Management | Autor/in: Roman Spitko |

Datenschutz-Grundverordnung (Teil 2)

Datenschutzgrundverordnung (DSGVO) gilt ab dem 25. Mai 2018 in Deutschland und verschäft den Datenschutzes – Wie Sie jetzt handel können erfahren Sie im zweiten Teil unserer Beitragsreihe.

Datenschutz

Wie in der fMi Ausgabe 06/17 beschrieben, gilt ab dem 25. Mai 2018 die „neue“ DSGVO. Damit sind diverse Neuerungen für Unternehmen verbunden. m ersten Teil dieser Artikelserie wurde bereits auf den Anwendungsbereich der DSGVO sowie auf die Pflicht zur Bestellung eines Datenschutzbeauftragten eingegangen. Auch wurde deutlich gemacht, wie wichtig es für datenverarbeitende Unternehmen ab sofort ist, sich mit der neuen DSGVO auseinanderzusetzen. Denn sollten die Pflichten nicht eingehalten werden, ist mitunter mit existenzbedrohenden Bußgeldern zu rechnen.

Hinweis:
In diesem Teil der Artikelserie werden die sich aus den Betroffenenrechten ergebenden Pflichten für datenverarbeitende Unternehmen, insbesondere die Dokumentationspflichten, näher erläutert.

Sollten Sie den ersten Teil der Artikelserie (siehe fMi 06/17 S.34) verpasst haben, dann empfehlen wir an dieser Stelle, sich diesen durchzulesen, bevor Sie sich mit dem vorliegenden Artikel näher beschäftigen.

Dokumentationspflichten: Rechenschaftspflicht, Verzeichnis führen, Folgen abschätzen
Ein komplett neuer Aspekt, der mit Einführung der DSGVO auf die Unternehmen zukommt, ist die sogenannte „Rechenschaftspflicht“, die in Art. 5 Abs. 2 DSGVO geregelt ist. In Art. 5 Abs. 1 werden zunächst die Grundsätze der Datenverarbeitung personenbezogener Daten festgelegt. Diese beinhalten:

  1. „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“
  2. „Zweckbindung“
  3. „Datenminimierung“
  4. „Richtigkeit“
  5. „Speicherbegrenzung“
  6. „Integrität und Vertraulichkeit“

In Art. 5 Abs. 2 DSGVO wird darauf aufbauend festgelegt, dass der Verantwortliche (= das datenverarbeitende Unternehmen wie bspw. das Fitness-Studio) für die Einhaltung der Vorgaben aus Abs. 1 verantwortlich ist und deren Einhaltung nachweisen können muss. Präzisiert werden die Anforderungen an die Nachweispflicht in Art. 24 Abs. 1 DSGVO. Hier wird festgelegt, dass der Verantwortliche den Nachweis zu erbringen hat, dass er angemessene und geeignete technische und organisatorische Maßnahmen getroffen hat, die sicherstellen, dass die Datenverarbeitung gemäß der DSGVO erfolgt. Weiter wird in Art. 24 Abs. 1 geregelt, dass diese Maßnahmen erforderlichenfalls überprüft und aktualisiert werden.

Ein Fitness-Studio muss also nicht nur sämtliche Vorgaben der DSGVO einhalten, sondern es muss die Einhaltung auch bspw. bei Anfragen der Aufsichtsbehörde nachweisen können. Ein solcher Nachweis setzt voraus, dass eine entsprechende Dokumentation erstellt wird. Klare Vorgaben, wie diese Nachweispflicht umzusetzen ist, macht die DSGVO jedoch nicht. Art. 24 legt allerdings nahe, dass eine Art Datenschutzmanagementsystem im Fitness-Studio zu implementieren ist, da ja in Art. 24 Abs. 1 DSGVO geregelt ist, dass die Maßnahmen überprüft und aktualisiert werden müssen.

Praxis-Tipp:
Richten Sie ein effektives Datenschutzmanagement ein. So können Sie die datenschutzrechtliche Umsetzung in Form der zu treffenden Maßnahmen detailliert und nachvollziehbar dokumentieren und für den Fall der Fälle somit auch nachweisen.

Über diese Dokumentationspflicht hinaus sehen weitere Artikel der DSGVO noch eigenständige Pflichten zur Dokumentation vor. Insbesondere sind in diesem Zusammenhang das von den Verantwortlichen zu führende Verfahrensverzeichnis nach Art. 30 DSGVO sowie die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO zu nennen.

Verfahrensverzeichnisse nach Art. 30 DSGVO
Nach Art. 30 DSGVO führt jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten. Eine Verarbeitungstätigkeit in einem Fitness-Studio wäre bspw. der Abschluss der Mitgliedschaft, da hierbei entsprechende personenbezogene Daten erhoben und verarbeitet werden, eine Videoüberwachung, die Lohnabwicklung der Mitarbeiter usw.

Ein solches Verzeichnis ist schriftlich zu führen. Es kann aber auch in elektronischem Format geführt werden. Eine Excel-Tabelle eignet sich hierfür sehr gut. Dieses Verzeichnis muss sämtliche in Art. 30 Abs. 2 DSGVO aufgeführten Angaben enthalten. Dazu zählen unter anderem:

  • Namen und Kontaktdaten des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
  • die Zwecke der Verarbeitung
  • eine Beschreibung der Kategorien betroffener Personen und der personenbezogenen Daten sowie der Empfänger, gegenüber denen die personen bezogenen Daten offengelegt worden sind oder noch offengelegt werden
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation
  • wenn möglich, vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 31 Abs. 1

Zu beachten ist in diesem Zusammenhang der „Erleichterungstatbestand“ des Art. 30 Abs. 5. Danach ist die Führung eines solchen Verzeichnisses für Unternehmen nicht verpflichtend, die weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1. Hierunter fallen bspw. biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person oder Gesundheitsdaten.

Was bedeutet dies konkret?
Sollte Ihr Unternehmen weniger als 250 Mitarbeiter haben, wären Sie eigentlich von der Pflicht zur Führung von Verfahrensverzeichnissen befreit, es sei denn, die Verarbeitung birgt ein Risiko oder erfolgt nicht nur gelegentlich bzw. Sie verarbeiten biometrische Daten wie z. B. Körpergröße, Gewicht, BMI oder Gesundheitsdaten. In solchen Fällen sind Sie doch zur Führung entsprechender Verfahrensverzeichnisse gem. Art. 30 DSGVO verpflichtet. Das Problem an den Begriffen „Risiko“ und „gelegentlich“ ist allerdings, dass hierbei ein nicht unerheblicher Interpretationsspielraum besteht. Bis eine Klarstellung seitens der Aufsichtsbehörde erfolgt, wird empfohlen, dass auch Unternehmen mit weniger als 250 Mitarbeitern, bei denen ein Risiko bei der Verarbeitung vorliegen könnte bzw. die Daten nicht nur gelegentlich verarbeitet werden, entsprechende Verfahrensverzeichnisse erstellen.

Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
Art. 35 DSGVO verpflichtet den Verantwortlichen, bei Verarbeitungsvorgängen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen. Auf diese Weise soll eine Risikobewertung ermöglicht werden.

Durch diesen relativ offenen Tatbestand wird aber auch Klärungsbedarf geschaffen, wann dieser Tatbestand denn nun genau erfüllt ist. Hier kommen die Datenschutzaufsichtsbehörden ins Spiel. Diese müssen nämlich gemäß Art. 35 Abs. 4 DSGVO im Rahmen ihres jeweiligen Zuständigkeitsbereichs eine Liste der Verarbeitungsvorgänge erstellen und veröffentlichen, für die eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 durchzuführen ist.

Konkretisiert wird die Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung allerdings durch Art. 35 Abs. 3, wonach eine Datenschutz-Folgenabschätzung insbesondere in folgenden Fällen erforderlich ist:

  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1, worunter bspw. biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person oder Gesundheitsdaten fallen
  • systematische, umfangreiche Überwachung öffentlich zugänglicher Bereiche (z. B. im Rahmen einer Videoüberwachung)

Was bedeutet dies konkret?
Trotz des unklaren Tatbestandes des Art. 35 Abs. 1 DSGVO sind Fitness- und Gesundheitsunternehmen zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet, sofern biometrische Daten oder Gesundheitsdaten verarbeitet bzw. öffentlich zugängliche Bereiche systematisch und umfangreich (weiträumig) videoüberwacht werden.

Wie ist eine Datenschutz-Folgenabschätzung durchzuführen?
Die DSGVO bestimmt in Art. 35 Abs. 7 Mindestanforderungen bezüglich des Inhalts einer Datenschutz-Folgenabschätzung. Diese muss demnach enthalten:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten, berechtigten Interessen
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
  • eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen werden soll

Bei der Durchführung einer Datenschutz-Folgenabschätzung ist gem. Art. 35 Abs. 2 DSGVO zudem stets der Rat des Datenschutzbeauftragten (sofern ein solcher benannt wurde) einzuholen.

Die Datenschutz-Folgenabschätzung muss vor Beginn der Datenverarbeitung vorgenommen werden. Bei Bestandsverfahren wird empfohlen, eine Datenschutz-Folgenabschätzung durchzuführen.

Fazit
Neben der Tatsache, dass es zu empfehlen ist, sich ein effektives Datenschutzmanagement einzurichten, gilt es zu prüfen, ob im eigenen Unternehmen biometrische Daten oder Gesundheitsdaten verarbeitet werden bzw. ob öffentlich zugängliche Bereiche systematisch und umfangreich (weiträumig) videoüberwacht werden.

Abhängig von diesem Ergebnis sind die entsprechenden Dokumentationspflichten umzusetzen. Machen Sie sich bewusst, dass gerade die Erfüllung dieser Dokumentationspflichten zeitaufwendig und arbeitsintensiv sein wird. Bilden Sie hierfür Teams aus dem eigenen Unternehmen bzw. ziehen Sie externe Datenschutzexperten hinzu, die systematisch die Vorgaben der DSGVO umsetzen. Bereiten Sie sich vor und prüfen Sie, welche Pflichten von Ihrem Unternehmen zu erfüllen sind und setzen Sie diese um. Denn eine etwaige Nichtbeachtung der Pflichten kann angesichts der schwerwiegenden Bußgeldrisiken, die mit der neuen DSGVO verbunden sind, existenzbedrohende Folgen haben.

Hier können Sie den ersten Teil der Datenschutz-Reihe lesen.

Ausblick
Lesen Sie in der nächsten Ausgabe mehr über die Informations-, Auskunft- und Meldepflichten für Studiobetreiber ab Mai 2018.

Roman Spitko

Roman Spitko verfügt über ein Studium der Betriebswirtschaftslehre sowie ein Master of Laws-Studium (LL.M.). Er hat mehrere Mandate als Datenschutzbeauftragter inne und wird den bundesweiten DSSV-Workshop „Neues Datenschutzrecht“ in 2018 leiten. Seit 2007 ist er als Dozent sowohl für die BSA-Akademie als auch für die Deutsche Hochschule für Prävention und Gesundheitsmanagement DHfPG tätig. Seit 2015 fungiert er zudem als Fachleiter Management/Ökonomie.

Diesen und weitere Artikel finden Sie in der fMi 01/2018 Leseprobe & für Abonnenten EXKLUSIV vorab.

Zum Abonnement
fMi 01/2018 Leseprobe