Betriebe sind verpflichtet, alle Verarbeitungsprozesse in einem sogenannten „Verzeichnis der Verarbeitungstätigkeiten“ im Unternehmen zu dokumentieren. Über dieses Verzeichnis wird eine Übersicht über alle im Betrieb datenschutzrelevanten Vorgänge erlangt. Die Dokumentation erfolgt in Form einer Risikobewertung im ersten Schritt und dem darauffolgenden Verarbeitungsverzeichnis.
Dokumentationspflichten zur Risikominimierung beachten
Innerhalb der Risikobewertung wird eingeschätzt, ob die zu bewertende Datenverarbeitung ein eher hohes oder eher geringes Risiko für den Betroffenen birgt. Ein hohes Risiko liegt immer vor, wenn sehr viele Personen von der Verarbeitung der Daten betroffen sind, wie zum Beispiel bei einer Videoüberwachung oder wenn besonders schutzwürdige Daten betroffen sind. Besonders schutzwürdig sind zum Beispiel Gesundheitsdaten, religiöse Zugehörigkeiten oder Weltanschauungen und auch sexuelle Orientierungen sowie die ethnische Herkunft einer natürlichen Person.
Liegt nach der Risikobewertung ein hohes Risiko vor, ist eine sogenannte Datenschutz-Folgeabschätzung vorzunehmen. Hierfür sieht Art. 35 DSGVO folgende Prüfungspunkte vor:
- Beschreibung der geplanten Verarbeitungsvorgänge
- Beschreibung der Zwecke der Verarbeitung
- Bewertung der Risiken für die Personen, deren Daten verarbeitet werden
- Beschreibung der Maßnahmen, die zur Bewältigung der Risiken vorgesehen sind.
Im zweiten Schritt ist das Verarbeitungsverzeichnis – auch für die mit geringem Risiko eingeschätzten Verarbeitungsvorgänge – zu erstellen. Darin sind Name und Kontaktdaten der Organisation einschließlich der Namen der Vertreter zu benennen, der Datenschutzbeauftragte, der Zweck der Verarbeitung, die Kategorie der betroffenen Person, möglicherweise die Kategorie von Empfängern – soweit die Daten weitergeleitet wurden – Fristen für die Löschung sowie die technischen und organisatorischen Maßnahmen zur Datensicherheit.
Der Handwerksbetrieb sollte daher für die vier wichtigsten Standardfälle der Datenerhebung und -verarbeitung in Handwerksbetrieben folgende Verarbeitungsverzeichnisse anfertigen:
- Kundendatenverwendung zum Zwecke der Vertragserfüllung
- Kundendatenverwendung zum Zwecke der Direktwerbung
- Mitarbeiterdatenverwendung zum Zwecke der Lohnabrechnung
- Mitarbeiterdatenverwendung zum Zwecke der Personalführung.
Muster für diese vier typischen Fälle, für die ein Verarbeitungsverzeichnis in Handwerksbetrieben erstellen werden sollte, finden Sie unter folgendem Link des ZDH (Zentralverband des Deutschen Handwerks):
https://www.zdh.de/ueber-uns/fachbereich-organisation-und-recht/datenschutz/
Datenschutzbeauftragter erst ab zehn Beschäftigten
Wie bisher gilt auch weiterhin, dass nur bei einer Betriebsgröße von mindestens zehn Beschäftigten (aber gezählt nach Köpfen, mithin zählen auch Teilzeitkräfte und Aushilfen mit), die ständig mit der automatisierten Verarbeitung von Daten beschäftigt sind, ein betrieblicher Datenschutzbeauftragter zu bestellen ist. Unter diese automatisierte Verarbeitung fällt zwar auch die Verwendung von Kundendaten auf einem Tablet oder Smartphone. Zu beachten ist hierbei nach der zutreffenden ZDH-Auffassung jedoch, dass der Geselle, der lediglich auf seinem Smartphone oder Tablet die Adressdaten oder Telefonnummern erhält, die Voraussetzung der „ständigen Datenverarbeitung“, nicht erfüllt, da es sich bei diesem „Auslesevorgang“ nicht um einen Kernbereich seiner Tätigkeit handelt, sondern die Erbringung der handwerklichen Leistung im Vordergrund steht und nicht die Datenverarbeitung selbst.
Hierbei besteht Kontinuität mit den Rechtsauffassungen zahlreicher Datenschutzbehörden der Bundesländer. Sie sehen auch Ärzte, die Patienten in einer Hausarztpraxis betreuen, bei Untersuchungen Befundergebnisse über einen PC oder ein Tablet einsehen und Behandlungen nach einer Untersuchung im PC dokumentieren und abspeichern, nicht mit einer „ständigen“ Datenverarbeitung betraut, weil das Gespräch und die Untersuchung am Patienten erkennbar im Vordergrund stehen.
Qualifikation und Stellung des Datenschutzbeauftragten
Betrieblicher Datenschutzbeauftragter kann ein Mitarbeiter aus dem Betrieb oder ein externer Dienstleister sein, wenn er auf dem Gebiet des Datenschutzes qualifiziert ist und über IT-Fachwissen verfügt. Auch darf der betriebliche Datenschutzbeauftragte bei seiner Tätigkeit nicht in einen Interessenkonflikt geraten und muss unabhängig sein.
Aus diesem Grund darf er im Unternehmen nicht für die Datenverarbeitung selbst verantwortlich sein. Mitglieder der Geschäftsführung, der Leiter der IT-Abteilung und der Leiter der Personalabteilung dürfen ebenfalls nicht gleichzeitig als Datenschutzbeauftragte bestellt werden. Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen – zum Beispiel auf der Homepage des Betriebes – und darüber hinaus der Landesdatenschutzbehörde zu melden.
Für die Veröffentlichung der Kontaktdaten des betrieblichen Datenschutzbeauftragten gelten folgende Besonderheiten: Es reicht aus, eine allgemeine Kontakt-E-Mail-Adresse einzurichten, wie zum Beispiel „Datenschutzbeauftragter@Muster-Betrieb.de“. Dies hat den Vorteil, dass bei der Bestellung eines neuen Datenschutzbeauftragten die Kontaktdaten nicht geändert werden müssen. Hintergrund ist, dass der natürliche Name des Datenschutzbeauftragten nicht unbedingt veröffentlicht werden muss, wenn man dies nicht wünscht. Freiwillig kann dies jedoch selbstverständlich – wegen der höheren Transparenz – vorgenommen werden.
Aufgabe und Schutz des Datenschutzbeauftragten
Zu den zentralen Aufgaben des betrieblichen Datenschutzbeauftragten gehört die Unterrichtung und Beratung, sowohl der Geschäftsführung als auch der Mitarbeiter, in allen Fragen des Datenschutzes, auch die fortlaufende Überwachung, ob die Datenschutzbestimmungen eingehalten werden, sowie die Sensibilisierung der Mitarbeiter zu diesem Themenkreis. Er berät und überwacht die Durchführung der Datenschutzfolgeabschätzung. Weiterhin arbeitet er mit der Landesdatenschutzbehörde zusammen und ist Ansprechpartner für Betroffene hinsichtlich der Erhebung und Verarbeitung ihrer Daten.
Bei einem internen betrieblichen Datenschutzbeauftragten ist zudem zu beachten, dass dieser nach der DSGVO besonderen Kündigungsschutz genießt, weil er mit der vorgenannten Interessenswahrnehmung durch Gesetz beauftragt ist. Hiernach darf das Arbeitsverhältnis während der Tätigkeit als Datenschutzbeauftragter und für ein Jahr danach nicht gekündigt werden.
Datenschutzhinweise auf Homepages von Betrieben
Im Zuge der EU-weit geltenden gesetzlichen Neuerung seit 25. Mai 2018 müssen auch die Datenschutzerklärungen auf den gewerblichen Homepages der Unternehmen überarbeitet und an die Neuerungen angepasst werden. Hierfür kann leider kein allgemeines Muster an die Hand gegeben werden, da der Umfang der Datenschutzerklärungen sich danach richtet, wie die Homepage technisch eingerichtet ist. Enthält diese lediglich Informationen über den Betrieb, sind die Anforderungen an die Datenschutzerklärung deutlich geringer, als wenn im Vergleich dazu auch Tracking- und Analyse-Tools hinterlegt sind.
Es ist also jeweils im Einzelfall zu prüfen, welche konkreten Datenverarbeitungsprozesse mit dem Besuch der eigenen Homepage verbunden sind. Bei Erhebung und Speicherung personenbezogener Daten, so zum Beispiel bei der Anmeldung für einen Newsletter oder bei der Verwendung eines Kontaktformulars, muss überdies über die Art und den Zweck der Verwendung der personenbezogenen Daten informiert werden.
Bei der Verwendung von Cookies, Tracking- und Analyse-Tools (zum Beispiel Google Analytics, Piwik oder Matomo), Social-Media-Plug-ins (zum Beispiel Facebook, Like-Button von Facebook, YouTube, Instagram, Twitter) etc. oder der Einbindung von Veranschaulichungsprogrammen (zum Beispiel Google Maps) müssen weitere Informationen auf der Homepage im Rahmen der Datenschutzerklärung hinterlegt werden.
Sinnvoll ist in allen vorgenannten Fällen die Abstimmung mit dem Betreuer der Homepage, der die jeweiligen technischen Zusammenhänge der individuellen Funktionsweise einer Homepage „aus erster Hand“ sehr gut erklären und darlegen kann.
Eine vollständige und fehlerfreie Datenschutzerklärung auf Homepages von Firmen ist seit 25. Mai 2018 besonders wichtig. Nach der Leitentscheidung des OLG Hamburg vom 27. Juni 2013 und des OLG Köln vom 3. Juni 2016 waren jedenfalls schon die Kernbestandteile des „alten“ Datenschutzrechtes abmahnfähig nach UWG. Das Landgericht Würzburg hat im Beschluss vom 13.09.2018 (AZ: 11 0 1741/18) die Abmahnfähigkeit von fehlenden bzw. unvollständigen Datenschutzhinweisen auf Homepages gewerblicher Unternehmer nach der DSGVO bejaht. Abmahnrisiken haben sich deutlich erhöht.
Maßnahmen zur IT-Sicherheit realisieren
Die DSGVO verlangt weiterhin auch, dass die EDV-Anlagen von Betrieben einen hohen Schutz an Sicherheit bieten. Für den Schutz personenbezogener Daten ist es wichtig, dass es in der betriebseigenen IT keine Sicherheitslücken gibt. Hierzu muss der Betrieb dauerhaft „technische und organisatorische Maßnahmen“ ergreifen und diese auch dokumentieren. Beispielhaft zu nennen sind hier Passwörter für Benutzer, die Zuordnung von Benutzerrechten, die Verschlüsselung von Daten, Back-ups, die Einrichtung von Firewalls, Virenschutzsysteme, SSL-Verschlüsselung einer Firmenhomepage, eine SSL- oder vergleichbar gesicherte Übersendung von E-Mails durch den Kommunikationsanbieter etc. Einen Überblick über denkbare technische und organisatorische Sicherungsmaßnahmen finden Sie ebenfalls unter dem bereits mehrfach erwähnten Link des ZDH. Die Realisierung dieser IT-Sicherheitsmaßnahmen sind besonders wichtig, weil im Juli 2018 Abmahnugnen einer Berliner Anwaltskanzlei vorgenommen wurden, weil Homepages gewerblicher Unternehmer keine SSL-Verschlüsselung aufwiesen, die als Grundstandard einer IT-Sicherheit anzusehen sind. Rechtshängig wurden diese Abmahnungen zwar nicht. Das Risiko hat sich manifestiert.
Und wenn etwas schiefgeht?Vorgehen bei Datenpannen
Datenpannen sind Vorfälle, bei denen personenbezogene Daten vermutlich oder erwiesenermaßen Unberechtigten bekannt geworden sind. Konkrete Beispiele für Datenpannen sind:
- bewusste oder unbewusste unbefugte Verarbeitung von Daten (z. B. Datenabfluss)
- unbefugte Aktivitäten zur Umgehung von Sicherheitsvorkehrungen bei Datenverarbeitungen
- Angriffe auf die IT-Infrastruktur eines Unternehmens.
Die Daten können dabei im Original abhandenkommen (zum Beispiel sind Datenträger oder Akten verloren, gestohlen oder falsch entsorgt worden) oder in Form einer Kopie (zum Beispiel durch Eindringen in einen Server oder Fehlversendungen per Post oder E-Mail).
Art. 33 Abs. 5 DSGVO verlangt, dass alle Datenpannen, die sich in einem Unternehmen ereignen, dokumentiert werden müssen. Sofern nicht ausgeschlossen werden kann, dass ein Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen besteht, muss zusätzlich auch noch der Landesdatenschutzbeauftragte binnen einer Frist von 72 Stunden informiert werden.
Die Schwelle, wann ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, ist relativ niedrig. Hierfür reicht es aus, wenn die Datenpanne zu einem physischen, materiellen oder immateriellen Schaden führen kann. Konkret zu nennen ist hier die Gefahr finanziellen Verlustes, Rufschädigung, Diskriminierung oder Identitätsdiebstahl. Unstreitig ist die Datenpanne zu melden, wenn sensitive Daten betroffen sind, wie ethnische Herkunft, Zugehörigkeit zu einer Gewerkschaft, Gesundheitsdaten oder strafrechtliche Verurteilungen. Auch zu melden ist, wenn die Daten die Bewertung persönlicher Aspekte beinhalten, zum Beispiel die Analyse und Prognose der Arbeitsleistung oder wirtschaftlichen Lage eines Betroffenen oder, abschließend, eine große Datenmenge und eine Vielzahl von Personen betroffen sind.
Dem Landesdatenschutzbeauftragten sind im Rahmen einer solchen Meldung nach Art. 33 Abs. 2 DSGVO die nachfolgend aufgezählten Punkte mitzuteilen:
- Sachverhaltsschilderung mit Angabe, welche Daten betroffen sind und wie hoch die Anzahl der betroffenen Personen ist
- Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Kontaktperson
- eine Einschätzung der anzunehmenden Folgen der Datenpanne
- eine Beschreibung der ergriffenen Maßnahmen zur Behebung oder Abmilderung der durch die Datenpanne möglichen nachteiligen Auswirkungen.
Zusätzlich sind auch die Betroffenen zu informieren, wenn voraussichtlich ein hohes Risiko für die Gefährdung der vorgenannten Rechtsgüter der Betroffenen besteht.
Mitarbeitersensibilisierung zur Vorbeugung vor Datenpannen
Um die Dokumentation ordnungsgemäß zu erfüllen und gegebenenfalls auch die Daten-schutzbehörde oder die Betroffenen informieren zu können, sollte auch in Betrieben, die nicht verpflichtet sind, einen betrieblichen Datenschutzbeauftragten zu bestellen, mindestens ein Mitarbeiter ausdrücklich damit betraut sein, Datenschutzvorfälle zu erfassen, zu bewerten und zu analysieren. Ferner sollte dieser Mitarbeiter auch konkrete Abwehrmaßnahmen entwickeln und Verbesserungsvorschläge unterbreiten.
Auch alle sonstigen Mitarbeiter sollten über die Einhaltung der Grundsätze des Datenschutzes informiert und dafür sensibilisiert werden. Eine Verpflichtung der Mitarbeiter, wie sie bisher das Bundesdatenschutzgesetz vorgesehen hat, ist nunmehr zwar nicht mehr ausdrücklich erforderlich. Dennoch empfiehlt es sich, eine schriftliche Verpflichtung zur Bewahrung des Datengeheimnisses und zur Verschwiegenheit bezüglich personenbezogener Daten durchzuführen, um bei einer Prüfung durch die Datenschutzbehörde oder bei einer Beschwerde eines Mitarbeiters dokumentieren zu können, dass die Mitarbeiter, die Einsichtnahme in Datenbestände des Betriebes haben, über die strenge Reglementierung informiert wurden. So kann im Falle einer Datenpanne gegenüber der Datenschutzbehörde nachgewiesen werden, dass die Mitarbeiter zuvor angehalten und informiert waren, entsprechend den Vorgaben der DSGVO mit den Daten im Unternehmen umzugehen.
Dokumentationen zur Entlastung bei Datenpannen
Die bisher bekannten Grundsätze zum Schutz personenbezogener Daten bleiben datenschutzrechtlich weiterhin relevant und sind auch vor dem Hintergrund hoher Bußgelder bei einem Verstoß für jeden Betrieb von erheblicher Bedeutung. Dies gilt insbesondere, da den Betrieb die Nachweispflicht insoweit trifft, dass er alle erforderlichen Maßnahmen getroffen hat, um die personenbezogenen Daten zu schützen. Wir raten an dieser Stelle dringend an, insbesondere die Dokumentationspflichten zu erfüllen.
Für den Fall einer Datenpanne und eines Einschreitens durch die Datenschutzbehörde ist es von erheblichem Vorteil, wenn Betriebe den hier dargestellten Maßnahmen und insbesondere ihrer Verpflichtung zur Erstellung der Verarbeitungsverzeichnisse und Verträge mit Auftragsverarbeitern nachgekommen sind. Die dazu in einem Ordner gesammelten Belege können sie dann der Datenschutzbehörde zur Einsicht vorlegen.
TIPP
Mustervorlagen
Muster für Verarbeitungsverzeichnisse, für Datenschutzhinnweise auf Homepages sowie für eine Auftragsverarbeitungsvereinbarung bietet der Zentralverband des Deutschen Handwerks (ZDH) unter dem Link:
https://www.zdh.de/ueber-uns/fachbereich-organisation-und-recht/datenschutz/
Detailinformationen zu ausführlicheren Auftragsverarbeitungsvereinbarungen, insbesondere für besonders schützenswerte Daten (zum Beispiel Gesundheitsdaten und Religionszugehörigkeit) stellt auch der IT-Branchenverband Bitcom bereit:
https://www.bitkom.org/Bitkom/Publikationen/Mustervertragsanlage.html
https://www.bitkom.org/Themen/Datenschutz-Sicherheit/Datenschutz/Inhaltsseite-2.html
Autor
Assessor Matthias Bergmann ist Referent des Fachverbandes Sanitär Heizung Klima Baden-Württemberg in Stuttgart. (07 11) 48 30 91 info@fvshkbw.de