Die EU verfolgt durch die EU-DSGVO, deren komplexer Titel „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“ Programm ist, eine eindeutige Zielsetzung: Große Konzerne wie Google und Facebook, deren einziger Geschäftszweck im Sammeln und Aufbereiten von (personenbezogenen) Daten liegt, sollen mit Hilfe der Verordnung im Umgang mit selbigen „gezähmt“ werden.
Gegen dieses hehre Ziel ist im ersten Moment überhaupt nichts einzuwenden, allerding hat die Verordnung, die bereits am 25. Mai 2016 in Kraft getreten ist und deren Einhaltung ab dem 25. Mai 2018 verpflichtend ist, Kollateralschäden zu verzeichnen, da die Vorgaben für die genannten Großkonzerne mit einigen wenigen Ausnahmen auch für Behörden und Einrichtungen des öffentlichen Sektors gelten.EU-DSGVO: Was ändert sich?
Grundsätzlich lässt sich erkennen, dass dem Datenschutz – verglichen mit den bereits bestehenden Regelungen – eine weitaus größere Bedeutung zugestanden wird und hierfür entsprechende Sanktionierungsmöglichkeiten geschaffen wurden. Dies schlägt sich in deutlich erweiterten Nachweispflichten für Behörden nieder. So müssen die verantwortlichen Stellen gemäß Art. 5, Abs. 2 der EU-DSGVO nachweisen können, dass die Datenschutzgrundsätze eingehalten werden und in Ansehung von Art. 24, Abs. 1 personenbezogene Daten verordnungskonform verarbeitet werden.
Die Schutzkonzeption der EU-DSGVO fußt dabei auf den folgenden Elementen:
- Organisatorische Absicherung der Datenverarbeitung (Art. 24, 26 und 33 – 35)
So ist eine öffentliche Stelle u.a. aufgefordert, immer dann eine Datenschutz-Folgenabschätzung (Art. 35) durchzuführen, wenn eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten der davon betroffenen Personen zur Folge hat. - Technische Absicherung der Datenverarbeitung (Art. 25 und 32)
Öffentliche Stellen müssen ihre IT-Systeme grundsätzlich so ausgestalten, dass sie die Datenschutzgrundsätze des Art. 5 wirksam umsetzen, insbesondere ist hierbei das Gebot der Datenminimierung zu erwähnen. Außerdem sollen IT-Systeme so „voreingestellt“ sein, dass sie grundsätzlich nur solche personenbezogene Daten verarbeiten, die für den jeweils verfolgten Zweck erforderlich sind. - Überwachung der Vorgaben durch den Datenschutzbeauftragten (Art. 37 – 39)
Art. 37 macht die Bestellung eines Datenschutzbeauftragten obligatorisch. Durch den erhöhten Bedarf an systematisierter Informationssicherheit wird die Rolle des Informationssicherheitsbeauftragten mit jener des Datenschutzbeauftragten zu kombinieren sein.
Eine weitere weitreichende Neuerung betrifft das Auskunftsrecht mit Rechtsbehelfsbelehrung gemäß Art. 15: Im Grunde genommen kann auf Basis dieser Regelung jeder Bürger eine Anfrage an eine Gemeinde oder an ein Ministerium stellen, um zu erfahren, welche personenbezogenen Daten die betreffende Stelle erhoben hat, wie diese gespeichert, wohin sie übertragen und wofür diese verwendet werden. Die angefragte Stelle ist verpflichtet, eine solche Anfrage innerhalb eines Monats zu beantworten. Voraussetzung hierfür ist natürlich, dass die öffentliche Einrichtung Kenntnis über diejenigen Prozesse hat, bei denen personenbezogene Daten verarbeitet werden. Fehlen die hierfür notwendigen Prozessdokumentationen, so sind diese idealerweise vor dem Wirksamwerden der EU-DSGVO zu erstellen. Ist man nämlich nicht in der Lage, die Auskunftserteilung fristgerecht vorzunehmen, winken empfindliche Bußgelder, die mit bis zu mehreren Millionen Euro taxiert werden können.
Was tun?
Zielführend wird es sein, ein Datenschutzaudit durchzuführen und dabei die Bereiche „Recht“, „Organisation“, „Prozesse“ und „IT“ zu betrachten. Eine umfassende Bestandsaufnahme im Anschluss an das Audit sollte alle datenschutzrelevanten Prozesse identifizieren und dokumentieren. Für die in Frage kommenden Prozesse ist eine Datenschutz-Folgenabschätzung durchzuführen. Weiterhin sollten die datenschutzrechtlichen Hinweise an die Betroffenen innerhalb und außerhalb der öffentlichen Stelle schnellstmöglich angepasst werden. Dies kann beispielsweise durch eine entsprechende Darstellung auf der Website erfolgen, indem transparent dargestellt wird, wie die Einrichtung personenbezogene Daten nutzt. Da die genannten Maßnahmen einen nicht unerheblichen Aufwand verursachen werden und spezielle Expertise erfordern, kann von der Möglichkeit Gebrauch gemacht werden (Art. 37), einen externen Datenschutzbeauftragten auf der Grundlage eines Dienstleistungsvertrages zu bestellen.
Anfragen im Sinne des Rechts auf Auskunftserteilung sollten strukturiert werden, indem z.B. auf der Website diese Anfragen kanalisiert werden: Der Anfragende muss anklicken, was genau er in Bezug auf die Datenverarbeitung wissen und wie er die Auskunft hierzu erhalten möchte. Mit Hilfe eines strukturierten Workflows (z.B. unter Zuhilfenahme eines DMS) kann die Anfrage im Folgenden zielgerichtet und effizient bearbeitet werden. Dies hätte den Vorteil, dass der Bearbeitungsvorgang automatisch dokumentiert und revisionssicher abgespeichert wird, sodass den Vorgaben der EU-DSGVO in diesem Punkt genüge getan werden kann.
Die Umstellung auf die europäischen Vorgaben sollte mit einem Review der zuvor beschriebenen Maßnahmen seinen Abschluss finden, indem die umgestellten Prozesse, Dokumente und Verträge dahingehend überprüft werden, ob sie den Anforderungen auch tatsächlich entsprechen. Ein Abschlussbericht sollte die vorgenommenen Anpassungen dokumentieren, so dass die Nachweispflicht erfüllt wird.
Gerade für diejenigen öffentlichen Stellen, die personenbezogene Daten in vielfältiger Weise verarbeiten und mit anderen Stellen austauschen (z.B. im Bereich des Meldewesens) wird es vermutlich nicht möglich sein, alle Vorgaben der EU-DSGVO fristgerecht umzusetzen. Ungeachtet dessen sollten die Bemühungen zur Implementierung der Vorgaben umgehend begonnen und dokumentiert werden – dies wird sich bei einem etwaigen Verletzungsverfahren vermutlich „strafmildernd“ auswirken.
Bildquelle: Shutterstock
Dieser Beitrag hat 2 Kommentare
Sehr gute Darstellung der Rechtslage und die notwendigen Maßnahmen. Wichtig wird es sein die Datenschutzfolgeabschätzung (Privacy Impact Assessment) mit verlässlichen Informationen über die Datenspeicherung und Verarbeitung zu versorgen. Hierfür sollten geeignete Werkzeuge für die Analyse bereitsgestellt werden.
Ich stimme vollkommen mit Ihnen überein: Gerade bei großen Mengen an personenbezogenen Daten bzw. vielen Prozessen, bei denen entsprechenden Daten anfallen, wird eine Toolunterstützung unerlässlich sein…