Ist Ihre Service-Organisation fit für die EU-DSGVO?

Seit knapp zwei Jahren ist sie schon in Kraft, ab dem 25. Mai 2018 wird die europäische Datenschutz-Grundverordnung (EU-DSGVO) dann unmittelbar anwendbar sein. Haben Sie die Zeit genutzt, um die eigenen Prozesse zu überprüfen und – falls notwendig – der EU-DSGVO anzupassen? Oder haben Sie diese Übergangszeit einfach verstreichen lassen? Es ist noch nicht zu spät: Wenn Sie bisher schon auf den Datenschutz geachtet haben, wird Ihnen die Einhaltung der EU-DSGVO nicht allzu schwer fallen.

Ein erster wichtiger Schritt betrifft die Kommunikation und Sensibilisierung in Ihrem Unternehmen. Das Bundesministerium für Wirtschaft und Energie (BMWi) empfiehlt, dass Geschäftsleitung und andere für das Thema Datenschutz Zuständige innerhalb des Unternehmens Mitarbeiter dafür sensibilisieren sollten, dass sich ab dem 25. Mai 2018 nicht nur der Name einer europäischen Datenschutzregelung ändern wird. Die EU-DSGVO wird direkte Auswirkungen auf datenverarbeitende Unternehmen haben.

General Data Protection Regulation. GDPR, called DSGVO in German. Concept vector illustration. The protection of personal data. Isolated on white background.

In einem Kurzpapier empfehlen die unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) übrigens auch die ausgiebige Information der Geschäftsleitung selbst: Alle Entscheidungsträger in einem Unternehmen sollten sich der Auswirkungen der EU-DSGVO bewusst sein und wissen, was dies für den alltäglichen Betrieb in ihrem Unternehmen bedeutet. In einem ersten Schritt sollte daher Ihr Datenschutzbeauftragter oder IT-Verantwortlicher die Geschäftsleitung informieren.

Um einen Änderungsbedarf im Umgang mit personenbezogenen Daten identifizieren zu können, sollten Sie eine Bestandsaufnahme der aktuell bestehenden Prozesse durchführen, in denen personenbezogene Daten verarbeitet werden. Das bisherige Verfahrensverzeichnis nach §4d Bundesdatenschutzgesetz (BDSG) ist dem BMWi nach ein Ausgangspunkt zur Identifizierung der Datenverarbeitungen. Die DSK empfiehlt, dass Sie dann den Soll-Zustand ermitteln und im Anschluss daran eine Lückenanalyse zwischen dem jetzigen Ist-Zustand und dem künftigen Soll-Zustand durchführen.

Worauf die Experten zuerst abzielen: Auch unter der EU-DSGVO ist für die Verarbeitung personenbezogener Daten stets eine Rechtsgrundlage erforderlich (Verbot mit Erlaubnisvorbehalt). Die Rechtsgrundlage kann sich für Sie unmittelbar aus der EU-DSGVO ergeben. In Betracht kommt etwa die Einwilligung des Betroffenen (Artikel 6 Abs. 1 lit. a EU-DSGVO). Eine Datenverarbeitung ist auch zulässig, wenn sie zur Erfüllung eines Vertrages mit dem Betroffenen erforderlich ist (Artikel 6 Abs. 1 lit. b EU-DSGVO). Rechtsgrundlagen für Datenverarbeitungen können sich darüber hinaus aus dem BDSG (vgl. u. a. §§ 3, 23, 25 BDSG neu) sowie dem bereichsspezifischen nationalen Datenschutzrecht ergeben. Das bedeutet für Sie konkret: Für jede Datenverarbeitung innerhalb des Unternehmens ist zu prüfen, ob das neue Recht eine Rechtsgrundlage bereitstellt.

Um es klar zu sagen: Es geht um Betroffenenrechte. Den betroffenen Personen stehen umfangreiche Rechte zu, die Sie zu beachten haben. Sie müssen in Ihren Geschäftsabläufen abgebildet und gegenüber den Betroffenen umgesetzt werden. Hierzu gehören nach Angaben der DSK und des BMWi das Recht auf Löschung (Artikel 17), das Recht auf Datenübertragbarkeit (Artikel 20) sowie die Informationspflichten des Verantwortlichen gegenüber dem Betroffenen (Artikel 13, 14) einschließlich der übergreifenden Rahmenvorgaben (Artikel 12). Spezifische Beschränkungen der Betroffenenrechte nach dem neuen BDSG (vgl. etwa §35 BDSG neu) oder dem bereichsspezifischen Datenschutzrecht sind dabei zu beachten.

Ein wichtiger Schritt bei der Nutzung personenbezogener Daten ist hier die datenschutzrechtliche Einwilligung. Vielen Unternehmen dient diese Einwilligung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Bei der Einholung von Einwilligungen müssen Sie spezifische Anforderungen beachten (Artikel 7 EU-DSGVO). Bei der Datenerhebung müssen Sie zudem die Informationspflichten der EU-DSGVO einhalten (Artikel 13 EU-DSGVO). Hierbei handelt es sich übrigens um eine gegenüber der bisherigen Rechtslage erweiterten Regelung.

Bei der Überprüfung der Prozesse geht es auch um Angelegenheiten, die Ihre Verträge und Regularien betreffen. Das BMWi empfiehlt ganz klar: Sie sollten Ihre bestehenden Verträge zur Auftragsdatenverarbeitung in Dienstleistungsbeziehungen überprüfen und überarbeiten. In Artikel 28 EU-DSGVO sind Vorgaben für Vereinbarungen mit Auftragsdatenverarbeitern, die jetzt „Auftragsverarbeiter“ heißen, genau geregelt. Den Blick sollten Sie auch nach innen richten: Bestehende Geschäftsprozesse, Regularien, Richtlinien oder auch Handbücher und Dienstvereinbarungen, sollten von Ihnen daraufhin überprüft werden, ob sie mit den Anforderungen der EU-DSGVO vereinbar sind.

Die aus dem BDSG bekannte Vorabkontrolle wird mit Artikel 35 DSGVO abgelöst und erfordert eine umfangreiche Dokumentation: Es handelt sich um die Datenschutz-Folgenabschätzung, ein besonders sperriger Begriff in der neuen europäischen Verordnung. Damit ist gemeint, dass von Ihnen eine Datenschutz-Folgenabschätzung dann durchzuführen ist, wenn eine Datenverarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten betroffener Personen zur Folge hat (Artikel 35 Abs. 1 EU-DSGVO). Das BMWi weist darauf hin, dass sich an eine Datenschutz-Folgenabschätzung eine verpflichtende Konsultation der zuständigen Aufsichtsbehörde anschließen kann, die vor Durchführung der eigentlichen Datenverarbeitung zu erfolgen hat (Artikel 36 EU- DSGVO).

Überhaupt sollten Sie ein besonderes Augenmerk auf die Melde- und Konsultationspflichten gegenüber den Aufsichtsbehörden (Artikel 33, 36 und 37 EU-DSGVO) richten. Diese müssen nämlich in den internen Abläufen des Unternehmens abgebildet werden. Gleichzeitig sollte sichergestellt sein, dass Ihr Datenschutzbeauftragter bei datenschutzrechtlichen Fragestellungen und der Ausgestaltung von Datenverarbeitungsprozessen frühzeitig beteiligt wird. Im Rahmen der Datenschutz-Folgenabschätzung sieht die EU-DSGVO dies ausdrücklich vor (Artikel 35 Abs. 2 EU-DSGVO). Wann von Ihrer Seite ein betrieblicher Datenschutzbeauftragter verpflichtend zu benennen ist, regeln Artikel 37 EU-DSGVO und § 38 BDSG neu. Grundsätzlich sollten Sie die Aufsichtsbehörden auch als Ratgeber und Partner verstehen: Sie können Ihnen wichtige Hilfestellung leisten und bei unklaren Fällen zur Klärung konsultiert werden.

Die EU-DSGVO enthält an verschiedenen Stellen Dokumentationspflichten, beispielsweise in Artikel 30 (Verarbeitungsverzeichnis), Artikel 33 Abs.5 (Dokumentation von Datenschutzvorfällen) oder Artikel 28
Abs. 3 lit. a (Dokumentation von Weisungen im Rahmen von Auftragsverarbeitungsverhältnissen). Diese Dokumentationspflichten sollen übrigens eine Art Hilfestellung für Ihre tägliche Praxis darstellen: Sie dienen im Prinzip der betrieblichen Selbstkontrolle, allerdings natürlich auch der effektiven Überprüfung durch die Aufsichtsbehörde.

Wie setzt man all das jetzt konkret um? Die EU-DSGVO gibt hier Rahmenbedingungen vor, wie die datenschutzrechtlichen Anforderungen durch die verantwortliche Stelle schon bei der Prozessgestaltung und bei Voreinstellungen umzusetzen sind (Artikel 25 EU-DSGVO). Das macht es auch leichter, den Datenschutz bei der Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („Privacy-by-Design“ und „Privacy-by-Default“) einzuhalten. Das BMWi empfiehlt, dies bei Einrichtung und Ausgestaltung der Datenverarbeitungssysteme im Unternehmen frühzeitig zu bedenken.

Zusammenfassend lässt sich sagen, dass die EU-DSGVO auf ein Datenschutzmanagementsystem mit einem Pflichtenkatalog setzt, der die Einhaltung datenschutzrechtlicher Anforderungen frühzeitig, effektiv und schnell gewährleisten soll. Es liegt jetzt in Ihrer Verantwortung, dieses System proaktiv umzusetzen. Datenschutzverletzungen können empfindliche Geldbußen (Artikel 83 EU-DSGVO) und/oder Schadensersatzansprüche der betroffenen Personen (Artikel 82 EU-DSGVO) nach sich ziehen – das sollten Sie immer im Hinterkopf haben, aber das sollte nicht Ihr einziger Antrieb sein: Datenschutz lässt sich auch als Service am Kunden verstehen. Wenn Sie sorgfältig und behutsam mit den Daten des Kunden umgeht, vermittelt das eine gewisse Wertschätzung für die personenbezogenen Daten des Kunden. Datenschutz wird zu Ihrem Argument, wenn es um die Vermarktung von Dienstleistungen geht.

Der Service-Verband KVD e. V. hat eigens für die Umsetzung der EU-DSGVO im Service eine Sonderausgabe seines Fachmagazins SERVICE TODAY herausgegeben. Sie ist ab sofort in der kostenlosen SERVICE TODAY App in den App Stores von Apple iTunes, Android und Amazon zu finden.

Autor: Michael Braun