Datenschutz - Häufig gestellte Fragen

Antwort: Ja (außer sie verarbeiten keinerlei personenbezogene Daten, nicht mal in Akten). 

Art. 2 Abs. 1 DSGVO unterscheidet nicht nach Unternehmensgröße sondern nach der Art der Verarbeitung. Und da sind nur ganz wenige Unternehmen als Ausnahmen definierbar. 

"Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen."

Antwort: höchstwahrscheinlich ja (auch wenn Sie weniger als 250 Mitarbeiter haben)

Art. 30 Abs. 1 DSGVO ist da erst mal ganz eindeutig: 

"Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen"

Nun enthält Artikel 30 Abs. 5 DSGVO eine (theoretische) Einschränkung dieser Pflicht für Kleinstunternehmen: 

"Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen,

• es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
• die Verarbeitung erfolgt nicht nur gelegentlich oder
• es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10."

Wieso müssen trotzdem die meisten Kleinstunternehmen das Verzeichnis führen? 

Ein Grund dafür ist der Satzteil ".. es sei denn... die Verarbeitung erfolgt nicht nur gelegentlich...". Bereits der ganz normale tägliche (und bei vielen häufige) Einsatz von E-Mail, die monatliche Abrechnung von Gehältern oder von geringfügig Beschäftigten, die regelmäßige Aktualisierung von Kundendaten etc. ist nicht mehr "gelegentlich".

Zudem: Wer einen Mitarbeiter hat, verarbeitet von diesem normalerweise einiges an personenbezogenen Daten, unter anderem auch solche die unter Art. 9 Abs 1 DSGVO fallen. 

Und - haben Sie geprüft, ob die von ihnen vorgenommenen Verarbeitungen ein "Risiko für die Rechte und Freiheiten der betroffenen Personen" bergen? 

Antwort: ja, denn Art. 30 Abs. 2 DSGVO fordert andere Angaben als im "normalen" VVT.

Außerdem ist es schon deshalb anzuraten, da verschiedene Auftraggeber für "ihre" Verarbeitung im Vertrag das Recht fordern, die entsprechende Dokumentation auszugsweise erhalten zu können um z.B. Anfragen von Aufsichtsbehörden zu beantworten. 

Art. 30 Abs. 2 DSGVO sagt: 

"Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:..."

Im Interesse eines vereinfachten Datenschutzmanagements sollte jede Tätigkeit und auch pro Auftraggeber getrennt in einem jeweils separaten Dokument beschrieben sein, insbesondere wenn die Aufträge sehr unterschiedlich gestaltet sind. 

Und vergessen sie nicht, eine generelle Richtlinie für Auftragsverarbeitungen und ein AV-Informationsblatt zum Projektbeginn zu erstellen. Wenn Ihre (Projekt-)Mitarbeiter nicht wissen, was sie im Zusammenhang mit einem spezifischen AV-Vertrag zu beachten haben (z.B. individuelle Fristen bei Datenschutz-Angelegenheiten), ist ein Vertrags-Verstoß vorprogrammiert.

Antwort: kommt drauf an!

Art. 37 Abs. 1 lit. b und c DSGVO nennen die Fälle in denen ein Datenschutzbeauftragter in privaten Unternehmen benannt werden muss. Nämlich wenn: 

• die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
• die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Also einiges zu prüfen (Kerntätigkeit, Art/Umfang/Zwecke, umfangreich, regelmäßig, systematisch, Überwachung) und sieht für viele Unternehmen zunächst nicht nach einer zur Benennung eines Datenschutzbeauftragten aus. 

Aber...

§ 38 Abs. 1 BDSG stellt eine Spezifizierung im Rahmen der sog. Öffnungsklauseln dar, mit denen nationale Gesetzgeber Regelungen ergänzend zur DSGVO erlassen können:

"... benennen der Verantwortliche und der Auftragsverarbeiter eine(n) Datenschutzbeauftragte(n), soweit sie in der Regel mindestens 20 (Anmerkung: seit 26.11.2019 mit Änderung durch das 2. DSAnpUG-EU; vorher 10) Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen."

Und es gibt dort noch weitere Punkte (DSFA-pflichtige Verarbeitungen, geschäftsmäßige Verarbeitung, etc.) bei denen die Benennung eines Datenschutzbeauftragten sogar völlig unabhängig von der Anzahl der Personen im Unternehmen ist. 

Aber selbst wenn Sie keiner Benennungs-Pflicht unterliegen:

Die Erleichterung bei der Umsetzung der Datenschutz-Vorgaben und der Image-Gewinn als Unternehmen das Datenschutz wirklich ernst nimmt, wiegt die Kosten für den DSB locker auf. 

Antwort: weil allein schon die IP-Adresse (egal ob statisch oder dynamisch) ein personenbezogenes Datum ist.

Es ist also auch egal, ob Sie eine ganz einfache Web-Visitenkarte haben, ein Kontaktformular anbieten oder einen Online-Shop auf dem aktuellsten Stand der Technik betreiben.

Im Grunde müsste sogar eine "under construction" Webseite einen Datenschutz-Hinweis aufweisen. 

Antwort: Für die reine Meldung des Vorfalls an die Aufsichtsbehörde - ja.

Vermutlich dürfte das aber für eine nachvollziehbare Dokumentation eines Prozesses zur Meldung eines Datenschutz-Vorfalls nach Art. 33 DSGVO nicht ausreichen. 

Denn der eigentliche Prozess fängt bereits bei den Mitarbeitern an (wie werden Datenschutz-Vorfälle erkannt und intern gemeldet?), ist vollständig zu dokumentieren (Art. 5 Abs. 2 DSGVO, Rechenschaftspflicht) und benötigt zumindest Einschätzungen und nachvollziehbare Begründungen dafür, ob und wie ggf. neben der Meldung (oder Nicht-Meldung) an die Aufsichtsbehörde auch eine Benachrichtigung betroffener Personen nach Art. 34 DSGVO durchgeführt wird (oder auch nicht).   

Antwort: kommt drauf an!

Hier unterscheiden sich Unternehmen natürlich wesentlich. Wie groß ist das Unternehmen, gibt es Zweigstellen, wie viele und welche Verarbeitungen werden durchgeführt, wie viele Mitarbeiter, wie viele Externe, wie kritisch sind die Verarbeitungen, was ist an Dokumentation und Prozessen schon vorhanden, etc. etc. 

Kleinst-/Einzel-Unternehmen können die wichtigsten Vorgaben in relativ kurzer Zeit erfüllen, was unbedingt erforderliche Dokumentation und kritische Prozesse betrifft. Hilfreich ist eine Bestandsaufnahme und ein daraus entwickelter individueller Maßnahmen-Plan, der eine Schritt-für-Schritt Umsetzung anhand der tatsächlichen Gegebenheiten im Unternehmen ermöglicht. 

Und wie viel Aufwand dann noch in den "Feinschliff" und die wirklich dauerhafte Umsetzung fließen kann, ist eine Entscheidung, die der Verantwortliche treffen muss. 

Antwort: kommt drauf an!

Die Wahrscheinlichkeit, dass Sie US-Dienstleister einsetzen, die sich in der Vergangenheit auf Privacy Shield im Rahmen eines Angemessenheitsbeschlusses nach Art. 45. DSGVO berufen konnten, ist sehr hoch.

Und auch die Wahrscheinlichkeit, dass sich dieser nach dem 10. Juli 2023 unter dem EU-US DPF (Data Privacy Framework) wieder selbst zertifiziert hat. Nach dem Wegfall des Privacy Shield ist das EU-US DPF bis auf weiteres die "Garantie erster Wahl" für US-Übermittlungen, um ein angemessenes Datenschutz-Niveau zu gewährleisten.

Ist Ihr Dienstleister nicht unter dem EU-US DPF zertifiziert, sind andere Garantien wie z.B. Standard Contractual Clauses (SCC) plus Transfer Impact Assessment (TIA) nachzuweisen.

Prüfen Sie genau, wo Drittland-Übermittlungen (nicht nur in die USA) stattfinden (auch bei Dienstleistern wie z.B. Ihrem Webseiten-Betreiber etc.), sofern Sie das nicht schon lange gemacht haben. Und prüfen Sie, ob der/die Dienstleister unter dem EU-US DPF eine gültige Listung hat.

Falls nicht: Nutzen Sie Standard-Vertragsklauseln und entsprechende zusätzliche Absicherungen (nicht mal so einfach). Und dokumentieren Sie das im Rahmen eines Transfer Impact Assessments (TIA). 

Oder ersetzen Sie den Dienstleister (wenn Sie einen gleichwertigen Ersatz finden). All das ist eigentlich einfach, aber dennoch in vielen Fällen nicht gerade leicht zu bewerkstelligen. Prüfen Sie deshalb mit ihrem Datenschutzexperten, welche Maßnahmen im jeweiligen Einzelfall umzusetzen sind.