.B. beim Beschäftigtendatenschutz, bei Einwilligung der Beschäftigten, personenbezogene Daten verarbeitet werden. Öffnungsklauseln müssen sich aber trotzdem stark an der DSGVO orientieren. Daher ist noch nicht klar, in welchem Rahmen die EU nationale Regelungen erlaubt (vgl. Wybi­tul, 2016, S. 4). Durch Art. 5 DSGVO sollen die Ziele der Verordnung ver­wirklicht werden. In ihm sind die einheitlich geltenden datenschutzrechtli­chen Grundsätze zur Verarbeitung personenbezogener Daten enthalten:

- Rechtmäßigkeit
- Treu und Glauben
- Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
- Rechenschaftspflicht

Werden diese Grundsätze von Unternehmen verletzt, kann das zu harten Sanktionen in Höhe bis zu vier Prozent des globalen Konzernumsatzes führen.

2.3 Das Bundesdatenschutzgesetz (BDSG)

Das aktuelle Bundesdatenschutzgesetz (BDSG 2018, Artikel 1 des Geset­zes vom 30.06.2017, BGBl. I S. 2097, in Kraft getreten am 25.05.2018; im Folgenden BDSG-neu) hebt das vorherige BDSG (BDSG-alt) vom 14.01.2003 auf. Es ist an die neuen Vorgaben der DSGVO angepasst. Im BDSG-neu wurde durch die nahezu 70 Öffnungsklauseln die DSGVO wei­ter nationalstaatlich angepasst. Die Öffnungsklauseln erlauben den Mit­gliedstaaten gewisse Spielräume in der Auslegung der DSGVO. Jedoch ist zu beachten, dass ein geschaffenes nationales Gesetz mit den Vorgaben der DSGVO nicht im Konflikt stehen darf. Anderenfalls ist die DSGVO vor­rangig (vgl. Moos/Schefzig/Arning, 2018, S. 20). Deutschland hat als ers­ter Mitgliedstaat der EU sein nationales Datenschutzgesetz an die Vorga­ben der DSGVO angepasst. Daher haben sowohl die Europäische Kom­mission, als auch andere Mitgliedstaaten der EU die Entstehung des BDS­G-neu mit Interesse verfolgt. Im BDSG-neu sind verschiedene Schwer­punkte zur Ausgestaltung der DSGVO enthalten (vgl. Piltz, 2017, S. 2). Für die Bundesrepublik Deutschland sind in der Praxis ab dem 25.05.2018 drei geltende Datenschutzgesetze maßgeblich: Die DSGVO, das BDSG 2018 sowie das bereichsspezifische Datenschutzrecht. Dies fördert die Komplexität in der Umsetzung des Datenschutzrechts enorm (vgl. Piltz, 2017, S. 3). Das BDSG-neu steht in der Kritik das Datenschutzniveau der

DSGVO abzusenken. Dies ist vom europäischen Gesetzgeber jedoch zu­lässig und so gedacht, sofern die Vorgaben eingehalten werden. Ein An­heben des Schutzniveaus nach oben ist aber nicht gestattet (vgl. Piltz, 2017, S. 7). Ein wesentlicher Grundsatz bei der Verarbeitung personenbe­zogener Daten ist in § 4 I BDSG-neu geregelt. Hiernach ist zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten von den Betroffenen die Erlaubnis einzuholen. Dies ist auch der Grund warum viele Unterneh­men seit Wirksamwerden der DSGVO und des BDSG-neu von ihren Kun­den die Einwilligung schriftlich einholen.

2.4 Stellungnahme

Insgesamt lässt sich sagen, dass in den vergangenen Jahren eine deutli­che Verbesserung des Datenschutzes festzustellen ist. Der EU ist mit der Verabschiedung der DSGVO ein großer Schritt zur Vereinheitlichung des Datenschutzes in den europäischen Mitgliedstaaten gelungen ist. Die eu­ropäischen Bürger werden nunmehr besser in ihren Grundrechten und Freiheiten geschützt. Dies verhindert eine willkürliche Datenverarbeitung der Unternehmen. Die Bundesrepublik Deutschland hat mit dem BDSG­neu als erster europäischer Staat ein nationales Datenschutzgesetz, an­gepasst an die Anforderungen der DSGVO, geschaffen und hat somit eine Vorbildfunktion für andere EU-Staaten inne.

3. Implementierung im Unternehmen

3.1 Bedeutung der DSGVO

Mit der DSGVO sollen die Rechte und Interessen der Verbraucher ge­stärkt werden, die sich durch eine zunehmende Digitalisierung gefährdet sehen. Eine Zweckentfremdung von Verbraucherdaten soll verhindert wer­den. Zudem sollen durch die DSGVO Wettbewerbsverzerrungen durch Verlegung des Firmensitzes in andere Länder, in denen der Datenschutz lockerer geregelt wird, vermieden werden. Die Aufsichtsbehörden aller EU-Mitgliedstaaten arbeiten hierbei grenzübergreifend zusammen, um Streitfragen des Datenschutzrechts zu entscheiden. Dadurch ergibt sich eine größere Rechtssicherheit innerhalb der EU (vgl. Wybitul, 2016, S. V). Um die Regelungen der DSGVO umzusetzen, bedarf es jedoch einiger Expertise. Daher brauchen die meisten Unternehmen Unterstützung und Orientierung, damit sie die Regelungen zügig in ihrem Unternehmen im­plementieren. Sich mit den Vorschriften der DSGVO auseinander zu set­zen, istfür alle Unternehmen ratsam. Denn die Richtlinien legen fest, dass eine Missachtung der DSGVO mit scharfen Sanktionen geahndet wird. Die DSGVO dient als ein Vorbild und internationaler Maßstab in Sachen Da­tenschutz. Dabei müssen sich Innovation und Datenschutz nicht aus­schließen. Denjenigen Unternehmen, denen es gelingt, ihre neuen Tech­nologien mit starkem Datenschutz zu verknüpfen, haben einen entschei­denden Wettbewerbsvorteil und sichern sich zukünftige Marktanteile. Die DSGVO stellt also nicht nur eine Herausforderung dar. Sie dient auch als große Chance sich im digitalen Zukunftsmarkt zu positionieren (vgl. Wybi­tul, 2016, S. VI).

3.2 Anwendungsbereich der DSGVO

3.2.1 Sachlicher Anwendungsbereich

Ob man von der DSGVO betroffen ist und ob diese im Unternehmen anzu­wenden ist, ergibt sich aus Art. 2 I DSGVO. Danach gilt die Verordnung

„[...] für die ganz oder teilweise automatisierte Verarbeitung perso­nenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen."

(Art. 2 I DSGVO)

Die DSGVO ist demnach nur bei personenbezogenen Daten anzuwenden. Sobald ein Unternehmen also beginnt, personenbezogene Daten z.B. durch ein Textverarbeitungsprogramm oder per Mail zu verarbeiten und zu speichern ist der sachliche Anwendungsbereich der DSGVO gegeben und die Vorschriften der DSGVO sind einzuhalten.

3.2.2 Räumlicher Anwendungsbereich

Art. 3 I DSGVO regelt den räumlichen Anwendungsbereich. Hiernach muss sich der Sitz der Niederlassung, des Verantwortlichen oder des Auf­tragsverarbeiters in der EU befinden (vgl. Wybitul, 2016, S. 8). Ob die Ver­arbeitung dabei in oder außerhalb der EU stattfindet, ist unerheblich. Es gilt das sogenannte Niederlassungsprinzip. Neben diesem gibt es auch das sogenannte Marktortprinzip nach Art. 3 II DSGVO. Dieses besagt, dass die DSGVO ebenso gilt, wenn Waren oder Dienstleistungen an be­troffene Personen aus der EU verkauft werden, die Waren oder Dienst­leistungen aber von Verantwortlichen oder Auftragsverarbeitern außerhalb der EU stammen. Dies stellt eine wesentliche Änderung gegenüber dem bisherigen Recht dar. (vgl. Wybitul, 2016, S. 9).

3.3 Wichtige Vorschriften der DSGVO

Die DSGVO macht diverse Vorgaben für die Verarbeitung und Nutzung personenbezogener Daten. Im Folgenden sollen daher einige Vorschriften erläutert werden und aufgezeigt werden, wie eine Anpassung der Unter­nehmensprozesse an die DSGVO erfolgen kann. Notwendige Änderungen bzw. Anpassungen können hierbei in folgenden Bereichen erforderlich sein (vgl. Moos/Schefzig/Arning,2018,S.715).

- Datenverarbeitungsverfahren
- Datenschutzmanagement
- datenschutzbezogene Dokumente
- Datenschutzorganisation
- Nachweisbarkeit der Datenschutzkonformität

3.3.1 Verzeichnis von Verarbeitungstätigkeiten

Gemäß Art. 30 DSGVO ist von Unternehmen ein Verzeichnis der Verarbei­tungstätigkeiten personenbezogener Daten zu führen. Dem Verzeichnis kommt eine besondere Bedeutung zu, da es die Verfahrensweise be­schreibt, wie die Daten im Unternehmen genutzt und verarbeitet werden. Es hat somit eine Dokumentations- und Beweisfunktion gegenüber den Aufsichtsbehörden und den betroffenen Personen. Die Führung eines Ver­zeichnis war auch nach BDSG alt bereits in den § 4g II, § 4e vorgeschrie­ben. Dennoch bringt die DSGVO nun einige Neuerungen mit sich, die es zu beachten gilt. Unternehmen, die bereits ein Verzeichnis führen, müssen überprüfen, an welchen Stellen eine Anpassung bzw. Änderung an die neuen Vorschriften durch die DSGVO nötig ist und diese entsprechend ab­ändern. Im Gegensatz zu früher, wird nun ein ordnungsgemäß geführtes Verzeichnis erwartet, das den Aufsichtsbehörden bei Aufforderung jeder­zeit vorgelegt werden kann. Andernfalls können Bußgelder bis zu 10 Mio. Euro bzw. bis zu 2% des Jahresumsatzes des Unternehmens verhängt werden (Art. 83Abs. 4a DSGVO).

Das Verzeichnis muss gemäß Art. 30 DSGVO Angaben über folgende In­halte aufweisen:

- Kontaktdaten des Verantwortlichen oder Datenschutzbeauftragten
- Datenkategorien
- Kreis der betroffenen Personen
- Zweck der Verarbeitung
- Datenempfänger.

Durch das Verfahrensverzeichnis soll die Transparenz der Datenverarbei­tungsprozesse gesichert werden. Der zuständige Verantwortliche oder Da­tenschutzbeauftragte muss darauf achten, dass die vorgeschriebenen In­halte gemäß Art. 30 DSGVO im Verzeichnis geführt sind (vgl. Harting, 2016, S. 7). Verantwortlich für das Verzeichnis und seine Inhalte ist aber die Unternehmensleitung gemäß Art. 30 I DSGVO. Führt man im Unter­nehmen einen Datentransfer in einen Drittstaat gemäß Art. 49 I S. 2 DSGVO durch, so sind die Risikoabschätzung und die Schutzmaßnahmen gemäß Art. 28 DSGVO entsprechend festzuhalten. Bei einem neuen Ver­arbeitungsverfahren ist entweder ein neues Verzeichnis zu erstellen oder das bestehende um die Angaben nach Art. 49 VI DSGVO zu ergänzen. Zudem ist mit Art. 30 DSGVO eine historische Komponente hinzu gekom­men: Während nach der alten Fassung des BDSG mit § 4g II S. 1 i.V.m. § 4e S. 1 BDSG lediglich die aktuelle Situation des Datenverarbeitungsver­fahrens zu beschreiben, schreibt die DSGVO vor, auch die Datenverarbei­tungsverfahren der Vergangenheit vorweisen zu können, falls dies von der Aufsichtsbehörde verlangt wird. Daher ist den Unternehmen anzuraten, sämtliche Dokumentationsverfahren mit Angabe von Zeitstempeln umfas­send zu dokumentieren, um bei Bedarf Rechenschaft ablegen zu können (vgl. Harting, 2016, S. 9).

3.3.2 Grundsätze für die Verarbeitung personenbezogener Daten

Der EU-Gesetzgeber hat in Art. 5 DSGVO einen Katalog datenschutz­rechtlicher Grundsätze erstellt. Diese Grundsätze sollen als Leitlinie bei der Verarbeitung personenbezogener Daten dienen. Jedoch gibt es auch hier Ausnahmen. In Art. 23 I DSGVO gibt es zum Beispiel die Möglichkeit zur Beschränkung der Grundsätze, etwa in nationalen Datenschutzgeset­zen wie dem BDSG-neu. Im Folgenden werden die Grundsätze nach Art. 5 DSGVO kurz vorgestellt, denn sie spielen bei der Umsetzung der DSGVO im Unternehmen eine tragende Rolle:

Art. 5 I lit. a DSGVO enthält den Grundsatz der Rechtmäßigkeit. Art. 6 DSGVO gibt dazu eine weiterführende Erläuterung, wann eine Verarbei­tung rechtmäßig ist. Der Grundsatz begründet sich aus der europäischen Grundrechtecharta nach Art. 8 II 1 GRCh.

Dann muss die Datenverarbeitung nach Treu und Glauben erfolgen. Das Prinzip findet sich ebenfalls in der Grundrechtecharta in Art. 8 II S1 GRCh. Hiernach sollen die Daten so genutzt und verarbeitet werden, wie es be­troffene Personen auf der Grundlage rechtlicher Regeln erwarten dürfen.

Die Datenverarbeitung soll weiter für die betroffene Person nachvollzieh­bar sein. Dies beinhaltet die aktuelle aber auch zukünftige Datennutzung und -Verarbeitung. Sie soll Transparenz aufweisen. Die Erwägungsgründe 39 und 58 geben die Voraussetzungen vor, wann eine Datenverarbeitung transparent erfolgt und dienen hier als Richtschnur. Die Datenverarbeitung ist transparent, wenn sie präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden." (Erwägungsgrund 58 S.1 DSGVO).

Einer der zentralen Grundsätze ist die Zweckbindung, die in Art. 5 I lit. b DSGVO festgehalten ist: „Personenbezogene Daten müssen für festge­legte, eindeutige und legitime Zwecke erhoben werden [...]“ (Art. 5 I lit. b DSGVO). Der Grundsatz stellt allerdings keine Neuerung dar, da er wort­gleich schon so in der DSRL enthalten war. Durch die Zweckbindung wird die Datenverarbeitung eingegrenzt.

Ein neuer Begriff ist die Datenminimierung. Demnach müssen „Perso­nenbezogene Daten [..] auf das [..] notwendige Maß beschränkt sein („Da­tenminimierung“).“ (Art. 5 I lit. c DSGVO). In der DSRL war lediglich in Art. 6 I lit. c ein Verweis auf eine Datenbeschränkung enthalten.

Der nächste Grundsatz ist die Richtigkeit. Hiernach müssen alle perso­nenbezogenen Daten aktuell und sachlich richtig sein. Unrichtige Daten müssen korrigiert oder gelöscht werden. Die Daten sollten schon bei ihrer Erhebung richtig sein. Ansonsten könnten beim „Profiling“ womöglich Feh­ler unterlaufen und ein potentieller Kunde dem passenden Produkt zuge­ordnet werden. Zudem soll dieser Grundsatz die Betroffenenrechte stär­ken. Werden unrichtige Daten erhoben, kann die betroffene Person nach Art. 18 I lit. a DSGVO die Richtigkeit bestreiten und eine Einschränkung der Datenverarbeitung verlangen.

Weiter darf die Datenspeicherung nur so lange erfolgen, solange es dem Zweck dient und erforderlich ist. Die Speicherbegrenzung bezieht sich al­lerdings nur auf die Daten, die für die Identifizierung der betroffenen Per­sonen benötigt werden.

Durch den Grundsatz der Integrität und Vertraulichkeit soll eine ange­messene Sicherheit in der Verarbeitung personenbezogener Daten ge­währleistet werden. Diese ist durch technische und organisatorische Maß­nahmen sicherzustellen.

Mit dem Grundsatz der Rechenschaftspflicht soll erreicht werden, dass der Verantwortliche die Einhaltung der in Art. 5 Absatz 1 DSGVO aufge­führten Grundsätze nachweisen kann. Hierdurch wird die Eigenverantwor­tung beim Verantwortlichen erhöht (vgl. Moos/Schefzig/Arning, 2018, S. 61 -74).

3.3.3 Auftragsverarbeitung

Unter einer Auftragsverarbeitung versteht man die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Dritten. Dies kann z.B. ein Steuerberatungsbüro oder Lohnbuchhaltungsbüro sein, das Arbeitnehmer­daten erhebt und verarbeitet. Der Auftragnehmer erhält hierzu einen Auf­trag des Auftraggebers. Die Definitionen hinter den Begriffen „Auftragneh­mer“ und „Auftraggeber“ sind in Art. 4 Nr. 7 und Art. 4 Nr. 8 DSGVO erläu­tert. Der Auftrag wird meist in einem schriftlichen Vertrag begründet. Die personenbezogenen Daten müssen dabei ordnungsgemäß nach rechtli­chen Vorgaben verarbeitet werden. Wie diese zu erfolgen hat, ist in Art. 28 ff. DSGVO geregelt. Im BDSG-neu wird die Auftragsdatenverarbeitung in § 11 geregelt. Sie geht von der Annahme aus, dass die Auftragsdatenverar­beitung nach den Weisungen des Auftraggebers erfolgt. Es bleiben daher für den Auftragnehmer keine Entscheidungsspielräume. Somit ist der Auf­tragnehmer gemäß § 11 Abs. 4 BDSG-neu von der Einhaltung daten­schutzrechtlicher Vorschriften befreit. Die Verantwortung liegt somit fast vollständig beim Auftraggeber. Hierzu gehört gemäß § 11 II 4 BDSG-neu auch die Kontroll- und Dokumentationspflicht. Der Auftraggeber hat sich beim Auftragnehmer nach der Verarbeitung seiner Daten zu informieren und hat dies zu dokumentieren. Andernfalls handelt es sich um eine „Funktionsübertragung“, bei der der Auftraggeber dem Auftragnehmer die eigenverantwortliche Datenverarbeitung überlässt. Beispiele hierzu sind der Forderungseinzug eines Inkassounternehmens oder die Anfertigung von Steuererklärungen durch einen Lohnsteuerhilfeverein (vgl. Harting, 2016, S. 138).

Im Gegensatz zum BDSG-neu hat bei der DSGVO der Auftragnehmer Mit­verantwortung bei der Datenverarbeitung. Hierzu finden sich in der DSGVO einige Stellen: Art. 27 I DSGVO, Art. 30, II DSGVO, Art. 31 DSGVO, Art. 32 I DSGVO, Art. 37 I DSGVO, Art. 44 DSGVO. Grundsätz­lich ist aber in Art. 29 DSGVO geregelt, dass der Auftragsverarbeiter auf Weisung seines Auftraggebers handelt. Die obigen Stellen sind lediglich Ergänzungen zum Grundsatz der Verantwortung beim Auftraggeber (vgl. Harting, 2016, S. 140). Der Auftraggeber hat sich beim Auftragnehmer ge­mäß §11 II BDSG-neu nach dessen technischen und organisatorischen Maßnahmen zu informieren und seinen Auftragnehmer sorgfältig auszu­wählen. Die Verpflichtungen sind gemäß § 11 II 2 BDSG-neu in einem schriftlichen Vertrag festzulegen. Diese Verpflichtung findet sich auch in Art. 28 I DSGVO (vgl. Harting, 2016, S. 141). Gegenüber dem BDSG-neu lassen sich einige Änderungen der DSGVO festhalten:

- Ein Vertrag ist nicht mehr zwingend nötig. Ein „Rechtsakt“ genügt.
- Gemäß Art. 28 IX DSGVO genügt die elektronische Form.
- Der Auftragnehmer muss gemäß Art. 28 III 2 DSGVO die Auftrags­verarbeitung gemäß den Weisungen des Auftraggebers vorneh­men.
- Bei der Auftragsverarbeitung gilt die Verschwiegenheitspflicht ge­mäß Art. 28 III 2 lit. b DSGVO.
- Regeln zur Löschung oder Berichtigung wie in §12 II 2 Nr. 4 BDSG­neu gibt es in der DSGVO nicht. Gemäß Art. 28 III 2 lit. e DSGVO hat der Auftragsverarbeiter den Verantwortlichen zu unterstützen bei der Geltendmachung der Betroffenenrechte (vgl. Harting, 2016, S. 143).

Art. 32 - 36 DSGVO regeln weitere Unterstützungstätigkeiten des Auf­tragsverarbeiters. Dies umfasst die Bereiche (vgl. Harting, 2016, S. 144):

- technische und organisatorische Maßnahmen der Datensicherheit ge­mäß Art. 32 DSGVO,
- Meldung bei Datenpannen an Aufsichtsbehörden und Betroffene gemäß Art. 33 - 34 DSGVO,
- Durchführung von Datenschutz-Folgeabschätzungen gemäß Art. 35 DSGVO,
- vorherige Benachrichtigung der Aufsichtsbehörde gemäß Art. 36 DSGVO.

3.3.4 Sicherheit derVerarbeitung

Auch im Zusammenhang mit zunehmender Digitalisierung spielt die Si­cherheit personenbezogener Daten eine große Rolle. Die Verarbeitung der Daten spielt sich dabei besonders im IT-Bereich ab, da die Daten meist mit Hilfe großer Rechner archiviert oder gespeichert werden. Oft werden dabei besonders sensible Daten wie etwa Namen, Anschriften, Geburtsda­ten, Familienstand, aber auch E-Mail-Adressen, Passwörter etc. gespei­chert. Letztere bergen für Unternehmen die Gefahr, Opfer sogenannter Cyberattacken zu werden. Zudem können Schadensersatzklagen betroffe­ner Personen folgen. Aber auch Erpressungsversuche der Täter sind kei­ne Seltenheit. Manchmal sind es aber gar keine Attacken „von außen“. Sensible Daten können auch durch unachtsamen Umgang der Mitarbeiter an Unbefugte weitergeleitet werden, beispielsweise durch Versenden von Mails an den falschen Adressaten.

Damit dies möglichst vermieden wird, schreibt der EU-Gesetzgeber ver­schiedene Präventivmaßnahmen zur Sicherheit vor. Art. 32 DSGVO erläu­tert die klassischen Schutzziele, damit die Sicherheit bei der Verarbeitung personenbezogener Daten gewährleistet ist. Während es beim Daten­schutz um den Schutz natürlicher Personen bei der Verarbeitung perso­nenbezogener Daten geht, stehen bei der IT-Sicherheit der Schutz der Un­ternehmenswerte sowie die Vermeidung wirtschaftlicher Schäden im Vor­dergrund. In Art. 32 I lit. b DSGVO sind insbesondere vier Begriffe maßge­bend, die bei der Datenschutzsicherheit eine tragende Rolle spielen: Ver­traulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. Fraglich bleibt, wie sich diese in Bezug auf die Sicherheit bei der Verarbeitung personenbezo­gener Daten in der Praxis umzusetzen sind?

- Vertraulichkeit:

Bei der Vertraulichkeit geht es darum, sensible Daten vor Unbefugten zu schützen. Je nach Arbeitsplatzgestaltung könnte es zum Beispiel zu Situa­tionen kommen, in denen ein Mitarbeiter unbefugt Daten auf dem Laptop eines anderen mitlesen kann. Dies könnte durch eine Blickschutzfolie ver­mieden werden.

- Integrität:

Unter Integrität versteht man die „Unversehrtheit“ der Informationen. Diese sollen nicht beabsichtigt oder unbeabsichtigt manipuliert werden, (vgl. Eh- mann/Kranig, 2017, S. 26). Beispielsweise könnte ein Praktikant in einem Unternehmen auf alle Daten zugreifen und so Daten versehentlich abän­dern oder löschen, da er mit den Systemen nicht vertraut ist. Dies könnte durch geeignete Zugriffskonzepte vermeiden werden, durch die ein Vollzu­griff des Praktikanten gesperrt wird.

- Verfügbarkeit:

Die verarbeiteten Daten sollen jederzeit abrufbar und verfügbar sein. Dies wäre nicht der Fall, wenn ein Hackerangriff, der massenhafte Bestellanfra­gen auslöst, die Webseite eines Unternehmens lahmlegen würde. Soge­nannte Denial-of-Service-Attacken könnten durch patchen der Software und regelmäßige Untersuchungen vermieden werden.

- Belastbarkeit:

[...]