Die Datenschutzgrundverordnung (DS-GVO) und das Bundesdatenschutzgesetz (BDSG) stellen umfangreiche datenschutzrechtliche Anforderungen für die Unternehmenspraxis auf. Die nachfolgenden Hinweise bieten eine erste Hilfestellung insbesondere für kleine und mittelständische Unternehmen.
I. Datenverarbeitung
Eine Verarbeitung personenbezogener Daten (d. h. alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie etwa Name, Anschrift und E-Mail-Adresse) meint jeden Umgang mit solchen Daten wie u. a. die Erhebung, die Speicherung und die Übermittlung, vgl. Art. 4 Nr. 2 DS-GVO.
Eine Datenverarbeitung bedarf immer einer Rechtsgrundlage i. S. d. Art. 6 DS-GVO. Dies kann eine gesetzliche Befugnis (insbesondere die Erforderlichkeit zur Vertragserfüllung sowie ein berechtigtes Interesse) oder eine Einwilligung der betroffenen Person sein. Bei der Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DS-GVO (etwa Gesundheitsdaten) sowie bei der Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses nach § 26 BDSG gelten Sonderregelungen.
II. Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO
Unternehmen sind in der Regel dazu verpflichtet, ein (überschaubares) Verzeichnis von Verarbeitungstätigkeiten führen, vgl. Art. 30 DS-GVO. In diesem Verzeichnis ist die Verarbeitung von Kunden-, Lieferanten- und Mitarbeiterdaten zu dokumentieren. Das Verzeichnis dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und als Nachweis, dass die datenschutzrechtlichen Vorgaben eingehalten werden („Rechenschaftspflicht“ gemäß Art. 5 Abs. 2 DS-GVO). Ein MusterverzeichnisÖffnet sich in einem neuen Fenster stellt der HBDI zur Verfüung.
III. Informationspflichten, Art. 13 und 14 DS-GVO
Die betroffenen Personen sind grundsätzlich bereits bei der Datenerhebung über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Die inhaltlichen Anforderungen ergeben sich aus Art. 13 Abs. 1 und Abs. 2 bzw. Art. 14 Abs. 1 und Abs. 2 DS-GVO. Die Informationen sind den betroffenen Personen transparent, verständlich und leicht zugänglich zu erteilen, vgl. Art. 12 DS-GVO.
Die Informationen können etwa auf Angebotsschreiben, Aushängen vor Ort sowie auf der Webseite abgebildet werden. Dies kann auch in abgestufter Form geschehen: Zunächst genügen verkürzte Informationen, sofern an anderer Stelle (Webseite, Informationsblatt o. ä.) alle notwendigen Informationen des Art. 13 bzw. Art. 14 DS-GVO bereitgehalten werden und darauf hingewiesen wird.
IV. Rechte der betroffenen Personen, Art. 15 ff. DS-GVO
Sofern eine betroffene Person von ihrem Auskunftsanspruch nach Art. 15 DS-GVO Gebrauch macht, ist die Datenauskunft vollständig zu erteilen (vgl. die einzelnen Punkte des Absatzes 1 und 2). Sofern eine große Menge von Informationen über die betroffene Person verarbeitet wird, kann zunächst eine allgemein gehaltene Auskunft erteilt werden. Sodann kann die betroffene Person konkretisieren, auf welche Informationen oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, vgl. Erwägungsgrund 63 S. 7 DS-GVO. Die Herausgabe von Kopien einzelner Dokumente, Unterlagen etc. ist grundsätzlich nicht geschuldet.
Der Antrag auf Auskunft ist grundsätzlich auf dem Kommunikationskanal zu erfüllen, auf dem er gestellt worden ist, z.B. per E-Mail, wenn der Antrag per E-Mail gestellt worden ist (vgl. zu der elektronischen Antragstellung Art. 15 Abs. 3 DS-GVO). Dies gilt jedoch nur, sofern die Identität des Antragsstellers bzw. dessen (alleinige) Verfügungsgewalt über erhaltene Nachrichten sichergestellt ist. Eine Auskunft per E-Mail ist etwa nicht zu erteilen, wenn nicht gewährleistet ist, dass die E-Mail-Adresse zu dem Antragsteller gehört. Der Antrag ist grundsätzlich spätestens innerhalb eines Monats nach Eingang des Antrages zu erfüllen, vgl. Art. 12 Abs. 3 DS-GVO.
Bei „begründeten Zweifeln“ an der Identität des Antragstellers können zusätzliche Informationen angefordert werden, vgl. Art. 12 Abs. 6 DS-GVO. Es kann etwa die Kopie des Personalausweises (versehen mit dem Hinweis auf die Möglichkeit von Schwärzungen nicht erforderlicher Angaben) verlangt werden. Eine voraussetzungslose Anforderung weiterer Informationen ist jedoch nicht zulässig.
Das Recht auf und die Pflicht zur Löschung nach Art. 17 Abs. 1 DS-GVO besteht nicht voraussetzungslos, sondern unterliegt den Einschränkungen des Abs. 3. Eine Löschung der Kundendaten muss regelmäßig erst nach Ablauf der gesetzlichen Aufbewahrungspflichten erfolgen (insbesondere sechs- und zehnjährige Aufbewahrungspflichten nach § 257 des Handelsgesetzbuches und § 147 der Abgabenordnung). Dies gilt auch dann, wenn ein beabsichtigtes oder angebahntes Geschäft letztlich nicht zustande kommt.
Sofern das Geschäft bereits abgewickelt ist und ein Kunde von seinem Recht auf Löschung gemäß Art. 17 DS-GVO Gebrauch macht (bzw. die Löschungspflicht eingreift), dürfen die Daten nur noch zu Aufbewahrungszwecken gespeichert werden. Für sonstige Zwecke (etwa Werbung) ist die Verarbeitung grundsätzlich gesperrt.
Neben dem Auskunftsanspruch und dem Recht auf Löschung finden sich in den Art. 16, 18 ff. DS-GVO weitere Betroffenenrechte. Bei kleinen und mittelständischen Unternehmen sind diese jedoch in der Praxis nur von geringer Bedeutung.
V. Auftragsverarbeitung, Art. 28 DS-GVO, und gemeinsame Verantwortlichkeit, Art. 26 DSGVO
Die Abgrenzung zwischen (eigenständiger) Verantwortlichkeit, Auftragsverarbeitung und gemeinsamer Verantwortlichkeit ist in der Praxis häufig schwierig und muss für jeden Verarbeitungsvorgang gesondert geprüft werden.
Sofern externe Dienstleistungen (z. B. Hosting der Webseite, Einscannen und Archivierung von Dokumenten) in Anspruch genommen werden, um personenbezogene Daten im Auftrag durch andere Unternehmen verarbeiten zu lassen, ist mit dem Dienstleister ein Auftragsverarbeitungsvertrag abzuschließen, vgl. Art. 28 Abs. 3 DS-GVO. Die Datenverarbeitung durch Steuerberater (auch bei der Lohn- und Gehaltsabrechnung) erfolgt weisungsfrei, so dass mit diesen kein Auftragsverarbeitungsvertrag abzuschließen ist, vgl. § 11 Abs. 2 des Steuerberatungsgesetzes. Eine Formulierungshilfe für einen AuftragsverarbeitungsvertragÖffnet sich in einem neuen Fenster stellt der HBDI zur Verfüung.
Der Vertrag mit dem Dienstleister unterliegt nur insoweit den datenschutzrechtlichen Anforderungen an die Auftragsverarbeitung, als der Vertrag tatsächlich Elemente der Auftragsverarbeitung betrifft. Darüber hinaus kann der Vertrag auch weitere Bestandteile (etwa Werk- oder Dienstleistungen) enthalten. Hinsichtlich der Auftragsverarbeitung genügen häufig kurz gehaltene Regelungen.
Sofern zwei (oder mehr) Unternehmen gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen, sind sie „gemeinsam Verantwortliche“ i. S. d. Art. 26 DS-GVO und müssen eine entsprechende Vereinbarung abschließen.
VI. Sicherheit der Verarbeitung, Art. 32 DS-GVO
Unternehmen haben geeignete technische und organisatorische Maßnahmen zu der Gewährleistung eines angemessenen Schutzniveaus für personenbezogene Daten zu ergreifen, vgl. Art. 32 DS-GVO (sog. Technisch-Organisatorische Maßnahmen = TOMs). Dies sind insbesondere aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte. Dokumente in Papierform sind unbedingt ordnungsgemäß zu vernichten (Papierschredder, Aktenvernichter o. ä.).
VII. Datenschutzverletzungen, Art. 33 und 34 DS-GVO
Im Falle einer Verletzung des Schutzes personenbezogener Daten (etwa Diebstahl oder Verlust von Smartphone, Laptop o. ä.; Fehlversand von Unterlagen; Hacking, Phishing o. ä.) bestehen gesetzliche Meldepflichten gemäß Art. 33 und 34 DS-GVO.
Eine Meldung an die Aufsichtsbehörde nach Art. 33 DS-GVO muss regelmäßig erfolgen. Eine Bagatellgrenze besteht nicht. Eine Meldung ist nur dann nicht erforderlich, wenn kein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Ein Risiko im Sinne der DS-GVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Das Risiko hat zwei Dimensionen (die Schwere des Schadens sowie die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten). Die Einschätzung ist zum Zeitpunkt der Entscheidung über die Meldung vorzunehmen.
Der Prozess und die Zuständigkeit für die Meldung ist unternehmensintern festzulegen. Die 72-Stunden-Frist ab Bekanntwerden der Verletzung muss eingehalten werden (weitere Informationen können ggf. nachgereicht werden, vgl. Art. 33 Abs. 4 DS-GVO). Informationen zu der Meldung sind beim entsprechenden MeldeformularÖffnet sich in einem neuen Fenster zu finden.
Nach Art. 33 Abs. 5 DS-GVO sind Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen zu dokumentieren. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen des Art. 33 DS-GVO ermöglichen.
Eine Benachrichtigung der betroffenen Personen gemäß Art. 34 DS-GVO muss dagegen nur bei einem „hohen Risiko“ erfolgen.
VIII. Datenschutz-Folgenabschätzung, Art. 35 DS-GVO
Sofern eine Datenverarbeitung voraussichtlich ein hohes Risiko für betroffene Personen zur Folge hat, ist vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge durchzuführen. Eine solche ist insbesondere in den Art. 35 Abs. 3 DS-GVO festgelegten Fällen erforderlich (systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DS-GVO etc.). Eine – nicht abschließende – Liste der Verarbeitungstätigkeiten, für die eine Datenschutz-Folgenabschätzung durchzuführen istÖffnet sich in einem neuen Fenster, stellt der HBDI zur Verfügung.
IX. Datenschutzbeauftragte, Art. 37 ff. DS-GVO
Ein Datenschutzbeauftragter ist i. d. R. nur zu benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, vgl. Art. 37 DS-GVO, § 38 BDSG. Dies sind etwa Personen, welche permanent mit der Kunden- oder Personalverwaltung betraut sind (neben Arbeitnehmern auch Inhaber, Geschäftsführer, Teilzeitbeschäftigte, Leiharbeiter, Auszubildende und Praktikanten). Weiterführende Informationen zum Datenschutzbeauftragten finden Sie im Arbeitspapier "Der betriebliche und behördliche Datenschutzbeauftragte nach neuem Recht"Öffnet sich in einem neuen Fenster.
Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen (Webseite etc.) und der Aufsichtsbehörde mitzuteilen, Art. 37 Abs. 7 DS-GVO. Die Meldung des Datenschutzbeauftragten ist mittels des Formulars auf der Webseite des HBDIÖffnet sich in einem neuen Fenster möglich.
Aber selbst wenn die Benennung eines Datenschutzbeauftragten im o.g. Sinne nicht erfolgt, sind die datenschutzrechtlichen Anforderungen in jedem Fall durch das Unternehmen zu erfüllen.
Stand: 02.07.2021