Die EU-Datenschutz-Grundverordnung (DSGVO) gilt ab dem 25.5.2018. Setzen Unternehmen die Vorgaben der DSGVO nicht hinreichend um, drohen hohe Bußgelder, Schadensersatzprozesse und weitere Nachteile. Das vorliegende Handbuch soll Unternehmen dabei helfen, sich auf die Anforderungen der DSGVO vorzubereiten.
Die Autoren sind Praktiker aus Unternehmen und Beratung und verfügen über teilweise langjährige Erfahrung im Datenschutzrecht und Datenschutz-Management. Das vorliegende Handbuch gibt Empfehlungen zur Auslegung und Umsetzung der Anforderungen der DSGVO. Der Schwerpunkt der Darstellung liegt dabei auf der praktischen Arbeit im Datenschutz. Weder soll das Handbuch eine wissenschaftliche Abhandlung noch eine an die Rechtswissenschaft gerichtete Kommentierung ersetzen, es ist vielmehr eine Arbeitshilfe für Projekte zur Umsetzung der DSGVO und zur Schaffung der hierfür erforderlichen Prozesse und Strukturen. Dementsprechend liegt der Schwerpunkt der Darstellung auf den für die Wirtschaft wichtigen Themen, andere Aspekte, wie etwa die Mechanismen zur Zusammenarbeit und der Abstimmung zwischen den Aufsichtsbehörden, werden nur am Rande angesprochen.
Auch das derzeit in Bundestag und Bundesrat verhandelte Datenschutz-Anpassungs- und Umsetzungsgesetz-EU (DSAnpUG-EU) wird in dem vorliegenden Buch nicht berücksichtigt. Zwar scheint sich immer klarer abzuzeichnen, dass das DSAnpUG-EU und das darin geregelte neue BDSG wohl noch in dieser Legislaturperiode verabschiedet werden. Allerdings hat der Bundesrat den vorgelegten Entwurf teilweise massiv kritisiert und viele Änderungen gefordert, vgl. BR-Drucks. 110/17 (Beschluss). Daher ist nach wie vor offen, welche Regelungen des Entwurfs die Parlamentarier verabschieden und in welcher Form. Zudem bewerten die Aufsichtsbehörden für den Datenschutz einige Regelungen als europarechtswidrig, etwa die geplante Einschränkung der Betroffenenrechte. Einige Behörden haben angekündigt, diese Regelungen selbst dann nicht anzuwenden, wenn der Gesetzgeber sie im Rahmen der beabsichtigten Neufassung des BDSG tatsächlich beschließen sollte. Auch vor diesem Hintergrund beschränkt sich das vorliegende Handbuch auf die Anforderungen der DSGVO.
Viele Vorschriften der DSGVO sind auslegungsbedürftig. Das vorliegende Handbuch gibt Vorschläge zur Anwendung dieser Vorschriften. Es bleibt abzuwarten, in welchen Fällen Gerichte und Behörden den hier vorgeschlagenen Auslegungsansätzen folgen werden und in welchen Fällen nicht. Ebenso sind bei der ersten Auflage eines Handbuchs zu einem derart komplexen Gebilde wie der DSGVO Fehler und Ungenauigkeiten leider unabwendbar. Die Autoren, der Verlag und der Herausgeber würden sich daher sehr über entsprechende Hinweise und Verbesserungsvorschläge freuen.
Kronberg, im März 2017
Tim Wybitul
Bausewein, Dr. Christoph |
Rechtsanwalt und Syndikusrechtsanwalt, Konzerndatenschutzbeauftragter mit internationalem Zuständigkeitsbereich bei einem US-amerikanischen Technologieunternehmen |
Böhm, Dr. Wolf-Tassilo |
Rechtsanwalt, Senior Associate – Hogan Lovells International LLP, Frankfurt am Main |
Draf, Dr. Oliver |
Rechtsanwalt (Syndikusrechtsanwalt), Leiter Datenschutz – Allianz Deutschland AG, München |
Ettig, Dr. Diana, LL.M. |
Rechtsanwältin – DAMM | Rechtsanwälte, Frankfurt am Main |
Fladung, Armin |
Rechtsanwalt, Compliance-Officer (TÜV), Ressortleiter Arbeitsrecht und Compliance – CAD-Institut und Arbeitgeberverband Chemie Rheinland-Pfalz, Ludwigshafen |
Hanßen, Dr. Henrik |
Rechtsanwalt, Associate – Hogan Lovells International LLP, Hamburg |
Krätschmer, Dr. Stefan |
Rechtsanwalt (Syndikusrechtsanwalt), Data Privacy Officer, Europe – IBM, Ehningen |
Pflüger, Dr. Martin |
Rechtsanwalt, Counsel – Hogan Lovells International LLP, München |
Pötters, Dr. Stephan, LL.M. (Cambridge) |
Rechtsanwalt – Seitz Rechtsanwälte Steuerberater Partnerschaftsgesellschaft mbB, Köln |
Rauer, Dr. Nils, MJI |
Rechtsanwalt, Partner – Hogan Lovells International LLP, Frankfurt am Main |
Schreibauer, Dr. Marcus |
Rechtsanwalt, Partner, Fachanwalt für Informationstechnologierecht – Hogan Lovells International LLP, Düsseldorf |
Schuppert, Dr. Stefan, LL.M. (Harvard) |
Rechtsanwalt, Partner – Hogan Lovells International LLP, München |
Sigel, Paul |
Wissenschaftlicher Mitarbeiter, Hogan Lovells International LLP, Frankfurt am Main |
Spittka, Jan |
Rechtsanwalt, Senior Associate – DLA Piper UK LLP, Köln |
Steinhaus, Jörg, M.A., LL.M. |
Datenschutzbeauftragter – Fresenius SE & Co. KGaA, Bad Homburg |
Ströbel, Dr. Lukas |
Rechtsanwalt, Associate – Hogan Lovells International LLP, Frankfurt am Main |
Tinnefeld, Dr. Christian |
Rechtsanwalt, Counsel – Hogan Lovells International LLP, Hamburg |
Wybitul, Tim |
Rechtsanwalt, Fachanwalt für Arbeitsrecht, Partner – Hogan Lovells International LLP, Frankfurt am Main |
A.A./a.A. |
andere Ansicht |
Abl. |
Amtsblatt |
Abs. |
Absatz |
ADV |
Auftragsdatenverarbeitung |
a.E. |
am Ende |
AEUV |
Vertrag über die Arbeitsweise der europäischen Union |
a.G. |
auf Gegenseitigkeit |
AG |
Aktiengesellschaft |
AGB |
Allgemeine Geschäftsbedingungen |
AGG |
Allgemeines Gleichbehandlungsgesetz |
Anm. |
Anmerkung |
AO |
Abgabenordnung |
Art. |
Artikel |
Aufl. |
Auflage |
BAG |
Bundesarbeitsgericht |
BayDSG |
Bayerisches Datenschutzgesetz |
BayLDA |
Bayerisches Landesamt für Datenschutzaufsicht |
BB |
Betriebsberater (Zeitschrift) |
BCM |
Business Continuity Management (englisch, = Betriebliches Kontinuitätsmanagement) |
BCR |
Binding Corporate Rule (englisch, = Verbindliche Unternehmensregel) |
BDSG |
Bundesdatenschutzgesetz |
BEM |
Betriebliches Eingliederungsmanagement |
Berliner BfDI |
Berliner Beauftragte für Datenschutz und Informationsfreiheit |
BetrVG |
Betriebsverfassungsgesetz |
BGB |
Bürgerliches Gesetzbuch |
BGH |
Bundesgerichtshof |
BKM |
Betriebliches Kontinuitätsmanagement |
BKRG |
Bundeskrebsregisterdatengesetz |
BMI |
Bundesministerium des Inneren |
BSI |
Bundesamt für Sicherheit in der Informationstechnik |
BSIG |
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik |
bspw. |
beispielsweise |
BT-Drucks. |
Bundestagsdrucksache |
BvD |
Berufsverband der Datenschutzbeauftragten Deutschlands |
BVerfG |
Bundesverfassungsgericht |
BZRG |
Bundeszentralregistergesetz |
bzw. |
beziehungsweise |
C2C |
Controller-to-Controller (englisch, = Verantwortlicher zu Verantwortlichem) |
C2P |
Controller-to-Processor (englisch, = Verantwortlicher zu Verarbeiter) |
CB |
Compliance Berater (Zeitschrift) |
CCZ |
Corporate Compliance Zeitschrift |
CERT |
Computer Emergency Response Team (englisch, = Informationssicherheit-Krisenreaktionsteam |
CMS |
Compliance Management System |
CR |
Computer und Recht (Zeitschrift) |
DANA |
Datenschutznachrichten (Zeitschrift) |
DB |
Der Betrieb (Zeitschrift) |
d.h. |
das heißt |
DIN |
Deutsches Institut für Normung |
DJT |
Deutscher Juristentag |
DLP |
data loss leakage (detection and) prevention (englisch, = Datenverlustprävention) |
DMS |
Datenschutz Management System |
DÖV |
Die Öffentliche Verwaltung (Zeitschrift) |
DPA 1998 |
Data Protection Act 1998 |
DPMS |
(data) privacy management system (englisch, = Datenschutz Management System) |
Dr. |
Doktor |
DSB |
Datenschutzbeauftragter |
DSGVO |
Datenschutzgrundverordnung |
DSRITB |
Deutsche Stiftung für Recht und Informatik Tagungsband |
DSRL |
Datenschutzrichtlinie (95/46/EG) |
DuD |
Datenschutz und Datensicherheit (Zeitschrift) |
DVBI |
Deutsches Verwaltungsblatt |
DViA |
Auftragsdatenverarbeitung |
EDV |
elektronische Datenverarbeitung |
EFTA |
Europäische Freihandelsassoziation |
EG |
Europäische Gemeinschaft |
EGMR |
Europäischer Gerichtshof für Menschenrechte |
EMPL-Ausschuss |
Ausschuss für Beschäftigung und soziale Angelegenheiten des Europäischen Parlaments |
EMRK |
Europäische Menschenrechtskonvention |
Engl. |
Englisch |
ENISA |
Europäische Agentur für Netz- und Informationssicherheit |
EnWG |
Gesetz über die Elekrizitäts- und Gasversorgung (Energiewirtschaftsgesetz) |
etc. |
et cetera |
EU |
Europäische Union |
EuGH |
Europäischer Gerichtshof |
EuR |
Europarecht (Zeitschrift) |
EUR |
Euro |
EUV |
Vertrag über die Europäische Union |
EuZW |
Europäische Zeitschrift für Wirtschaftsrecht |
evtl. |
eventuell |
EWR |
Europäischer Wirtschaftsraum |
f. |
folgend |
ff. |
folgende |
FISA |
Foreign Intelligence Surveillance Act (englisch, = Gesetz zur Überwachung in der Auslandsaufklärung) |
Fn. |
Fußnote |
FTC |
Federal Trade Commission (englisch, = Bundeshandelskommission) |
GDD |
Gesellschaft für Datenschutz und Datensicherheit |
gem. |
gemäß |
GG |
Grundgesetz |
ggf. |
gegebenenfalls |
GmbH |
Gesellschaft mit beschränkter Haftung |
GPS |
Global Positioning System |
GRCh |
Charta der Grundrechte der Europäischen Union |
GRUR |
Gewerblicher Rechtsschutz und Urheberrecht (Zeitschrift) |
HaagBewÜbK |
Haager Beweisüberkommen |
HessDSG |
Hessisches Datenschutzgesetz |
HGB |
Handelsgesetzbuch |
HR |
Human Resources |
Hrsg. |
Herausgeber |
i.S.d. |
im Sinne des/der |
i.V.m. |
in Verbindung mit |
ICC |
International Chambers of Commerce (englisch, = internationale Handelskammer) |
IDW |
Institut der Wirtschaftsprüfer in Deutschland |
IKT |
Informations- und Kommunikationstechnologie |
inkl. |
inklusive |
IP |
Internetprotokoll |
ISO |
Internationale Organisation für Normierung |
IT |
Informationtechnik |
ITRB |
IT-Rechts-Berater (Zeitschrift) |
IT-SiG |
IT-Sicherheitsgesetz |
K&R |
Kommunikation & Recht (Zeitschrift) |
KVP |
Kontinuierlicher Verbesserungsprozess |
LAG |
Landesarbeitsgericht |
LDI NRW |
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen |
LDSG Baden-Württemberg |
Landesdatenschutzgesetz Baden-Württemberg |
LFD Baden-Württemberg |
Landesbeauftragter für den Datenschutz Baden-Württemberg |
LG |
Landgericht |
LIBE-Ausschuss |
Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments |
lit. |
litera (lateinisch, = Buchstabe) |
LLP |
Limited Liability Partnership |
LT-Drucks. |
Landtagsdrucksache |
Mio. |
Million(en) |
MMR |
MultiMedia und Recht (Zeitschrift) |
m.w.N. |
mit weiteren Nachweisen |
NIS-Richtlinie |
Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über die Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union |
NJW |
Neue Juristische Wochenschrift (Zeitschrift) |
Nr. |
Nummer |
NVwZ |
Neue Zeitschrift für Verwaltungsrecht |
NZA |
Neue Zeitschrift für Arbeitsrecht |
OECD |
Organisation für wirtschaftliche Zusammenarbeit und Entwicklung |
OLG |
Oberlandesgericht |
OVG |
Oberverwaltungsgericht |
OWiG |
Ordnungswidrigkeitengesetz |
PERT |
Privacy Emergency Response Team (englisch, = Datenschutz-Krisenreaktionsteam) |
PC |
Personal Computer |
PIA |
Privacy Impact Assessment (englisch, = Datenschutz-Folgenabschätzung) |
PKPI |
Privacy Key Performance Indicators (englisch, = Datenschutzleistungskennzahlen) |
PKRI |
Privacy Key Risk Indicators (englisch, = Datenschutzrisikoindikatoren) |
PM |
Pressemitteilung |
PRE |
Privacy Risk Exposure (englisch, = Datenschutzgefährdungsmaßstab) |
PS |
Prüfungsstandard (z.B. des IDW) |
RDV |
Recht der Datenverarbeitung (Zeitschrift) |
RFID |
Radio frequency identification |
RL |
Richtlinie |
Rn. |
Randnummer |
ROI |
Return of Investment (englisch, = Kapitalrendite) |
ROPI |
Return on (Privacy) Investments (englisch, = Rentabilität der Datenschutzinvestitionen) |
ROSI |
Return on Security Investments (englisch, = Rentabilität der Sicherheitsinvestitionen) |
Rs. |
Rechtssache |
S. |
Seite |
SCC |
EU Standard Contractual Clauses (englisch, = EU-Standardvertragsklauseln) |
Schl.-Hl. LDSG |
Schleswig-Holsteinisches Gesetz zum Schutz personenbezogener Informationen (Landesdatenschutzgesetz) |
SLA |
Service Level Agreement (englisch, = Dienstgütevereinbarung) |
sog. |
sogenannt |
StGB |
Strafgesetzbuch |
StVollzG |
Gesetz über den Vollzug der Freiheitsstrafe und der freiheitsentziehenden Maßregeln der Besserung und Sicherung |
TKG |
Telekommunikationsgesetz |
TMG |
Telemediengesetz |
TOM |
technische und organisatorische Maßnahmen |
u.a. |
unter anderem |
u.Ä. |
und Ähnliches |
u.U. |
unter Umständen |
UAbs. |
Unterabsatz |
Urt. |
Urteil |
US |
United States (of America) (englisch, = Vereinigte Staaten [von Amerika]) |
USA |
United States of America (englisch, = Vereinigte Staaten von Amerika) |
USV |
unterbrechungsfreie Stromversorgung |
v. |
von/vom |
VG |
Verwaltungsgericht |
vgl. |
vergleiche |
VIP |
Very important persons (englisch, = sehr wichtige Personen) |
WP |
working papers |
z.B. |
zum Beispiel |
ZD |
Zeitschrift für Datenschutz |
ZD-Aktuell |
Newsdienst. ZD aktuell |
402
Die Anforderungen der Datenschutz-Grundverordnung (DSGVO) müssen bis zum 25.5.2018 umgesetzt sein. Die Umsetzung der Vorgaben der DSGVO erfordert eine ganze Reihe von Maßnahmen. Diese Maßnahmen werden im Folgenden erläutert und in der Anlage 1 priorisiert. Der Ablaufplan (Rn. 403 ff.) richtet sich an Unternehmen und nicht an Behörden oder sonstige Verantwortliche. Er ist lediglich beispielhaft zu verstehen. Der endgültige Ablaufplan für das jeweilige Unternehmen wird aufgrund unterschiedlicher Unternehmensstrukturen und Bedingungen im Einzelfall von dem vorliegenden Muster für einen Ablaufplan abweichen. Dies betrifft insbesondere die nach dem Plan zu treffenden Maßnahmen sowie die Priorisierung (vgl. Anlage Rn. 420). Ausführliche Erläuterungen zur Umsetzung der DSGVO im Unternehmen finden sich in der Einleitung unter Rn. 322 ff. Das vorliegende Grobschema für einen Ablaufplan zur Umsetzung der Vorgaben der DSGVO über wesentliche Arbeitsschritte eines Implementierungsprojekts kann dem für die Umsetzung der DSGVO verantwortlichen Projektteam die Projektplanung erleichtern und Anregungen geben.
403
1. Verzeichnis aller Verarbeitungsvorgänge
Das Unternehmen, bzw. das mit der Planung der Umsetzung der DSGVO beauftragte Projektteam, erstellt (ggf. unter Mithilfe des Datenschutzbeauftragten des Unternehmens) ein Verzeichnis aller Verarbeitungstätigkeiten nach Art. 30 DSGVO. Neben der Erfüllung der Pflicht aus Art. 30 DSGVO verschafft sich das Unternehmen so einen Überblick darüber, welche Datenverarbeitungen es überhaupt durchführt [vgl. Muster zum Verarbeitungsverzeichnis Rn. 421 ff. sowie Kommentierung zu Art. 30 DSGVO Rn. 15 ff.].
404
2. Rechtmäßigkeitsgrundlagen
Das Unternehmen prüft für jede Verarbeitung personenbezogener Daten, ob diese auch nach der DSGVO rechtmäßig ist. Stützt sich eine Datenverarbeitung auf eine Einwilligungserklärung oder eine Betriebsvereinbarung, prüft das Unternehmen, ob diese den teilweise erhöhten Anforderungen der DSGVO entsprechen.
405
3. GAP-Analyse
Das Unternehmen führt eine Bestandsaufnahme hinsichtlich des aktuellen datenschutzrechtlichen Zustands durch. Dabei vergleicht man den datenschutzrechtlichen Ist-Zustand mit dem Soll-Zustand nach der DSGVO. Das Unternehmen bestimmt dann den konkreten Handlungsbedarf um den Anforderungen der DSGVO nachzukommen. Im Rahmen einer Risikoanalyse entscheidet das Unternehmen, welche der Anforderungen es bis zur Geltung der DSGVO umsetzen kann und möchte.
406
4. Schulung und Sensibilisierung der Mitarbeiter
Das Unternehmen führt zusammen mit dem Datenschutzbeauftragten (vgl. Art. 39 Abs. 1 lit. b) DSGVO, sowie Kommentierung zu Art. 39 DSGVO Rn. 20 f.) zielgruppengerechte Schulungen der an der Datenverarbeitung beteiligten Mitarbeiter des Unternehmens durch. Dadurch sollen die Mitarbeiter für datenschutzrechtliche Probleme sensibilisiert und für die Neuerungen durch die Einführung der DSGVO geschult werden. Für eine dauerhafte Sicherstellung der Mitarbeiterschulung implementiert das Unternehmen ein Schulungskonzept im Datenschutz-Management-System (siehe unten Punkt 5.9).
407
5. Datenschutz-Management-System
Das Unternehmen führt ein Datenschutz-Management-System („DMS“) ein. Das DMS umfasst die Gesamtheit aller dokumentierten und implementierten Regelungen, Prozesse und Maßnahmen, mit denen der datenschutzkonforme Umgang mit personenbezogenen Daten im Unternehmen systematisch gesteuert und kontrolliert wird. Als Grundlage für das DMS kann das Unternehmen beispielweise das im Muster „Datenschutz-Folgenabschätzung“ näher beschriebene Standard-Datenschutzmodell heranziehen. Das DMS umfasst zumindest die folgenden Prozesse und Regelungen:
408
5.1 Zweckfestlegung und -änderung
Das Unternehmen legt ein Verfahren fest, nach dem vor jeder Datenverarbeitung deren Zwecke festgelegt und dokumentiert werden. Auch für Verarbeitungen zu einem anderen Zweck als demjenigen, zu dem die Daten erhoben wurden, etabliert das Unternehmen ein Verfahren, welches den Anforderungen des Art. 6 Abs. 4 DSGVO zur Zweckänderung gerecht wird [vgl. Kommentierung zu Art. 6 DSGVO Rn. 51 ff.].
409
5.2 Löschkonzept
In einem umfassenden Löschkonzept legt der Verantwortliche Speicherfristen für personenbezogene Daten fest, Art. 17 Abs. 1 DSGVO [vgl. die Kommentierung zu Art. 17 DSGVO Rn. 44 f.].
410
5.3 Datenschutz-Folgenabschätzung
Sowohl für die Durchführung von Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO als auch für die daraufhin ggf. notwendige Konsultation mit der Aufsichtsbehörde, legt das Unternehmen entsprechende Verfahren fest [vgl. Muster 3 zur Datenschutz-Folgenabschätzung (Rn. 441 ff.) sowie Kommentierung zu Art. 35 DSGVO Rn. 59].
411
5.4 Sicherheit der Verarbeitung
Das Unternehmen legt Verfahren fest, die die Sicherheit der Datenverarbeitung gem. Art. 32 DSGVO gewährleisten. Dazu gehören auch Kontrollen der technischen Maßnahmen zum Schutz der personenbezogenen Daten [vgl. Kommentierung zu Art. 32 DSGVO Rn. 35]. Es kann empfehlenswert für Unternehmen sein, die Datensicherheit etwa mithilfe einer Zertifizierung nachzuweisen [vgl. Art. 24 Abs. 3 DSGVO].
412
5.5 Aktualisierung Verarbeitungsverzeichnis
Das bereits zur Einführung der DSGVO erstellte Verzeichnis aller Verarbeitungstätigkeiten gem. Art. 30 DSGVO [vgl. Punkt 1] muss das Unternehmen bei neuen Verarbeitungen personenbezogener Daten aktualisieren. Teil des DMS ist ein Verfahren, das sicherstellt, dass das Verarbeitungsverzeichnis stets auf dem aktuellen Stand ist [vgl. auch das Muster zum Verzeichnis aller Verarbeitungstätigkeiten sowie die Kommentierung zu Art. 30 DSGVO Rn. 51 f.].
413
5.6 Betroffenenrechte
Betroffene haben nach der DSGVO umfassende Rechte [vgl. dazu im Detail die Kommentierung zu Art. 12 bis 15 DSGVO]. Die Gewährleistung dieser Rechte stellt das Unternehmen durch die Einführung entsprechender Maßnahmen im Rahmen des DMS sicher. Dies umfasst insbesondere:
• Festgelegte Verfahrensweisen, wie das Unternehmen Betroffene gem. den Art. 13 und Art. 14 DSGVO informiert und wie es Auskunftsverlangen gem. Art. 15 DSGVO erfüllt.
• Maßnahmen, wie die Mitarbeiter des Unternehmens verfahren müssen, wenn ein Betroffener sein Recht auf Berichtigung (Art. 16 DSGVO), auf Löschung (Art. 17 Abs. 1 DSGVO) und auf Einschränkung der Verarbeitung (Art. 18 DSGVO) geltend macht.
• Ein Konzept, mit dem das Unternehmen das Recht auf Vergessenwerden des Betroffenen gem. Art. 17 Abs. 2 DSGVO gewährleistet. Dies umfasst neben einem Verzeichnis, welche Daten öffentlich gemacht wurden, jeweils einen Plan, wie das Unternehmen die für die Datenverarbeitung Verantwortlichen informieren kann.
• Betroffene haben gem. Art. 20 DSGVO ein Recht auf Datenübertragbarkeit. Das Unternehmen legt fest, wie es die Daten ggf. in einem strukturierten, gängigen und maschinenlesbaren Format an den Betroffenen oder einen anderen Verantwortlichen weiterleiten kann [vgl. Kommentierung zu Art. 20 DSGVO Rn. 14].
• Stützt das Unternehmen die Datenverarbeitung auf die Einwilligung des Betroffenen, muss es beachten, dass diese gem. Art. 21 DSGVO jederzeit widerrufen werden kann. Das Unternehmen führt ein Verfahren ein, das sicherstellt, dass die Betroffenen auf dieses Recht ausdrücklich hingewiesen werden. Für den Fall der Ausübung des Widerrufs muss das Unternehmen Vorkehrungen treffen, wie es die Verarbeitung der entsprechenden personenbezogenen Daten unverzüglich stoppen kann.
414
5.7 Verfahren bei Datenschutzverletzungen
Gemäß den Art. 33 und Art. 34 DSGVO muss das Unternehmen Datenschutzverletzungen ggf. an die zuständige Aufsichtsbehörde, bzw. an den Betroffenen melden [vgl. Muster 5 Ablaufplan bei Datenschutzverletzungen in Unternehmen Rn. 542 ff. sowie die Kommentierung zu Art. 33 DSGVO Rn. 47].
415
5.8 Datentransfers in Drittländer
Nach den Art. 45 ff. DSGVO ist die Zulässigkeit der Übermittlung personenbezogener Daten an Stellen in einem Land, das weder Mitglied der Europäischen Union, noch des Europäischen Wirtschaftsraums ist, an bestimmte Voraussetzungen geknüpft. Im DMS legt das Unternehmen fest, auf welche Weise eine solche Datenübermittlung in ein Drittland zulässig gestaltet werden soll.
416
5.9 Schulungskonzept
Das DMS beinhaltet auch ein Konzept zur Sicherstellung regelmäßiger Schulungen der an der Verarbeitung personenbezogener Daten beteiligten Mitarbeiter.
417
5.10 Dokumentation
Die DSGVO legt dem Verantwortlichen in Art. 5 Abs. 2 DSGVO und Art. 24 Abs. 1 DSGVO weitreichende Dokumentationspflichten auf. Im DMS legt der Verantwortliche fest, wie diese Dokumentationspflichten zu erfüllen sind [vgl. Kommentierung zu Art. 5 DSGVO Rn. 39 sowie Kommentierung zu Art. 24 DSGVO Rn. 20, 33].
418
6. Auftragsdatenverarbeitung
Gemäß Art. 28 Abs. 3 DSGVO erfolgt jede Verarbeitung durch einen Auftragsverarbeiter auf Grundlage eines Vertrages. Das Unternehmen prüft daher, ob es mit allen Dienstleistern, die personenbezogene Daten von ihm verarbeiten, einen den aktuellen Anforderungen entsprechenden Auftragsverarbeitungsvertrag abgeschlossen hat. Anschließend prüft es, inwiefern die bestehenden Auftragsdatenverarbeitungsverträge den Anforderungen der DSGVO und insbesondere von Art. 28 Abs. 3 DSGVO gerecht werden. Ggf. schließt das Unternehmen neue Verträge ab oder passt die bestehenden Verträge an [vgl. Muster 4 Anlage Auftragsverarbeitung zum Vertrag Rn. 469 ff. und die Kommentierung zu Art. 28 DSGVO Rn. 46].
419
7. Gemeinsam Verantwortliche
Gem. Art. 26 DSGVO gibt es die Möglichkeit, dass mehrere Verantwortliche für die Verarbeitung gemeinsam verantwortlich sind. Das Unternehmen prüft, ob ein solches Modell in Frage kommt und schließt ggf. entsprechende Vereinbarungen [vgl. Kommentierung zu Art. 26 DSGVO Rn. 27 ff.].
420
Um die Vielzahl der zur Umsetzung der DSGVO nötigen Maßnahmen effektiv verwirklichen zu können, entwickelt das Unternehmen einen konkreten Umsetzungsplan. Hierfür ordnet es die Maßnahmen beispielhaft einer Priorität zu. Dabei berücksichtigt es einerseits, ob die Maßnahmen der Verwirklichung von grundlegenden Datenschutzprinzipien dienen und andererseits, welche Umsetzungsschwierigkeiten (wie z.B. Zeitaufwand, Kosten oder technische Probleme) sie mit sich bringen.
Der tatsächliche Projektplan und die konkrete Priorisierung sind stark einzelfallabhängig. Entsprechend enthält die folgende Tabelle lediglich eine beispielhafte Veranschaulichung. Das Unternehmen prüft die Priorität einzelner Maßnahmen in Abstimmung mit Datenschutzexperten und den eigenen Vorgaben zum Risikomanagement im Datenschutz.
Hohe Priorität |
– Erstellung eines Verarbeitungsverzeichnisses (s. Maßnahme Nr. 1) – Überprüfung der Rechtmäßigkeit (s. Maßnahme Nr. 2) – Einführung eines DMS (s. Maßnahme Nr. 4), insbesondere • Zweckfestlegung und -änderung (Nr. 4.1) • Vornehmen der Datenschutz-Folgenabschätzung (Nr. 4.3) • Sicherstellung von Betroffenenrechten (Nr. 4.6), insbes. ◦ Informations- und Auskunftsrechte ◦ Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung ◦ Recht auf Vergessenwerden • Dokumentation (Nr. 4.10) – Anpassung/Überprüfung der Auftragsdatenverarbeitung (s. Maßnahme Nr. 5) – Gemeinsame Verantwortliche (s. Maßnahme Nr. 6) |
Mittlere Priorität |
– Einführung eines DMS (s. Maßnahme Nr. 4), insbesondere • Festlegung eines Löschkonzepts (Nr. 4.2) • Sicherheit der Verarbeitung (Nr. 4.4) |
Niedrige Priorität |
– Schulung der Mitarbeiter (s. Maßnahme Nr. 3) – Einführung eines DMS (s. Maßnahme Nr. 4), insbesondere • Aktualisierung des Verarbeitungsverzeichnisses (Nr. 4.5) • Sicherstellung von Betroffenenrechten (Nr. 4.6), insbes. ◦ Recht auf Datenübertragbarkeit ◦ Informationen und Vorkehrungen bzgl. Widerruf • Verfahren bei Datenschutzverletzungen (Nr. 4.7) • Datentransfers in Drittländer (Nr. 4.8) • Entwicklung eines Schulungskonzeptes (Nr. 4.9) |
***
421
Nach Art. 30 Abs. 1 Satz 1 DSGVO müssen der Verantwortliche oder sein Vertreter ein Verzeichnis aller ihrer Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. Verstöße gegen diese Verpflichtung können Bußgelder von bis zu EUR 10 Mio. oder bis zu zwei Prozent des globalen Umsatzes nach sich ziehen. Das vorliegende Muster bietet erste Anhaltspunkte für die Erstellung eines Verarbeitungsverzeichnisses, das den gesetzlichen Vorgaben nach Art. 30 Abs. 1 Satz 2 DSGVO entspricht.
Darüber hinaus kann ein erweitertes Verarbeitungsverzeichnis auch ein effektives Mittel zur Dokumentation geeigneter Maßnahmen im Sinne von Art. 24 Abs. 1 DSGVO – und damit ein wichtiger Bestandteil eines effektiven Datenschutz-Management-Systems sein. In jedem Falle sollten Unternehmen im Rahmen von DSGVO-Umsetzungsprojekten genau überlegen, wie sie ihr Verarbeitungsverzeichnis strukturieren und wie sie dieses Verzeichnis in ihre sonstigen Dokumentationsprozesse einbinden.
Entscheidet sich ein Unternehmen dazu, ein über die gesetzlichen Pflichtangaben hinausgehendes erweitertes Verarbeitungsverzeichnis zu führen, sollte es gründlich prüfen, welche weiteren Angaben es an dieser Stelle zweckmäßigerweise dokumentiert. Dabei sollte das Unternehmen die Pflichtangaben nach Art. 30 Abs. 1 Satz 2 DSGVO von sonstigen Informationen klar abgrenzen können. Denn auf Anfrage der Aufsichtsbehörde muss der Verantwortliche gem. Art. 30 Abs. 4 DSGVO das Verarbeitungsverzeichnis zur Verfügung stellen. In einem solchen Fall sollte der Verantwortliche organisatorisch in der Lage sein, nur die Pflichtangaben nach Art. 30 Abs. 1 Satz 2 DSGVO zur Verfügung zu stellen – und weitere Informationen nur dann offenzulegen, wenn dies im Einzelfall zweckmäßig ist.
422
Verantwortlicher
Unternehmen
Straße
PLZ / Ort
Telefon
Telefax
Ggf. URL des Datenschutzauftritts des Unternehmens im Internet
Datenschutzbeauftragter
Name, bei externen Datenschutzbeauftragten ggf. auch Bezeichnung ihres
Unternehmens
Telefon
Weitere Ansprechpartner Datenschutz
Name
Funktion im Unternehmen, z.B. Leiter Recht und Datenschutz
Telefon
Ggf. Hinweis auf gemeinsame Verantwortlichkeiten gemäß Art. 26 DSGVO
Ggf. Vertreter nach Art. 27 DSGVO
423
Name der Verarbeitungstätigkeit |
Anlage Nr. |
Datum des Eintrags/der Aktualisierung |
[Name der Verarbeitung] |
Anlage 1 |
[Datum] |
[Name der Verarbeitung] |
Anlage 2 |
[Datum] |
[Name der Verarbeitung] |
Anlage 3 |
[Datum] |
[Name der Verarbeitung] |
Anlage 4 |
[Datum] |
[Name der Verarbeitung] |
Anlage 5 |
[Datum] |
[Name der Verarbeitung] |
Anlage 6 |
[Datum] |
[Name der Verarbeitung] |
Anlage 7 |
[Datum] |
424
[Name der Verarbeitung, z.B. Personaldatenverarbeitung, Kundendatenbank, Videoüberwachung, Telefonanlage]
425
1. Kurzbeschreibung der Verarbeitung
Kurze, aussagekräftige Beschreibung der Funktionen der Verarbeitung unter möglichst klarer und präziser Bezeichnung der maßgeblichen IT-Systeme. Hierfür sollten Fachabteilungen und IT-Abteilung nach Möglichkeit eng zusammenarbeiten.
426
2. Zwecke der Verarbeitung
Beschreibung der Zwecke der Verarbeitung (warum betreibt das Unternehmen diese Datenverarbeitung). Im Hinblick auf den Zweckbindungsgrundsatz ist darauf zu achten, die Zwecke möglichst umfassend und vollständig