§ 12 Datenschutzrecht

A. Datenschutzorganisation/Datenschutzmanagement

I. Typischer Sachverhalt

Rz. 1

Der Geschäftsführer eines Dienstleistungsunternehmens wünscht eine Beratung zur Frage, welche Maßnahmen und Vorkehrungen sein Unternehmen treffen muss, um den gesetzlichen Anforderungen der DSGVO zu genügen, und um möglicherweise drohende Bußgelder für sein Unternehmen zu vermeiden.

II. Rechtliche Grundlagen

1. Überblick

Rz. 2

Die EU-Datenschutz-Grundverordnung (DSGVO) enthält die unmittelbar anwendbaren Bestimmungen zum Datenschutz und setzt Art. 8 EU-Grundrechtecharta um. Danach hat jedermann Anspruch auf Schutz seiner personenbezogenen Daten. Diese Daten dürfen nur für im Vorfeld festgelegte Zwecke und auf Grundlage einer Einwilligung des Betroffenen oder einer sonstigen gesetzlichen Rechtsgrundlage verarbeitet werden. Damit zeigt Art. 8 EU-Grundrechtecharta bereits die wesentlichen Anforderungen auf, die von der DSGVO weiter präzisiert werden. Zu den grundlegenden Anforderungen zählen: Jede Datenverarbeitung ist verboten, es sei denn, es liegt eine gesetzliche Rechtsgrundlage für diese Datenverarbeitung einschließlich der Einwilligung des Betroffenen vor. Personenbezogene Daten dürfen nur für die Zwecke verwendet werden, die dem Betroffenen auch im Rahmen der Erhebung benannt worden sind. Eine Zweckänderung ist nur in engen Grenzen zulässig.

2. Maßnahmen des Datenschutzmanagements

Rz. 3

Der Verantwortliche hat hierbei folgende Grundsätze zu beachten und entsprechend den Prozessen der Datenverarbeitung des Unternehmens die folgenden Maßnahmen zu ergreifen, wobei die Aufstellung nicht als abschließend zu betrachten ist:

a) Rechenschaftspflicht

Rz. 4

Die DSGVO führt mit Art. 5 Abs. 2, Art. 24 DSGVO die sog. Rechenschaftspflicht ein. Danach muss ein Unternehmen im erforderlichen Umfang interne technische und organisatorische Maßnahmen treffen, um gegenüber der Aufsichtsbehörde die Einhaltung der DSGVO nachweisen zu können. Der Umfang der zu treffenden Maßnahmen seitens des Verantwortlichen hängt davon ab, in welchem Umfang eine Datenverarbeitung vorliegt und welche Risiken mit der Datenverarbeitung für die Rechte und Freiheiten der Betroffenen verbunden sind. Der Umfang der nach der DSGVO zu treffenden Maßnahmen steht nicht von vornherein fest, sondern muss individuell für das Unternehmen festgelegt, erforderlichenfalls geprüft und aktualisiert sowie fortlaufend dokumentiert werden.^[1]

Rz. 5

In der Praxis werden die entsprechenden Maßnahmen des Datenschutzmanagements im ersten Schritt im Rahmen einer Datenschutzrichtlinie (bzw. Privacy Policy) umgesetzt.^[2] Die Datenschutzrichtlinie erzeugt eine Selbstbindung des Unternehmens, gibt betriebsintern die verbindlichen Datenschutzstandard vor und soll insbesondere die Führungskräfte des Unternehmens verpflichten, auf die Einhaltung der DSGVO-Anforderungen in ihrem Verantwortungsbereich zu achten.^[3]

[1] Vgl. Simitis/Hornung/Spiecker/Roßnagel, Art. 5 Rn 181.

[2] Vgl. Simitis/Hornung/Spiecker/Petri, Art. 24 Rn 22.

[3] Vgl. Simitis/Hornung/Spiecker/Petri, Art. 24 Rn 22.

b) Verarbeitungsverzeichnis

Rz. 6

Zusätzlich ist nach Art. 30 DSGVO eine Dokumentation sämtlicher Datenverarbeitungsprozesse im Unternehmen erforderlich. Neben den allgemeinen Angaben zum Verantwortlichen muss das Unternehmen aufzeigen, welche Datenverarbeitungsprozesse bestehen. Im Rahmen der internen Dokumentation muss angegeben werden, welche Daten für welche Zwecke verarbeitet und an wen sie weitergegeben werden. Es sind sowohl interne Stellen als auch Stellen außerhalb des Verantwortlichen zu benennen. Zudem sind die Löschregeln für die verwendeten Daten vorzugeben. Diese Übersicht stellt eine Basisdokumentation der Datenverarbeitungstätigkeiten im Unternehmen dar und ermöglicht dem Verantwortlichen und ggf. dem Datenschutzbeauftragten eine Erstbewertung.^[4]

Rz. 7

Die Schwierigkeit in der Praxis besteht regelmäßig darin, die einzelnen Verarbeitungsprozesse strukturiert aufzubereiten und voneinander abzugrenzen. Erfolgt diese Abgrenzung zu granular und wird ein zusammenhängender Datenverarbeitungsprozess in zu viele Einzelschritte unterteilt, ermöglicht das Verarbeitungsverzeichnis nicht mehr den erforderlichen komprimierten Überblick zu den Datenverarbeitungsverfahren im Unternehmen. Erfolgt dagegen die Einordnung von Verfahren zu undifferenziert, können die mit der Datenverarbeitung für die Betroffenen verbundenen Risiken nicht mehr konkret bewertet werden.

Rz. 8

Zusätzlich zur Dokumentation der Verfahren muss eine erste Risikobewertung des Verfahrens erfolgen.^[5] Das Unternehmen muss festlegen, welcher potenzielle Schaden für die Rechte und Freiheiten der Betroffenen aufgrund der unternehmensinternen Datenverarbeitung eintreten kann und wie hoch die Eintrittswahrscheinlichkeit ist.^[6]

[4] Vgl. Kühling/Buchner/Hartung, Art. 30 DSGVO Rn 12; Kühling/Buchner/Bergt, Art. 39 DSGVO Rn 13.

[5] Vgl. Kühling/Buchner/Petri, Art. 24 DSGVO Rn 11.

[6] Vgl. Kühling/Buchner/Hartung, Art. 24 DSGVO Rn 13 ff.; Sydow/Raschauer, Art. 24 Rn 18.

c) Weisungsgebundenheit und Verpflichtung zur Vertraulichkeit

Rz. 9

Alle Mitarbeiter im Unternehmen dürfen personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten (vgl. Art. 29 DSGVO). Das Unternehmen muss entsprechende Schritte ergreifen, um s...