Zunehmende Sanktionen und steigende DSGVO-Bußgelder in Deutschland

Die gewährte Schonzeit nach (!) Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) scheint vorbei zu sein. Die deutschen Aufsichtsbehörden sanktionieren Datenschutzverstöße immer häufiger und verhängen höhere Bußgelder nach DSGVO.

Aktuelle Bußgeldverfahren

Ende 2018 berichteten wir über das erste in Deutschland verhängte Bußgeld nach DSGVO. Während diese Sanktion noch eine größere Pressemitteilung durch die Aufsichtsbehörde wert war, scheint nun der Alltag eingetreten zu sein. Ohne großen Rummel sind mittlerweile deutschlandweit zahlreiche Bußgelder für Verstöße gegen die DSGVO und/oder das Bundesdatenschutzgesetz (BDSG) verhängt worden. Viele entsprechende Verfahren laufen noch. Wie einem Bericht des Handelsblatts zu entnehmen ist, sind Kontrollen und Sanktionen durch Datenschutz-Aufsichtsbehörden nun (wieder) gängig. Die Zeit der ersten Zurückhaltung ist damit offenbar vorbei. Allein in Bayern laufen aktuell deutlich über 80 Bußgeldverfahren. Der Großteil wird durch Beschwerden Betroffener ausgelöst, so gingen z. B. in Thüringen offenbar bereits 22.000 Eingaben ein.

Auch die Bußgeldhöhe steigt. Nachdem das erste Bußgeld mit 20.000 Euro überraschend mild ausfiel, werden nun auch Größenordnungen von 80.000 Euro erreicht. Die bekannten Zahlen deuten aber immer noch auf eine gewisse Zurückhaltung der Aufsichtsbehörden hin, den möglichen Rahmen an Bußgeldern wirklich auszureizen.

Was Unternehmen tun sollten

Das Risiko infolge rechtswidriger Datenverarbeitung oder mangelhafter Datensicherheit empfindlich herangezogen zu werden, ist damit wie erwartet deutlich gestiegen. Unternehmen sind gut beraten, sich durch professionellen Rat im rechtlichen und technischen Bereich abzusichern und die entsprechende Mehrfachkompetenz des gewählten Beraters ggf. zu hinterfragen. Die zu stellenden Anforderungen an die juristischen und technisch-praktischen Kenntnisse sind hoch.

Dabei gilt es immer zu bedenken: Die Verantwortung für die korrekte Umsetzung des Datenschutzes liegt ausschließlich beim Unternehmen. Es muss im Zweifel bewiesen werden, dass der Datenschutz korrekt beachtet wurde. Mangelhafte Beratung ist kein Entschuldigungsgrund!

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Erstes DSGVO-Bußgeld in Deutschland verhängt

Wie der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg mitteilte, wurde am 21. November 2018 das erste Mal in Deutschland ein Bußgeld nach den Regelungen der Datenschutz-Grundverordnung (DSGVO) verhängt. Der Fall ist gleich in mehrfacher Hinsicht interessant.

Der DSGVO-Verstoß und das Bußgeld

Auslöser für das Bußgeld war offenbar, dass das betroffene Unternehmen seiner Pflicht nachkam, eine Datenschutzpanne an die Aufsichtsbehörde zu melden. Das Unternehmen teilte Anfang September der baden-württembergischen Aufsichtsbehörde mit, dass es einen erfolgreichen Hackerangriff gegeben hatte und Nutzerdaten abgezogen wurden, unter denen sich auch die Passwörter der Nutzer im Klartext befanden.

Der Fall verdeutlicht, dass es sich bei der Meldepflicht nach Art. 33 DSGVO nicht nur um eine lästige Formalität handelt sondern um einen Vorgang, der durchaus wirtschaftlich relevante Konsequenzen haben kann.

Allerdings fiel das Bußgeld überraschend günstig aus. Im Vergleich zu den in diesem Fall möglichen Beträgen (der Bußgeldrahmen bis zu 20 Millionen Euro wäre eröffnet gewesen), wirken die verhängten 20.000 Euro doch etwas seltsam. Dementsprechend ausführlich fällt auch die Begründung durch den Landesbeauftragten aus. Entscheidend für die bemerkenswerte Milde waren folgende Punkte:

  1. Das Unternehmen hat sich in jeder Hinsicht bestmöglich und nach Kräften um transparente Aufklärung und Kooperation mit der Behörde bemüht.
  2. Es wurden nach dem Zwischenfall große Anstrengungen zur Verbesserung der IT-Sicherheit unternommen, die das Niveau auch deutlich erhöhten.
  3. Diese Anstrengungen haben für das Unternehmen zusätzlich Kosten in beträchtlicher Höhe verursacht und die Strafe damit „indirekt“ erhöht.

Konsequenzen aus dem Bußgeldverfahren

Die transparente Bußgeldbegründung der Datenschutzaufsichtsbehörde ermöglicht es anderen Unternehmen, viel über die zukünftige Ahndung von Verstößen gegen die DSGVO in Deutschland zu lernen:

  • Die Speicherung von Passwörtern im Klartext ist ein klarer Datenschutzverstoß. Das ist aber nicht wirklich neu.
  • Die Aufsichtsbehörden reagieren auf Datenschutzverstöße und verhängen wie vorgesehen Bußgelder (siehe unser Grundlagenartikel zu Bußgeldern unter der DSGVO).
  • Zumindest in diesem Fall war die Behörde bereit, die Bemühungen des Unternehmens sehr deutlich zu berücksichtigen.

Kann man sich nun darauf verlassen, dass Bußgelder gering ausfallen, wenn man nur artig meldet und dann mitwirkt? Wohl kaum.

  • Bußgelder sollen laut Art. 83 DSGVO abschreckend und verhältnismäßig sein. Über die Verhältnismäßigkeit mag man hier diskutieren können. Von einer Abschreckung kann aber bei dieser niedrigen Bußgeldhöhe kaum gesprochen werden.
  • Außerdem sollen eigentlich die wirtschaftlichen Vorteile, die ein Unternehmen aus dem Datenschutzverstoß zog, durch das Bußgeld mindestens abgezogen werden. Hier wurde dem Unternehmen nun „strafmildernd“ angerechnet, die – zweifellos – hohen Investitionen jetzt nachgeholt zu haben, die ohnehin nötig gewesen wären. Für das betroffene Unternehmen ist das ein sehr angenehmes Ergebnis: Die eigentlich von vornherein geforderte Investition wurde mit behördlichem Segen gestundet, bis sie nicht mehr zu vermeiden war und ihre Höhe verringerte dann auch noch das Bußgeld. Aus Unternehmenssicht könnte sich dieses Vorgehen damit sogar gelohnt haben. Das unterstützt die Zielrichtung der mit der DSGVO beabsichtigten Rechtsänderung sicher nicht und es dürfte zweifelhaft sein, ob andere Fälle ähnlich glimpflich ausgehen.
  • Auch dem allgemeinen Gebot, das EU-Recht im nationalen Bereich durch taugliche Maßnahmen angemessen durchzusetzen, dürfte nicht zweifelsfrei nachgekommen sein. Die klar gewünschte Erhöhung der Bußgelder erfolgt soweit nicht, sondern bewegt sich vielmehr in dem bisher üblichen Bereich. Ob ein solches Vorgehen von der EU langfristig toleriert werden wird, ist sehr fraglich.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Das Standard-Datenschutzmodell

Das Standard-Datenschutzmodell (SDM) liegt mittlerweile in Version 1.1 vor, die auf die europäische Datenschutz-Grundverordnung (DSGVO) angepasst wurde. Das SDM soll Unternehmen bei der konkreten Umsetzung der Datenschutzvorschriften helfen. Als Orientierungshilfe bietet es standardisierte Empfehlungen der Aufsichtsbehörden sowie eine vordefinierte Umsetzungssystematik. Für Unternehmen lohnt es sich also, sich mit dem „Konzept zur Datenschutzberatung und -prüfung auf Basis einheitlicher Gewährleistungsziele“ auseinandersetzen.

Für wen gilt das Standard-Datenschutzmodell?

Das SDM stellt lediglich ein Konzept dar und beansprucht damit keine absolute Verbindlichkeit, wie beispielsweise ein Gesetz oder eine Verordnung.

Allerdings entspringt das Modell der Feder der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (Datenschutzkonferenz, DSK). Zumindest aufgrund der Autorschaft muss man also davon ausgehen, dass das Modell gewisse Grunderwartungen der Aufsichtsbehörden enthält.

Welchen Zweck verfolgt das Standard-Datenschutzmodell?

Ein großes Problem bei der praktischen Umsetzung des Datenschutzes und besonders beim Aufbau eines Datenschutzmanagementsystems sind die Vielfältigkeit und Komplexität der Regelungen und Anforderungen, die an die Verarbeitung personenbezogener Daten gestellt werden, seien sie rechtlicher, technischer oder organisatorischer Art. Zudem sind die datenschutzrechtlichen Vorgaben im Regelfall recht allgemein gehalten und bedürfen einer manchmal intensiven Auslegung.

Das Standard-Datenschutzmodell knüpft hier an: Es versucht die relevanten Anforderungen und Maßnahmen zu systematisieren, mit deren Hilfe Unternehmen ihre Verfahren und Prozesse auf Rechtskonformität trimmen können.

Welche Methodik liegt dem Standard-Datenschutzmodell zugrunde?

Wenn man sich die Inhalte des Standard-Datenschutzmodells genauer ansieht, wird man gewisse Parallelen zu der Methodik des IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) feststellen. So werden im Rahmen des SDM zunächst alle datenschutzrechtlichen Anforderungen in sogenannte Gewährleistungsziele überführt, deren Einhaltung bei der Durchführung der verwendeten Verfahren zu beachten ist (im Einzelnen siehe unten).

Unternehmen wird durch diesen Katalog von Gewährleistungszielen ein zumindest teilweise vorgefertigtes Gesamtpaket an die Hand gegeben, so dass eine eigene Anforderungsrecherche entfallen kann.

Des Weiteren werden Verarbeitungen in ihre einzelnen Komponenten zerteilt, namentlich in Daten, IT-Systeme und Prozesse. Mittels dieser einheitlichen Strukturierung soll eine gewisse Klarheit über den Ablauf der Datenverarbeitung erreicht werden. Denn erst wenn die Prozesse der Datenverarbeitung geklärt sind, kann eine weitere Beurteilung stattfinden.

Zudem definiert das Standard-Datenschutzmodell abgestufte Schutzbedarfskategorien, mittels derer die einzelnen Verarbeitungsstufen kategorisiert und bewertet werden können. Auf diesem Wege soll Wichtiges von Unwichtigem getrennt und so ein angemessenes Level an zu treffenden Schutzmaßnahmen für jede einzelne Verarbeitung festgelegt werden.

Die 7 wichtigsten Gewährleistungsziele im Standard-Datenschutzmodell

Der Begriff der Gewährleistungsziele wurde gewählt, um eine klare Abgrenzung zu dem Begriff der „Schutzziele“ in der IT-Sicherheit herzustellen. Insbesondere soll so eine datenschutzrechtliche Terminologie aufgebaut werden.

Jedes zu erreichende Gewährleistungsziel soll durch Umsetzung geeigneter Maßnahmen erreicht werden. Die Vorschläge zur Umsetzung werden im Standard Datenschutzmodell „generische Maßnahmen“ genannt.

Das nach dem Standard-Datenschutzmodell grundlegendste Gewährleistungsziel ist die Datenminimierung. Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten hat sich grundsätzlich auf das unvermeidliche / erforderliche Maß zu beschränkten. Dies bezieht sich auf die vollständige Verarbeitungskette; von der Erhebung der Daten bis hin zu deren Löschung sollten alle Prozesse so ausgerichtet sein, dass ausschließlich die tatsächlich benötigten Daten verarbeitet bzw. verfügbar gehalten werden. Letztlich stellt sich hier stets die gleiche Frage: „Brauche ich die Daten für die Verarbeitung wirklich unbedingt?“

Um eine optimale Datensparsamkeit zu erreichen, sollte z. B. über folgende generische Maßnahmen nachgedacht werden:

  • Reduzierung von erfassten Attributen
  • Reduzierung der Verarbeitungsoptionen
  • Reduzierung von Möglichkeiten der Kenntnisnahme
  • Verarbeitungsprozesse, die eine Kenntnisnahme verarbeiteter Daten entbehrlich machen
  • automatische Sperr- und Löschroutinen, Pseudonymisierungs- und Anonymisierungsverfahren,
  • Kontrolle der Änderung von Verarbeitungstätigkeiten

Der Grundsatz der Verfügbarkeit fordert, dass vorhandene Daten einerseits vor mutwilliger Zerstörung oder auch fahrlässigem Verlust geschützt werden müssen, andererseits aber auch im Falle des Bedarfs jederzeit abrufbar sein sollen. Die Verfügbarkeit muss dabei nicht nur die jederzeitige Nutzung der Daten für den eigentlichen Zweck sicherstellen, sondern auch mögliche Auskunftsverlangen an Betroffene, über die Daten gespeichert sind.

In der Praxis wird die Verfügbarkeit meist über entsprechende Datensicherungen, Schutzvorrichtungen und Redundanzen von Hard- und Software sowie IT-Infrastrukturen gewährleistet. Bei Auslagerungen sollte stets auf entsprechende Service-Level-Agreements (SLAs) geachtet werden, z. B. Auftragsverarbeitungs-Verträge. Aber auch alltägliche organisatorische Maßnahmen, wie Vertretungsregelungen für abwesende Mitarbeiter, stellen die Verfügbarkeit der Daten sicher.

Beispiele für geeignete Maßnahmen:

  • Anfertigung von Sicherheitskopien,
  • Schutz vor äußeren Einflüssen (Schadsoftware, Sabotage, höhere Gewalt),
  • Dokumentation der Syntax der Daten,
  • Redundanzen,
  • Reparaturstrategien und Ausweichprozesse,
  • Vertretungsregelungen

Als Integrität wird der Schutz vor ungewollter bzw. unautorisierter Veränderung von Daten verstanden. Sie besagt, dass einmal erstellte Daten auch zu einem späteren Zeitpunkt noch denselben – unveränderten – Inhalt besitzen müssen, sofern sie nicht in legitimer Weise verändert worden sind. Die anfängliche inhaltliche Richtigkeit der Daten ist hiervon allerdings nicht umfasst.

Unternehmen müssen folglich (generische) Maßnahmen ergreifen, die eine ungewünschte nachträgliche Veränderung von Daten verhindern. Dies kann beispielsweise gewährleitet werden durch:

  • Begrenzung von Schreib- und Änderungsrechten,
  • Einsatz von Prüfsummen, elektronischen Siegeln und Signaturen,
  • dokumentierte Zuweisung von Berechtigungen und Rollen,
  • Aufrechterhaltung der Aktualität von Daten,
  • Festlegung des Soll-Verhaltens von Prozessen und regelmäßiges Durchführen von Tests zur Feststellung und Dokumentation der Funktionalität, von Risiken sowie Sicherheitslücken und Nebenwirkungen von Prozessen,
  • Festlegung des Soll-Verhaltens von Abläufen bzw. Prozessen und regelmäßiges Durchführen von Tests zur Feststellbarkeit bzw. Feststellung der Ist-Zustände von Prozessen.

Als Vertraulichkeit wird der Schutz der Daten vor unbefugtem Zugriff oder unbefugter Kenntnisnahme verstanden.

Generische Maßnahmen um die Vertraulichkeit zu gewährleisten wären beispielsweise:

  • Festlegung eines Rechte- und Rollen-Konzeptes,
  • sichere Authentisierungsverfahren,
  • Personalkonzept,
  • Festlegung und Kontrolle zugelassener Ressourcen,
  • für die Verarbeitungstätigkeit geeignete Umgebungen,
  • Festlegung und Kontrolle organisatorischer Abläufe, interner Regelungen und vertraglicher Verpflichtungen ,
  • Kryptokonzept,
  • Schutz vor äußeren Einflüssen (Spionage, Hacking).

Das Gewährleistungsziel der Nichtverkettbarkeit hat seinen Ausgangspunkt im Zweckbindungsgrundsatz und soll sicherstellen, dass für alle Daten der legitime Zweck für die Bearbeitung feststeht und erhalten bleibt. Dementsprechend darf im Laufe der Verarbeitungsprozesse stets nur der ursprünglich festgelegte Zweck verfolgt werden. Die in der Praxis oft vorgefundene Situation, dass Daten, die einmal im Unternehmen angekommen sind, dort frei umherirren und so auch für verschiedene Zwecke verarbeitet werden, ist daher gesetzeswidrig.

Um die Nichtverkettbarkeit zu gewährleisten, kommen etwa folgende Maßnahmen in Betracht:

  • Einschränkung von Verarbeitungs-, Nutzungs- und Übermittlungsrechten,
  • Schließung von Schnittstellen,
  • Compliance bei der Softwareentwicklung,
  • Trennung nach Organisations-/Abteilungsgrenzen,
  • Trennung mittels Rollenkonzepten,
  • Identitätsmanagement,
  • Pseudonyme, Anonymisierung,
  • geregelte Zweckänderungsverfahren.

Die Verarbeitung personenbezogener Daten hat grundsätzlich transparent zu erfolgen. Es muss also nachvollziehbar sein, wo und zu welchem Zweck personenbezogene Daten verarbeitet und genutzt werden. Dieser Grundsatz findet seinen Ausfluss unter anderem in der Verpflichtung zur Führung eines internen und externen Verfahrensverzeichnisses. Zudem kann nur mittels einer transparenten Datenverarbeitung dem Recht des Betroffenen auf Auskunft sowie den Rechten der Aufsichtsbehörden auf Auskunft und Einsicht entsprochen werden.

Typische Maßnahmen wären in diesem Zusammenhang vor allem die Dokumentationen über Verfahren, Prozesse, Anwendungen, Verträge, Systemtests, Freigaben, Vorabkontrollen, Verträge (sowohl interne z. B. mit Mitarbeitern als auch externe mit Dienstleistern). Außerdem sollten Zugriffe auf und Änderungen in Anwendungen dokumentiert sowie Dokumente versioniert werden.

Beispiele:

  • Dokumentation der Geschäftsprozesse, Datenbestände, Datenflüsse, IT-Systeme, Betriebsabläufe, Beschreibungen von Verarbeitungstätigkeiten,
  • Tests der Freigabe und ggf. Datenschutz-Folgenabschätzung von neuen oder geänderten Verarbeitungstätigkeiten,
  • Dokumentation der Verträge mit den internen Mitarbeitenden, Dienstleistern und Dritten,
  • Dokumentation von Einwilligungen und Widersprüchen,
  • Protokollierung von Zugriffen und Änderungen,
  • Nachweis der Quellen von Daten (Authentizität),
  • Versionierung,
  • Dokumentation der Verarbeitungsprozesse,
  • Berücksichtigung der Auskunftsrechte von Betroffenen im Protokollierungs- und Auswertungskonzept.

Unter das Gewährleistungsziel der Intervenierbarkeit werden im Wesentlichen die Betroffenenrechte auf Auskunft, Berichtigung und Sperrung bzw. Löschung der eigenen Daten gefasst. Sofern also ein Betroffener zurecht die Löschung seiner Daten verlangt, so muss dies konsequenterweise auch technisch umsetzbar sein.

Dies ist es beispielsweise nicht, wenn gar nicht klar ist, auf welchen Datensicherungsbändern dessen Daten überhaupt gespeichert sind bzw. in welchen Systemen dessen Daten abgelegt wurden. In diesem Fall wäre erst eine umfangreiche Suche erforderlich. Derartige technische Erschwernisse können die Pflicht der Unternehmen, dem Verlangen des Betroffenen nachzukommen, jedoch nicht entgegengehalten werden. Vielmehr muss Unternehmen bereits bei Speicherung der Daten klar sein, dass auch einzelne Datensätze gegebenenfalls wieder gelöscht werden müssen.

Infrage kommende Maßnahmen sind hier u. a. standardisierte Dialog- und Abfragestellen über vorhandene Datensätze von Betroffenen sowie ein konkret benannter Ansprechpartner, Deaktivierungsmöglichkeiten von einzelnen Systemkomponenten, ohne das gesamte System außer Betrieb zu setzen, Möglichkeiten der Einsichtnahme in das System durch den Datenschutzbeauftragten oder aber auch Aufsichtsbehörden.

Beispiele:

  • differenzierte Einwilligungs-, Rücknahme- sowie Widerspruchsmöglichkeiten,
  • Schaffung notwendiger Datenfelder z. B. für Sperrkennzeichen,
  • dokumentierte Bearbeitung von Störungen, Problembearbeitungen und Änderungen am Verarbeitungstätigkeiten sowie an den Schutzmaßnahmen der IT-Sicherheit und des Datenschutzes,
  • Deaktivierungsmöglichkeit von Funktionalitäten,
  • Abfrage- und Dialogschnittstellen für Betroffene zur Geltendmachung und/oder Durchsetzung von Ansprüchen,
  • Nachverfolgbarkeit der Aktivitäten,
  • Einrichtung eines Single Point of Contact (SPoC) für Betroffene,
  • operative Möglichkeit zur Zusammenstellung, konsistenten Berichtigung, Sperrung und Löschung aller zu einer Person gespeicherten Daten.

Fazit: Das Standard-Datenschutzmodell hilft beim strukturellen Vorgehen

Insgesamt zeigt sich, dass das Standard-Datenschutzmodell eine Erleichterung für Unternehmen bei der Gewährleistung der datenschutzrechtlichen Compliance darstellen kann. Denn nur eine strukturierte Herangehensweise führt im Ergebnis dazu, dass ein konsistenter und vergleichbarer Datenschutz-Standard im Unternehmen etabliert werden kann, der alle Bereiche des Unternehmens umfasst. Eben diese Struktur gewährleistet das SDM bei richtiger Umsetzung.

Praktisch ist dabei, dass mit den generischen Maßnahmen im Standard-Datenschutzmodell praktikable und effiziente Wege für eine Umsetzung im Unternehmen aufgezeigt werden.

Bei richtiger und konsequenter Anwendung des Standard-Datenschutzmodells ist zu erwarten, dass im Falle einer Prüfung durch eine Aufsichtsbehörde das betroffene Unternehmen und die Behörde „die gleiche Sprache sprechen“ und der Aufwand sich im Optimalfall auf ein Minimum reduziert.

Dieser aktualisierte Artikel wurde zuerst am 22. Dezember 2016 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Aktuelle Prüfungen der Datenschutzaufsichtsbehörden

Die Datenschutzaufsichtsbehörden der Bundesländer prüfen schon seit Jahren die Umsetzung des Datenschutzes gemäß Bundesdatenschutzgesetz (BDSG) in Unternehmen. Mit der europäischen Datenschutz-Grundverordnung (DSGVO) dürften diese Prüfungen häufiger und umfassender werden. Ein wesentlicher Grund dafür sind die deutlich umfangreicheren Dokumentationspflichten. Weil unter der DSGVO empfindliche Bußgelder für Datenschutzverstöße drohen, sind Unternehmen gut beraten, genau zu wissen, wie die Aufsichtsbehörden vorgehen. Die jeweils aktuellen Prüfungen finden Sie in diesem Artikel.

Datenschutzprüfungen bei bayerischen Unternehmen und Ärzten (BayLDA, 7. November 2018)

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat seine Prüfaktivitäten wieder verstärkt aufgenommen und neue flächendeckende Datenschutzkontrollen in Bayern angestoßen. Dabei werden unter anderem Arztpraxen auf ihre Cybersicherheit (Stichwort „Ransomware“) überprüft und Fragebögen an kleine und mittelständische Unternehmen versandt.

Laut Pressemitteilung des BayLDA sei es nicht das Ziel, kleine Betriebe mit Datenschutzkontrollen zu überfordern, sondern größere und risikobehaftete Organisationen hinsichtlich möglicher Gefährdungsquellen zu sensibilisieren. Außerdem wolle man darauf hinwirken, dass personenbezogene Daten gerade dort wirksam und angemessen geschützt werden.

Achtung, sollten Sie von den Prüfungen betroffen sein: Das BayLDA plant im Nachgang zu den schriftlichen Prüfungen ausgewählte Unternehmen zum Teil auch vor Ort zu besuchen und die gemachten Angaben auf Richtigkeit zu kontrollieren.

Derzeit werden folgende Bereiche bzw. Unternehmen geprüft:

Sicherer Betrieb von Online-Shops (Cybersicherheit)

Zwanzig bayerische Online-Shops, zufällig aus allen Branchen zusammengestellt, wurden hinsichtlich der Verwendung von veralteten und unsicheren eCommerce-Systemen geprüft. Die Unternehmen haben ein detailliertes Prüfschreiben erhalten und sind aufgerufen, festgestellte Defizite zu beheben.

Verschlüsselungstrojaner in Arztpraxen (Cybersicherheit)

Verschlüsselungstrojaner („Ransomware“) sind auch in Bayern weiterhin aktiv: […] Das BayLDA hat sich deshalb entschieden, Ärzte zum Umgang und Prävention von Ransomware-Attacken zu kontrollieren.

Rechenschaftspflicht bei Großkonzernen

Das BayLDA hat drei Großkonzernen jeweils 50 Fragen gestellt und prüft damit, ob in der jeweiligen Organisation eine datenschutzkonforme Verarbeitung personenbezogener Daten stattfindet und mit Betroffenenrechten sowie Datenschutzverletzungen richtig umgegangen wird.

Erfüllung der Informationspflichten in Bewerbungsverfahren

Mit dieser Erfahrung entschied sich das BayLDA deshalb nun im Oktober 2018, erneut bei zufällig ausgewählten Verantwortlichen die Verarbeitung personenbezogener Daten in Bewerbungsverfahren zu untersuchen. […] Hierzu werden derzeit 15 Verantwortliche in Bayern, ausschließlich größere Betriebe und Vereine, geprüft.

Umsetzung der DSGVO bei kleinen und mittelständischen Unternehmen (KMUs)

In einer Prüfung zur allgemeinen Datenschutzorganisation sind 20 Fragen zu beantworten und zum Teil Unterlagen vorzulegen. […] Die 15 geprüften Unternehmen (mit jeweils über 100 Mitarbeitern) wurde nach folgenden Kriterien ausgesucht: Die Hälfte ist beim BayLDA bereits durch Beschwerden aufgefallen. Ansonsten wurden Verantwortliche aus unterschiedlichen Branchen aus ganz Bayern berücksichtigt.

Weitere angekündigte Prüfungen des BayLDA

Achtung: Auf seiner Website kündigt das BayLDA bereits weitere Prüfungen an:

  • Noch im November 2018 sollen Datenschutzverletzungen bei (Unter-)Auftragsverarbeitern geprüft werden. Das BayLDA fragt sich insbesondere, warum von (internationalen) Dienstleistern verhältnismäßig wenige Datenpannen gemeldet werden, während die Meldungen von Verantwortlichen gemäß Art. 33 und 34 DSGVO deutlich zugenommen hätten. Geprüft werden voraussichtlich 15 größere und datengetriebene Unternehmen mit (vermutlich) vielen Dienstleistern im internationalen Umfeld. Bei sieben dieser Unternehmen könnten auch Vor-Ort-Kontrollen stattfinden.
  • Im Dezember 2018 geht es dem BayLDA um das DSGVO-konforme und fristgerechte Löschen personenbezogener Daten in ERP-Systemen. Welche Unternehmen bzw. welche Kategorien von Unternehmen geprüft werden, ist aktuell noch offen.

[av_hr class=’default‘ height=’50‘ shadow=’no-shadow‘ position=’center‘ custom_border=’av-border-thin‘ custom_width=’50px‘ custom_border_color=“ custom_margin_top=’30px‘ custom_margin_bottom=’30px‘ icon_select=’yes‘ custom_icon_color=“ icon=’ue808′ font=’entypo-fontello‘ av_uid=’av-uvmryv‘ custom_class=“ admin_preview_bg=“]

Frühere Prüfungen der Datenschutzaufsichtsbehörden

Die Landesbeauftragte für den Datenschutz Niedersachsen prüft als eine der ersten Datenschutzaufsichtsbehörden die Umsetzung der DSGVO in Unternehmen. In einer branchenübergreifenden Querschnittsprüfung sollen 50 Unternehmen zu je zehn Bereichen des Datenschutzes Stellung beziehen.

Im Fokus der Prüfung stehen 20 große und 30 mittelgroße Unternehmen. Es gehe explizit nicht um kleine Handwerksbetriebe oder ähnliches, teilte die Aufsichtsbehörde in ihrer Pressemitteilung mit. Man wolle zum einen prüfen, ob es bei den verantwortlichen Stellen Nachholbedarf gäbe. Zum anderen ginge es auch darum, das Bewusstsein für Datenschutz und die neuen DSGVO-Vorschriften zu stärken. Die Suche nach Fehlern und das Verhängen von Bußgeldern seien zum jetzigen Zeitpunkt nicht vorrangig.

Nach Auswertung der versandten Fragebögen sollten vereinzelt auch Vorort-Überprüfungen bei Unternehmen stattfinden, so die Landesbeauftragte für den Datenschutz in Niedersachsen, Barbara Thiel. Insgesamt erhoffe sie zu ermitteln, wo die Aufsichtsbehörde in Zukunft vermehrt aufklären und beraten müsse.

Welche Fragen stellt die Aufsichtsbehörde?

Der Fragenkatalog der niedersächsischen Datenschutzaufsichtsbehörde (hier als PDF verfügbar) vermittelt einen ersten Eindruck, wie umfangreich Prüfungen zukünftig ausfallen könnten. Folgende Themen werden abgefragt:

  1. Wie erfolgte die Vorbereitung auf die DSGVO?
  2. Wie wurde das Verzeichnis von Verarbeitungstätigkeiten erstellt? Wie wird es aktualisiert?
  3. Auf Basis welcher Rechtsgrundlagen werden Daten verarbeitet?
  4. Mittels welcher Prozesse werden Betroffenenrechte gewahrt?
  5. Mit welchen technischen und organisatorischen Maßnahmen (TOM) werden Daten geschützt und wie werden diese TOM aktualisiert?
  6. In welchem Umfang geschieht eine Datenschutz-Folgenabschätzung?
  7. Welche Verträge werden bei der Auftragsverarbeitung eingesetzt?
  8. Wie wird der Datenschutzbeauftragte eingesetzt?
  9. Auf welche Art und Weise wird den Meldepflichten gegenüber der Aufsichtsbehörde nachgekommen?
  10. Wie können die vorgenannten Punkte nachgewiesen werden?

Fachliche Einschätzung der Datenschutzprüfung

Die Aufsichtsbehörde Niedersachsens begnügt sich in ihrem Fragebogen nicht mit einfachen Aussagen. Stattdessen haben geprüfte Unternehmen ihren Antworten Muster und Beispiele beizufügen, damit die tatsächliche Umsetzung des Datenschutzes geprüft werden kann. Hier gilt es, gut vorbereitet zu sein.

Zudem ist zumindest kritisch zu hinterfragen, ob es tatsächlich bei einer solch gutwilligen Haltung der Aufsichtsbehörde bleibt. Denn Art. 83 DSGVO sieht explizit eine Pflicht zur Ahndung von Datenschutzverstößen vor. Handlungsspielraum haben die Aufsichtsbehörden lediglich bei der Höhe der Bußgelder.

Darüber hinaus sollten Unternehmen, bei denen die Prüfung zu Beanstandungen führt, diese Mängel umgehend beheben. Denn selbst wenn derzeit noch keine Bußgelder verhängt werden bzw. würden, sind einmal bekannt gewordene Defizite ein guter Grund für die Datenschutzaufsichtsbehörde, bald wieder vorstellig zu werden.

Ab 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) unmittelbar anwendbar. Damit ist seit Inkrafttreten der neuen europäischen Datenschutz-Vorschriften genau die Hälfte der Zeit zur Umsetzung verstrichen. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) nutzt diesen Anlass, um 150 zufällig ausgewählte Unternehmen zu überprüfen. Inhalt der Kontrolle via Fragebogen ist der Stand der Umsetzung der DSGVO im Unternehmen.

Ziel des BayLDA ist es, den Unternehmen in Bayern bereits jetzt ein Gefühl darüber zu vermitteln, wie sich ab Mai 2018 die verstärkten Prüfaktivitäten gestalten. Denn zwar bleiben viele Prinzipien des Datenschutzrechts vergleichbar mit dem noch geltenden Bundesdatenschutzgesetz (BDSG). Bei der konkreten Umsetzung ergeben sich jedoch maßgebliche Änderungen; insbesondere umfassendere Rechenschaftspflichten schlagen hier zu Buche.

Damit nicht nur die überprüften Unternehmen wissen, wie sich Datenschutz-Kontrollen unter der DSGVO (zumindest in Bayern) gestalten, hat das BayLDA den Prüffragebogen als PDF veröffentlicht.

Die Datenschutz-Aufsichtsbehörden von zehn Bundesländern prüfen seit November 2016 in einer koordinierten Aktion deutschlandweit 500 Unternehmen im Bereich der grenzüberschreitenden Datenübermittlung. Die Kontrolle erfolgt vorerst durch einen detaillierten Fragebogen. Je nach Ergebnis ist mit Folgemaßnahmen zu rechnen.

Durch die zunehmende Nutzung von Cloud-Computing und Software-as-a-Service (SaaS) in Unternehmen, aber auch durch die Auslagerung von Management- oder IT-Prozessen, werden immer häufiger personenbezogene Daten (etwa von Kunden oder Mitarbeitern) ins Nicht-EU-Ausland transferiert, weil die Server der jeweiligen Anbieter z. B. in den USA stehen. Vor dem Transfer der Daten muss vom Unternehmen sichergestellt werden, dass die Daten im Empfängerland ausreichend geschützt sind. Andernfalls hat die Übermittlung zu unterbleiben.

Die bisherige Erfahrung der Datenschutzaufsichtsbehörden zeige, dass sich Unternehmen bei Nutzung solcher Produkte nicht immer der Tatsache bewusst sind, dass daraus datenschutzrechtliche Konsequenzen resultieren. Die aktuelle Überprüfung habe deshalb den Zweck, Unternehmen für diese Herausforderung zu sensibilisieren, so das Bayerische Landesamt für Datenschutzaufsicht in seiner betreffenden Pressemitteilung (PDF).

Wo prüfen die Aufsichtsbehörden welche Unternehmen?

Die aktuelle Überprüfung wird koordiniert von den Datenschutz-Aufsichtsbehörden in den Bundesländern Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt angegangen. Im Rahmen der Prüfung werden rund 500 Unternehmen angeschrieben, die nach dem Zufallsprinzip ausgewählt wurden. Es wurde Wert daraufgelegt, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen einzubeziehen.

Was wird überprüft?

Betroffene Unternehmen erhalten einen „Fragebogen zur Prüfung des internationalen Datenverkehrs“ (beim BayLDA als Download verfügbar). Gefragt wird zum Beispiel nach der Inanspruchnahme externer Leistungen und Produkte in Bereichen wie Fernwartung, Support, Ticketing-Bearbeitung, aber auch Customer-Relationship-Management oder Bewerbermanagement. Die Unternehmen werden dann aufgefordert, die entsprechenden von ihnen genutzten Dienstleistungen und Produkte konkret zu nennen.

Sofern personenbezogene Daten in Nicht-EU-Staaten übermittelt werden, sind die kontrollierten Unternehmen darüber hinaus aufgefordert anzugeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen. Mitgeteilt werden muss bspw., ob für das Zielland durch Beschluss der Europäischen Kommission ein angemessenes Datenschutzniveau anerkannt ist (dazu zählt auch das EU-U.S. Privacy Shield), ob Standardvertragsklauseln als Grundlage verwendet werden, ob die Übermittlungen auf Einwilligungen der Betroffenen gestützt werden und ob der Datenschutzbeauftragte des Unternehmens entsprechend konsultiert wurde.

Datenschutzrechtliche Einschätzung

Anzumerken ist, dass die aktuelle Prüfung der Aufsichtsbehörden sich vorwiegend auf den letzten zu klärenden Bereich beim Datentransfer in Drittstaaten bezieht. Denn die angemessene Datensicherheit am Empfängerort zu gewährleisten, ist längst nicht das einzige, was Unternehmen tun müssen.

Voraussetzung für einen zulässigen Drittstaatentransfer ist, dass für diesen an sich eine belastbare Rechtsgrundlage vorliegt und die gegebenenfalls notwendigen Formalien (etwa der Abschluss von Vereinbarungen zur Auftragsdatenverarbeitung) beachtet werden. Sind diese Voraussetzungen nicht erfüllt, ist die Datenübermittlung allein dadurch rechtswidrig. Diese Vorbedingungen werden im Fragebogen der Aufsichtsbehörden nur angedeutet.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutz im Hotel

Jedes Unternehmen ist dazu verpflichtet, verantwortungsbewusst mit den Daten von Kunden, Mitarbeitern und Geschäftspartnern umzugehen. An den Datenschutz im Hotel stellt der Gesetzgeber jedoch noch höhere Anforderungen, weil hier mit sensiblen Daten der Gäste umgegangen wird, die als besonders schützenswert gelten.

Sensible Daten im Hotelbetrieb

Erfolgreiche Hoteliers sind sich bewusst darüber, dass Diskretion eine unabdingbare Voraussetzung für Ihr Geschäft ist. Ein Gast gibt bei einem Hotelbesuch viel über sich preis. Entsprechend empfindlich fällt verständlicherweise die Reaktion aus, wenn mit diesen persönlichen Informationen nachlässig umgegangen wird. Für ein Hotel kann der unzureichende Schutz von personenbezogenen Daten eine existenzgefährdende Rufschädigung zur Folge haben.

Auch der Gesetzgeber betrachtet bestimmte Kategorien von personenbezogenen Daten als besonders schützenswert und stellt entsprechend höhere Anforderungen an deren Schutz. Bei einem Hotelaufenthalt gewinnt der Betreiber Einblick in viele und teils intime Lebensbereiche der Gäste. Informationen über die Gesundheit, das Sexualleben, die ethnische Zugehörigkeit oder auch politische, religiöse oder philosophische Überzeugungen zählt die Datenschutz-Grundverordnung (DSGVO) zu den besonderen personenbezogenen, sensiblen Daten.

Allgemeine Datenschutzpflichten des Hotelbetreibers

Für die Verarbeitung von personenbezogenen Daten gilt ein „Verbot mit Erlaubnisvorbehalt“. Das bedeutet, dass Informationen, die bestimmten Personen zuordenbar sind, grundsätzlich nicht erhoben, verarbeitet oder gespeichert werden dürfen, wenn nicht eine der im Gesetz vorgesehenen Ausnahmen vorliegt, die das erlaubt. Solche Ausnahmen sind teilweise im Gesetz selbst enthalten oder bestehen, wenn die betroffene Person ihre Einwilligung erteilt. Dabei ist zu beachten, dass gespeicherte Daten für keinen anderen Zweck verwendet werden dürfen, als den, der ihre Erhebung ursprünglich rechtfertigte.

Eine Einwilligung in die Nutzung von personenbezogenen Daten ist nur dann gültig, wenn die betroffene Person vollständig darüber aufgeklärt wurde, was mit ihren Daten geschehen soll, und die Einwilligung freiwillig erfolgte. Durch die DSGVO sind neben die Informationen, die zur Grundlage der Einwilligung gemacht werden, weitere Hinweispflichten getreten, die beachtet werden müssen.

Besondere Datenschutzanforderungen im Hotel

Meldedaten von Hotelgästen

Das Melderecht sieht vor, dass ein Hotelbetreiber die Meldedaten von Gästen bei deren Ankunft abfragt. Dabei sollen mithilfe eines Meldescheins Informationen über den Tag der Anreise sowie der voraussichtlichen Abreise, Vor- und Nachname, Geburtsdatum, Anschrift und Staatsangehörigkeit erhoben werden. Mitreisende Lebenspartner müssen keinen eigenen Meldeschein ausfüllen, sondern können im ersten Dokument mit vermerkt werden. Bei mitreisenden minderjährigen Kindern ist lediglich ihre Anzahl zu notieren. Gäste aus dem Ausland müssen sich mit einem Identitätsdokument ausweisen.

Die Meldescheine sind ein Jahr lang aufzubewahren. In dieser Zeit müssen sie vor einer Einsicht durch Unbefugte geschützt und nach dem Ablauf eines Jahres binnen drei Monaten vernichtet werden.

Der Hotelbetreiber ist verpflichtet, die genannten Informationen zu erheben – das Meldegesetz rechtfertigt aber nicht, dass mehr als die erforderlichen Daten abgefragt werden. Der Hotelier muss die Datenschutzrechte des Gastes beachten. Konkret bedeutet dies:

  • Das Grundprinzip der Datensparsamkeit ist einzuhalten.
  • Der Hotelbetreiber muss den Gast auf den Zweck und die Rechtsgrundlage der Datenerhebung hinweisen.
  • Eine Prüfpflicht besteht nur für die Daten von ausländischen Gästen. Wenn der Gast angibt, deutscher Staatsbürger zu sein, darf die Vorlage eines Ausweises nicht verlangt werden.
  • Das Kopieren von deutschen Personalausweisen ist nur in sehr engen Ausnahmen (§ 20 PAuswG)gestattet und kann schnell eine Ordnungswidrigkeit darstellen.

Datenerhebung für Werbezwecke

Will der Hotelbetreiber über die Meldeangaben hinaus weitere Daten – beispielsweise für Zwecke der Werbung und Kundenbindung – erheben, muss er dies deutlich kenntlich machen. Neben den gesetzlich erforderlichen Daten fragen Hotels gerne Informationen wie E-Mail-Adresse, Telefonnummer, Firmenzugehörigkeit, Ausweisnummer, Hobbies und weitere Reisepläne ab.

Dazu ist aber die ausdrückliche Einwilligung des Gastes erforderlich. Aus der Gestaltung der Einwilligung muss ersichtlich sein, dass dem Gast unmissverständlich bewusst ist, dass die Angabe dieser Informationen freiwillig erfolgt. Der Hotelbetreiber ist verpflichtet, dies deutlich zu kennzeichnen. Außerdem muss der Gast über die beabsichtigte Verarbeitung der Daten vollständig auch im Hinblick auf Art. 13 DSGVO informiert werden.

Werden die Meldeinformationen und die freiwilligen Zusatzangaben auf einem gemeinsamen Formular abgefragt, müssen die Bereiche drucktechnisch deutlich getrennt und voneinander unterscheidbar sein. Außerdem muss es möglich sein, der Meldebehörde bei Bedarf Einblick in die Meldedaten zu gewähren und gleichzeitig eine Einsicht in die freiwilligen Zusatzangaben zu verhindern. Dies kann beispielsweise durch die Einfügung einer Perforation erreicht werden.

Die nach dem Melderecht zu leistende Unterschrift des Gastes und die Unterschrift zur Einwilligung in die Nutzung der zusätzlichen Daten müssen in separaten Feldern erfolgen. Sonst ist nicht von einer freiwilligen Einwilligung auszugehen und die Erklärung ist somit ungültig.

Erhebung von Kreditkartendaten

In der Praxis werden die Kreditkartendaten von Hotelgästen häufig bereits bei der Ankunft erfasst. Dies kann dem Hotelbetreiber als Kaution dienen, sollten nach der Abreise des Gastes offene Forderungen bestehen. Teilweise wird die Kreditkarte auch für eine Bonitätsprüfung verwendet, um durch die Abbuchung eines symbolischen Betrags zu kontrollieren, ob der Gast Kredit genießt. Ein solches Vorgehen ist rechtmäßig, sofern die folgenden Bedingungen beachtet werden:

  • Der Hotelgast ist unbedingt darüber aufzuklären, zu welchem Zweck seine Kreditkartendaten erfasst werden. Dabei genügt es nicht, pauschale oder abstrakte Angaben zu machen. Nur wenn dem Hotelgast unmissverständlich klar ist, was mit seinen Daten geschieht, ist die Erfassung rechtmäßig. Die zu einem bestimmten Zweck erhoben Daten dürfen auch nicht für andere als die angegebenen Gründe verwendet werden.
  • Der Gast ist darüber zu informieren, dass die Erfassung seiner Kreditkartendaten freiwillig erfolgt.
  • Außerdem muss der Hotelbetreiber den Gast darüber aufklären, welches die Folgen einer Verweigerung der Datenerfassung sind, wie etwa die Erforderlichkeit einer Barkaution oder Vorauskasse.

Dieser aktualisierte Artikel wurde zuerst am 25. August 2014 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Datenschutz in der Apotheke

Völlig selbstverständlich werden beim Betrieb einer Apotheke personenbezogene Daten verarbeitet. Diesem Begriff unterfallen sämtliche Informationen, die im Zusammenhang mit einer konkreten Person stehen, wie beispielsweise Name, Telefonnummer oder auch ein Foto. Das Persönlichkeitsrecht beinhaltet, dass es jedem Menschen im Grunde zusteht, selbst zu bestimmen, ob und wie seine Daten durch Dritte verwendet werden. Dies will der Gesetzgeber durch die Regelungen zum Datenschutz sicherstellen. Dabei ist es unerheblich, in welchem Verhältnis man zur betroffenen Person steht: Grundsätzlich sind etwa die Daten von Mitarbeitern ebenso zu schützen, wie die von Kunden.

Gesetzliche Vorschriften zum Datenschutz in Apotheken

Die meisten Regelungen zum Datenschutz finden sich in der EU-Datenschutz-Grundverordnung (DSGVO) und ergänzend im Bundesdatenschutzgesetz (BDSG). Aber auch andere Vorschriften sind im Zusammenhang mit der Nutzung von personenbezogenen Daten relevant. Dazu zählen beispielsweise das Sozialgesetzbuch (SGB), das Telemediengesetz (TMG) oder das Strafgesetzbuch (StGB). Apotheken sind darüber hinaus an die Vorschriften der Apothekenbetriebsordnung (ApBetrO) gebunden.

Datenschutzrechtliche Aspekte für Apotheker sind z. B.:

„Der Apotheker ist zur Verschwiegenheit über alle Vorkommnisse verpflichtet, die ihm in Ausübung seines Berufes bekannt werden. Der Apotheker hat […] sicherzustellen, dass alle unter seiner Leitung tätigen Personen […] über die gesetzliche Pflicht zur Verschwiegenheit belehrt werden […]“

(§ 14 Berufsordnung für Apothekerinnen und Apotheker, abgeleitet aus Heilberufe-Kammergesetz)

„Wer unbefugt ein fremdes Geheimnis […] offenbart, das ihm als […] Apotheker […] anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft“.

(§ 203 Abs. 1 StGB)

Auch die Art der personenbezogenen Daten, die eine Apotheke verarbeitet, ist relevant für die Einschätzung bezüglich des Datenschutzes. Einige Datenkategorien sind dem Datenschutzrecht zufolge besonders schützenswert: So gelten etwa Informationen zur Gesundheit oder zum Sexualleben als besonders sensibel. Im Umgang mit solchen Daten gelten daher strengere Vorschriften als sonst.

Rechtsgrundlagen für die Nutzung personenbezogener Daten in Apotheken

Das Gesetz verbietet es grundsätzlich, personenbezogene Daten überhaupt zu verarbeiten und nennt gleichzeitig Bedingungen, unter denen die Nutzung solcher Daten dennoch rechtmäßig ist. Art. 6 und 9 der DSGVO enthalten etwa solche Ausnahmen vom grundsätzlichen Verbot. Lässt sich keine gesetzliche Erlaubnis finden, dürfen Daten einer Person nur dann verarbeitet werden, wenn diese Person ausdrücklich dazu eingewilligt hat.

Mögliche Rechtsgrundlagen für die Verarbeitung personenbezogener Daten in Apotheken sind:

  • Erforderlichkeit für die Durchführung eines Vertrages, Art. 6 Abs. 1 b) DSGVO bzw. Art. 9 Abs. 2 h) DSGVO
  • Übermittlung von Abrechnungsdaten an Krankenkassen, § 300 I Nr.2 SGB V,
  • Einwilligung des Kunden

Eine solche Einverständniserklärung muss freiwillig erfolgen und konkret formuliert sein. Es muss also ersichtlich sein, dass dem Betroffenen bewusst ist, welche konkreten Daten von welcher verantwortlichen Stelle zu welchem Zweck verwendet werden. Außerdem muss die Einwilligung auf eine Art und Weise erfolgen, dass man davon ausgehen kann, dass dem Betroffenen tatsächlich bewusst gewesen sein muss, wozu er sein Einverständnis erteilt (siehe unser Ratgeber zur rechtskonformen Einwilligung).

Soll sich die Erklärung auf besondere personenbezogene Daten erstrecken (wie dies in Apotheken oft der Fall ist), muss die Einwilligung ausdrücklich erfolgen und ist zudem aktiv zu erteilen. Opt-out-Verfahren, bei denen der Betroffene etwas streichen oder in einem Onlineformular ein bereits gesetztes Häkchen deaktivieren müsste, sind unzulässig.

Weitere Vorgaben zum Datenschutz in der Apotheke

Die Verarbeitung von personenbezogenen Daten innerhalb einer Apotheke muss so organisiert sein, dass sie den Anforderungen des Datenschutzrechts entspricht. Seit Wirksamkeit der DSGVO gilt als zusätzliche Anforderung die „Rechenschaftspflicht“. Es genügt seither nicht mehr, den Datenschutz so zu betreiben, dass keine Verstöße erfolgen. Stattdessen muss jetzt nachweisbar sein, dass ein geregelter und erfolgreicher Datenschutzprozess betrieben wird. Im Ergebnis kommen damit Unternehmen, unabhängig ihrer Branche und Größe nicht mehr umhin, ein sogenanntes Datenschutzmanagementsystem aufzubauen und zu betreiben. Dies gilt ungeachtet etwaigen Standesrechts und damit auch für Apotheker.

Zur Umsetzung der Anforderungen müssen sowohl organisatorische als auch technische Maßnahmen ergriffen werden.

Zu den technischen Maßnahmen gehören beispielsweise Vorkehrungen, die verhindern, dass Unbefugte Einsicht in die Daten erlangen. Dies beinhaltet unter anderem, dass die Räume, in denen die Daten verarbeitet werden, abgesichert sind und dass die Nutzer der Datenverarbeitungssysteme ausschließlich auf die Daten zugreifen können, für die sie berechtigt sind. Die Daten müssen auch gegen Manipulation und Verlust geschützt werden.

Organisatorische Maßnahmen beziehen sich auf Regelungen innerhalb der Apotheke, die auf den Schutz der verarbeiteten Daten abzielen. Dazu zählen beispielsweise Verfahrensanweisungen zur Datenlöschung, festgelegte Intervalle für Datenschutzschulungen oder Regelungen für die Rechtevergabe.

Jede Apotheke, die personenbezogene Daten verarbeitet, muss in einem sogenannten Verzeichnis der Verarbeitungstätigkeiten, dokumentieren, wie sie mit diesen Daten umgeht. Selbständig daneben bestehen umfangreiche Informationspflichten, die Betroffenen gegenüber unaufgefordert zu erfüllen sind.

Muss eine Apotheke einen Datenschutzbeauftragten bestellen?

Sind in einer Apotheke mehr als neun Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt, muss ein Datenschutzbeauftragter bestellt werden. Für die Funktion des Datenschutzbeauftragten kann entweder ein interner Mitarbeiter ausgewählt oder ein externer Datenschutzbeauftragter bestimmt werden.

Dieser aktualisierte Artikel wurde zuerst am 13. März 2013 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Binding Corporate Rules und die DSGVO

Viele Unternehmensgruppen oder Konzerne verfügen über Standorte auch außerhalb Europas. Oft sehen sich selbige als rechtliche Einheit und vergessen, dass das Datenschutzrecht auch unter der EU-Datenschutz-Grundverordnung (DSGVO) weiterhin kein Konzernprivileg kennt. Der Datentransfer ist auch innerhalb eines Konzerns oder einer Unternehmensgruppe grundsätzlich zu behandeln, wie ein Transfer zwischen völlig fremden Unternehmen. Es muss eine Rechtsgrundlage für die Verarbeitung gegeben sein, ggf. müssen die Voraussetzungen einer Auftragsverarbeitung erfüllt werden und die Empfängerstelle muss ein angemessenes Datenschutzniveau gewährleisten bzw. Datenschutzgarantien bieten. Für letzteres bieten sich sogenannte Binding Corporate Rules (BCR) an.

Was sind Binding Corporate Rules?

Binding Corporate Rules, zu Deutsch „verbindliche Unternehmensrichtlinien“, sind konzernweit gültige, verbindliche Vorgaben zur Regelung von Datenflüssen. Durch sie wird in der gesamten Unternehmensgruppe ein einheitliches Datenschutzsystem errichtet und ein gemeinsamer Datenschutzstandard geschaffen.

Durch aufsichtsbehördliche Genehmigung erlangen diese Regelungen den Status einer Datenschutzgarantie. Unter der DSGVO werden diese Garantien nunmehr EU-weit anerkannt.

Für wen sind Binding Corporate Rules sinnvoll?

Binding Corporate Rules eignen sich insbesondere dann, wenn die konzernweiten Datenströme nicht lediglich auf eine Muttergesellschaft kanalisiert sind, sondern wenn alle konzernangehörigen Unternehmen untereinander Daten in jede Richtung austauschen. In diesem Fall wäre der Abschluss von EU-Standardvertragsklauseln zu umständlich und würde zu einer unüberschaubaren Vielzahl von Verträgen führen.

Aber auch für Konzerne, die auf einen auditierbaren konzernweiten Standard Wert legen, wie es beispielsweise in der Versicherungsbranche häufig vorkommt, sind Binding Corporate Rules ein sehr interessantes Mittel. Denn nur diese können eine prüfbare und einheitliche Datenschutz-Compliance gewährleisten.

Daneben sind wohl auch der konzernweite Einsatz einer gemeinsamen IT-Lösung oder eine konzernweite Bearbeitung von Aufträgen am besten durch den Abschluss verbindlicher Unternehmensrichtlinien zu untermauern.

Anwendungsbereich von BCR

BCR dienen als taugliche „Datenschutzgarantie“ im Rahmen von Datentransfers innerhalb einer Unternehmensgruppe auch außerhalb von EU bzw. EWR. Wie unter alter Rechtslage auch, ersetzen sie weiterhin weder eine Rechtsgrundlage, noch machen sie einen Vertrag zur Auftragsverarbeitung überflüssig. Ebenso wenig sind sie anwendbar, wenn die Unternehmensgruppe verlassen wird; etwa durch den Einsatz von (Sub-)Dienstleistern.

Was beinhalten Binding Corporate Rules?

Verbindliche Unternehmensrichtlinien sind meist sehr umfangreiche Schriftwerke, da sie durch ihre Regelungsinhalte im Wesentlichen das Schutzniveau des europäischen Datenschutzrechts wiedergeben müssen. Schwerpunktmäßig beinhalten derartige Richtlinien Regelungen über Anwendungsbereich, Haftung, Sicherstellung der Verbindlichkeit, Auditierungen, die Zulässigkeit des Umgangs mit personenbezogenen Daten sowie Maßnahmen zum Schutz der Daten.

Die DSGVO enthält in Art. 47 einen umfangreichen Anforderungskatalog für BCR.

Festsetzung der konzernweiten Verbindlichkeit von BCR

Binding Corporate Rules müssen konzernweit gültige Festlegungen enthalten. Sie müssen intern für alle zugehörigen Unternehmen und Mitarbeiter verbindlich sein. Zugleich muss die Durchsetzbarkeit drittbegünstigender Regelungen durch Außenstehende, beispielsweise die Betroffenen, gewährleistet sein.

Da sich die rechtlichen Rahmenbedingungen in Staaten außerhalb des Geltungsbereichs der DSGVO teilweise immer noch unterscheiden, ist es nicht einfach, hier eine passende Lösung zu finden. Einseitige Erklärungen sind beispielsweise nicht in allen Staaten rechtlich bindend und von außen durchsetzbar. Reguläre Verträge gelten wiederum im Regelfall nur „inter partes“, also ausschließlich zwischen den Vertragsparteien, so dass sich Dritte nicht auf mögliche Vertragsverstöße berufen können. Daher gilt es, ein rechtliches Konstrukt zu schaffen, welches allen Anforderungen genügt. Im Regelfall werden vertragliche Vereinbarungen zwischen den teilnehmen Unternehmen geschlossen, in denen notwendige Drittbegünstigungen enthaltenen sind.

Haftungsregelungen im Rahmen von BCR

Ein weiterer wichtiger Teil sind die Regelungen der Haftung und der Verantwortlichkeiten beim Verstoß gegen drittbegünstigende Klauseln der Richtlinien. Der Haftungsumfang muss dabei stets dem Mindeststandard entsprechen, der auch im europäischen Raum vorherrscht. Zudem muss gewährleistet sein, dass dem Betroffenen der Rechtsweg vor ein europäisches Gericht offensteht.

Auditierung der BCR-Umsetzung

Binding Corporate Rules müssen auch Regelungen zur regelmäßigen internen Überprüfung und Hinwirkung auf die Einhaltung der Richtlinien enthalten. Verlangt sind regelmäßige Audits durch neutrale Personen, mit grundlegender Prüfung und Bewertung der Umsetzung der Richtlinien.

Wer ist zuständig für die Genehmigung von Binding Corporate Rules?

Die Genehmigung von BCR erfolgt durch die „federführende“ Aufsichtsbehörde nach Art. 56 DSGVO. Dies wird regelmäßig die Aufsichtsbehörde sein, in deren Zuständigkeitsbereich die Hauptniederlassung des beantragenden Konzerns liegt. Die Behörde muss hierbei das Kohärenzverfahren nach Art. 63 DSGVO anwenden. Eine Abstimmung mit anderen Aufsichtsbehörden ist (wie auch bisher) regelmäßig notwendig und eine Stellungnahme des europäischen Datenschutzausschusses ist vor Genehmigung einzuholen

Was passiert mit bereits vorhandenen BCR?

Art. 46 Abs. 5 DSGVO sieht vor, dass bereits vor Anwendbarkeit der DSGVO erteilte Genehmigungen für BCR gültig bleiben, solange sie die zuständige Aufsichtsbehörde nicht ändert, ersetzt oder aufhebt.

Dieser aktualisierte Artikel erschien zuerst am 27. April 2015.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutzmanagementsystem im Unternehmen

Ein angemessenes Datenschutzmanagementsystem ist unverzichtbare Voraussetzung, um datenschutzrechtliche Anforderungen des Gesetzes aber auch der Kunden belegbar zu erfüllen. Wie ein solches Datenschutzmanagementsystem aussehen kann und welche Punkte besonders zu beachten sind, erklären wir Ihnen in vier wichtigen Schritten.

Warum bedarf es überhaupt eines Datenschutzmanagementsystems?

Genau wie in anderen Managementbereichen, obliegt es auch im Datenschutz der Geschäftsführung, die Einhaltung der Anforderungen sicherzustellen, also zu organisieren und zu ermöglichen. In vielen Fällen wird jedoch davon ausgegangen, dass sich die Pflichten der Geschäftsführung auf die Bestellung eines Datenschutzbeauftragten beschränken und sich fortan der Datenschutzbeauftragte um alle weiteren Angelegenheiten kümmern muss. Diese Vorstellung ist falsch.

Völlig unabhängig von der Bestellung eines Datenschutzbeauftragten, trägt die Geschäftsführung die Verantwortung für den Aufbau einer geeigneten Organisation, die Bereitstellung angemessener Ressourcen und die Vorgabe eines Rahmens, also einer greifbaren Umsetzungsstrategie, zur Erfüllung der Datenschutzanforderungen. Ebenso hat die Leitung dafür zu sorgen, dass alle vorgesehenen Umsetzungen gesteuert erfolgen und kontrolliert werden.

Um den Datenschutz im Unternehmen pflichtgemäß zu handhaben, ist es zwingend, dass die Geschäftsführung Herr der relevanten Prozesse bleibt. Das Management muss sich sichtbar zur Verantwortung im Bereich Datenschutz bekennen und die Belegschaft über die Bedeutung des Datenschutzes zu informieren.

Eine sehr praxistaugliche Orientierung bietet für diese Managementaufgaben das PDCA-Modell (Plan-Do-Check-Act), anhand dessen die nachstehend beschriebenen Schritte von Planung, Umsetzung, Kontrolle und Optimierung ausgerichtet sind.

Planung (P): Ist- und Soll-Zustand des Datenschutzes vergleichen

Die Einbindung des Datenschutzes in die Geschäftsabläufe muss durchdacht und geplant werden, um einerseits einen optimalen Schutz der Daten gewährleisten zu können und andererseits den Ressourceneinsatz möglichst gering zu halten. Daher gilt es zunächst einmal, den datenschutzrechtlichen Ist-Zustand zu erfassen und ihn mit dem gewünschten Soll-Zustand zu vergleichen. Hierzu sollte sich die Geschäftsführung bewusst machen, dass es in einem Unternehmen kaum Bereiche gibt, in denen Datenschutz keine Relevanz hat. So finden sich personenbezogene Daten in jeder E-Mail, jeder Rechnung, jedem Lieferschein, jeder Terminvereinbarung, in jedem Smartphone usw. Selbst eine Strichliste am Kaffeeautomaten ist datenschutzrelevant.

Stehen das gesetzlich geforderte oder von der Leitung gewünschte Niveau und die zu erreichenden Ziele fest, müssen die Wege zu deren Erreichung bestimmt und nachvollziehbar vorgegeben werden. Mindestens ist sicherzustellen, dass keinerlei personenbezogene Daten unkontrolliert oder ohne Rechtsgrundlage verarbeitet werden. Auch ist unumgänglich, Änderungen des Rechts und der Sicherheitstechnik konstant zu verfolgen und ggf. Anpassungen vorzunehmen.

Freilich erfordert all dies einiges an Zeit und Energie und kann nicht vollständig von der Geschäftsführung persönlich umgesetzt werden. Diese sollte daher die Aufgaben sinnvoll nach Qualifikationen und Kompetenzen delegieren und dabei stets darauf achten, den Überblick über die Verteilung zu wahren. Auch die Zuweisung von Verantwortung an geeignete und zuverlässige Personen ist originäre Aufgabe der Geschäftsführung.

Umsetzung (D): Datenschutzprozesse standardisieren

Sodann sind die Ziele umzusetzen. Dieser Schritt besteht im Wesentlichen darin, Regelungen, also Anweisungen und Leitlinien zu erstellen, an denen sich die Mitarbeiter bei der täglichen Arbeit orientieren können, und die begleitenden technischen Maßnahmen zu ergreifen. Regelungen müssen stets angemessen sein, sowohl was die Anforderungen angeht als auch was die an bestimmte Adressaten gerichteten Forderungen betrifft. Allgemein gilt, dass Abläufe im Unternehmen standardisiert und schriftlich fixiert werden sollten. Wichtige Regelungsbereiche sind, um nur einige wenige zu nennen, beispielsweise:

  • IT-Nutzungsrichtlinien, insb. auch die Regelung der Privatnutzung von Geräten bzw. der Nutzung von eigenen Geräten im Unternehmen (BYOD)
  • Aufbewahrungs- und Löschkonzepte
  • Notfallkonzepte
  • Datenschutzkonzepte
  • Erfüllung von Informations- und Betroffenenrechten
  • Bestimmung von und Umgang mit Risiken
  • Outsourcing

Kontrolle (C): Datenschutzmaßnahmen evaluieren

Im Rahmen der Kontrolle wird überprüft, ob die umgesetzten Maßnahmen eingehalten werden und ob diese die beabsichtigte Wirkung entfalten. Es geht vor allem darum, Bereiche mit weiterem Handlungsbedarf zu identifizieren und Verbesserungsmöglichkeiten festzustellen.

Wesentlich ist hier, die Umsetzungserfolge sinnvoll messbar zu machen und dann in bestimmten Abständen auch tatsächlich zu messen, um überhaupt eine Vergleichsmöglichkeit zu erhalten. Denn sind zwar Datenschutzvorschriften vorhanden, werden diese aber im Ergebnis durch Mitarbeiter ignoriert, kann dies ohne weiteres zu Bußgeldern führen, wie eine Verurteilung der DEBEKA bereits vor einigen Jahren zeigte.

Optimieren (A): Datenschutz verbessern

Anschließend gilt es, das Vorgehen und die zugrundeliegenden Regelungen regelmäßig zu überdenken und festzustellen, wie deren Wirksamkeit verbessert werden kann oder sogar muss. Dabei sind auch alternative Maßnahmen oder Anpassungen in Betracht zu ziehen. Veränderte Rahmenbedingungen machen meist eine Anpassung des Vorgehens erforderlich.

Fazit: Ein Managementsystem für den Datenschutz hilft

Die Erfahrung zeigt, dass ein Datenschutzmanagementsystem mit den vier Schritten des PDCA-Modells (Planung, Umsetzung, Kontrolle und Optimierung) einen sehr effizienten Weg bietet, um ein angemessenes Datenschutzniveau im Unternehmen zu erreichen. Darüber hinaus können Datenschutzmaßnahmen so stetig verbessert und schnell an sich ändernde Bedingungen angepasst werden.

Dieser aktualisierte Artikel wurde zuerst am 23. Januar 2015 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Schutz von Kundendaten beim Verkauf von Unternehmen

Wird ein Unternehmen oder Teile davon verkauft, gelangen meist auch Kundendaten in die Hände des neuen Eigentümers. Doch dabei ist Vorsicht geboten, denn gesammelte Kundendaten sind personenbezogene Daten, die meist über reine Listendaten hinausgehen. Solche personenbezogenen Daten können aufgrund des geltenden Datenschutzrechts nur mit Einwilligung der Betroffenen oder auf Basis einer einschlägigen Rechtsgrundlage verarbeitet werden. Die Übermittlung der Daten an einen neuen Eigentümer stellt unter Umständen eine Verarbeitung nach DSGVO (EU-Datenschutz-Grundverordnung) dar. Wie Kundendaten rechtskonform übertragen werden können, erfahren Sie in diesem Artikel.

Datenschutzrechtliche Grundlagen beim Unternehmensverkauf

Dass dem Datenschutz beim Unternehmensverkauf ausreichend Aufmerksamkeit gewidmet werden sollte, zeigt ein Fall aus dem Jahr 2015: Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) verhängte Bußgelder in fünfstelliger Höhe sowohl gegen den Verkäufer als auch gegen den Käufer eines Onlineshops. Die Behörde beanstandete, dass beim Unternehmensverkauf auch die Kundendaten im Rahmen eines Asset Deals vom Verkäufer an den Käufer des Onlineshops übermittelt wurden – und das ohne Rechtsgrundlage.

Das zentrale Problem ist, dass es beim Unternehmensverkauf zu einer Verarbeitung von Daten kommt. Bei der Kundendatenübermittlung ist stets das zugrundeliegende Rechtsgeschäft zu beachten. Aus datenschutzrechtlicher Perspektive beurteilen sich solche Übermittlungen immer nach dem abgeschlossenen Vertrag (Deal): Zu unterscheiden sind die Verschmelzung von Unternehmen nach dem Umwandlungsgesetz sowie Shared Deals und Asset Deals.

Kundendatenübermittlung bei Unternehmens-Verschmelzung

Bei der Verschmelzung mehrerer Unternehmen treten nach herrschender Rechtsmeinung die verschmolzenen Unternehmen eine Gesamtrechtsnachfolge an. Mit anderen Worten: Die verschmelzenden Unternehmen stehen jeweils für die Rechte und Pflichten des anderen ein und agieren zukünftig als ein Unternehmen. In diesem Fall wird eine Übermittlung von Kundendaten verneint, da diese nicht weitergegeben werden, sondern – so wie sie sind – der neuen Unternehmensform erhalten bleiben.

Kundendatenübermittlung beim Shared Deal

Beim Shared Deal werden Anteile des Unternehmens an einen Käufer verkauft und übereignet (meist in Form von Aktien bzw. anderen Wertpapieren). Das Unternehmen an sich ist jedoch davon in der Art der Ausübung seiner Geschäfte nicht betroffen und operiert weiter wie bisher. Daher wird auch hier nicht von einer Übermittlung von Daten an den neuen Anteilseigner des Unternehmens ausgegangen.

Kundendatenübermittlung beim Asset Deal

Anders sieht das beim Asset Deal aus. Hier werden bestimmte Assets – also Vermögenswerte – im Rahmen eines Verkaufs übertragen. Auch ein Kundendatenstamm kann einen solchen Vermögenswert darstellen. Dabei ändert sich die Eigentumslage dieser Vermögenswerte und es wird von einer Kundendatenübermittlung, also einer Verarbeitung im Sinne der DSGVO ausgegangen, für die eine Einwilligung der betroffenen Kunden oder aber eine andere Rechtsgrundlage vorliegen muss.

Wie können Kundendaten beim Asset Deal rechtskonform übertragen werden?

Sollen im Rahmen eines Asset Deals Kundendaten verkauft werden, dürfen Unternehmen nicht automatisch von einer Einwilligung der Betroffenen ausgehen. Zugleich erscheint es wenig erfolgversprechend, eine Einwilligung von jedem einzelnen Betroffenen einzuholen.

Die Suche nach einer gesetzlichen Grundlage beschränkt sich auf Art. 6 DSGVO und hier Buchstabe f). Der Ausgang der notwendigen Interessenabwägung ist grundsätzlich offen und muss anhand des konkret in Frage stehenden Datenbestands geklärt werden. Dies kann, insbesondere bei großen Datenbeständen, eine Herausforderung darstellen.

Aber auch bei einem Asset Deal über Kundendaten kann ein Bußgeld vermieden werden. So sind etwa aus Sicht des BayLDA Unternehmen nicht gezwungen, die Einwilligung der Betroffenen nachträglich einzuholen. Stattdessen akzeptiert die Datenschutzaufsichtsbehörde eine sogenannte Widerspruchslösung. Es wird also als ausreichend angesehen, wenn

  1. Betroffene vor (!) der Übermittlung ihrer Daten an ein anderes bzw. neues Unternehmen auf die bevorstehende Übermittlung hingewiesen werden,
  2. ihnen ein Widerspruchsrecht eingeräumt wird und
  3. die Kunden der Übermittlung der Daten letztendlich nicht widersprechen.

Bei Beachtung dieser Vorgaben, steht auch einer Kundendatenübermittlung im Rahmen eines Asset Deals nichts im Wege.

Vorsicht ist geboten, wenn besondere personenbezogene Daten betroffen sind. Die Voraussetzungen der in Art. 9 DSGVO vorgesehenen gesetzlichen Erlaubnistatbestände sind in Asset-Deal-Fällen nicht erfüllt. Hier bleibt allein die Einwilligung der Betroffenen.

Dieser aktualisierte Artikel wurde zuerst am 30. November 2015 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

DSK veröffentlicht Blacklist für Datenschutz-Folgenabschätzungen

Mit der Datenschutz-Folgenabschätzung (DSFA) prüfen Unternehmen mögliche Risiken bei der Verarbeitung personenbezogener Daten. Im Rahmen dessen sollen die Datenschutzaufsichtsbehörden Positiv- bzw. Negativlisten für die Fälle, in denen die DSFA zwingend bzw. entbehrlich ist, veröffentlichen. Einzelne Aufsichtsbehörden hatten bereits vor einiger Zeit eigene Listen veröffentlicht, diese waren aber nicht an die der anderen angeglichen. Nun legt die Datenschutzkonferenz (DSK), das Gremium der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, für Deutschland eine abgestimmte Blacklist vor.

Verarbeitungen, für die eine DSFA erfolgen muss

Die „DSFA Liste Deutschland“ der DSK (PDF, Version 1.0 vom 10. Juli 2018) sieht vor, dass folgende Verarbeitungstätigkeiten der Pflicht einer vorherigen Datenschutz-Folgenabschätzung unterliegen:

  1. Umfangreiche Verarbeitung von Daten, die einem Sozial-, Berufs- oder Amtsgeheimnis unterliegen
  2. Umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von Menschen
  3. Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der Daten zu bestimmten Zwecken
  4. Erfassung personenbezogener Daten in öffentlichen Bereichen durch mehrere Erfassungssysteme, die zentral zusammengeführt werden
  5. Umfangreiche Erhebung, Veröffentlichung oder Übermittlung von personenbezogenen Daten zur Bewertung von Verhalten oder anderer persönlichen Aspekte von Menschen
  6. Verarbeitung von personenbezogenen Daten über das Verhalten von Beschäftigten
  7. Erstellung von Profilen über Interessen und persönliche Beziehungen sowie Persönlichkeit von Menschen
  8. Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der Daten, insbesondere, wenn dies unter Einsatz von Algorithmen geschieht, die für die betroffenen Personen nicht nachvollziehbar sind, oder die Verarbeitung zu Zwecken des Datamining
  9. Verarbeitung unter Einsatz von künstlicher Intelligenz zur Steuerung einer Interaktion mit dem Betroffenen oder zur Bewertung persönlicher Aspekte
  10. Nutzung von Sensoren eines Mobilfunkgeräts zur Bestimmung von Aufenthaltsorten oder Bewegungen von Personen
  11. Automatisierte Auswertung von Video- oder Audioaufnahmen zu Bewertung von Persönlichkeiten
  12. Erhebung personenbezogener Daten über Schnittstellen elektronischer Geräte ohne Kenntnis des Betroffenen
  13. Erstellung umfassender Profile über Bewegung und Kaufverhalten von Personen
  14. Anonymisierung besonderer personenbezogener Daten zum Zwecke der Übermittlung an Dritte
  15. Verarbeitung von besonderen personenbezogenen Daten sowie von Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten unter Verwendung neuer Technologien zur Bestimmung der Leistungsfähigkeit von Personen.

Wie sollte mit der DSFA-Liste umgegangen werden?

In der DSFA-Liste der DSK sind einzelne Beispiele und Erläuterungen zu den genannten Verarbeitungen enthalten. Völlige Klarheit bringt diese Blacklist leider immer noch nicht, da Interpretationsspielraum besteht. Insbesondere der in der Liste sehr häufig gebrauchte Begriff der „umfangreichen Verarbeitung“ ist in der Datenschutzpraxis nicht wirklich greifbar. Hier wird man abwarten müssen, ob sich in der Anwendung verlässliche Grenzwerte herausbilden.

Auch andere Begriffe müssen ausgelegt werden und haben keine eindeutige Bedeutung. Im Ergebnis besitzt diese DSFA-Liste aber eine sehr starke Indizwirkung. Mit anderen Worten: Bei Verarbeitungen, die grundsätzlich in die beschriebenen Kategorien passen, auf eine DSFA zu verzichten, muss sehr gut begründet werden. Im Zweifel sollte die Datenschutz-Folgenabschätzung erfolgen.

Ergänzend anzumerken bleibt, dass man sich bei etlichen der genannten Verarbeitungszwecke grundsätzlich fragt, welche Rechtsgrundlage für diese zugrunde gelegt werden soll. Zur Erinnerung: Lässt sich die Verarbeitung nicht als erstes auf eine Rechtsgrundlage stützen, erübrigt sich auch die Frage nach der Datenschutz-Folgenabschätzung. Denn dann ist die Verarbeitung schlicht und einfach verboten und muss unterbleiben. Es darf also keinesfalls der Fehler gemacht werden, Verarbeitungen für zulässig zu halten, nur weil sie in dieser Liste enthalten sind!

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!