Jede datenverarbeitende Stelle, die sich spätestens sei Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) nicht um die Umsetzung der datenschutzrechtlichen Maßgaben bemüht hat, hohe Risiken ein. Dabei geht es in erster Linie um finanzielle Risiken für Unternehmen in Form von Bußgeldern, die bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen können.

Daneben schwebt über den Köpfen der mit Datenverarbeitung befassten Personen das Damoklesschwert strafrechtlicher Sanktionen. Denn nach der zur Umsetzung der Datenschutz-Grundverordnung erlassenen Vorschrift des § 42 Abs. 2 BDSG macht sich bereits strafbar, wer Daten, die nicht allgemein zugänglich sind, unberechtigt verarbeitet und dies gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern, tut. Sollten die Gerichte diesen Tatbestand nicht einschränkend auslegen, wird damit nahezu jede unberechtigte Datenverarbeitung im unternehmerischen Bereich strafbar.

Zwar sah auch das bisherige Datenschutzrecht die finanzielle und strafrechtliche Sanktionierung von Zuwiderhandlungen vor. Jedoch waren die Anforderungen an die Strafbarkeit eines nicht datenschutzkonformen Verhaltens höher und die Bußgelder niedriger. Hinzu kommt ein gewachsenes datenschutzrechtliches Bewusstsein in der Bevölkerung, das tendenziell zu mehr Anzeigen und damit zu einem höheren Entdeckungsrisiko von Zuwiderhandlungen führen wird. Tückisch ist zudem, dass die Neuregelungen zum Großteil auf bereits aus dem deutschen Recht bekannten Vorgaben aufbauen und die Änderungen auf den ersten Blick gering erscheinen. Die vermeintlich kleinen Änderungen verursachen jedoch bei der Umsetzung einen erheblichen Aufwand. Datenschutz-Management wird daher – auch für Unternehmen, die hierauf bislang keinen Schwerpunkt gesetzt haben – eine erhebliche und aktiv anzugehende Herausforderung im Compliance-Gefüge.

Verarbeitungsverzeichnis – Herausforderung und Anlass zum Aufgriff des Themas

 Der Aufwand verdeutlicht sich spätestens bei dem Versuch, das nach Art. 30 DS-GVO erforderliche Verzeichnis der Verarbeitungstätigkeiten zu erstellen oder zu überarbeiten. Unternehmen, die bereits bisher ein solches Verzeichnis vorhalten mussten, werden dieses auf Vollständigkeit prüfen und die Verarbeitungsvorgänge rechtlich anhand der Neuregelungen neu bewerten und ggf. in der Praxis anpassen müssen. Je nach Unternehmensgröße kann dieser Vorgang durchaus mehrere Monate in Anspruch nehmen.

Wer bislang kein Verarbeitungsverzeichnis vorgehalten hatte, wird sich der Herausforderung stellen müssen, zunächst alle Datenverarbeitungsvorgänge zu ermitteln. Da der Begriff „Verarbeitung“ weit auszulegen ist – Art. 4 Nr. 2 DS-GVO versteht hierunter „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“ –, ist zu prüfen, welche Daten in dem Unternehmen überhaupt erhoben und verarbeitet werden, und jeder einzelne Verarbeitungsschritt von der erstmaligen Erhebung bis zur endgültigen Löschung ist zu erfassen. Zu Schwierigkeiten wird dabei oftmals der Umstand sorgen, dass nicht jede Verarbeitungstätigkeit offensichtlich ist. So führen etwa die bei der EDV-gestützten Verarbeitung eingesetzten Hardware- und Softwarekomponenten häufig Verarbeitungstätigkeiten aus, die dem technischen Laien verborgen bleiben.

Wurden die Datenverarbeitungsverfahren erfasst, warten mit der rechtlichen und technischen Bewertung weitere Hürden auf dem Weg zur erfolgreichen Erstellung des Verzeichnisses. Weder die Bewertung der Zulässigkeit der Vorgänge an sich noch die Bewertung der zu ergreifenden technischen und organisatorischen Maßnahmen sind ohne entsprechende fachliche Kenntnisse in befriedigendem Maße durchzuführen.

Unvorbereitete Ersteller von Verfahrensverzeichnissen erwartet also eine schwierige Aufgabe mit hohem Frustrationspotential. Wer nach Art. 30 Abs. 5 DS-GVO nicht zur Erstellung eines solchen Verzeichnisses verpflichtet ist, mag daher versucht sein, von der Verzeichniserstellung Abstand zu nehmen. Auf den ersten Blick scheint dies eine bequeme Option, die gemäß Art. 30 Abs. 5 DS-GVO Unternehmen oder Einrichtungen mit weniger als 250 Beschäftigten offensteht. Allerdings gilt diese Ausnahme nur, wenn die vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nur gelegentlich erfolgt und nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten einschließt. Gerade das Kriterium der nur gelegentlichen Datenverarbeitung wird dafür sorgen, dass auch in der Größenordnung von weniger als 250 Mitarbeitern kaum ein Unternehmen von der Verpflichtung zur Erstellung eines Verfahrensverzeichnisses ausgenommen sein wird.  

Selbst wenn im Einzelfall Unternehmen unter die Ausnahmeregelung fallen, bietet sich für diese dennoch die Erstellung eines entsprechenden Verzeichnisses an. Einerseits ist dies eine probate Vorsorgemaßnahme für den Fall, dass das Unternehmen aus der Ausnahmeregelung herauswächst. Andererseits lassen sich anhand eines Verfahrensverzeichnisses Anfragen der Aufsichtsbehörden deutlich einfacher beantworten. Vor allem aber bietet es aber Anlass und Gelegenheit zur Prüfung und ggf. Anpassung des Umgangs mit personenbezogenen Daten zur Vermeidung von Rechtsverletzungen und zur Implementierung eines – über die Erstellung des Verfahrensverzeichnisses weit hinausgehenden – Datenschutzmanagements.

Prozessphasen

Eine sinnvolle Umsetzung der neuen datenschutzrechtlichen Anforderungen beginnt nicht mit dem Verfahrensverzeichnis – selbst wenn ein solches bereits vorhanden ist. Die erforderlichen Schritte und deren Reihenfolge mögen im Einzelfall von Unternehmensgröße und Unternehmensgegenstand abhängen, sie lassen sich jedoch in verschiedene Phasen einteilen, die regelmäßig zu durchlaufen sind:

Erste Planungsphase

Vor der erstmaligen Betrachtung von Datenverarbeitungsvorgängen muss zunächst geklärt werden, welche Personen zu beteiligen sind. Größere Unternehmen werden hierfür ein Projektteam zusammenstellen, kleinere und mittlere Unternehmen möglicherweise nur einen Hauptverantwortlichen bestimmen, der bei Bedarf ggf. mit den einzelnen Stellen Rücksprache hält. Dabei wird bereits im Anfangsstadium erkennbar sein, welche Stellen dies sind. Regelmäßig werden – soweit vorhanden – der Datenschutzbeauftragte, die Personalabteilung sowie die IT-Abteilung hinzuzuziehen sein. Besteht ein Betriebsrat, bietet sich an, diesen bereits frühzeitig zu informieren, da regelmäßig auch der Mitbestimmung unterliegende Maßnahmen zu treffen sein werden.

Größere Unternehmen werden eine Ressourcen- und Budgetplanung unternehmen müssen, während mit abnehmender Unternehmensgröße der jeweilige Bedarf zunehmend durch den jeweiligen Bestand an Personal und Mitteln bestimmt und begrenzt wird. An dieser Stelle werden bereits die ersten Weichen gestellt, ob lediglich die von der DS-GVO geforderten Mindestanforderungen erfüllt werden oder ein darüber hinausgehendes Konzept erstellt werden kann und soll.

Bestandsaufnahme und Bedarfsprüfung

Als Ausgangspunkt für die zu treffenden Maßnahmen bietet sich eine Aufstellung der bereits bestehenden Datenverarbeitungsprozesse an. Existiert bereits ein Verfahrensverzeichnis, kann dieses nach einer Vollständigkeitsprüfung als Grundlage herangezogen werden. Dabei sollte auch die Art der verarbeiteten Daten ermittelt werden, insbesondere solche, die besonderen gesetzlichen Regelungen unterliegen, etwa Beschäftigtendaten, Daten von Kindern oder Daten, die im Rahmen einer Auftragsverarbeitung für einen Dritten verarbeitet werden.

Die ermittelten Verarbeitungsprozesse sollten einer kritischen Bedarfsprüfung unterzogen werden. Maßgeblich zu prüfen wird dabei sein, für welche Unternehmensziele Daten verarbeitet werden, ob eine Änderung dieser Unternehmensziele ansteht, und ob für die – ggf. künftigen – Unternehmensziele die vorgefundenen Datenverarbeitungsprozesse erforderlich und ausreichend sind.

Datenverarbeitungsprozesse, deren Beibehaltung oder Aufnahme zur Erreichung der Unternehmensziele erforderlich erscheint, müssen sodann einer rechtlichen Prüfung anhand der datenschutzrechtlichen Bestimmungen unterzogen werden. Unzulässige Datenverarbeitungsvorgänge müssen entweder entfallen oder so umgestaltet werden, dass im Rahmen ihrer Umsetzung die rechtlichen Bestimmungen eingehalten werden können.

Unternehmer sollten nicht davor zurückschrecken, Unternehmensziele mit dem Ergebnis einer datenschutzrechtlichen Risikoanalyse abzugleichen. Im Einzelfall kann die Risikobewertung die Anpassung einzelner Unternehmensziele erforderlich machen. Zu berücksichtigen sind dabei insbesondere

• mögliche Bußgelder,
• Strafverfolgung,
• zivilrechtliche Haftung,
• Rufschäden und
• Risiken für betroffene Personen,

wobei in der Abwägung die mögliche Schadenshöhe, die Eintrittswahrscheinlichkeit und der zur Risikoverringerung erforderliche Aufwand einander gegenüberzustellen sind.

Zweite Planungsphase

In einer zweiten Planungsphase werden die Einzelheiten der Verarbeitungsvorgänge erfasst und ggf. angepasst. Insbesondere sind dabei

• die Zwecke der Verarbeitung festzulegen und zu dokumentieren. Dies gilt auch für Zweckänderungen, an die die DS-GVO besondere Anforderungen stellt;
• ein Verarbeitungsverzeichnis zu erstellen bzw. ein ggf. bereits vorhandenes Verarbeitungsverzeichnis zu überarbeiten;
• die Datensicherheit zu prüfen und ggf. anzupassen;
• bei IT-Einsatz auf eine zur Umsetzung der Datenschutzgrundsätze ausgelegte Technologie zurückzugreifen, die insbesondere datenschutzrechtsfreundliche Voreinstellungen beinhaltet;
• die Betroffenenrechte wie Auskunfts-, Berichtigungs- und Löschungsrecht sowie das Recht auf Datenübertragbarkeit zu berücksichtigen;
• Löschkonzepte zu erstellen;
• Mechanismen für die Aufdeckung von Datenverletzungen und zur Reaktion auf diese zu erstellen.

Datenschutzrechtliche Besonderheiten, etwa Auftragsverarbeitung oder Profiling, sind an dieser Stelle besonders zu betrachten und ggf. neu aufzustellen.

Daneben ist in dieser Phase ein Einwilligungsmanagement aufzustellen, das sich zur Erfüllung der gestiegenen Anforderungen an die Einwilligung, insbesondere auch die Einwilligung Minderjähriger, eignet.

Schließlich ist noch die Planung der Fortschreibung der Dokumentation sowie die (Neu-)Organisation der innerbetrieblichen Zuständigkeiten und Aufsichtsmaßnahmen erforderlich.

Fazit

Der laxe Umgang mit dem Datenschutz, wie er heute noch häufig vorzufinden ist, wird zukünftig ein hohes Risiko darstellen. Die Einhaltung der datenschutzrechtlichen Vorschriften darf ab dem 25.05.2018 weniger als je zuvor dem Zufall überlassen werden, sondern bedarf einer sorgfältigen, und in den meisten Fällen aufwendigen, längerfristigen Planung und Vorbereitung. Für viele Unternehmen stellt dies eine erhebliche Herausforderung dar, die ohne zusätzliche personelle Kapazitäten oder externe Dienstleister neben dem normalen Geschäftsbetrieb kaum zu bewältigen ist.

Wir beraten Sie umfassend zur Umsetzung der Vorgaben der Datenschutzgrundverordnung und beseitigen die Schwachstellen und Einfallstore für Datenschutzverstöße in Ihrem Unternehmen. Setzen Sie sich gerne unverbindlich mit uns in Verbindung (Ansprechpartner RA Zimmermann)!