Die Anwendung der Datenschutzgrundverordnung (DSGVO) rückt näher (Frist: 25. Mai 2018) und die Aufregung über die zu treffenden Vorbereitungen wird immer stärker. Im Internet finden sich derzeit viele „Check“- und „To-Do“-Listen zur Vorbereitung auf die DSGVO (auch unsere), weil sich jeder Datenverarbeiter (ob Unternehmen, Freiberufler oder NGO) vor den Geldbußen (bis zu 4 Prozent des Gruppenumsatzes oder 20 Mio. Euro) fürchtet.
Natürlich müssen deswegen nicht sämtliche Datenverarbeiter ihr gesamtes Unternehmen umgestalten und zusätzliche Datenschutzmaßnahmen einführen. Vielmehr müssen sie über die verarbeiteten Daten Kenntnis erlangen, die Verarbeitungszwecke prüfen und die gesamte Verarbeitung pflicht- und verantwortungsbewusst durchführen.
Hintergrund: Accountability Principle
Rumänischen Datenverarbeitern müssen Verletzungen im Bereich Datenschutz derzeit grundsätzlich durch die zuständige Datenschutzbehörde während einer Betriebsprüfung nachgewiesen werden. Wegen Unterbesetzung der Datenschutzbehörde war das Risiko einer solchen Prüfung bisher überschaubar. Zudem hielten sich die verhängten Sanktionen in Grenzen, hatten sie doch kaum Auswirkung auf die Tätigkeit.
Die DSGVO führt nun ein neues sog. Rechenschaftsprinzip („accountability principle“) ein, wonach jeder Datenverarbeiter verpflichtet ist, die Einhaltung der gesetzlichen Vorgaben aufgrund interner Papiere nachzuweisen. Somit liegt es künftig an dem Datenverarbeiter selbst, der Prüfbehörde die Einhaltung der Grundsätze zu belegen. Daher gilt es ab jetzt, im Vorfeld Argumente und schriftliche Nachweise zur Untermauerung der Konformität mit den anwendbaren Grundsätzen zu schaffen. Dies setzt selbstverständlich voraus, dass die betroffenen Datenverarbeiter sowohl die Grundsätze als auch ihre internen Verfahren bestens kennen.
Datenschutzgrundsätze
Selbst wenn die in der DSGVO festgelegten Datenschutzgrundsätze keine großen Unterschiede zur vorherigen Rechtslage aufweisen, sind diese nun schriftlich zu belegen. Heißt es beispielsweise, dass personenbezogene Daten lediglich für den angegebenen Zweck, fair und transparent verarbeitet werden dürfen, so muss dies konkret im Einzelfall nachgewiesen werden. Dasselbe gilt für die Vorgabe, personenbezogene Daten ausschließlich für die Dauer der zweckgebundenen Verarbeitung zu speichern. Läuft die Dauer ab, müssen technische Mittel verfügbar sein, um diese Daten zu löschen.
Verzeichnis der Verarbeitungstätigkeiten
Art. 30 der DSGVO verpflichtet im Sinne der obigen Ausführungen Datenverarbeiter, Verzeichnisse aller Verarbeitungstätigkeiten zu führen. Dies ist ein schriftliches (auch elektronisches) Verzeichnis der Kategorien von personenbezogenen Daten, deren Empfänger, dem Zweck der Verarbeitung und damit verbundenen technischen Mitteln, der Dauer der Verarbeitung u. a.
Grundsätzlich besteht eine solche Pflicht nur für Unternehmen mit mehr als 250 Arbeitnehmern, es sei denn, sie verarbeiten personenbezogene Daten, „die ein Risiko für die Rechte und Freiheiten der Betroffenen darstellen, die Verarbeitung erfolgt nicht nur gelegentlich oder die Verarbeitung betrifft besondere Datenkategorien (…) oder strafrechtliche Verurteilungen und Straftaten (…)“. In der Praxis dürfte die obige Einschränkung auf 250 Arbeitnehmer daher selten greifen, zumal kaum Fälle auftauchen werden, in denen keine regelmäßige Verarbeitung (zumindest für die eigenen Arbeitnehmer) erfolgt bzw. die Verarbeitung kein Risiko für die Rechte und Pflichten der Betroffenen darstellt. Auch ist davon auszugehen, dass zumindest einige besondere Datenkategorien, wie z. B. Gesundheitsdaten in Form von Krankheitstagen oder Einschränkungen, von jedem Datenverarbeiter für die eigenen Arbeitnehmer verarbeitet werden.
Haftung für Vertreter
Wird keine eigene Datenverarbeitung durchgeführt, weil bestimmte Leistungen an Vertragspartner übertragen werden, bedeutet dies keine Abwälzung der gesamten Pflichten in diesem Bereich auf den betreffenden Vertragspartner. Vielmehr haftet ein Datenverarbeiter gemeinsam mit seinem Vertreter, sofern die Datenschutzrechte der eigenen Kunden nicht beachtet werden. Daher empfiehlt es sich derzeit, sämtliche Verträge mit Subunternehmern näher unter die Lupe zu nehmen, um Haftungseinschränkungen einzubauen.
Fazit
Das Thema Datenschutz sorgt für umso mehr Aufregung, je näher das Anwendungsdatum rückt. Datenverarbeiter müssen bis zum 25. Mai 2018 sowohl die Datenschutzgrundsätze kennen als auch deren Einhaltung schriftlich z. B. im Rahmen eines Verzeichnisses nachweisen können, um hohe Geldbußen zu vermeiden. Das neu eingeführte Rechenschaftsprinzip besagt, dass sie dabei Nachweise einer gesetzlich einwandfreien Datenverarbeitung sowohl für das eigene Unternehmen als auch für die Vertreter erbringen müssen.
--------------------------------------------------------------------
Kontakt und weitere
Informationen:
STALFORT Legal. Tax. Audit.
Bukarest – Sibiu – Bistrita
Büro Bukarest:
Tel.: +40 – 21 – 301 03 53
Fax. +40 – 21 – 315 78 36
E-Mail: bukarest@stalfort.ro