IT-Recht und Datenschutz

Fahrplan für Datenschutz-Grundverordnung, Privacy Shield und Brexit

Artikel drucken

09.01.2017 | Autor: Peter Huppertz LL.M.
Lesezeit: 13 Minuten

Was Unternehmen jetzt in Erwartung auf die zahlreichen Neuerungen tun müssen

 

Aus datenschutzrechtlicher Sicht kommen auf Unternehmen turbulente Zeiten zu. Wie wir bereits in unserer letzten Newsletter-Ausgabe berichtet haben, tritt im Mai 2018 die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft und bringt zahlreiche Änderungen mit sich. Ebenso haben wir vom jetzt geltenden EU-US Privacy Shield und den Auswirkungen berichtet, die der Brexit mit sich bringen wird.

 

In der Summe stellt dies jedes Unternehmen, das personenbezogene Daten verarbeitet, vor große Herausforderungen im Datenschutz. Dabei ist zu betonen, dass die absehbaren Rechtsentwicklungen nicht erst abgewartet werden können. Unternehmen sind gehalten, in Vorbereitung auf die bevorstehenden Änderungen bereits jetzt konkrete Maßnahmen zu treffen. Die hierzu erforderlichen Schritte möchten wir Ihnen in diesem Beitrag näher vorstellen.

 

I. Datenschutz-Grundverordnung

 

Wie in unserer letzten Newsletter-Ausgabe dargestellt, fordert die DSGVO vor allem erheblich erweiterte Dokumentations- und Nachweispflichten von den Unternehmen zum Datenschutz ein. Für bestimmte Datenverarbeitungsmaßnahmen muss im Übrigen eine zum Teil recht umfangreiche Datenschutz-Folgenabschätzung im Vorfeld durchgeführt werden. Nicht zuletzt aufgrund der stark erhöhten Bußgelder müssen Unternehmen deshalb überlegen, ob sie bei sich ein Datenschutz-Management-System einführen. Mit dem Inkrafttreten der DSGVO am 25. Mai 2018 müssen alle Vorgänge im Unternehmen auf die DSGVO angepasst sein.

 

Die Vorgänge müssen ab diesem Datum mit denen von der DSGVO aufgestellten Voraussetzungen in Einklang stehen. Zwangsläufig müssen also schon vorher alle Prozesse und Richtlinien im Unternehmen auf die DSGVO umgestellt werden. Wie eine solche Umstellung organisiert und durchgeführt werden kann, möchten wir Ihnen im Folgenden anhand eines 10-Punkteplans vorstellen.

 

1. Awareness schaffen

 

Zunächst sollten die unternehmensinternen Prozesse zum Risikomanagement und zur Datenschutz-Compliance betrachtet und ausgebaut werden. Für die Umsetzung der DSGVO empfiehlt es sich, ein gesondertes Projektteam aufzustellen, das zunächst eine Risikoanalyse durchführt und dann alle weiteren Einzelmaßnahmen steuert. In diesem Zusammenhang sollte auch eine erste Ressourcen- und Budgetplanung vorgenommen werden. Aus der Praxis ist bekannt, dass diverse Unternehmen bis zu EUR 50 Mio. für die konzernweite Umstellung auf die DSGVO eingeplant haben.

 

2. Daten-Bestandsaufnahme

 

Sind die Verantwortlichkeiten verteilt, sollte zunächst eine Bestandsaufnahme aller personenbezogenen Daten im Unternehmen erfolgen, die dort verarbeitet werden. Hier geht es in erster Linie darum, die Daten und Datenverarbeitungsvorgänge überhaupt zu identifizieren und bewerten zu können. Am Ende sollte hier als Grundlage für die weiteren Schritte eine Übersicht mit allen personenbezogenen Daten stehen, die vom Unternehmen selbst oder von Dritten im Auftrag verarbeitet werden.

 

3. GAP-Analyse

 

Es ist zu untersuchen, welche konkreten Anforderungen die DSGVO für die festgestellten Datenverarbeitungsvorgänge im Unternehmen vorsieht. Anhand dieser Anforderungen ist zu bestimmen, welche weiteren Schritte nötig sind, um Compliance mit der DSGVO herzustellen.

 

Der Ist-Zustand im Unternehmen ist mit dem Soll-Zustand nach der DSGVO – im Sinne einer GAP-Analyse – abzugleichen. Die Analyse sollte sich an den Risiken für die einzelnen festgestellten „GAPs“ orientieren. Es empfiehlt sich, vorab zu beurteilen, wie hoch das Risiko in einzelnen Bereichen ist. Dies bemisst sich anhand der Eintrittswahrscheinlichkeit und den möglichen Folgen.

 

4. Interne Überwachung einrichten

 

Es sollten interne Strukturen geschaffen werden, die die Einhaltung und Planung der datenschutzrechtlich erforderlichen Maßnahmen überwacht. Hierzu gehört in erster Linie die Ernennung eines Datenschutzbeauftragten, sofern dies noch nicht geschehen ist. Für die neuen, nach der DSGVO geltenden Anforderungen zur Bestellung eines Datenschutzbeauftragten hat die Art. 29-Datenschtuzgruppe hilfreiche Hinweise veröffentlicht, die wir am Ende des Artikels verlinkt haben.

 

In jedem Fall sollte der Datenschutzbeauftragte in die Planung der Umsetzung der DSGVO und die Einführung der dazu nötigen Maßnahmen frühzeitig eingebunden werden. Im Einzelfall empfehlen sich auch Datenschutztrainings für die Mitarbeiter, um diese auf die neuen Anforderungen zu schulen und zu sensibilisieren.

 

5. Verträge anpassen

 

Verträge mit Dienstleistern und Kunden sind daraufhin zu überprüfen, dass sie den Anforderungen der DSGVO gerecht werden. Ggf. sind diese Verträge entsprechend anzupassen. Dies gilt insbesondere auch für Verträge zur Auftragsdatenverarbeitung und für Betriebsvereinbarungen.

 

6. Grenzüberschreitende Datentransfers prüfen

 

Es ist geboten, Datenübermittlung in Drittstaaten noch einmal genau zu identifizieren. Es sollte überprüft werden, ob Datenübermittlungen in Drittstaaten außerhalb des EWR ohne angemessenes Datenschutzniveau den zukünftigen rechtlichen Anforderungen aus Artikel 44 ff. DSGVO entsprechen.

 

7. Dokumentationsprozesse einführen

 

Aufgrund der erheblich erweiterten Dokumentations- und Nachweispflichten nach der DSGVO empfiehlt es sich, Vorkehrungen zu treffen, die den Vorgang der Dokumentation verbindlich machen und standardisieren. Hierzu können entsprechende Richtlinien eingeführt werden oder bestimmte Tools genutzt werden, um die Prozesse zu optimieren.

 

Auf diese Weise kann ein organisatorischer Rahmen geschaffen werden, der gewährleistet, dass die Einhaltung der vorgeschriebenen Datenschutzgrundsätze positiv nachgewiesen werden können – so wie es von der DSGVO gefordert wird.

 

8. Betroffenenrechte wahren

 

Prozesse müssen vorbereitet werden, um die nach der DSGVO vorgesehenen Betroffenenrechte wahren zu können. Dazu gehören gesteigerte Informationspflichten bei der Datenerhebung, Auskunftsrechte einzelner Personen, das sog. „Recht auf Vergessenwerden“, Widerspruchsrechte der Betroffenen und deren Recht auf Berichtigung ihrer personenbezogenen Daten. Da sich die Pflichten hier grundlegend von denen des BDSG unterscheiden, ist damit ein entsprechender Aufwand verbunden.

 

9. Reaktionsmechanismen etablieren

 

Es ist ratsam, eine Richtlinie zur Umsetzung der Benachrichtigungspflichten bei Datenschutzverletzungen einzuführen. Diese sollte auch Maßnahmen zur Eingrenzung der Folgen einer Datenschutzverletzung berücksichtigen. In diesem Zusammenhang ist auch die ggf. erforderliche Benachrichtigung der Betroffenen zu regeln.

 

10. Implementierungsplan aufstellen

 

Die Implementierung der Maßnahmen, die zur Umsetzung der DSGVO nach der GAP-Analyse erforderlich sind, sollten vorausschauend geplant werden. Dies beinhaltet vor allem die Aufstellung eines konkreten Zeitplans zur Umsetzung der Maßnahmen. Für einzelne Prozesse sind auch noch Testphasen einzukalkulieren.

 

Im Einzelnen ist bei den Maßnahmen etwa noch an das neue Recht auf Datenübertragbarkeit, technische und organisatorische Schutzmaßnahmen sowie die nunmehr bald gesetzlich festgeschriebenen Standards „Privacy by Design“ und „Privacy by Default“ zu denken.

 

Punkteplan für die Umsetzung der DSGVO

 

  1. Awareness schaffen
  2. Daten-Bestandsaufnahme
  3. GAP-Analyse
  4. 4. Interne Überwachung einrichten
  5. Verträge anpassen
  6. Grenzüberschreitende Datentransfers prüfen
  7. Dokumentationsprozesse einführen
  8. Betroffenenrechte wahren
  9. Reaktionsmechanismen etablieren
  10. Implementierungsplan aufstellen

 

II. EU-US Privacy Shield

 

Mit Beschluss der US-Kommission vom 12. Juli 2016 ist das EU-US Privacy Shield in Kraft getreten und bietet als Nachfolge-Abkommen zu Safe Harbor aktuell eine weitere Rechtsgrundlage für Datenübermittlungen in die USA. Ab August 2016 war es für amerikanische Unternehmen möglich, sich unter dem EU-US Privacy Shield zu registrieren. Laut den Datenschutzbehörden reicht allein die Zertifizierung des amerikanischen Unternehmens aber nicht aus. Wie schon im Rahmen von Safe Harbor müssen deutsche Unternehmen vielmehr umfassende Prüfpflichten erfüllen, damit Daten zulässigerweise in die USA übertragen werden können.

 

Die Prüfpflichten für das EU-US Privacy Shield hat die Landesbeauftragte für Datenschutzschutz und Informationssicherheit Nordrhein-Westfalen nunmehr in einem Leitfaden vom 12. September 2016 konkretisiert. In diesem Leitfaden wird im Übrigen auch zu sonstigen Bedenken der Datenschutzbehörden hinsichtlich des neuen EU-US Privacy Shield umfassend Stellung bezogen.

 

Im Rahmen der Prüfpflichten muss sich die verantwortliche Stelle vergewissern, dass das empfangende Unternehmen in den USA eine gültige Zertifizierung besitzt und dass diese auch eingehalten wird. Dabei ist insbesondere zu klären, ob die zu übermittelnden Daten von der Zertifizierung abgedeckt sind. Des Weiteren wird empfohlen, sich einen Nachweis vom empfangenden Unternehmen in den USA einzuholen, wie es seinen Informationspflichten gegenüber den von der Datenverarbeitung Betroffenen nachkommt.

 

Beachtlich ist, dass inzwischen auch das EU-US Privacy Shield in seinem Bestand vor dem EuGH angegriffen wird. Zwei Anwaltsgruppen aus Irland und Frankreich haben entsprechende Verfahren in Gang gesetzt. Das EU-US Privacy Shield wird sich daher wie zuvor das Safe Harbor-Abkommen ebenfalls einer Wirksamkeitsprüfung unterziehen müssen. Dabei ist nicht gesichert, ob der EuGH das EU-US Privacy Shield aufrechterhalten wird. In der Literatur werden diesbezüglich erhebliche Zweifel vorgebracht. Unternehmen sind deshalb gut beraten, die Datenübermittlungen zu identifizieren, die sie derzeit auf das EU-US Prviacy Shield stützen oder stützen wollen. Idealerweise wird eine umfassende Analyse angestrengt, die Alternativen zum EU-US Privacy Shield in Betracht zieht, z.B. der Abschluss von EU-Standardvertragsklauseln.

 

Nur so kann man für den Fall, dass auch das EU-US Privacy Shield für unwirksam erklärt wird, seine Datenübermittlung in die USA ohne größeren Aufwand und Ausfälle fortführen.

 

Die Hinweise der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen zu den Datenübermittlungen in die USA (Fragen und Antworten zum EU-US Privacy Shield) sind im Internet unter folgenden Link abrufbar:

https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/InternationalerDatenverkehr/Inhalt/Eingangsseite/EU_US_Privacy_Shield_Text_komplett.pdf

 

III. Brexit

 

Eine weitere Quelle für vorausschauende Planung bietet der Brexit. Werden von ihrem Unternehmen personenbezogene Daten in das Vereinigte Königreich übertragen, stellen sich für die Zulässigkeit dieser Übertragung in Zukunft einige Fragen. Verschiedene Szenarien sind in diesem Kontext denkbar. Bleibt das Vereinigte Königreich Mitglied des EWR, ändert sich für EU-Unternehmen nichts.

 

Für Datenübermittlungen in EWR-Staaten gelten keine zusätzlichen datenschutzrechtlichen Anforderungen. Anders verhält es sich aber, wenn das Vereinigte Königreich nicht Teil des EWR wird. In diesem Fall müssen zusätzliche Anforderungen wie EU-Standardvertragsklauseln erfüllt werden, sofern die europäische Kommission das Vereinigte Königreich nicht als sicheren Drittstaat einstuft. Dieser Prozess wird abzuwarten zu sein.

 

Zwar wird sich der Prozess noch einige Zeit hinziehen und es ist zu erwarten, dass Übergangsregelungen geschaffen werden. Nichtsdestotrotz sollte auch im Bereich der Datenübermittlung an das Vereinigte Königreich eine umfassende Bestandsaufnahme erfolgen, um frühzeitig auf mögliche Zusatzanforderungen eingestellt zu sein.

 

Im Anschluss an die Bestandsaufnahme ist zu beurteilen, welche Maßnahmen und Überlegungen für den worst case ergriffen werden müssen, wenn das Vereinigte Königreich also nicht Teil des EWR wird und kein angemessenes Datenschutzniveau bescheinigt bekommt. Letzteres ist zwar eher unwahrscheinlich. Wenn entsprechende Ressourcen vorhanden sind, sollte dies aber einer entsprechenden Vorausplanung nicht entgegenstehen.

 

Ergänzende Hinweise der Artikel 29-Datenschutzgruppe zu den Themen „Data Portability“, Ernennung von Datenschutzbeauftragten und den nach der DSGVO zuständigen Behörden sind im Internet unter folgendem Link abrufbar:

http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

Partner
Peter Huppertz LL.M.

"Häufig empfohlen: Peter Huppertz (IP/IT)"


JUVE Handbuch Wirtschaftskanzleien 2016/2017 und 2017/2018

 

Diesen Blogartikel teilen: