Datenschutz-Grundverordnung

Für welche Fälle gelten die Anforderungen der DS-GVO?

Wie bereits heute im Datenschutzrecht ist auch für die DS-GVO entscheidend, ob personenbezogene Daten verarbeitet werden. Das sind mit anderen Worten alle Informationen, die auf einen Menschen beziehbar sind. Auf der Hand liegt, dass damit Menschen als Kunden und Beschäftigte erfasst sind.
Aber im Unternehmensalltag gilt das häufig auch für sonstige Kunden, Lieferanten und Geschäftsbeziehungen. Denn der Vertragspartner mag eine juristische Person sein, aber typischerweise werden dazu auch Daten von Menschen (Ansprechpartner, Geschäftsführer, etc.) gespeichert. Kurzum: Es gibt kaum einen Bereich des Unternehmens, den der Datenschutz nicht erfasst.

Der Cloud Privacy Check (CPC) als Orientierung im Cloud Umfeld

Der Cloud Privacy Check (CPC) wurde als Tool entwickelt, um Nutzern und Anbietern das Zusammenführen von Cloud Computing und Datenschutz zu erleichtern. Sie finden den CPC insbesondere unter: https:// cloudprivacycheck.eu/de/tool/.

Der CPC stellt die vier grundlegenden Fragen heraus, die aus datenschutzrechtlicher Sicht bei der Nutzung von Cloud Services gestellt werden müssen. Der CPC liefert auch eine Übersicht über die relevanten Antworten.

1. Sind personenbezogene Daten betroffen. Denn: Nur dann muss das Datenschutzrecht beachtet werden.

2. Hat der Cloud-Provider Zugriff auf personenbezogene Daten. Denn: Nur dann muss eine datenschutzrechtliche Gestaltung der Einbindung des Cloud-Providers erfolgen. Die DS-GVO bietet hier mit der Auftragsverarbeitung nach Art. 28 DS-GVO das geeignete Instrument.

3. Werden personenbezogene Daten grenzüberschreitend verarbeitet und besteht ein grenzüberschreitender Zugriff (bspw. im Rahmen von Wartung und Support)? Denn: Nur dann ist zusätzlich zu prüfen, welche datenschutzrechtlichen Rahmenbedingungen für diese Gestaltung des Cloud Service zu treffen sind. Innerhalb der EU bestehen keine Besonderheiten. Für eine grenzüberschreitende Verarbeitung in oder aus Ländern außerhalb der EU sehen die Artt. 44 bis 50 DS-GVO geeignete Instrumente vor.

4. Werden bei der Leistungserbringung durch den Cloud-Provider Subunternehmer eingesetzt?

Denn: Dann müssen zusätzlich datenschutzrechtliche Maßnahmen ergriffen werden, um diese Einbindung auszugestalten. Die DS-GVO sieht hierzu ebenfalls in Art. 28 DS-GVO Instrumente vor. Vereinfacht gesagt, wird der Subunternehmer eingebunden wie der Cloud-Provider (siehe vorstehend Ziffern 2 und 3) – nur eben auf der zweiten Ebene. Der CPC macht damit deutlich, dass der Datenschutz kein „Hemmschuh“ für die Nutzung von Cloud Service ist. Gleichzeitig erleichtert er die Übersicht und die Auswahl der je nach Cloud Service heranzuziehenden „Datenschutz-Module“.

Warum die Umstellung auf die DSGVO nicht verpasst werden darf!

Der CPC wurde vor dem Inkrafttreten der DS-GVO entwickelt. Er ist gleichwohl weiterhin anwendbar, weil sich insoweit durch die DSGVO nichts Grundlegendes geändert hat. Die wesentlichen vom „alten Datenschutzrecht“ zur DS-GVO finden auf anderen Ebenen statt.

Die grundlegende Neuerung ist, dass die DS-GVO dem Ansatz „Datenschutz durch Dokumentation und Organisation“ folgt: Die DS-GVO hat drei grundlegende „Stellschrauben“ zur Dokumentation und Organisation:
1. Das Unternehmen muss durch Dokumentation nachweisen, dass es die Vorgaben der Datenschutzgrundverordnung einhält (Art. 5 Abs. 2 DS-GVO).
2. Das Unternehmen muss durch nachweisbare Maßnahmen die Einhaltung des Datenschutzrechts sicherstellen (Art. 24 DS-GVO).
3. Durch dokumentierte Maßnahmen muss ebenfalls sichergestellt sein, dass der umfangreiche Katalog der Betroffenenrechte erfüllt werden kann (Art. 12 DS-GVO).

Allein mit diesen Schlagworten können Sie natürlich so noch nichts anfangen und wissen auch nicht, was zu tun ist. Aber Sie können erkennen, dass die DS-GVO von Ihnen mehr und anderes verlangt als das bisherige Datenschutzrecht.

Derjenige, dessen Daten verwendet werden, ist zukünftig viel umfassender proaktiv (!) über den Umgang mit seinen Daten zu informieren. Die Erweiterung der Informationspflicht geht so weit, dass auch die Rechtsgrundlage genannt werden muss, die zur Datenerhebung berechtigt. Ein Verstoß hiergegen ist leicht feststell- und damit sanktionierbar. Die vorstehende Informationspflicht bedeutet damit auch, dass der Datenverarbeiter für jede Verarbeitung die Zulässigkeit prüfen muss, um die Rechtsgrundlage benennen zu können. Kommt es zu einer Datenpanne – sprich insbesondere Verlust, Offenlegung der Daten oder Fremdzugriff – ist die Aufsichtsbehörde und der Betroffene zu informieren. Bei risikobehafteten Datenverarbeitungen muss eine Folgenabschätzung durchgeführt werden und gegebenenfalls sogar die Datenschutzaufsichtsbehörde verpflichtend zur geplanten Datenverarbeitung befragt werden.
Dieser Effekt der Pflicht zur Befassung und Mehraufwand ist durch die DS-GVO sehr wohl gewollt. Denn die DS-GVO will die Unternehmen geradezu dazu zwingen, sich mit der Datenverarbeitung auseinanderzusetzen. Das zeigt sich auch darin, dass allein schon der Verstoß gegen die vorgenannten Dokumentations- und Organisationspflichten zu Bußgeldern und zur Haftung führen kann.
Was Sie jetzt tun müssen? In einem ersten Schritt müssen Sie sich die neuen Anforderungen für Ihr Unternehmen verdeutlichen. In einem zweiten Schritt erfassen Sie den Ist-Zustand und passen ihn an die Vorgaben der DS-GVO an.