Neue Regeln treten zum 25. Mai 2018 in Kraft

EU-Datenschutzverordnung: Nur noch ein Monat zur Anpassung

Die Umsetzung des Datenschutzrechts im Betrieb muss der Chef, gegebenenfalls mit seiner Führungsebene gemeinsam in die Hand nehmen. Foto: Fotolia

Am 25. Mai treten die EU-Datenschutzgrundverordnung (EU-DS-GVO) und das neue Bundesdatenschutzgesetz (BDSG neu) in Kraft. Ab diesem Stichtag wird sich die Arbeit der Verantwortlichen in den Betrieben und der Datenschutzbeauftragten der Betriebe ändern.

Es sind dann die beiden genannten Gesetze zu beachten. Der Bundesverband Garten-, Landschafts- und Sportplatzbau (BGL) hat 14 goldene Regeln zur Umsetzung aufgestellt. Es weist aber darauf hin, dass sie nicht vollständig sein können, da dies den Rahmen sprengen würde. Eine individuelle Beratung durch einen Datenschutzexperten ist daher dringend erforderlich.

1. Umsetzung ist Chefsache

Die Umsetzung des Datenschutzrechts im Betrieb muss der Chef, gegebenenfalls mit seiner Führungsebene gemeinsam in die Hand nehmen. Diese Führungsebene muss alle Weichen für die Umsetzung stellen und trägt auch die Verantwortung dafür. Weder der Datenschutzbeauftragte (Punkt 12) noch die IT-Experten im Betrieb sind allein verantwortlich für den Datenschutz und auch gar nicht in der Lage, alle gesetzlichen Anforderungen sicherzustellen.

2. Datenschutz-Management-System erforderlich

Die umfangreichen Dokumentationspflichten, lassen sich nur durch Einführung eines entsprechenden Management-Systems in die Betriebspraxis umsetzen. Der Chef und die Führungsebene müssen hierzu die Verantwortlichkeiten und Ressourcen festlegen.

Wenn personenbezogene Daten von einer Person erhoben werden, muss der Betrieb denjenigen darüber informieren. Foto: Fotolia

Insbesondere die erforderlichen Risikobewertungen (Punkt 8) können nur von einem Team durchgeführt werden, in dem auch der jeweilige Betriebsbereich beteiligt ist.

3. Verbotsgesetz mit Erlaubnisvorbehalt bleibt wie bisher bestehen

Das Prinzip des "Verbotsgesetzes mit Erlaubnisvorbehalt" hört sich kompliziert an, folgt in der praktischen Anwendung aber einem einfachen Prinzip: Eine Datenerhebung, -verarbeitung und/oder -nutzung ist erst einmal grundsätzlich verboten, es sei denn, es gibt irgendeine Erlaubnis. Also: Immer erst eine Erlaubnis einholen. Eine Erlaubnis kann unter anderem eine dokumentierte Einwilligung sein oder eine Verarbeitung aufgrund eines Vertrags. In den Unternehmen ist zwischen den personenbezogenen Daten der Mitarbeiter und den Kundendaten, wie Lieferanten oder Endkunden zu unterscheiden. Werbemaßnahmen, wie Newsletter (per E-Mail) sind erst nach Erhalt einer freiwilligen Einwilligung des Betroffenen möglich. Postalische Werbung ist auch ohne Einwilligung möglich.

4. Informationspflichten bei Erhebung der Daten unbedingt beachten

Wenn personenbezogene Daten von einer Person erhoben werden, muss der Betrieb denjenigen darüber informieren. Der Betroffene muss erfahren, welche Daten über ihn erhoben und zu welchem Zweck sie genutzt werden. So wird die geforderte Transparenz hergestellt. Auch hier muss zwischen den Informationen an den Mitarbeiter und den Kunden unterschieden werden. Diese können möglicherweise unterschiedlich sein. Welche Informationen zu erteilen sind, ergeben sich aus Art. 13 Abs. 1 EU-DSGVO und § 32 BDSG neu. Im Einzelnen sind dies unter anderem die Identität des Verantwortlichen ggf. nebst gesetzlichem Vertreter

  • Verarbeitungszweck, z. B. Abwicklung des Vertragsverhältnisses
  • Rechtsgrundlage, z. B. Vertragserfüllung mit dem Endkunden
  • Datenempfänger, das heißt, an wen werden die Daten weitergegeben
  • Rechte des Betroffenen wie Auskunftsanspruch, Löschung u. a.
  • Bestehen eines Beschwerderechts usw.

Der Gesetzgeber hat nicht vorgeschrieben, auf welche Art die Information zu erfolgen hat. Diese kann also schriftlich, elektronisch, mündlich oder als Bildformat möglich sein. Bei den Mitarbeitern bietet es sich an, dass man diesen die Informationen mit der Abrechnung zum April 2018 aushändigt. Kunden können bei Vertragsschluss die Informationen ausgehändigt bekommen. Wie das Unternehmen der Informationspflicht nachkommt, muss daher im Einzelfall entschieden werden.

Die Empfehlungen zur neuen EU-Datenschutzverordnung und zum neuen Bundesdatenschutzgestz (BDSG) sind in Kooperation mit dem Datenschutzbeauftragten des Bundesverbandes Garten-, Landschafts- und Sportplatzbau, Ziar Kabir von der Firma SCO-CON:SULT GmbH in Bad Honnef, ausgearbeitet worden. Foto: Fotolia

5. Informationspflichten bei Erhebung der Daten bei Dritten beachten

Werden personenbezogene Daten nicht bei dem Betroffenen selbst, sondern bei Dritten erhoben oder stammen sie aus öffentlichen Quellen, so gibt es zusätzliche Informationspflichten, die von dem Unternehmen zu erfüllen sind. So muss die sowohl die Datenkategorie als auch die Quelle der Daten mitgeteilt werden.

6. Rechte der betroffenen Personen

Die von der Datenerhebung Betroffenen haben ein Auskunftsrecht. Die Informationen kann der Verantwortliche schriftlich, elektronisch oder sogar mündlich erteilen. Macht der Betroffene auf elektronischem Wege von seinem Auskunftsrecht Gebrauch, so ist die Auskunft in einem gängigen elektronischen Format beispielsweise als pdf-Datei zur Verfugung zu stellen. Die Auskunft hat unverzüglich, spätestens aber innerhalb eines Monats zu erfolgen.

Neben dem Auskunftsrecht haben die Betroffenen weitere Rechte. Das sind unter anderem

  • die Berichtigung von falschen Daten,
  • die Löschung der gespeicherten Daten,
  • die Einschränkung der Verarbeitung sowie
  • das Recht auf Datenübertragbarkeit.

7. Verarbeitungsverzeichnisse (VVT) erstellen

In jedem Betrieb muss ein Verarbeitungsverzeichnis erstellt werden. Bei den Verarbeitungsverzeichnissen handelt es sich um eine Dokumentation und Übersicht zu denjenigen Verfahren, bei denen personenbezogene Daten verarbeitet werden. Hierdurch soll eine Übersicht zu den datenschutzrelevanten Abläufen im Unternehmen gegeben werden. Dies ist zum Beispiel bei Anwendungen für die Personalabrechnung oder Kundendaten erforderlich. In diesem Verarbeitungsverzeichnis sind unter anderem folgende Angaben zu machen:

  • Name und Kontaktdaten des Unternehmens
  • die Zwecke der Verarbeitung, wie z. B. Abwicklung des Vertragsverhältnisses
  • Kategorien betroffener Personen, wie Mitarbeiter und Kunden
  • Kategorien personenbezogener Daten, wie Name, Anschrift, Gesundheitsdaten
  • Fristen für die Löschung der Daten
  • eine Beschreibung der technischen und organisatorischen Maßnahmen

Sollte der Betrieb zur Führung des VVT verpflichtet sein, so ist dieses zwar anzulegen, aber der Datenschutzaufsichtsbehörde nur auf Anfrage zur Verfugung zu stellen.

Die Betriebe sind verpflichtet, Maßnahmen nach dem Stand der Technik zu ergreifen, um Risiken für die Datenverarbeitung zu begegnen. Rechner müssen passwortgeschützt sein. Foto: Fotolia

8. Risikobewertung

Auch bei einer rechtmäßigen Verarbeitung von Daten bestehen weitere Risiken für den Betroffenen. Daher ist für jede Verarbeitung eine Risikobewertung erforderlich. Es ist zunächst einmal zu prüfen, ob bei der Datenverarbeitung ein geringes oder hohes Risiko für den Datenschutz besteht. Ein hohes Risiko liegt unter anderem dann vor, wenn viele Personen durch die Datenverarbeitung betroffen sind oder wenn sensible Daten, wie Gesundheitsdaten verarbeitet werden. Dies kommt so gut wie in jedem Betrieb vor, da man beispielsweise weiß, dass der ein oder andere Mitarbeiter eine Behinderung oder Krankheit hat.

In diesen Fällen soll daher als Instrument der Risikoeindämmung eine Datenschutz-Folgenabschatzung (DSFA) vorgenommen werden. Nach bisherigen Erkenntnissen werden die Datenschutzaufsichtsbehörden eine nichtabschließende Liste mit Verarbeitungstätigkeiten, bei denen eine DSFA durchzuführen ist, veröffentlichen.

9. Auftragsverarbeitung nach Art. 28 EU-DSGVO

Die Verarbeitung personenbezogener Daten in einem Betrieb wird ab und zu auch mal von einem anderen Unternehmen, einem Dritten, vorgenommen. Dieser Dienstleister verarbeitet die Daten für und im Auftrag des Auftraggebers. Zu diesen Dienstleistern zählen zum Beispiel die Nutzung eines Dienstleisters für die Finanz- und Lohnbuchhaltung, Aktenvernichtung durch ein Fremdunternehmen und die Nutzung einer Daten-Cloud, um Kunden- und/oder Mitarbeiterdaten zu verarbeiten.

Es ist derzeit noch streitig, ob IT-Wartungen eine Auftragsverarbeitung abschließen, da nicht immer ein Zugriff auf Echtdaten, die in dem Programm gespeichert sind, möglich ist. In den meisten Fällen wird dies aber wohl der Fall sein, so dass die Betriebe auch mit dem IT-Dienstleister einen solchen Vertrag abschließen müssen.

Für diese Datenverarbeitung durch einen Dienstleister muss neben dem Dienstleistungsvertrag auch ein Vertrag zur Auftragsverarbeitung geschlossen werden. Welche Regelungen dieser Vertrag insbesondere haben muss, ergibt sich aus Art. 28 EU-DSGVO. Hierzu zählen unter anderem

  • Gegenstand des Auftrags, z. B. Lohn- und Finanzbuchhaltung
  • Dauer des Auftrags, diese richtet sich zumeist nach dem Hauptvertrag
  • Zweck der Datenverarbeitung, z. B. Personalabrechnung
  • Kategorien der betroffenen Personen, z. B. Mitarbeiter

Es kann den Betrieben nur dringend empfohlen werden, diese Verträge zur Datenweitergabe mit den Dienstleistern abzuschließen. Das Nichtvorhandensein kann auch hier zu einem Bußgeld führen.

Der Bußgeldrahmen ist massiv ausgeweitet worden, um effektiven Datenschutz zu gewährleisten. Foto: Fotolia

10. Meldepflichten bei Datenpannen

Weiterhin bleibt es bei der Meldepflicht für Datenpannen, die schon in dem jetzt aktuellen Gesetz verankert ist. Demnach sieht der § 42a BDSG bereits eine Meldepflicht für Datenpannen dann vor, wenn besonders sensible Daten betroffen waren oder schwerwiegende Beeinträchtigungen drohen. Ist es dennoch beispielsweise in dem Betrieb zu einem Hacking gekommen oder wurde gar eingebrochen und ein Rechner/ Smartphone/Tablet entwendet oder ist gar verloren gegangen, auf dem sich sensible Mitarbeiterdaten, wie Gesundheitsdaten oder Kontoinformationen von Mitarbeitern und Kunden befanden, so ist man verpflichtet, eine Meldung bei der Datenschutzaufsichtsbehörde zu tätigen. Ebenso sind die Betroffenen, dessen Daten abhanden gekommen sind, zu informieren.

Eine solche Verpflichtung bleibt weiterhin grundsätzlich erhalten, allerdings werden diese hohen Hürden abgesenkt. Denn nach den Art. 33 und 34 EU-DSGVO sind Datenpannen grundsätzlich immer dann zu melden, wenn ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Es sollte auf jeden Fall mit dem Datenschutzbeauftragten abgesprochen werden, ob eine Meldepflicht gegenüber der Datenschutzaufsichtsbehörde und den Betroffenen besteht oder nicht. Sollte die Meldepflicht ausgelost werden, so hat die Meldung an die Betroffenen unverzüglich und an die Datenschutzaufsichtsbehörde ebenso unverzüglich, spätestens aber binnen 72 Stunden zu erfolgen.

11. IT-Anforderungen

Die Betriebe sind verpflichtet, Maßnahmen auf dem Stand der aktuell verfügbaren Technik zu ergreifen, um den oben genannten Risiken für die Datenverarbeitung zu begegnen. So müssen Maßnahmen getroffen werden, die geeignet sind, Unbefugten den Zugang zu Datenverarbeitungsanlagen zu verwehren. Die Rechner/Tablets/Smartphones müssen beispielsweise passwortgeschützt sein. Der Serverraum sollte abgeschlossen sein.

Weiter müssen Maßnahmen ergriffen werden, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt worden sind. Dies kann zum Beispiel dadurch gewährleistet werden, dass jeder Mitarbeiter einen individuellen Benutzernamen hat. Die Nutzung von Gruppennutzern sollte vermieden werden. Ferner müssen Maßnahmen ergriffen werden, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und im Störfall wiederhergestellt werden können. Dies kann zum Beispiel im Serverraum durch Feuchtigkeitsmesser geschehen. Zuletzt sollten Maßnahmen getroffen werden, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden. Dies sollte zum Beispiel bei unterschiedlichen Auftraggebern beachtet werden.

12. Bestellung eines Datenschutzbeauftragten

Als Betrieb ist man dann gesetzlich verpflichtet, einen DSB zu bestellen, wenn im Betrieb in der Regel mindestens zehn Personen ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. Dies wird in vielen GaLaBau-Betrieben nicht der Fall sein. In diesen Fallen wird es meist der Chef oder ein Sekretariatsmitarbeiter sein, der am Computer Mitarbeiter- und Kundendaten verarbeitet. Aber nur weil das Unternehmen nicht verpflichtet ist, einen DSB zu bestellen, bedeutet dies nicht, dass man den Datenschutz dann nicht beachten müsse. Den Datenschutz hat grundsätzlich immer der gesetzliche Vertreter des Betriebs sicherzustellen.

Sollte der Betrieb zur Bestellung verpflichtet sein und diese erfolgt nicht, so kann dies mit einem Bußgeld belegt werden. Es wird daher eindringlich nahegelegt zu prüfen, ob eine Bestellpflicht vorliegt.

13. Vorsicht: Hohe Bußgelder drohen

Der Bußgeldrahmen ist massiv ausgeweitet worden, um effektiven Datenschutz zu gewährleisten. Die Höhe des jeweiligen Bußgeldes hängt von verschiedenen Faktoren ab und wird in jedem Einzelfall festgelegt.

14. Fazit

Das neue Datenschutzrecht fordert von jedem Betrieb erhebliche Aufmerksamkeit und vielfach auch Anpassungen von Prozessen, Formularen, Internet-Auftritten etc. Daher sollten die Vorbereitungen zur Umsetzung des neuen Datenschutzrechts in den Betrieben schnell beendet werden.

Dieser Artikel erschien in der Ausgabe NEUE LANDSCHAFT 04/2018 .

http://jobs-in-gruen-und-bau.de/index.php?id=123&tx_patzerboerse_paboeplugin[division]=2&tx_patzerboerse_paboeplugin[unterthemen]=417++502&no_cache=1