Welche Pflichten treffen Daten verarbeitende Stellen?
Häufig nachgefragt
Neben der Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten (Kapitel II) und der Gewährleistung der Betroffenenrechte (Kapitel III) enthält Kapitel IV der Datenschutz-Grundverordnung zentrale Vorschriften für die Pflichten der Daten verarbeitenden Stellen. Diese ergeben sich künftig unmittelbar aus der Datenschutz-Grundverordnung. Im Gegensatz zur alten Rechtslage enthält das ab dem 25. Mai 2018 geltende Bundesdatenschutzgesetz daher nur sehr wenige Ausführungen zu den Verarbeiterpflichten.
Viele Verarbeiterpflichten sind konzeptionell mit der bisherigen Rechtslage in Deutschland vergleichbar, erfordern aber dennoch Anpassungen in der behördlichen und betrieblichen Praxis.
Als wesentliche Pflichten bei der Datenverarbeitung sind zu nennen:
- Gewährleistung geeigneter technischer und organisatorischer Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit, Artikel 24, 25 und 32
- Anforderungen an die Auftragsverarbeitung, Artikel 28
- Führen eines Verzeichnisses der Verarbeitungstätigkeiten, Artikel 30
- Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und Benachrichtigung der betroffenen Personen, Artikel 33 und 34
- Durchführung einer Datenschutz-Folgenabschätzung und vorherige Konsultation der Aufsichtsbehörden, Artikel 35 und 36
- Benennung eines Datenschutzbeauftragten, Artikel 37 bis 39
Prägend für die von den Verantwortlichen zu erfüllenden Pflichten ist das Konzept der Risikoadäquanz: Je wahrscheinlicher oder schwerer das von der Datenverarbeitung ausgehende Risiko, desto umfangreicher und höher sind die Pflichten des Verantwortlichen. Dieser flexible Ansatz trägt insbesondere den Belangen kleinerer und mittlerer Unternehmen Rechnung, die nicht risikobehaftete Daten verarbeiten:
- So sind bei den technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit u.a. die Eintrittswahrscheinlichkeit und Schwere des von der Datenverarbeitung ausgehenden Risikos für die betroffenen Personen im Einzelfall zu berücksichtigen.
- Von der Pflicht zur Führung eines Verarbeitungsverzeichnisses sind Unternehmen mit weniger als 250 Mitarbeitern u.a. befreit, wenn die Datenverarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt.
- Bei Sicherheitsvorfällen (Verletzungen des Schutzes personenbezogener Daten) entfällt die Meldepflicht gegenüber der Aufsichtsbehörde, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt; eine Pflicht zur Benachrichtigung der betroffenen Personen über einen Vorfall besteht nur dann, wenn die Verletzung voraussichtlich ein hohes Risiko für die betroffenen Personen zur Folge hat.
- Die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung besteht ebenfalls nur, wenn die Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Wenn aber Datenschutz-Folgenabschätzung bestätigt, dass die Verarbeitung ein solches hohes Risiko zur Folge hätte, besteht eine Pflicht zur vorherigen Konsultation der zuständigen Datenschutzaufsichtsbehörde.
a) Technische und organisatorische Maßnahmen, Artikel 24, 25 und 32
Technische und organisatorische Maßnahmen dienen dem Ziel, die Einhaltung der Datenschutz-Grundverordnung sicherzustellen und dies zur Erfüllung der Rechenschaftspflicht des Artikel 5 Absatz 2 Datenschutz-Grundverordnung auch nachweisen zu können (Artikel 24 Absatz 1). Insbesondere für die Gewährleistung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Artikel 25) sowie der Datensicherheit (Artikel 32) spielen technische und organisatorische Maßnahmen - wie die Pseudonymisierung und Verschlüsselung sowie Maßnahmen zur Gewährleistung der Schutzziele der IT-Sicherheit - eine wichtige Rolle.
Nicht jede Datenverarbeitung erfordert gleich hohe Schutzmaßnahmen. Die Maßnahmen müssen im Einzelfall geeignet sein, ein dem jeweiligen Risiko angemessenes Schutzniveau zu gewährleisten (Artikel 32 Absatz 1). Hierbei sind der Stand der Technik, die Implementierungskosten und die Art, Umfang, Umstände und Zwecke der Verarbeitung, die Eintrittswahrscheinlichkeit und Schwere des Risikos zu berücksichtigen.
b) Auftragsverarbeitung, Artikel 28
Mit Artikel 28 schafft die Datenschutz-Grundverordnung erstmals europaweit einheitliche Anforderungen an die Auftragsverarbeitung. Eine Auftragsverarbeitung darf nur erfolgen, wenn der Auftragsverarbeiter hinreichende Garantien dafür bietet, dass die Verarbeitung im Einklang mit den Anforderungen der Datenschutz-Grundverordnung erfolgt. Zudem sind die in Absatz 3 genannten Festlegungen zwischen dem Verantwortlichen und dem Auftragsverarbeiter zu treffen. Dies betrifft insb. die Weisungsgebundenheit des Auftragverarbeiters, die Gewährleistung der Vertraulichkeit, die Einhaltung geeigneter technischer und organisatorischer Maßnahmen und die Unterstützung des Verantwortlichen bei der Erfüllung der Betroffenenrechte.
§ 11 BDSG a.F., der bisher die Anforderungen an die Auftragsdatenverarbeitung im deutschen Recht bestimmte, wurde aufgrund der unmittelbaren Geltung des Artikels 28 Datenschutz-Grundverordnung aufgehoben und findet sich im BDSG 2018 nicht mehr.
c) Verzeichnis von Verarbeitungstätigkeiten, Artikel 30
An die Stelle der bisherigen Meldepflicht tritt nach Artikel 30 die Pflicht des Verantwortlichen und des Auftragverarbeiters, ein Verzeichnis der Verarbeitungstätigkeiten mit den in Absatz 1 und Absatz 2 genannten Angaben zu führen. Eine Ausnahme gilt für Unternehmen mit weniger als 250 Mitarbeitern unter den in Artikel 30 Absatz 3 genannten Voraussetzungen. Das Verzeichnis dient als wichtiger Baustein zum Nachweis der Einhaltung der Datenschutz-Grundverordnung und ist der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen. Das Verarbeitungsverzeichnis ersetzt das bislang nach § 4g Absatz 2 BDSG a.F. zu führende Verfahrensverzeichnis.
d) Meldung von Sicherheitsvorfällen, Artikel 33 und 34
Sicherheitsvorfälle können bei den Betroffenen zu schwerwiegenden wirtschaftlichen und gesellschaftlichen Nachteilen wie finanziellen Schäden, Identitätsdiebstahl, Rufschädigung oder der Offenbarung von Berufsgeheimnissen führen. Unter einer solchen „Verletzung des Schutzes personenbezogener Daten“ versteht die Datenschutz-Grundverordnung jede Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt (Artikel 4 Nummer 12 Datenschutz-Grundverordnung).
Sicherheitsvorfälle hat der Verantwortliche nach Artikel 33 und 34 Datenschutz-Grundverordnung zu dokumentieren und einschließlich der wahrscheinlichen Folgen des Vorfalls und der ergriffenen oder vorgeschlagenen Abhilfemaßnahmen der zuständigen Aufsichtsbehörde und den betroffenen Personen grundsätzlich unverzüglich zu melden. Falls die Benachrichtigung der Aufsichtsbehörde nicht binnen 72 Stunden erfolgen kann, müssen die Gründe für die Verzögerung angegeben werden. Informationen können schrittweise ohne unangemessene weitere Verzögerung bereitgestellt werden.
Die Meldepflicht besteht nicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Eine Benachrichtigung der betroffenen Personen muss zudem nur erfolgen, wenn der Vorfall voraussichtlich ein hohes Risiko für die betroffenen Personen zur Folge hat. Die Aufsichtsbehörde kann gegenüber dem Verantwortlichen die Benachrichtigung der betroffenen Personen anordnen.
Das System der Meldung der Verletzungen des Schutzes personenbezogener Daten löst die bislang in § 42a BDSG a.F. und einigen Fachgesetzen vorgesehene Informationspflicht bei unrechtmäßiger Kenntniserlangung personenbezogener Daten ab. Auch öffentliche Stellen unterliegen nach der Datenschutz-Grundverordnung nunmehr den Meldepflichten bei Sicherheitsvorfällen. Wie bisher darf eine Benachrichtigung über Sicherheitsvorfälle jedoch nicht in einem Strafverfahren gegen den Verantwortlichen verwendet werden (§ 42 Absatz 4 BDSG 2018).
e) Datenschutz-Folgenabschätzung und Konsultationspflicht, Artikel 35 und 36
Verarbeitungsvorgänge, die aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, müssen von dem Verantwortlichen nach Artikel 35 Datenschutz-Grundverordnung vorab einer Folgenabschätzung unterzogen werden. Bestätigt sich in der Datenschutz-Folgenabschätzung, dass die Verarbeitung ein hohes Risiko zur Folge hätte, hat der Verantwortliche nach Artikel 36 die zuständige Aufsichtsbehörde vor Beginn der Verarbeitung zu konsultieren.
Die Datenschutz-Folgenabschätzung umfasst eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und Verarbeitungszwecke sowie eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungszwecke und der Risiken für die von der Verarbeitung betroffenen Personen. Sie zeigt schließlich die zur Bewältigung der Risiken vorgesehenen Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren auf, durch die die datenschutzrechtlichen Belange sichergestellt werden. Der betriebliche oder behördliche Datenschutzbeauftragte ist hierbei einzubinden. Gegebenenfalls ist der Standpunkt der betroffenen Personen oder ihrer Interessenvertreter einzuholen.
Die Notwendigkeit einer Datenschutz-Folgenabschätzung ist insbesondere bei der Verwendung neuer Technologien zu prüfen und bei umfangreichen Verarbeitungsvorgängen, bei denen große Mengen personenbezogener Daten verarbeitet werden oder eine große Zahl von Personen betroffen sind. Die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen auf der Basis eines Profilings, die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikel 9 Absatz 1 oder Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 sowie die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche - insbesondere mittels Videoüberwachung - unterliegen unter den Voraussetzungen des Absatzes 3 zudem stets einer Folgenabschätzung. Die Aufsichtsbehörden können weitere Verarbeitungsvorgänge bestimmen, bei denen eine Datenschutz-Folgenabschätzung durchzuführen ist oder bei denen keine Pflicht zur Folgenabschätzung besteht.
Die Datenschutz-Folgenabschätzung ersetzt künftig die bislang in § 4d Absatz 5 BDSG a.F. vorgeschriebene Vorabkontrolle automatisierter Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen. Sie verfolgt eine ähnliche Zielrichtung wie die Vorabkontrolle, ist jedoch strukturierter aufgebaut und zudem nicht mehr Aufgabe des betrieblichen oder behördlichen Datenschutzbeauftragten.
Gleichfalls ersetzt die Datenschutz-Folgenabschätzung die durch die Datenschutz-Richtlinie 95/46/EG vorgesehene Meldepflicht jeglicher Verarbeitungen personenbezogener Daten bei der zuständigen Aufsichtsbehörde (ehemals § 4d und § 4e BDSG a.F.). Durch das Entfallen der Meldepflicht wird bürokratischer und finanzieller Aufwand für die Verantwortlichen reduziert. Die Konzentration auf Verarbeitungsvorgänge mit einem voraussichtlich hohen Risiko für die betroffenen Personen gestaltet den Schutz personenbezogener Daten zugleich effektiver als eine unterschiedslose, formale Meldepflicht bei der zuständigen Aufsichtsbehörde.
f) Bestellung betrieblicher/behördlicher Datenschutzbeauftragter, Artikel 37 bis 39
Die Bestellung betrieblicher und behördlicher Datenschutzbeauftragter ist in Deutschland seit langem vorgesehen und hat sich bewährt. Mit den Datenschutzbeauftragten stehen öffentlichen und nicht-öffentlichen Stellen interne Ansprechpartner für den Datenschutz zur Verfügung, die mit den Datenverarbeitungsvorgängen und Abläufen der Organisation vertraut sind und den Verantwortlichen, deren Mitarbeitern, betroffenen Personen und Aufsichtsbehörden als zentrale Anlaufstelle dienen.
Mit der Datenschutz-Grundverordnung wird die Institution des Datenschutzbeauftragten nun EU-weit eingeführt. Die Voraussetzungen für die Bestellung, die Rechtsstellung und die Aufgaben der Datenschutzbeauftragten nach den Artikeln 37 bis 39 Datenschutz-Grundverordnung sind weitgehend mit der bisherigen Rechtslage in Deutschland vergleichbar.
Öffentliche Stellen haben wie bisher stets eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu bestellen. Nicht-öffentliche Stellen unterliegen nach Artikel 37 Absatz 1 Datenschutz-Grundverordnung einer Bestellpflicht, wenn ihre Kerntätigkeit
- in Verarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordert, oder
- in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht.
Ergänzend bestimmt § 38 BDSG 2018, dass nicht-öffentliche Stellen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten auch dann zu bestellen haben, wenn sie
- in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen,
- Verarbeitungsvorgänge ausführen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen oder
- personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.
Die bestehende Rechtslage zur Bestellung betrieblicher Datenschutzbeauftragter wird hierdurch fortgeführt.
Datenschutzbeauftragte müssen über das für die Erfüllung ihrer Aufgaben erforderliche Fachwissen verfügen. Sowohl die Bestellung eigener Mitarbeiter als auch die Ernennung einer externen Person ist zulässig. Auch ist die Bestellung gemeinsamer Datenschutzbeauftragter für eine Unternehmensgruppe oder mehrere Behörden möglich.
Die Aufgaben der Datenschutzbeauftragten sind in Artikel 39 Datenschutz-Grundverordnung festgelegt: Die Datenschutzbeauftragten unterrichten und beraten die Verantwortlichen und ihre Beschäftigten in datenschutzrechtlichen Fragen, insbesondere bei der Durchführung der Datenschutz-Folgenabschätzung nach Artikel 35. Sie überwachen die Einhaltung des Datenschutzrechts und die Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter. Sie arbeiten mit den zuständigen Aufsichtsbehörden zusammen und fungieren für diese als Anlaufstelle in mit der Datenverarbeitung zusammenhängenden Fragen.
Der Verantwortliche hat die Datenschutzbeauftragte oder den Datenschutzbeauftragten bei der Erfüllung ihrer oder seiner Tätigkeiten umfassend zu unterstützen. Er hat nach Artikel 38 insbesondere sicherzustellen, dass die Datenschutzbeauftragten
- ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden,
- über die für die Erfüllung ihrer Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen verfügen und
- bei der Erfüllung ihrer Aufgaben keinen Weisungen unterliegen.
§ 6 Absatz 3 bis 6 i.V.m. § 38 BDSG 2018 sichert die Stellung des Datenschutzbeauftragten in Fortführung der bisherigen Rechtslage weiter ab. Zur Gewährleistung ihrer Unabhängigkeit dürfen Datenschutzbeauftragte wegen der Erfüllung ihrer Aufgaben nicht benachteiligt werden. Sie unterliegen wie bislang einem besonderen Kündigungs- und Abberufungsschutz, einer umfassenden Verschwiegenheitspflicht und einem Zeugnisverweigerungsrecht.