Binding Corporate Rules und die DSGVO

Viele Unternehmensgruppen oder Konzerne verfügen über Standorte auch außerhalb Europas. Oft sehen sich selbige als rechtliche Einheit und vergessen, dass das Datenschutzrecht auch unter der EU-Datenschutz-Grundverordnung (DSGVO) weiterhin kein Konzernprivileg kennt. Der Datentransfer ist auch innerhalb eines Konzerns oder einer Unternehmensgruppe grundsätzlich zu behandeln, wie ein Transfer zwischen völlig fremden Unternehmen. Es muss eine Rechtsgrundlage für die Verarbeitung gegeben sein, ggf. müssen die Voraussetzungen einer Auftragsverarbeitung erfüllt werden und die Empfängerstelle muss ein angemessenes Datenschutzniveau gewährleisten bzw. Datenschutzgarantien bieten. Für letzteres bieten sich sogenannte Binding Corporate Rules (BCR) an.

Was sind Binding Corporate Rules?

Binding Corporate Rules, zu Deutsch „verbindliche Unternehmensrichtlinien“, sind konzernweit gültige, verbindliche Vorgaben zur Regelung von Datenflüssen. Durch sie wird in der gesamten Unternehmensgruppe ein einheitliches Datenschutzsystem errichtet und ein gemeinsamer Datenschutzstandard geschaffen.

Durch aufsichtsbehördliche Genehmigung erlangen diese Regelungen den Status einer Datenschutzgarantie. Unter der DSGVO werden diese Garantien nunmehr EU-weit anerkannt.

Für wen sind Binding Corporate Rules sinnvoll?

Binding Corporate Rules eignen sich insbesondere dann, wenn die konzernweiten Datenströme nicht lediglich auf eine Muttergesellschaft kanalisiert sind, sondern wenn alle konzernangehörigen Unternehmen untereinander Daten in jede Richtung austauschen. In diesem Fall wäre der Abschluss von EU-Standardvertragsklauseln zu umständlich und würde zu einer unüberschaubaren Vielzahl von Verträgen führen.

Aber auch für Konzerne, die auf einen auditierbaren konzernweiten Standard Wert legen, wie es beispielsweise in der Versicherungsbranche häufig vorkommt, sind Binding Corporate Rules ein sehr interessantes Mittel. Denn nur diese können eine prüfbare und einheitliche Datenschutz-Compliance gewährleisten.

Daneben sind wohl auch der konzernweite Einsatz einer gemeinsamen IT-Lösung oder eine konzernweite Bearbeitung von Aufträgen am besten durch den Abschluss verbindlicher Unternehmensrichtlinien zu untermauern.

Anwendungsbereich von BCR

BCR dienen als taugliche „Datenschutzgarantie“ im Rahmen von Datentransfers innerhalb einer Unternehmensgruppe auch außerhalb von EU bzw. EWR. Wie unter alter Rechtslage auch, ersetzen sie weiterhin weder eine Rechtsgrundlage, noch machen sie einen Vertrag zur Auftragsverarbeitung überflüssig. Ebenso wenig sind sie anwendbar, wenn die Unternehmensgruppe verlassen wird; etwa durch den Einsatz von (Sub-)Dienstleistern.

Was beinhalten Binding Corporate Rules?

Verbindliche Unternehmensrichtlinien sind meist sehr umfangreiche Schriftwerke, da sie durch ihre Regelungsinhalte im Wesentlichen das Schutzniveau des europäischen Datenschutzrechts wiedergeben müssen. Schwerpunktmäßig beinhalten derartige Richtlinien Regelungen über Anwendungsbereich, Haftung, Sicherstellung der Verbindlichkeit, Auditierungen, die Zulässigkeit des Umgangs mit personenbezogenen Daten sowie Maßnahmen zum Schutz der Daten.

Die DSGVO enthält in Art. 47 einen umfangreichen Anforderungskatalog für BCR.

Festsetzung der konzernweiten Verbindlichkeit von BCR

Binding Corporate Rules müssen konzernweit gültige Festlegungen enthalten. Sie müssen intern für alle zugehörigen Unternehmen und Mitarbeiter verbindlich sein. Zugleich muss die Durchsetzbarkeit drittbegünstigender Regelungen durch Außenstehende, beispielsweise die Betroffenen, gewährleistet sein.

Da sich die rechtlichen Rahmenbedingungen in Staaten außerhalb des Geltungsbereichs der DSGVO teilweise immer noch unterscheiden, ist es nicht einfach, hier eine passende Lösung zu finden. Einseitige Erklärungen sind beispielsweise nicht in allen Staaten rechtlich bindend und von außen durchsetzbar. Reguläre Verträge gelten wiederum im Regelfall nur „inter partes“, also ausschließlich zwischen den Vertragsparteien, so dass sich Dritte nicht auf mögliche Vertragsverstöße berufen können. Daher gilt es, ein rechtliches Konstrukt zu schaffen, welches allen Anforderungen genügt. Im Regelfall werden vertragliche Vereinbarungen zwischen den teilnehmen Unternehmen geschlossen, in denen notwendige Drittbegünstigungen enthaltenen sind.

Haftungsregelungen im Rahmen von BCR

Ein weiterer wichtiger Teil sind die Regelungen der Haftung und der Verantwortlichkeiten beim Verstoß gegen drittbegünstigende Klauseln der Richtlinien. Der Haftungsumfang muss dabei stets dem Mindeststandard entsprechen, der auch im europäischen Raum vorherrscht. Zudem muss gewährleistet sein, dass dem Betroffenen der Rechtsweg vor ein europäisches Gericht offensteht.

Auditierung der BCR-Umsetzung

Binding Corporate Rules müssen auch Regelungen zur regelmäßigen internen Überprüfung und Hinwirkung auf die Einhaltung der Richtlinien enthalten. Verlangt sind regelmäßige Audits durch neutrale Personen, mit grundlegender Prüfung und Bewertung der Umsetzung der Richtlinien.

Wer ist zuständig für die Genehmigung von Binding Corporate Rules?

Die Genehmigung von BCR erfolgt durch die „federführende“ Aufsichtsbehörde nach Art. 56 DSGVO. Dies wird regelmäßig die Aufsichtsbehörde sein, in deren Zuständigkeitsbereich die Hauptniederlassung des beantragenden Konzerns liegt. Die Behörde muss hierbei das Kohärenzverfahren nach Art. 63 DSGVO anwenden. Eine Abstimmung mit anderen Aufsichtsbehörden ist (wie auch bisher) regelmäßig notwendig und eine Stellungnahme des europäischen Datenschutzausschusses ist vor Genehmigung einzuholen

Was passiert mit bereits vorhandenen BCR?

Art. 46 Abs. 5 DSGVO sieht vor, dass bereits vor Anwendbarkeit der DSGVO erteilte Genehmigungen für BCR gültig bleiben, solange sie die zuständige Aufsichtsbehörde nicht ändert, ersetzt oder aufhebt.

Dieser aktualisierte Artikel erschien zuerst am 27. April 2015.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutzmanagementsystem im Unternehmen

Ein angemessenes Datenschutzmanagementsystem ist unverzichtbare Voraussetzung, um datenschutzrechtliche Anforderungen des Gesetzes aber auch der Kunden belegbar zu erfüllen. Wie ein solches Datenschutzmanagementsystem aussehen kann und welche Punkte besonders zu beachten sind, erklären wir Ihnen in vier wichtigen Schritten.

Warum bedarf es überhaupt eines Datenschutzmanagementsystems?

Genau wie in anderen Managementbereichen, obliegt es auch im Datenschutz der Geschäftsführung, die Einhaltung der Anforderungen sicherzustellen, also zu organisieren und zu ermöglichen. In vielen Fällen wird jedoch davon ausgegangen, dass sich die Pflichten der Geschäftsführung auf die Bestellung eines Datenschutzbeauftragten beschränken und sich fortan der Datenschutzbeauftragte um alle weiteren Angelegenheiten kümmern muss. Diese Vorstellung ist falsch.

Völlig unabhängig von der Bestellung eines Datenschutzbeauftragten, trägt die Geschäftsführung die Verantwortung für den Aufbau einer geeigneten Organisation, die Bereitstellung angemessener Ressourcen und die Vorgabe eines Rahmens, also einer greifbaren Umsetzungsstrategie, zur Erfüllung der Datenschutzanforderungen. Ebenso hat die Leitung dafür zu sorgen, dass alle vorgesehenen Umsetzungen gesteuert erfolgen und kontrolliert werden.

Um den Datenschutz im Unternehmen pflichtgemäß zu handhaben, ist es zwingend, dass die Geschäftsführung Herr der relevanten Prozesse bleibt. Das Management muss sich sichtbar zur Verantwortung im Bereich Datenschutz bekennen und die Belegschaft über die Bedeutung des Datenschutzes zu informieren.

Eine sehr praxistaugliche Orientierung bietet für diese Managementaufgaben das PDCA-Modell (Plan-Do-Check-Act), anhand dessen die nachstehend beschriebenen Schritte von Planung, Umsetzung, Kontrolle und Optimierung ausgerichtet sind.

Planung (P): Ist- und Soll-Zustand des Datenschutzes vergleichen

Die Einbindung des Datenschutzes in die Geschäftsabläufe muss durchdacht und geplant werden, um einerseits einen optimalen Schutz der Daten gewährleisten zu können und andererseits den Ressourceneinsatz möglichst gering zu halten. Daher gilt es zunächst einmal, den datenschutzrechtlichen Ist-Zustand zu erfassen und ihn mit dem gewünschten Soll-Zustand zu vergleichen. Hierzu sollte sich die Geschäftsführung bewusst machen, dass es in einem Unternehmen kaum Bereiche gibt, in denen Datenschutz keine Relevanz hat. So finden sich personenbezogene Daten in jeder E-Mail, jeder Rechnung, jedem Lieferschein, jeder Terminvereinbarung, in jedem Smartphone usw. Selbst eine Strichliste am Kaffeeautomaten ist datenschutzrelevant.

Stehen das gesetzlich geforderte oder von der Leitung gewünschte Niveau und die zu erreichenden Ziele fest, müssen die Wege zu deren Erreichung bestimmt und nachvollziehbar vorgegeben werden. Mindestens ist sicherzustellen, dass keinerlei personenbezogene Daten unkontrolliert oder ohne Rechtsgrundlage verarbeitet werden. Auch ist unumgänglich, Änderungen des Rechts und der Sicherheitstechnik konstant zu verfolgen und ggf. Anpassungen vorzunehmen.

Freilich erfordert all dies einiges an Zeit und Energie und kann nicht vollständig von der Geschäftsführung persönlich umgesetzt werden. Diese sollte daher die Aufgaben sinnvoll nach Qualifikationen und Kompetenzen delegieren und dabei stets darauf achten, den Überblick über die Verteilung zu wahren. Auch die Zuweisung von Verantwortung an geeignete und zuverlässige Personen ist originäre Aufgabe der Geschäftsführung.

Umsetzung (D): Datenschutzprozesse standardisieren

Sodann sind die Ziele umzusetzen. Dieser Schritt besteht im Wesentlichen darin, Regelungen, also Anweisungen und Leitlinien zu erstellen, an denen sich die Mitarbeiter bei der täglichen Arbeit orientieren können, und die begleitenden technischen Maßnahmen zu ergreifen. Regelungen müssen stets angemessen sein, sowohl was die Anforderungen angeht als auch was die an bestimmte Adressaten gerichteten Forderungen betrifft. Allgemein gilt, dass Abläufe im Unternehmen standardisiert und schriftlich fixiert werden sollten. Wichtige Regelungsbereiche sind, um nur einige wenige zu nennen, beispielsweise:

  • IT-Nutzungsrichtlinien, insb. auch die Regelung der Privatnutzung von Geräten bzw. der Nutzung von eigenen Geräten im Unternehmen (BYOD)
  • Aufbewahrungs- und Löschkonzepte
  • Notfallkonzepte
  • Datenschutzkonzepte
  • Erfüllung von Informations- und Betroffenenrechten
  • Bestimmung von und Umgang mit Risiken
  • Outsourcing

Kontrolle (C): Datenschutzmaßnahmen evaluieren

Im Rahmen der Kontrolle wird überprüft, ob die umgesetzten Maßnahmen eingehalten werden und ob diese die beabsichtigte Wirkung entfalten. Es geht vor allem darum, Bereiche mit weiterem Handlungsbedarf zu identifizieren und Verbesserungsmöglichkeiten festzustellen.

Wesentlich ist hier, die Umsetzungserfolge sinnvoll messbar zu machen und dann in bestimmten Abständen auch tatsächlich zu messen, um überhaupt eine Vergleichsmöglichkeit zu erhalten. Denn sind zwar Datenschutzvorschriften vorhanden, werden diese aber im Ergebnis durch Mitarbeiter ignoriert, kann dies ohne weiteres zu Bußgeldern führen, wie eine Verurteilung der DEBEKA bereits vor einigen Jahren zeigte.

Optimieren (A): Datenschutz verbessern

Anschließend gilt es, das Vorgehen und die zugrundeliegenden Regelungen regelmäßig zu überdenken und festzustellen, wie deren Wirksamkeit verbessert werden kann oder sogar muss. Dabei sind auch alternative Maßnahmen oder Anpassungen in Betracht zu ziehen. Veränderte Rahmenbedingungen machen meist eine Anpassung des Vorgehens erforderlich.

Fazit: Ein Managementsystem für den Datenschutz hilft

Die Erfahrung zeigt, dass ein Datenschutzmanagementsystem mit den vier Schritten des PDCA-Modells (Planung, Umsetzung, Kontrolle und Optimierung) einen sehr effizienten Weg bietet, um ein angemessenes Datenschutzniveau im Unternehmen zu erreichen. Darüber hinaus können Datenschutzmaßnahmen so stetig verbessert und schnell an sich ändernde Bedingungen angepasst werden.

Dieser aktualisierte Artikel wurde zuerst am 23. Januar 2015 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Schutz von Kundendaten beim Verkauf von Unternehmen

Wird ein Unternehmen oder Teile davon verkauft, gelangen meist auch Kundendaten in die Hände des neuen Eigentümers. Doch dabei ist Vorsicht geboten, denn gesammelte Kundendaten sind personenbezogene Daten, die meist über reine Listendaten hinausgehen. Solche personenbezogenen Daten können aufgrund des geltenden Datenschutzrechts nur mit Einwilligung der Betroffenen oder auf Basis einer einschlägigen Rechtsgrundlage verarbeitet werden. Die Übermittlung der Daten an einen neuen Eigentümer stellt unter Umständen eine Verarbeitung nach DSGVO (EU-Datenschutz-Grundverordnung) dar. Wie Kundendaten rechtskonform übertragen werden können, erfahren Sie in diesem Artikel.

Datenschutzrechtliche Grundlagen beim Unternehmensverkauf

Dass dem Datenschutz beim Unternehmensverkauf ausreichend Aufmerksamkeit gewidmet werden sollte, zeigt ein Fall aus dem Jahr 2015: Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) verhängte Bußgelder in fünfstelliger Höhe sowohl gegen den Verkäufer als auch gegen den Käufer eines Onlineshops. Die Behörde beanstandete, dass beim Unternehmensverkauf auch die Kundendaten im Rahmen eines Asset Deals vom Verkäufer an den Käufer des Onlineshops übermittelt wurden – und das ohne Rechtsgrundlage.

Das zentrale Problem ist, dass es beim Unternehmensverkauf zu einer Verarbeitung von Daten kommt. Bei der Kundendatenübermittlung ist stets das zugrundeliegende Rechtsgeschäft zu beachten. Aus datenschutzrechtlicher Perspektive beurteilen sich solche Übermittlungen immer nach dem abgeschlossenen Vertrag (Deal): Zu unterscheiden sind die Verschmelzung von Unternehmen nach dem Umwandlungsgesetz sowie Shared Deals und Asset Deals.

Kundendatenübermittlung bei Unternehmens-Verschmelzung

Bei der Verschmelzung mehrerer Unternehmen treten nach herrschender Rechtsmeinung die verschmolzenen Unternehmen eine Gesamtrechtsnachfolge an. Mit anderen Worten: Die verschmelzenden Unternehmen stehen jeweils für die Rechte und Pflichten des anderen ein und agieren zukünftig als ein Unternehmen. In diesem Fall wird eine Übermittlung von Kundendaten verneint, da diese nicht weitergegeben werden, sondern – so wie sie sind – der neuen Unternehmensform erhalten bleiben.

Kundendatenübermittlung beim Shared Deal

Beim Shared Deal werden Anteile des Unternehmens an einen Käufer verkauft und übereignet (meist in Form von Aktien bzw. anderen Wertpapieren). Das Unternehmen an sich ist jedoch davon in der Art der Ausübung seiner Geschäfte nicht betroffen und operiert weiter wie bisher. Daher wird auch hier nicht von einer Übermittlung von Daten an den neuen Anteilseigner des Unternehmens ausgegangen.

Kundendatenübermittlung beim Asset Deal

Anders sieht das beim Asset Deal aus. Hier werden bestimmte Assets – also Vermögenswerte – im Rahmen eines Verkaufs übertragen. Auch ein Kundendatenstamm kann einen solchen Vermögenswert darstellen. Dabei ändert sich die Eigentumslage dieser Vermögenswerte und es wird von einer Kundendatenübermittlung, also einer Verarbeitung im Sinne der DSGVO ausgegangen, für die eine Einwilligung der betroffenen Kunden oder aber eine andere Rechtsgrundlage vorliegen muss.

Wie können Kundendaten beim Asset Deal rechtskonform übertragen werden?

Sollen im Rahmen eines Asset Deals Kundendaten verkauft werden, dürfen Unternehmen nicht automatisch von einer Einwilligung der Betroffenen ausgehen. Zugleich erscheint es wenig erfolgversprechend, eine Einwilligung von jedem einzelnen Betroffenen einzuholen.

Die Suche nach einer gesetzlichen Grundlage beschränkt sich auf Art. 6 DSGVO und hier Buchstabe f). Der Ausgang der notwendigen Interessenabwägung ist grundsätzlich offen und muss anhand des konkret in Frage stehenden Datenbestands geklärt werden. Dies kann, insbesondere bei großen Datenbeständen, eine Herausforderung darstellen.

Aber auch bei einem Asset Deal über Kundendaten kann ein Bußgeld vermieden werden. So sind etwa aus Sicht des BayLDA Unternehmen nicht gezwungen, die Einwilligung der Betroffenen nachträglich einzuholen. Stattdessen akzeptiert die Datenschutzaufsichtsbehörde eine sogenannte Widerspruchslösung. Es wird also als ausreichend angesehen, wenn

  1. Betroffene vor (!) der Übermittlung ihrer Daten an ein anderes bzw. neues Unternehmen auf die bevorstehende Übermittlung hingewiesen werden,
  2. ihnen ein Widerspruchsrecht eingeräumt wird und
  3. die Kunden der Übermittlung der Daten letztendlich nicht widersprechen.

Bei Beachtung dieser Vorgaben, steht auch einer Kundendatenübermittlung im Rahmen eines Asset Deals nichts im Wege.

Vorsicht ist geboten, wenn besondere personenbezogene Daten betroffen sind. Die Voraussetzungen der in Art. 9 DSGVO vorgesehenen gesetzlichen Erlaubnistatbestände sind in Asset-Deal-Fällen nicht erfüllt. Hier bleibt allein die Einwilligung der Betroffenen.

Dieser aktualisierte Artikel wurde zuerst am 30. November 2015 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Kündigungsschutz auch für stellvertretende Datenschutzbeauftragte

Mitarbeiter, die als (interner) betrieblicher Datenschutzbeauftragter bestellt sind, genießen gemeinhin Kündigungsschutz. Ein aktuelles Gerichtsurteil erweitert diesen Schutz nun auch auf Stellvertreter des Datenschutzbeauftragten. Unternehmen, die ein ganzes Team bzw. eine Abteilung mit dem unternehmerischen Datenschutz beauftragen, sollten also sehr genau darauf achten, welche Mitarbeiter sie dort einsetzen. Doch es gibt eine Alternative für alle, die sich durch diesen Kündigungsschutz zu sehr eingeschränkt fühlen.

Der Kündigungsschutz des internen Datenschutzbeauftragten

Unter der europäischen Datenschutz-Grundverordnung (DSGVO) – wie auch schon unter dem alten Bundesdatenschutzgesetz (BDSG) – gilt, dass der interne Datenschutzbeauftragte gegen seinen Willen nicht abberufen werden kann. Während bestehender Bestellung sowie ein Jahr nachwirkend ist eine ordentliche Kündigung ausgeschlossen.

Bereits deshalb waren Unternehmen sehr gut beraten, sich reichlich zu überlegen, welchem Mitarbeiter diese Aufgabe übertragen wird.

Bisher war gängige Ansicht, dass der Kündigungsschutz nur für den ersten bestellten Datenschutzbeauftragten galt. Immerhin ist die Pflicht zur Bestellung mit dieser einen Bestellung erfüllt. Die bestellte Person hat sämtliche Rechte und Pflichten des Datenschutzbeauftragten.

Urteil: Kündigungsschutz gilt auch für Stellvertreter des Datenschutzbeauftragten

Eine neuere Entscheidung des Bundesarbeitsgerichts vom 27. Juli 2017 erweitert den Kündigungsschutz nun auch auf Stellvertreter des Datenschutzbeauftragten (2 AZR 812/16). Das Bundesarbeitsgericht interpretiert die Vorschrift des § 4f Abs. 3 S. 5 BDSG (der alten Fassung!) weiter. Der Kündigungsschutz soll danach gelten, sobald die verantwortliche Stelle allgemein zur Bestellung eines Datenschutzbeauftragten verpflichtet ist; nicht aber nur für den ersten Datenschutzbeauftragten. Nachdem sich diese Regelung lediglich an anderer Stelle, aber exakt so auch im BDSG-neu findet, gilt dies weiterhin.

Nach Auffassung des Bundesarbeitsgerichts ist es unerheblich, ob die Bestellung eines weiteren Datenschutzbeauftragten überhaupt erforderlich war, um die im Betrieb anfallenden Aufgaben zu erledigen. Allein entscheidend sei, ob der Stellvertreter eigenverantwortlich und frei von Weisungen die Aufgaben eines Datenschutzbeauftragten wahrnehmen soll.

Dies trifft ganz eindeutig dann zu, wenn der Vertreter den ursprünglich bestellten Beauftragten für Datenschutz nicht nur kurzfristig vertreten soll, sondern einspringt, weil der eigentlich bestellte Datenschutzbeauftragte längerfristig verhindert ist.

Was bedeutet das Urteil für die Praxis?

Unternehmen, die gegebenenfalls aufgrund der Vielzahl der zu erledigenden Aufgaben des Datenschutzbeauftragten ein ganzes Datenschutzteam aufbauen bzw. für eine laufende Stellvertretung Sorge zu tragen haben, müssen damit rechnen, sich bei interner Bestellung möglicherweise gleich an mehrere Personen sehr dauerhaft zu binden. Der interne Datenschutzbeauftragte kann grundsätzlich nur beim Vorliegen eines außerordentlichen Grundes gekündigt werden.

Unternehmen, die sich sorgen, aufgrund dieses Kündigungsschutzes personelle Ressourcen zu blockieren, sollten über eine effiziente Alternative zum internen Datenschutzbeauftragten nachdenken. Die einfachste Möglichkeit besteht darin, einen externen Datenschutzbeauftragten zu bestellen. Denn dieser genießt keinen vergleichbaren Kündigungsschutz und erhält die für Unternehmen oftmals so notwendige Flexibilität.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde

Die EU-Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 voll anwendbar. Aufgrund zahlreicher Änderungen bereiteten sich viele Unternehmen seit langem auf die neuen Datenschutzvorschriften vor. Nun gilt es, die ersten Handlungspflichten zu erfüllen. Eine davon ist die Meldung Ihres Datenschutzbeauftragten an Ihre Aufsichtsbehörde.

Nach Art. 37 Abs. 7 DSGVO muss der Datenschutzbeauftragte von Verantwortlichen und Auftragsverarbeitern der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden. Die meisten Aufsichtsbehörden haben vorgezogene Meldungen nicht akzeptiert. Die Meldung des Datenschutzbeauftragten soll online per Formular über die Webseiten der Aufsichtsbehörden erfolgen. Offensichtlich gibt es dabei bei einigen Aufsichtsbehörden Verzögerungen; einzelne haben daher die Frist für die Meldung verlängert.

Liste der Datenschutz-Aufsichtsbehörden

Bundesland

Meldung

Baden-Württemberg möglich
Bayern möglich (nach Registrierung), Frist bis 31. August 2018
Berlin möglich
Brandenburg möglich
Bremen noch nicht möglich
Hamburg möglich
Hessen möglich
Mecklenburg-Vorpommern möglich
Niedersachsen Meldung noch nicht möglich (kein aktuelles Formular)
Nordrhein-Westfalen Meldung ist möglich. Bis 31.12.2018 wird fehlende Meldung nicht als Verstoß geahndet.
Rheinland-Pfalz möglich
Saarland möglich
Sachsen möglich
Sachsen-Anhalt möglich
Schleswig-Holstein möglich
Thüringen möglich

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

5 Thesen zu Bußgeldern unter der DSGVO

Dass in der EU-Datenschutz-Grundverordnung (DSGVO) drastisch höhere Bußgelder vorgesehen sind, als im bisherigen Datenschutzrecht, hat mittlerweile wohl jedes Unternehmen gehört. Was aber bedeuten die neuen Bußgeldvorschriften in der DSGVO für die Praxis? Worauf müssen sich Unternehmen konkret einstellen? Während vieles davon abhängt, wie die Datenschutz-Aufsichtsbehörden tatsächlich sanktionieren, können wir einige gut begründete Thesen bereits jetzt aufstellen.

1. Bußgelder werden Pflicht

Datenschutzverstöße müssen künftig geahndet werden (Art. 83 DSGVO). Es steht also nicht mehr im Ermessen der Aufsichtsbehörden, ob ein Verstoß „bestraft“ wird; lediglich über die Höhe des zu verhängenden Bußgeldes ist noch eine Entscheidung möglich. Die DSGVO schreibt den Aufsichtsbehörden eindeutig vor, dass Geldbußen in jedem Einzelfall wirksam, abschreckend und verhältnismäßig sein müssen.

2. Bußgelder werden höher

Das „durchschnittlich“ verhängte Bußgeld wird deutlich steigen. Bisher endete der Regelrahmen für Bußgelder bei 50.000 Euro, in Ausnahmefällen bei 300.000 Euro. In der DSGVO ist das Regelbußgeld nach oben auf 20 Mio. Euro bzw. 4 % des letztjährigen globalen Umsatzes begrenzt. Dabei gilt der kleinere Rahmen von bis zu 10 Mio. Euro bzw. 2 % als Ausnahme für einige konkret bestimmte Fälle (vgl. Art. 83 Abs. 4 DSGVO).

Mit welchen Strafen müssen Unternehmen demnach künftig rechnen? Aktuell liegen durchschnittliche Bußgelder in Deutschland bei 10.000 bis 15.000 Euro, wie die Aufsichtsbehörden selbst mitteilen. Die Aufsichtsbehörden verlangen also etwa 20 bis 25 % der möglichen Maximalstrafe. Bei gleicher Praxis müssten durchschnittliche Bußgelder unter der DSGVO bei 4 bis 5 Mio. Euro liegen.

Zu solch drastischen Strafgeldern wird es vermutlich nicht kommen. Aber es ist klar, dass die Bußen steigen – und so ist es vom Gesetzgeber auch eindeutig beabsichtigt. Wie die Aufsichtsbehörden künftig ahnden, wird man abwarten müssen. Auf einer aktuellen Veranstaltung äußerte sich jedoch ein Landesbeauftragter für Datenschutz beispielhaft zu Fehlern bei der Bestellung des betrieblichen Datenschutzbeauftragten: Bei nicht korrekter Bestellung ist offenbar künftig mit 300.000 Euro Bußgeld zu rechnen!

Interessant bzw. schmerzhaft dürften auch die Regressansprüche gegen Datenschutzbeauftragte werden, wenn diese nicht die persönlichen und fachlichen Voraussetzungen mitbringen – und dies hätten erkennen können. Die Bußgelder erreichen zukünftig Höhen, die Unternehmen nicht mehr einfach „schlucken“.

3. Bußgelder werden häufiger verhängt

Die Aufsichtsbehörden werden künftig häufiger von Datenschutzverletzungen erfahren, denn diese sind unter der DSGVO grundsätzlich innerhalb von 72 Stunden meldepflichtig! Da die Aufsichtsbehörden ahnden müssen (siehe oben), werden sie häufiger Bußgelder verhängen.

Hinzukommt, dass das öffentliche Bewusstsein, ein Recht auf Datenschutz zu haben, deutlich gestiegen ist. Beschwerden bei den Aufsichtsbehörden nehmen bereits seit einiger Zeit zu. Eine solche Beschwerde bei einer Behörde – die jedem möglich ist – ist zudem ein einfaches und unter Umständen sehr taugliches Mittel, um ein Unternehmen, über das man sich geärgert hat, „zurück zu ärgern“.

4. Gerichtsverfahren zu Bußen werden zunehmen

Aktuell zahlen viele Unternehmen ein Bußgeld lieber, als den unangenehmen Datenschutz-Vorfall an die große Glocke zu hängen. Diese Entscheidung ist bei „nur“ 15.000 Euro Bußgeld durchaus nachvollziehbar. Bei sechs- oder siebenstelligen Summen sieht das schon anders aus. Widersprüche, Prozesse und öffentliche Gerichtsverhandlungen sowie veröffentlichte Urteile dürften mit einer gewissen Verzögerung die Regel werden.

Dass Unternehmen im Falle eines Falles auch versuchen werden, sich vom eigentlichen Verursacher wenigstens einen Teil des Bußgeldes zurückzuholen, ist ebenfalls vorhersehbar. Klagen gegen Geschäftsführer, verantwortliche Sachbearbeiter, eingesetzte Dienstleister (Auftragsverarbeiter) oder aber eben auch gegen Datenschutzbeauftragte werden sicher häufiger.

5. Bußgelder werden sich EU-weit angleichen

Zu guter Letzt ist davon auszugehen, dass ein europäischer Angleichungsprozess entsteht. Es kann schließlich nicht weiterhin sein, dass in einigen EU-Mitgliedsländern der Datenschutz eher streng durchgesetzt wird und in anderen kaum. Ebenso wenig sollten in einem Land heftige Bußgelder verhängt werden und in anderen eher milde Strafen. Das würde die Rahmenbedingungen und letztlich den Wettbewerb verzerren.

Spätestens auf Ebene der EU dürfte daher eine aufmerksame Kontrolle und Korrektur stattfinden, wenn es in Einzelstaaten nicht so läuft, wie mit der DSGVO geplant. Einige Länder und die dortigen Unternehmen dürften sich also bald umgewöhnen müssen, was den Verfolgungsdruck angeht.

Aufgrund dieser rechtlichen Harmonisierungsbestrebungen der EU wird es also (zumindest mittelfristig) kaum einen Unterschied machen, ob eine italienische, estnische oder deutsche Aufsichtsbehörde Datenschutz-Verstöße ahndet.

Fazit: Vorsorge ist viel, viel besser, als das Nachsehen zu haben

Zusammengefasst werden Bußgelder unter der Datenschutz-Grundverordnung überall höher und häufiger verhängt werden. Die umtriebigen Vorbereitungen und Umfragen der Aufsichtsbehörden deuten darauf hin, dass mit Anwendbarkeit der DSGVO am 25. Mai 2018 schnell, koordiniert und konsequent gehandelt wird.

Unternehmen ist deshalb nur zu raten, durch entsprechend gute Vorbereitung erst gar nicht in die Verlegenheit zu kommen, sich mit Bußgeldern auseinandersetzen zu müssen. Ein proaktiver Kontakt mit der zuständigen Datenschutzbehörde kann dabei sehr hilfreich sein. Insbesondere die bereits sehr erfahrenen und breit aufgestellten deutschen Aufsichtsbehörden gelten als kooperativ und unterstützen gerne.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Auftragsverarbeitung bleibt unter DSGVO offenbar weiterhin privilegiert

Wie die activeMind AG aus „gut informierten Kreisen“ erfahren hat, scheinen sich die Datenschutz-Aufsichtsbehörden in Deutschland einig zu sein, die Auftragsverarbeitung unter der EU-Datenschutz-Grundverordnung (DSGVO) auch weiterhin als privilegiert anzusehen. Die Konsequenzen daraus beträfen fast alle Unternehmen.

Was bedeutet die Privilegierung?

Eine Privilegierung bedeutet, dass personenbezogene Daten im Rahmen der Auftragsverarbeitung ohne eine gesonderte gesetzliche Erlaubnis oder gar die Einwilligung der Betroffenen an einen Auftragsverarbeiter weitergegeben werden dürfen.

Der Auftragsverarbeiter wird also – unter der DSGVO ebenso wie schon unter dem alten Bundesdatenschutzgesetz (BDSG) – als ein Teil der verantwortlichen Stelle behandelt. Bei strenger Auslegung der DSGVO ist die Weitergabe oder Zurverfügungstellung von Daten an einen „Empfänger“ im Sinne des Art. 4 Nr. 9 DSGVO (hier gehört der Auftragsverarbeiter dazu!) eine „Verarbeitung“ i. S. d. Art. 4 Nr. 2 DSGVO, die einer Rechtsgrundlage bedarf.

Die Privilegierung der Auftragsverarbeitung unter der DSGVO

Während das alte BDSG die Privilegierung der Auftragsverarbeitung explizit enthielt, sagt die DSGVO hierzu nichts Greifbares. Datenschutzexperten diskutierten deshalb bis zuletzt darüber, ob Auftragsverarbeiter im Sinne der DSGVO als Teil der verantwortlichen Stelle zu betrachten seien oder nicht. Gerade in Bereichen, in denen besondere personenbezogene Daten betroffen sind, wären in der Praxis erhebliche Probleme zu erwarten gewesen.

Wie es aussieht, sind die deutschen Datenschutzaufsichtsbehörden jedoch zu dem Schluss gekommen, die Privilegierung der Auftragsverarbeitung als solche beizubehalten – trotz unklarer Rechtslage. Das ist aus Sicht der Praxis sehr zu begrüßen und hätte u. a. folgende Konsequenzen:

  1. Es wird auch künftig keine zusätzliche Rechtsgrundlage notwendig sein, um einen Dienstleister mit der Verarbeitung von personenbezogenen Daten zu beauftragen. Es genügt, dass der Auftraggeber die geplante Verarbeitung selbst rechtmäßig vornehmen kann.
  2. Durch den Wegfall der im alten BDSG noch vorhandenen regionalen Beschränkung wird die Auftragsverarbeitung künftig aber auch außerhalb der EU bzw. des EWR als solche möglich sein. Grundsätzlich wird also die Einschaltung eines internationalen Dienstleisters einfacher, falls (!) der Anbieter in der Lage und bereit ist, einen tauglichen Vertrag zur Auftragsverarbeitung abzuschließen. Die hierbei im internationalen Umfeld zusätzlich bestehenden Anforderungen müssen aber weiterhin erfüllt sein, insbesondere müssen Datenschutzgarantien erbracht werden!
  3. Die anstehende Änderung des § 203 StGB für Berufsgeheimnisträger hätte tatsächlich den beabsichtigten Erfolg, dass auch hier bei der Auftragsverarbeitung keine zusätzlichen Hürden genommen werden müssen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

EU-Standardvertragsklauseln vor Gericht

Die sogenannten EU-Standardvertragsklauseln werden von höchstrichterlicher Stelle geprüft. Der irische Gerichtshof hat die Frage der Rechtmäßigkeit der Klauseln dem Europäischen Gerichtshof (EuGH) vorgelegt. Nachdem der EuGH im Jahr 2015 bereits das Safe-Harbor-Abkommen für ungültig erklärte, ist die gerichtliche Überprüfung der Standardvertragsklauseln für Datenschutzexperten keine große Überraschung. Ein ähnlich vernichtendes Urteil würde jedoch alle Unternehmen, die personenbezogene Daten in die USA übermitteln, vor sehr große Probleme stellen.

Selbst wenn alle anderen Voraussetzungen erfüllt sind, bedarf es für die Übermittlung und Verarbeitung von personenbezogenen Daten in Drittstaaten (also außerhalb der EU bzw. des EWR) immer noch zusätzlich Garantien, dass die personenbezogenen Daten dort im vergleichbaren Maße wie in der EU geschützt werden. Als solche Garantien gelten ein Angemessenheitsbeschluss der EU-Kommission oder eben bestimmte Vertragskonstrukte, wie die EU-Standardvertragsklauseln sie gemäß Art. 46 DSGVO (EU-Datenschutz-Grundverordnung) darstellen.

Laut einer aktuellen repräsentativen Umfrage des Branchenverbandes Bitkom setzen derzeit tatsächlich acht von zehn Unternehmen (79 %), die Daten direkt oder über einen Dienstleister mit den USA austauschen, auf Standardvertragsklauseln. Nur 13 % nutzen das EU-U.S. Privacy Shield, die Nachfolgeregelung von Safe Harbor.

Der irische Gerichtshof hat jedoch generelle Zweifel, ob die Grundrechte europäischer Bürger in den USA gewahrt werden, insbesondere, ob die Möglichkeit auf Rechtsschutz besteht. Eben dies war auch der wesentliche Inhalt des Urteils, das Safe Harbor zu Fall brachte. Mit dieser Argumentation könnte übrigens auch das Privacy Shield bald infrage gestellt werden. Im Ergebnis steht der Datenverkehr mit der USA insgesamt auf dem Prüfstand!

Unternehmen, die auf Basis von EU-Standardvertragsklauseln Daten in die USA übermitteln bzw. dort verarbeiten lassen, müssen nun keinesfalls in Panik verfallen. Das Interesse der EU an einem Austausch europäischer und US-Unternehmen dürfte derart hoch sein, dass ggfs. schnell Nachfolgeregelungen gesucht werden. Wie diese aussehen, hängt aber vor allem auch vom Urteil des EuGHs ab und welche Anforderungen sich daraus entnehmen lassen. Es lohnt sich daher bereits jetzt, über Exitstrategien nachzudenken und diese z. B. durch den betrieblichen Datenschutzbeauftragten prüfen zu lassen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Technische und organisatorische Maßnahmen nach DSGVO

Wer personenbezogene Daten verarbeitet, muss diese mittels technischer und organisatorischer Maßnahmen schützen. Die EU-Datenschutz-Grundverordnung (DSGVO) ersetzt hierbei die vom alten Bundesdatenschutzgesetz (BDSG) gewohnten Datenschutzkontrollen sowie die Acht Gebote des Datenschutzes nach Anlage zu § 9 BDSG. Eine Konkretisierung bleibt in der DSGVO jedoch aus. Deshalb empfiehlt es sich, auf einen anderen Standard zurückzugreifen, um die Datenschutz– und Datensicherheits-Maßnahmen zu implementieren bzw. bei Dienstleistern zu überprüfen.

Was schreibt die DSGVO für Maßnahmen vor?

Die DSGVO verpflichtet Verarbeiter von personenbezogenen Daten in Art. 32 dazu, „geeignete technische und organisatorische Maßnahmen [zu treffen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Eine weitere Konkretisierung erfolgt nicht, die DSGVO führt stattdessen einige Schutzziele auf:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Was schreiben deutsche Aufsichtsbehörden für Maßnahmen vor?

Auch im neuen Bundesdatenschutzgesetz (BDSG-neu) finden sich für die Privatwirtschaft keine genaueren Definitionen zu den technischen und organisatorischen Maßnahmen. Die deutschen Aufsichtsbehörden haben sich jedoch die in der DSGVO genannten Begriffe – die alle als Ziele aus dem Bereich der Informationssicherheit bekannt sind – nun zu eigen gemacht. Im Rahmen einer Arbeitsgruppe zu Verzeichnissen für Verarbeitungstätigkeiten nach Art. 30 DSGVO wurde eine Mustervorlage zur Beschreibung der „technischen und organisatorischen Maßnahmen“ herausgegeben. Darin werden aufgeführt:

  1. Pseudonymisierung;
  2. Verschlüsselung;
  3. Gewährleistung der Vertraulichkeit;
  4. Gewährleistung der Integrität;
  5. Gewährleistung der Verfügbarkeit;
  6. Gewährleistung der Belastbarkeit der Systeme;
  7. Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall;
  8. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.

Das alte und neue Definitionsproblem der Maßnahmen

Schon im alten BDSG verwendeten die Acht Gebote des Datenschutzes aus Sicht des Datenschutz-Praktikers wenig aussagekräftige und schlecht voneinander abzugrenzende Begriffe. So unterstützen „verschlossene Türen“ sowohl Vertraulichkeit und Integrität als auch Verfügbarkeit. Sie müssten aber bei Anwendung der Systematik oder Gliederung des neuen Musterdokuments auch an allen drei Stellen genannt werden.

Leider hat auch der EU-Gesetzgeber die Chance nicht genutzt, klarzustellen, dass es sich bei den in der DSGVO genannten Maßnahmen in Wahrheit um Ziele handelt, die es mit entsprechenden Maßnahmen erst zu erreichen gilt.

Es wäre sehr zu begrüßen gewesen, statt einer nicht sonderlich brauchbaren Gliederung mehr konkrete Tätigkeiten oder Handlungsvorschläge zu liefern, die zur Erreichung der Sicherheitsziele geeignet sind. So steht die Praxis nun weiterhin vor dem Problem, selbst eine Lösung zu finden.

Die ISO 27002 als Hilfestellung

Wenn Sie in Ihrem Unternehmen geeignete technische und organisatorische Maßnahmen entwickeln und implementieren oder diese bei einem Auftragsverarbeiter überprüfen wollen, empfiehlt es sich deshalb, auf einen anderen Standard zurückzugreifen: Eine gute Hilfestellung bietet die ISO 27002, ein international anerkannter Leitfaden für Informationssicherheits-Maßnahmen.

Die Norm beschreibt ab Kapitel 5 detailliert und ganz konkret „gemeinhin akzeptierte Maßnahmen für die Informationssicherheit“. Ein an dieser Norm orientiertes Vorgehen stellt also sicher, keine wesentlichen Bereiche zu übersehen. Die Gliederung der ISO 27002 vermeidet außerdem Überschneidungen:

Hier wird beschrieben, welche Vorgaben und welche Unterstützung seitens der Unternehmens- oder Behördenleitung notwendig sind.

Dieses Kapitel enthält Hinweise, wie die Umsetzung der Informationssicherheit in einer Organisation eingeleitet und gesteuert werden kann. Die Informationssicherheit bei Telearbeit und der Nutzung von Mobilgeräten ist ebenfalls Thema.

Inhalt dieses Kapitels ist die Sicherstellung, dass Beschäftigte und Auftragnehmer für ihre Aufgaben geeignet sind und dass sie ihre Verantwortlichkeiten kennen und erfüllen.

Hier wird beschrieben, wie Werte der Organisation identifiziert und Verantwortlichkeiten festgelegt werden können, um ein angemessenes Schutzniveau zu erreichen. Ebenfalls wird eingegangen auf Maßnahmen gegen die unerlaubte Offenlegung, Veränderung, Entfernung oder Zerstörung von Informationen, die auf Datenträgern gespeichert sind.

Thema ist die Beschränkung des Zugangs zu Informationen und informationsverarbeitenden Einrichtungen und die Sicherstellung, dass nur befugte Benutzer Zugang zu Systemen und Diensten haben.

Dieses Kapitel behandelt alles, was mit dem wirksamen Gebrauch von Kryptographie in Verbindung steht.

Enthalten sind Maßnahmen, um unbefugten Zutritt, Beschädigungen oder andere Beeinträchtigungen von Informationen und informationsverarbeitenden Einrichtungen zu verhindern. Ebenfalls wird der Schutz vor Verlust, Beschädigung, Diebstahl oder Gefährdung von Werten und die Unterbrechung von Organisationstätigkeiten behandelt.

Kapitel 12 beschreibt den ordnungsgemäßen und sicheren laufenden Betrieb von informationsverarbeitenden Einrichtungen: etwa den Schutz vor Schadsoftware, den Schutz vor Datenverlust, die Sicherstellung der Integrität von Systemen im Betrieb.

Hier ist der Schutz von Informationen in Netzwerken und den unterstützenden informationsverarbeitenden Einrichtungen thematisiert. Auch die Sicherheit von übertragener Information, sowohl innerhalb einer Organisation als auch mit jeglicher externen Stelle, wird behandelt.

Dieses Kapitel soll sicherstellen, dass Informationssicherheit ein fester Bestandteil über den gesamten Lebenszyklus von Informationssystemen ist. Entwicklung und Testphasen sind einbezogen.

Hier wird der extrem wichtige Bereich „Dienstleister“ behandelt. Wie werden die für Lieferanten zugänglichen Werte des Unternehmens geschützt? Wie lässt sich ein vereinbartes Niveau der Informationssicherheit und der Dienstleistungserbringung bei Lieferantenverträgen aufrechterhalten?

Kapitel 16 beschreibt das Event- und Störungsmanagement. Wie sieht eine konsistente und wirksame Herangehensweise für die Handhabung von Informationssicherheitsvorfällen einschließlich der Benachrichtigung über Sicherheitsereignisse und Schwächen aus?

Welche Anforderungen bestehen an die eigene Betriebsbereitschaft und wie lässt sich diese aufrechterhalten? Wir wird die Verfügbarkeit von informationsverarbeitenden Einrichtungen sichergestellt?

Zuletzt wird das geeignete Vorgehen beschrieben, allgemein Verstöße gegen gesetzliche, regulatorische, selbstauferlegte oder vertragliche Verpflichtungen zu vermeiden.

Fazit: Anpassung auf Einzelfall bleibt notwendig

Mit der ISO 27002 liegt ein geeigneter Kriterienkatalog für die konkrete Umsetzung technischer und organisatorischer Maßnahmen (sogenannte „Controls“) vor, um die in der DSGVO genannten Schutzziele zu erreichen.

Welche der Maßnahmen der ISO 27002 welchen Zielen der Aufsichtsbehörden sowie der DSGVO dienen, können Sie dieser Tabelle unserer Datenschutz-Experten entnehmen (PDF-Download). Je nach Szenario der Datenverarbeitung im Unternehmen können aber auch andere Bewertungen erfolgen. Die Maßnahmen der ISO 27002 müssen deshalb stets auf den Einzelfall angepasst angewandt werden.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

DSGVO bringt neue Fallstricke für Berufsgeheimnisträger bei der Auftragsverarbeitung

Für Ärzte, Anwälte und andere Berufsgeheimnisträger ist der Einsatz von Dienstleistern bei der Verarbeitung von Daten besonders heikel. Doch während die Änderung des entscheidenden Paragrafen im Strafgesetzbuch (StGB) nun Erleichterungen bringt, kommt die europäische Datenschutz-Grundverordnung (DSGVO) mit neuen Hindernissen. Wer als Berufsgeheimnisträger eine Sanktion vermeiden will, kann eigentlich nur einen Weg gehen.

Das bisherige Problem für Berufsgeheimnisträger

Bei der Auftragsverarbeitung (nach alter Terminologie des BDSG: Auftragsdatenverarbeitung) gab es für Berufsgeheimnisträger einen sehr gut versteckten Fallstrick: Man konnte datenschutzrechtlich als Arzt, Anwalt etc. alles richtigmachen und trotzdem eine Straftat begehen. Notwendig war nicht mehr, als einen (hoffentlich korrekten) Vertrag zur Auftragsverarbeitung zu schließen, ohne daran zu denken, dass dies nicht den Verstoß gegen das Berufsgeheimnis (§ 203 StGB) beseitigt. Hier musste zusätzlich daran gedacht werden, sich von jedem einzelnen Mandanten oder Patienten von der Schweigepflicht entbinden zu lassen.

Der insoweit problematische § 203 StGB wird nun geändert. Der neue Absatz 3 stellt künftig klar, dass bei Einbeziehung bestimmter Dienstleister keine unbefugte Offenbarung erfolgt. Notwendig ist dafür, dass die mitwirkende Person in die berufliche Tätigkeit der schweigepflichtigen Person einbezogen ist. Diese Einbeziehung muss außerdem im Einvernehmen mit der schweigepflichtigen Person erfolgen. Unter diesen Voraussetzungen liegt selbst ohne ausdrückliche Entbindung kein Verstoß gegen die Schweigepflicht mehr vor.

Neue Hürden für Berufsgeheimnisträger durch die DSGVO

Mit der Datenschutz-Grundverordnung kommt jedoch ein neues Problem auf Berufsgeheimnisträger zu. Die DSGVO beseitigt die sogenannte Privilegierung der Auftragsverarbeitung. Bisher galt: Ein Auftragsverarbeitungsvertrag legitimiert datenschutzrechtlich alle Tätigkeiten des Verarbeiters, die für den Auftraggeber selbst zulässig waren.

Damit ist jetzt Schluss. Künftig muss die Einschaltung eines Dienstleisters zur Verarbeitung im Auftrag generell gesondert gerechtfertigt werden. Bisher galt dies lediglich bei Dienstleistern in einem Drittland (außerhalb der EU und des EWR).

Berufsgeheimnisträger müssen unter der DSGVO also zwar nicht mehr den Verstoß gegen die Schweigepflicht legitimieren. Stattdessen haben sie aber nun einen Erlaubnisgrund zu finden, um überhaupt einen Dienstleister einsetzen zu dürfen. Das mag im Bereich normaler personenbezogener Daten noch einigermaßen einfach sein. Sobald besondere Kategorien personenbezogener Daten betroffen sind (wie etwa Gesundheitsdaten), bleibt aus praktischer Sicht nur die Einwilligung der betroffenen Person. Gesetzliche Ausnahmen liegen für diese Datenkategorien in aller Regel nicht vor.

Fazit: Einwilligung bleibt notwendig

Die Änderung des § 203 StGB ist nur auf den ersten Blick eine Erleichterung bei der Auftragsverarbeitung. Berufsgeheimnisträger wie Ärzte, Anwälte etc. werden weiterhin nicht darum herumkommen, Patienten, Mandanten oder sonstige Kunden um Erlaubnis bzw. eine Einwilligung zu bitten.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!