Europäische DS-GVO: Aktiv werden

 

Im Mai 2018 ist es soweit: Die neuen Datenschutzvorschriften von EU und Bund sind verpflichtend anzuwenden. Bis dahin gibt es einiges zu tun, um nicht am Ende Schadensersatzzahlungen und andere Sanktionen zu riskieren. Unternehmen drohen künftig Bußgelder von bis zu 20 Millionen Euro. Was bedeutet die EU-Datenschutz-Grundverordnung (EU DS-GVO) für Bürger, Kommunen und Behördenleitungen?



Alles neu macht der Mai?
Nach vierjährigen Verhandlungen haben Europäischer Rat und Europäisches Parlament im Frühjahr 2016 die EU Datenschutz-Grundverordnung verabschiedet. Ein Ziel ist die Modernisierung des Datenschutzes angesichts rasanter technischer Entwicklungen, wie autonomes Fahren, Datenbrillen, Cloud-Computing und eGovernment, vor allem aber auch die Vereinheitlichung in Europa. Denn die DS-GVO schafft einheitliches europäisches Datenschutzrecht und löst die EU Richtlinie 95/46/EG aus dem Jahr 1995 ab. Am 25.05.2018 ist es soweit: Dann endet die Übergangsfrist für die Umsetzung der neuen DS-GVO.

So neu die Verordnung auch ist, viele bereits gültige Grundsätze bleiben erhalten oder werden fortgeschrieben. Andrea Voßhoff, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), dazu: „Es ist erfreulich, dass die Prinzipien der Datensparsamkeit, der Angemessenheit und Erforderlichkeit, der Transparenz und Zweckbindung, der Gewährleistung der Datensicherheit sowie der unabhängigen Aufsicht und wirksamen Sanktionierung beibehalten oder gestärkt werden“.

Betroffenenrechte erweitert
Gleichzeitig führt die DS-GVO neue Regelungen ein, um Datenschutz-Bedenken zu begegnen und die Rechte der Betroffenen zu stärken. Hierzu zählt etwa ein „Recht auf Vergessenwerden“, um den Schutz der Privatsphäre zu stärken. Mehr Transparenz soll zudem dafür sorgen, dass EU-Bürger einfach Zugang zu ihren eigenen Daten bekommen und wissen, wie ihre Daten verarbeitet werden. Diese Informationen müssen klar und verständlich sein – was bei dieser komplizierten Materie nicht sehr einfach sein wird. Ein Recht auf Datenübertragbarkeit soll Bürgern erleichtern, personenbezogene Daten zwischen verschiedenen Anbietern auszutauschen.

Und schließlich formuliert der Gesetzgeber auch ein Recht zu erfahren, ob eigene Daten gehackt wurden. Unternehmen und Organisationen müssen den nationalen Aufsichtsbehörden alle Datenschutzverstöße melden, durch die ein Risiko für den betroffenen Bürger entstanden ist. Zudem müssen Betroffene so rasch wie möglich über alle mit hohem Risiko behafteten Verstöße informiert werden, damit sie entsprechend reagieren können. Weitere Einzelregelungen – etwa die Verpflichtung zu datenschutzfreundlichen Voreinstellungen in sozialen Netzwerken oder Handy-Apps – stärken die Betroffenenrechte.

Was kommt auf Kommunen zu?
Und damit die Verordnung auch Anwendung findet, stärkt die DS-GVO die Aufsicht durch Datenschutzbehörden und sieht bei Verstößen empfindliche Geldstrafen vor. Alle Entscheidungsträger in Behörden und Kommunen sollten sich der Auswirkungen der DS-GVO für den alltäglichen Betrieb bewusst sein. Denn verstoßen sie oder ihre Rechenzentrumsbetreiber gegen die DS-GVO, etwa indem sie die strengen Erlaubnistatbestände für die Verarbeitung personenbezogener Daten missachten, drohen Sanktionen.

Und welcher Handlungsbedarf besteht jetzt auf Seiten der hessischen Kommunen, Unternehmen und Organisationen? In welchem Maße Behördenleitungen, Kommunen und angeschlossene Auftragsverarbeiter von der DS-GVO betroffen sind, sollten sie mittels einer formellen Bestandsaufnahme klären: Welche personenbezogenen Daten werden verarbeitet? Welche Prozesse nutzen wir dazu? Haben wir die dazugehörigen Rechtsgrundlagen – etwa die explizite Einverständniserklärung? Das sind einige der Ausgangsfragen, um im ersten Schritt den Ist-Zustand zu ermitteln.

Soll-Zustand
Im nächsten Schritt zur Umsetzung der DS-GVO steht die Ermittlung des Handlungsbedarfs: Welche Lücke ist auf dem Weg von Ist- zum Soll-Zustand überhaupt zu schließen? Die wichtigsten Handlungsfelder liegen für Kommunen – neben den Rechtsgrundlagen als Legitimationsgrundlage für die Datenverarbeitung und der dokumentierten Einhaltung von Betroffenenrechten – bei den folgenden Aspekten: 

  • Dokumentationspflichten, denn Art. 5 Abs. 2 DS-GVO verpflichtet den Verantwortlichen zum Nachweis, dass personenbezogene Daten rechtmäßig und transparent verarbeitet werden. Zusätzlich sieht die DS-GVO weitere Dokumentationspflichten vor, etwa für das Verarbeitungsverzeichnis, die Dokumentation von Datenschutzvorfällen oder für Weisungen im Rahmen der Auftragsverarbeitung.
  • Datenschutz-Folgenabschätzung (Art. 35 DS-GVO), welche die Vorabkontrolle des Hessischen Datenschutzgesetzes (HDSG) ersetzt und als Risikobewertung für personenbezogene Daten und ihre Verarbeitung eine umfangreiche Dokumentation erfordert. Die Datenschutz-Folgenabschätzung kann zudem eine Konsultation der Aufsichtsbehörde nach sich ziehen.
  • Meldepflichten, denn Verantwortliche oder Auftragsverarbeiter sind verpflichtet, der Aufsichtsbehörde unverzüglich die Verletzung des Schutzes personenbezogener Daten zu melden (Art. 33 Abs. 1 DS-GVO).
  • Es ist festzulegen, was zu veranlassen ist, um das Auskunftsrecht und die anderen Datenschutzrechte der Betroffenen nach Art.12 bis 23 DS-GVO sicher zu stellen
  • Nach Maßgabe von Artikel 32 bis 34 DS-GVO ist zu entscheiden, welche technischen und organisatorischen Maßnahmen zur Sicherheit der personenbezogenen Daten zu treffen sind
  • Datenschutzbeauftragte sind auch im behördlichen Umfeld zu bestellen. Die Behördenleitung ist verantwortlich für die Einhaltung der Verordnung, die Aufgabe kann nicht delegiert werden (gemäß § 5 des Gesetzesentwurfs zum neuen BDSG).
  • Dienstleistungsbeziehungen, die sich auf die Verarbeitung personenbezogener Daten beziehen, sind zu prüfen und es ist sicher zu stellen, dass bestehende Verträge zur Auftragsverarbeitung der DS-GVO entsprechen. Erweisen sich Lieferanten als ungeeignet, die hohen Anforderungen der DS-GVO zu erfüllen, müssen Dienstleistungen neu vergeben werden.

Umsetzung bis 25. Mai 2018
Kurzum, es ist viel zu prüfen und wohl meist auch viel zu tun auf dem Weg zur Umsetzung der DS-GVO: Prozesse müssen angepasst, Lösch- und Meldekonzepte ausgearbeitet, technische Grundlagen zur Umsetzung geschaffen werden und vieles mehr. Jürgen Wiegand, behördlicher Datenschutzbeauftragter bei der ekom21: „Es empfiehlt sich, rasch aktiv zu werden. Alle verantwortlichen Stellen – Bürgermeister, Kommunen und Rechenzentren – sollten sich auf die neue Rechtslage einstellen, um im Mai 2018 die Anforderungen der Datenschutzgrundverordnung zu erfüllen“.

 

Weiterführende Informationen

Experteninterview mit Jürgen Wiegand, behördlicher Datenschutzbeauftragter der ekom21: 
https://www.ekom21.de/Service/einfo21_digital/Seiten/dsgvo_interview.aspx

Der Gesetzestext der EU DS-GVO zum Nachlesen und Nachschlagen: 
http://eur-lex.europa.eu/legal-content/de/TXT/?uri=CELEX:32016R0679

Einleitung, Hintergründe und Gesetzestexts als eBook vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit: 

https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.pdf?__blob=publicationFile&v=31