DSGVO - Häufig gestellte Fragen


Betrifft mich als Klein-Unternehmen die DSGVO?

Antwort: Ja (außer sie verarbeiten keinerlei personenbezogene Daten, nicht mal in Akten). 

Art. 2 Abs. 1 DSGVO unterscheidet nicht nach Unternehmensgröße sondern nach der Art der Verarbeitung. Und da sind nur ganz wenige Unternehmen als Ausnahmen definierbar. 

 

"Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen."


Muss ich ein Verarbeitungs-Verzeichnis führen?

Antwort: höchstwahrscheinlich ja (auch wenn Sie weniger als 250 Mitarbeiter haben)

Art. 30 Abs. 1 DSGVO ist da erst mal ganz eindeutig: 

"Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen"

 

Nun enthält Artikel 20 Abs. 5 DSGVO eine (theoretische) Einschränkung dieser Pflicht für Kleinstunternehmen: 

"Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen,

  • es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
  • die Verarbeitung erfolgt nicht nur gelegentlich oder
  • es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10."

 

Wieso müssen trotzdem die meisten Kleinstunternehmen das Verzeichnis führen? 

Ein Grund dafür ist der Satzteil ".. es sei denn... die Verarbeitung erfolgt nicht nur gelegentlich...". Bereits der ganz normale tägliche (und bei vielen häufige) Einsatz von E-Mail, die monatliche Abrechnung von Gehältern oder von geringfügig Beschäftigten, die regelmäßige Aktualisierung von Kundendaten etc. ist nicht mehr "gelegentlich".

 

Zudem: Wer einen Mitarbeiter hat, verarbeitet von diesem normalerweise einiges an personenbezogenen Daten, unter anderem auch solche die unter Art. 9 Abs 1 DSGVO fallen. 

Und - haben Sie geprüft, ob die von ihnen vorgenommene Verarbeitung ein "Risiko für die Rechte und Freiheiten der betroffenen Personen" birgt? 


Muss ich als Auftragsverarbeiter ein anderes Verarbeitungs-Verzeichnis führen?

Antwort: ja, denn Art. 30 Abs. 2 DSGVO fordert andere Angaben als im "normalen" VVT.

Außerdem ist es schon deshalb anzuraten, da verschiedene Auftraggeber für "ihre" Verarbeitung im Vertrag das Recht fordern, die entsprechende Dokumentation auszugsweise erhalten zu können um z.B. Anfragen von Aufsichtsbehörden zu beantworten. 

 

Art. 30 Abs. 2 DSGVO sagt: 

"Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:..."

 

Im Interesse eines vereinfachten Datenschutzmanagements sollte jede Tätigkeit und auch pro Auftraggeber getrennt in einem jeweils separaten Dokument beschrieben sein, insbesondere wenn die Aufträge sehr unterschiedlich gestaltet sind. 

 

Und vergessen sie nicht, eine generelle Richtlinie für Auftragsverarbeitungen und ein AV-Informationsblatt zum Projektbeginn zu erstellen. Wenn Ihre (Projekt-)Mitarbeiter nicht wissen, was sie im Zusammenhang mit einem spezifischen AV-Vertrag zu beachten haben (z.B. individuelle Fristen bei Datenschutz-Angelegenheiten), ist ein Vertrags-Verstoß vorprogrammiert.

 

 

Brauche ich einen Datenschutzbeauftragten?

Antwort: kommt drauf an!

Art. 37 Abs. 1 lit. b und c DSGVO nennen die Fälle in denen ein Datenschutzbeauftragter in privaten Unternehmen benannt werden muss. Nämlich wenn: 

  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Also einiges zu prüfen (Kerntätigkeit, Art/Umfang/Zwecke, umfangreich, regelmäßig, systematisch, Überwachung) und sieht für viele Unternehmen zunächst nicht nach einer zur Benennung eines Datenschutzbeauftragten aus. 

Aber...

§ 38 Abs. 1 BDSG stellt eine Spezifizierung im Rahmen der sog. Öffnungsklauseln dar, mit denen nationale Gesetzgeber Regelungen ergänzend zur DSGVO erlassen können:

 

"... benennen der Verantwortliche und der Auftragsverarbeiter eine(n) Datenschutzbeauftragte(n), soweit sie in der Regel mindestens 20 (Anmerkung: seit 26.11.2019 mit Änderung durch das 2. DSAnpUG-EU; vorher 10) Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen."

 

Und es gibt dort noch weitere Punkte (DSFA-pflichtige Verarbeitungen, geschäftsmäßige Verarbeitung, etc.) bei denen die Benennung eines Datenschutzbeauftragten sogar völlig unabhängig von der Anzahl der Personen im Unternehmen ist. 

 

Aber selbst wenn Sie keiner Benennungs-Pflicht unterliegen:

Die Erleichterung bei der Umsetzung der Datenschutz-Vorgaben und der Image-Gewinn als Unternehmen das Datenschutz wirklich ernst nimmt, wiegt die Kosten für den DSB locker auf. 


Wieso braucht meine Webseite einen Datenschutzhinweis?

Antwort: weil allein schon die IP-Adresse (egal ob statisch oder dynamisch) ein personenbezogenes Datum ist.

 

Es ist also auch egal, ob Sie eine ganz einfache Web-Visitenkarte haben, ein Kontaktformular anbieten oder einen Online-Shop auf dem aktuellsten Stand der Technik betreiben.

Im Grunde müsste sogar eine "under construction" Webseite einen Datenschutz-Hinweis aufweisen. 


Reicht es nicht, eine Datenpanne einfach nur online zu melden?

Antwort: Für die reine Meldung des Vorfalls an die Aufsichtsbehörde - ja. Vermutlich dürfte das aber für eine nachvollziehbare Dokumentation eines Prozesses zur Meldung eines Datenschutz-Vorfalls nach Art. 33 DSGVO nicht ausreichen. 

  

Denn der eigentliche Prozess fängt bereits bei den Mitarbeitern an (wie werden Datenschutz-Vorfälle erkannt und intern gemeldet?), ist vollständig zu dokumentieren (Art. 5 Abs. 2 DSGVO, Rechenschaftspflicht) und benötigt zumindest Einschätzungen und nachvollziehbare Begründungen dafür, ob und wie ggf. neben der Meldung (oder Nicht-Meldung) an die Aufsichtsbehörde auch eine Benachrichtigung betroffener Personen nach Art. 34 DSGVO durchgeführt wird (oder auch nicht).   


Wie viel Aufwand bedeutet die Umsetzung der DSGVO-Vorgaben für mich?

Antwort: kommt drauf an!

  

Hier unterscheiden sich Unternehmen natürlich wesentlich. Wie groß ist das Unternehmen, gibt es Zweigstellen, wie viele und welche Verarbeitungen werden durchgeführt, wie viele Mitarbeiter, wie viele Externe, wie kritisch sind die Verarbeitungen, was ist an Dokumentation und Prozessen schon vorhanden, etc. etc. 

 

Kleinst-/Einzel-Unternehmen können die wichtigsten Vorgaben in relativ kurzer Zeit erfüllen, was unbedingt erforderliche Dokumentation und kritische Prozesse betrifft. Hilfreich ist eine Bestandsaufnahme und ein daraus entwickelter individueller Maßnahmen-Plan, der eine Schritt-für-Schritt Umsetzung anhand der tatsächlichen Gegebenheiten im Unternehmen ermöglicht. 

 

Und wie viel Aufwand dann noch in den "Feinschliff" und die wirklich dauerhafte Umsetzung fließen kann, ist eine Entscheidung, die der Verantwortliche treffen muss. 


Privacy Shield ungültig - Grund zur Panik?

Antwort: natürlich nicht, aber es besteht dringender Handlungsbedarf. 

 

Die Wahrscheinlichkeit, dass Sie US-Dienstleister einsetzen, die sich in der Vergangenheit auf Privacy Shield als sog. "Garantie für ein angemessenes Datenschutzniveau" nach Art. 44 ff. DSGVO berufen konnten, ist sehr hoch.

Mit dem Wegfall des Privacy Shield als solche Garantie sind die entsprechenden Übermittlungen illegal. 

 

Es sind also von jedem Verantwortlichen verschiedene Maßnahmen durchzuführen, wie er die damit verbundene Drittland-Übermittlung in die USA rechtlich absichern kann.

 

Prüfen Sie genau, wo Drittland-Übermittlungen (nicht nur in die USA) stattfinden (auch bei Dienstleistern wie z.B. Ihrem Webseiten-Betreiber etc.), sofern Sie das nicht schon lange gemacht haben. Ersetzen Sie die Garantien durch gültige wie Standard-Vertragsklauseln und entsprechende zusätzliche Absicherungen (nicht mal so einfach).  Oder ersetzen Sie den Dienstleister (wenn Sie einen gleichwertigen Ersatz finden). All das ist eigentlich einfach, aber dennoch in vielen Fällen nicht gerade leicht zu bewerkstelligen. Prüfen Sie deshalb mit ihrem Datenschutzexperten, welche Maßnahmen im jeweiligen Einzelfall umzusetzen sind.