Dienstleistungen - Suzana Ulbrich
Was können wir für Sie tun ?

Was muss ich zur EU-Datenschutz Grundverordnung wissen ?

Datenschutzkonforme Datenverarbeitung nach der EU-Datenschutz-Grundverordnung - Ab 25. Mai 2018 müssen datenverarbeitende Unternehmen in der EU die Vorgaben der EU-Datenschutz-Grundverordnung (2016/679) beachten.

Welche Prozesse und Dokumente muss ich in meinem Unternehmen überprüfen?

  • Dokumentation der Datenverarbeitungsprozesse im Unternehmen (insbesondere Erweiterung der Dokumentationspflichten bei Auftragsverarbeitern, möglw. zusätzliche Dokumentationserfordernisse für Risk und Privacy Impact Assessment)
  • Datenschutzerklärungen (Erweiterung der Informationspflichten)
  • Einwilligungserklärungen (Verschärfung der formalen Vorgaben), Prozess für Widerruf der Einwilligung
  • Anpassung der Betriebsvereinbarungen an DS-GVO
  • Prozesse zur Umsetzung von Widersprüchen
  • Vereinbarungen zur Auftragsverarbeitung (Haftungsregelung, Dokumentation)
  • Prozess bei Datenpannen entsprechend der neuen Vorgaben überarbeiten
  • Verfahren, um Daten in gängigem elektronischen Format übertragen zu können
  • Durchführung von zielgruppengerechten Schulungen zu den Neuerungen der DS-GVO und den eigenen Prozessen
  • Einführung von Risk Assessment zur Festlegung geeigneter technisch-organisatorischer Maßnahmen
  • Einführung von Privacy Impact Assessment
  • Monitoring nationaler Gesetzgebung und Fortbildung


Alle Punkte unterliegen einer erweiterten Rechenschaftspflicht: Die DS-GVO rückt die Verantwortlichkeit von Unternehmen in den Vordergrund und führt erstmalig die Rechenschaftspflicht als zentralen Grundsatz der Datenverarbeitung auf. Sie sollten ein Effektives Datenschutzmanagement–System mit den oben aufgeführten Prozessen in Ihrem Unternehmen integrieren und vor allem die einzelnen Schritte dokumentieren, sodass Sie – auch gegenüber einer Aufsichtsbehörde – nachweisen können, dass Sie geeignete Strategien und Maßnahmen ergriffen haben. Eine unzureichende Dokumentation der datenschutzrechtlichen Umsetzung der DS-GVO kann sich maßgeblich auf die Höhe des Bußgeldtatbestands auswirken.

Mit welchem Aufwand muss ich für die Umstellung rechnen?

Der Aufwand wird von Unternehmen zu Unternehmen variieren – je nachdem wie viele relevante Datenverarbeitungsprozesse und Verträge zu prüfen sind und welche Relevanz geänderte Vorschriften für die Unternehmensprozesse haben. Er hängt auch davon ab, wie umfangreich und übersichtlich die bisherige Dokumentation der Datenverarbeitungsprozesse aussieht.
Im Folgenden sind einige Faktoren genannt, die Sie für die Aufwandsabschätzung zu Hilfe nehmen können:

  • Anzahl der bereits dokumentierten Verfahren im Verfahrensverzeichnis – Anzahl der noch zu dokumentierenden Verfahren? Muss ein Verfahrensverzeichnis neu erstellt werden? Mit wie vielen Abteilungen ist zu sprechen?
  • Zeit, die für Überarbeitung einer (mehrerer) Datenschutzerklärung(en) benötigt wird und Zeit für Überprüfung der X Verfahren, für die eine gesonderte Einwilligung benötigt wird
  • Verhandlung mit dem Betriebsrat über Ergänzung / Änderung von Betriebsvereinbarung(en)?
  • Anzahl ADV-Vereinbarungen x Zeit für Check + Zeit für ggf. Neuverhandlung mit Vertragspartner
  • Überarbeitung des bisherigen Prozesses, Einbeziehung aller Beteiligten
  • Schulungen der Mitarbeiter
  • Rechenschaftspflicht führt zu mehr Dokumentationsaufwand


Welche Abteilungen im Unternehmen sollten über Änderungen informiert werden?

Neben dem betrieblichen Datenschutzbeauftragten sollten auch andere Stellen in Ihrem Unter- nehmen über die Änderungen in der DS-GVO informiert werden:

  • Geschäftsleitung: Die Geschäftsleitung sollte über die veränderte datenschutzrechtliche Praxis in Ihrem Unternehmen Bescheid wissen.
  • Recht und Compliance: Durch die DS-GVO müssen voraussichtlich eine Vielzahl an Verträgen angepasst werden. Ihre Compliance-Abteilung muss zudem bei der Gefährdungsanalyse Risiken für Datenschutzverstöße miteinbeziehen, die durch die hohen Bußgelder deutlich höher zu bewerten sind.
  • IT-Security: Für das geforderte Risk Assessment zur Festlegung der technisch-organisatori- schen Maßnahmen sollte man prüfen wie diese sinnvoll mit ohnehin bereits durchgeführten IT-Security Risikoassessments harmonieren oder sich ergänzen können.


Was muss ich wissen zur EU-Datenschutz Grundverordnung? 

  • Finanzen: Durch die Anpassungsprozesse können Ihrem Unternehmen erhebliche Kosten entstehen, die von Ihrem Unternehmen berücksichtigt werden müssen.
  • Forschung und Entwicklung: Vorschriften wie »Privacy by Design« und »datenschutzrechtliche Voreinstellungen« stellen u. a. auch Anforderungen an die Produktentwicklung- und Implementierung. Es sollten daher schon in frühem Projektstadium bei Produktentwicklungen auf die Einhaltung datenschutzrechtlicher Prinzipien geachtet werden.
  • Personalabteilung und Betriebsrat: Bei der Nutzung von an die DS-GVO angepassten Betriebsvereinbarungen zur Regelung des Beschäftigtendatenschutzes sollten Sie die Mitbestimmungsrechte des Betriebsrates gem. §87 Abs.1 Nr.6 BetrVG im Blick haben. Außerdem werden Mitarbeiterschulungen nötig werden.


Wer gibt Hilfestellung bei der Auslegung?

  • Die Erwägungsgründe der DS-GVO müssen zur Auslegung der Artikel mit herangezogen werden.
  • Artikel 29 Working Party: Die Artikel-29-Datenschutzgruppe wurde im Rahmen der Richtlinie 95/46/EG eingerichtet und besteht hauptsächlich aus Vertretern der Datenschutzbehörden der EU-Mitgliedsstaaten. Die Gruppe hat eine beratende Funktion und veröffentlicht regelmäßig Informationen (Stellungnahmen, Interpretationsleitfäden, usw.) auf ihrer Webseite. Am 2. Februar 2016 stellte die Artikel-29-Gruppe ihren Aktionsplan zur Umsetzung der DS-GVO für 2016 vor.
  • Eine der Hauptaufgaben der EU-Aufsichtsbehörden wird darin bestehen, den sogenannten »Europäischen Datenschutzausschuss« zu formen, der zukünftig mit eigener Rechtspersönlichkeit das zentrale Datenschutzgremium in Europa bildet und die Artikel-29-Gruppe damit ersetzt. Er setzt sich zusammen aus einem Präsidenten der jeweiligen nationalen Aufsichtsbehörde. Durch ihn wird zukünftig die verstärkte Koordinierung der Aufsichtsbehörden stattfindenden (Kooperations- und Kohärenzmechanismus), z. B. bei Beschwerdeverfahren gegen Unternehmen, die europaweit tätig sind. Noch ist offen, wen Deutschland als Vertreter bestimmt.

Zusätzlich wird die Artikel-29-Gruppe Praxishilfen für Unternehmen erstellen. Die ersten in 2016 bearbeiteten Themen werden die folgenden sein:

  • Datenschutzfolgeabschätzung: Die DS-GVO schreibt erstmalig Unternehmen vor, vor bestimmten Datenverarbeitungen eine Datenschutzfolgeabschätzung durchzuführen. Erste Ansätze wurden bereits in einigen Ländern z. B. von der französischen Aufsichtsbehör- de CNIL in Frankreich und dem britischen ICO in Großbritannien entwickelt. Auch in der internationalen Standardisierung werden hier bereits erste Konzepte entwickelt (ISO DIS 29134 Management Standard Privacy Impact Assessment). Die Artikel-29-Gruppe wird wohl bisher bestehende Ansätze weiterentwickeln und an die Vorgaben der DS-GVO anpassen.
  • Recht auf Datenübertragbarkeit: Das Recht auf Datenübertragbarkeit, wonach der Betroffene nicht nur das Recht hat, die Daten in einem gängigen Format zu erhalten, sondern auch das Recht, diese Daten an eine andere Stelle zu übermitteln, ist neu. Der ursprüngliche Grundgedanke war eine Datenübertragbarkeit von Inhalten, die in soziale Netzwerke oder andere Plattformen eingestellt wurden. Der Wortlaut ist jedoch so allgemein gehalten, dass es unklar ist, ob und wie dieses Recht auf andere Dienstleistungen des Web 2.0 Anwendung  nden soll. Die Artikel-29-Gruppe wird wohl Hilfestellung bei der Interpretation geben.
  • Zertifizierung: Der Auftragsverarbeiter kann seine Datenverarbeitungsvorgänge von einer akkreditierten Zulassungsstelle oder eine Aufsichtsbehörden zertifizieren lassen und gegen- über seinem Auftragsgeber den Nachweis für die Einhaltung seiner Pflichten nach DS-GVO zu erbringen.
  • Datenschutzbeauftragter: Anders als in Deutschland gab es bisher in vielen Ländern keine Verpflichtung zur Bestellung eines betrieblichen DSB. Die Artikel-29-Gruppe hat wohl daher dieses Thema priorisiert. In Deutschland wurde bereits langjährige Expertise aufgebaut, auf die zurückgegriffen werden kann, da sich durch die DS-GVO nicht viel verändert hat.
  • Für die Jahre 2017 und 2018 werden neue Prioritäten von der Artikel-29-Gruppe festgelegt.
  • Der Europäische Datenschutzbeauftragte: Der Europäische Datenschutzbeauftragte (eng. EDPS) ist die unabhängige Behörde auf EU-Ebene, deren Aufgabe es unter anderem ist einen kohärenten Datenschutz sicherzustellen. Auf seiner Webseite veröffentlicht der EDPS auch Informationen zur Grundverordnung. Er hat in seiner Strategie für 2015 – 2019 aufgeführt, welche Rolle er bei der DS-GVO übernehmen möchte. Zum einen wird das EDPS-Büro zukünftig das Sekretariat für den neuen Datenschutzausschuss übernehmen und eng mit den EU-Datenschutzbehörden (z. B. bei der Erstellung von Praxisleitfäden und Fortbildungen) zusammenarbeiten. Zusätzlich möchte der EDPS ein webbasiertes Repositorium für Datenschutzinfos aufbauen und sich bei der sektorspezifischen Gesetzgebung engagieren.

Aufsichtsbehörden auf deutscher Ebene:

  • Bundesbeauftragte für den Datenschutz und die Informationssicherheit: Die Bundesbeauftragte hat eine Informationsbroschüre mit endgültigem Text zur künftigen Europäischen Datenschutz-Grundverordnung veröffentlicht. Die BfDI Info 6 zur Datenschutz-Grundverordnung ist abrufbar. 
  • Der Düsseldorfer Kreis: Der Düsseldorfer Kreis ist der Arbeitskreis der unabhängigen deutschen Datenschutzbehörden des Bundes und der Länder und zuständig für deren Kommunikation, Kooperation und Koordinierung. Er ist in verschiedene Arbeitsgremien eingeteilt und veröffentlicht Datenschutzrichtlinien und Praxishilfen für bestimmte Themen.

Bayrische Datenschutzbehörde: Das Bayrische Landesamt für Datenschutz veröffentlicht verschiedene kurze Papiere zur DS-GVO. Es wurden bisher Beiträge zu folgenden Themen veröffentlicht:

  • Videoüberwachung nach der DS-GVO – ein Ausblick (06.07.2016)
  • Art. 42 DS-GVO – Zertifizierung (22.06.2016)
  • Veröffentlichung zum Art. 32 DS-GVO – Sicherheit der Verarbeitung (10.6.2016)
  • Recht auf Löschung (»Vergessenwerden«) – Art. 17 DS-GVO (19.07.2016)
  • Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO (02.08.2016)
  • Besondere Kategorien personenbezogener Daten – Art. 9 DS-GVO (17.08.2016)
  • Sanktionen nach der DS-GVO – (01.09.2016)

 Aufsichtsbehörden anderer EU-Länder:

  • Vereinigtes Königreich – ICO: Trotz des Brexit wird der ICO auch in Zukunft eine wichtige Rolle beim Thema Datenschutz in Europa einnehmen. Der ICO hat bereits viele hilfreiche Beiträge für Unternehmen zur DS-GVO auf seiner Website veröffentlicht, u. a. eine 12-Schritte-Checkliste für Unternehmen sowie eine Übersicht zur DS-GVO. Er will in den nächsten 6 Monaten zusätzlich zu folgenden Themen etwas veröffentlichen: Datenschutzrechte, Verträge, Einwilligung und Codes of Conduct.
  • Frankreich – CNIL: Die französische Aufsichtsbehörde CNIL veröffentlichte bisher Leitlinien zur DS-GVO und führt bis zum 15. Juli 2016 eine Online-Konsultation zu den von der Artikel-29-Gruppe priorisierten Themen durch.
  • Spanien – AEPD: Die spanische Aufsichtsbehörde hat ein Dokument zur Implementierung der DS-GVO am 29. Juni 2016 veröffentlicht. Die Empfehlungen schließen insbesondere die Themen Einwilligung, Informationspflichten, Datenschutzfolgeabschätzung, Zertifizierung, Datenschutzbeauftragter, Verhältnis zwischen verantwortlicher Stelle und Auftragsverarbeiter mit ein. Zusätzlich gibt es eine Checkliste für Unternehmen.
  • Dänemark – Datatilsynet: Auch die dänische Aufsichtsbehörde hat am 21. Juni 2016 ein erstes Q&A Dokument als Checkliste zur DS-GVO veröffentlicht, das Unternehmen erste Informationen zu Themen wie Einwilligung, Datenverarbeitung von Kindern und Datenschutzmeldungen gibt.
  • Finnland – VAHTI: Das  nnische Ministerium für Finanzen und Cyber Security Management unterstützt finnische Unternehmen in der Umsetzungsphase der DS-GVO und veröffentlichte hierzu am 2. Juni 2016 ein umfangreiches Dokument.