Hausinterne Umsetzung der Datenschutzgrundverordnung

Dr. Ulrich Hallermann, Rechtsanwalt, Investitions- und Strukturbank Rheinland Pfalz (ISB)[1]

I. Rechtliche Grundlagen

Durch die Datenschutzgrundverordnung (DSGVO) wird der Datenschutz in Zukunft primär auf europäischer Ebene geregelt. Die Grundstrukturen im Datenschutz bleiben erhalten. Insbesondere wird es weiterhin die Möglichkeit zur Einwilligung in die Datenverarbeitung und zur Vereinbarung einer Auftragsdatenverarbeitung geben. Allerdings ergeben sich durch die DSGVO verschiedene Detailänderungen, welche langsam durch die Aufsicht konkretisiert werden. Die hausinternen Prozesse müssen vor diesem Hintergrund überprüft und ggf. angepasst werden. Der Bußgeldrahmen wurde durch die DSGVO beträchtlich erweitert (vgl. Art. 83 DSGVO). In der Praxis muss daher alles zur Vermeidung eines Bußgelds unternommen werden.

Das BDSG bleibt auch in Zukunft erhalten. Jedoch kann der nationale Gesetzgeber zukünftig nur noch eine Regelung treffen, soweit die Datenschutzgrundverordnung eine Öffnungsklausel bereithält. Eine solche Öffnungsklausel ist z. B. für den Beschäftigtendatenschutz in Art. 88 DSGVO vorhanden. Zwischenzeitlich wurde basierend auf der DSGVO ein neues BDSG verkündet[2].

Die Aufsicht hat bereits zu verschiedenen Themen Auslegungsgrundsätze veröffentlicht. Diese sind zwar rechtlich nicht verbindlich, geben jedoch wichtige Impulse für die Umsetzung der neuen rechtlichen Vorgaben. Vorreiter ist insoweit das Bayerische Landesamt für die Datenschutzaufsicht[3].

II. Empfehlungen für die hausinterne Umsetzung durch den Fachbereich

1. Bildung einer Projektgruppe

Die Anforderungen der DSGVO kann nicht ein einzelner Mitarbeiter hausintern umsetzen. Daher ist eine Projektgruppe mit allen Beteiligten zu bilden. Die Leitung der Projektgruppe kann der Datenschutzbeauftragte übernehmen. Die IT muss ebenfalls beteiligt werden, da verschiedene Änderungen bei der EDV erforderlich sind. Auch die operativen Fachbereiche und der Personalbereich sind einzubeziehen, da in ihren Einheiten die personenbezogenen Daten ver-arbeitet werden. Auch die Einbeziehung von Revision und Marketing dürfte zweckdienlich sein.

2. Erfassung des Ist-Zustandes

Zunächst ist zu ermitteln, wo im Hause personenbezogene Daten verarbeitet werden. Hierfür kann das Verfahrensverzeichnis als Ausgangsgrundlage dienen. Sodann ist zu ermitteln, in-wieweit die Datenverarbeitungen bereits mit der DSGVO im Einklang stehen. Soweit ein Einklang besteht, sind weitere Schritte entbehrlich.

3. Festlegung des Sollzustandes

Soweit festgestellt wird, dass die Vorgaben der DSGVO noch nicht eingehalten werden, müssen Anpassungen festgenommen werden. Zunächst sollte eine Exceltabelle erstellt werden, in die alle kritischen Maßnahmen aufgenommen werden. Sodann sind die Maßnahmen nach Notwendigkeit zu sortieren.

  SEMINARTIPPS

Umsetzungstipps EU-DSGVO und BDSG (neu), 01.03.2018, Frankfurt/Offenbach.

Umsetzungschecklisten DSGVO – neues BDSG für Praxis & Prüfung, 14.05.2018, Frankfurt/Offenbach.

Compliance-Tagung 2018, 14.–15.11.2018, Berlin.

4. Umsetzung in mehreren Schritten (Stufenmodell)

Wie bereits ausgeführt ist es zielführend, die Umsetzung in mehreren Schritten zu vollziehen. Zwar ist die DSGVO selbst final verabschiedet, so dass insoweit die Vorgaben feststehen und mit einer Umsetzung begonnen werden kann. Es fehlen jedoch noch Umsetzungsakte wie die Vorgaben der Aufsicht im Detail, so dass insoweit noch Unsicherheiten verbleiben. Daher sollten zunächst diejenigen Maßnahmen umgesetzt werden, welche keinen Bezug zu nationalem Recht haben. In einem zweiten Schritt können dann nach Verabschiedung des nationalen ABDSG die weiteren Maßnahmen ergriffen werden.

PRAXISTIPPS

für Personal

  • Für das Personal gilt: Art. 88 Abs. 1 DSGVO enthält eine Öffnungsklausel für den nationalen Gesetzgeber, durch Rechtsvorschriften oder Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung von Beschäftigtendaten im Beschäftigtenkontext vorzusehen. Hiervon hat der nationale Gesetzgeber in § 26 BDSG Gebrauch gemacht. § 26 Abs. 2 BDSG legt einen Schwerpunkt auf die Einwilligungen. Banken müssen daher kurzfristig überprüfen, ob die bereits erteilten Einwilligungen diesen Anforderungen noch genügen oder ob neue Einwilligungen einzuholen sind (Stichwort: GAP-Analyse).

für Marketing

  • Für das Marketing gilt: Mit der DSGVO fallen die Detailregelungen des Bundesdatenschutzgesetzes (BDSG) zur Verarbeitung personenbezogener Daten für werbliche Zwecke weg. Grundlage für die Rechtmäßigkeitsbeurteilung ist nach Auffassung der Aufsicht in Zukunft grundsätzlich nur noch eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO. Wie diese in der Praxis aussehen wird, kann gegenwärtig noch nicht prognostiziert werden. Die Homepages der Aufsichten sollten im Auge behalten werden, um entsprechende Auslegungshinweise zu erhalten.

für IT

  • Für die IT gilt: Die wohl umfangreichsten Änderungen durch die DSGVO ergeben sich für die IT. Themenschwerpunkte werden hierbei das Datenschutzmanagement (Art. 24 DSGVO), die technischen und organisatorischen Maßnahmen (Art. 32 DSGVO) sowie die Auftragsdatenverarbeitungen (28 ff. DSGVO) sein. Banken müssen zukünftig auch ein Datenschutzmanagement etablieren. Im Rahmen einer Gefährdungsanalyse sind hierbei die Datenschutzrisiken fortlaufend zu überprüfen. Bei der Beurteilung des angemessenen Schutzniveaus sind gem. Art. 32 Abs. 2 DSGVO zukünftig insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Verlust oder unbefugte Offenlegung im Hinblick auf personenbezogene Daten, die verarbeitet werden – verbunden sind. Da gerade die IT von der DSGVO betroffen ist, sollte diese gesonderte Ressourcen (z. B. durch einen externen Berater) erhalten.

  1. Der Autor ist Of Counsel der Sozietät Castle Law in Frankfurt/M. Der Beitrag gibt die persönliche Sichtweise des Autors wieder. Dieser Beitrag kann nur einen allgemeinen Überblick geben und ersetzt keine individuelle, auf den jeweiligen Mandanten zugeschnittene Beratung.
  2. Das BDSG ist Teil des Gesetzes zur Anpassung des Datenschutzes und findet sich im Internet an folgender Stelle: http://www.bmi.bund.de/SharedDocs/Downloads/DE/Nachrichten/Pressemitteilungen/2017/07/datenschutzrecht.html?nn=3314802 (zuletzt abgerufen am 28.07.17).
  3. Die Auslegungsgrundsätze sind hier zu finden: https://www.lda.bayern.de/de/datenschutz_eu.html (zuletzt abgerufen am 28.07.17)
image_printZur Druckversion!
0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.