DSGVO

1) Was sind die wichtigsten Neuerungen, die die DSGVO mit sich bringt?

Bisher war es so, dass ein Unternehmen nur im Falle eines Datenlecks zeigen musste, wie die betroffenen Systeme gesichert waren. Seit Inkrafttreten der DSGVO gilt nun die Beweislastumkehr. Das heisst, dass jedes Unternehmen genau nachweisen muss, wie, wo und von wem personenbezogene Daten verarbeitet werden und wie der Schutz dieser Daten sichergestellt ist. Neu ist auch der Geltungsbereich: Sogar Unternehmen, die keinen Sitz in der EU haben, sondern nur Waren oder Dienstleistungen in der EU anbieten oder Menschen in der EU überwachen (z.B. durch Tracking im Web) müssen sich an die DSGVO halten.

2) Wer ist im Unternehmen verantwortlich für Datenschutz?

Die Verantwortung für die Einhaltung der Gesetze, insbes. auch der Datenschutzgesetze liegt beim Chef (z.B. Geschäftsführer, Inhaber, Vorstand, etc.). Der Chef eines Unternehmens muss selbst entscheiden, wie er das Unternehmen lenken will und welche Risiken er dabei eingehen kann oder will. Ein Datenschutzbeauftragter (DSB) unterstützt ihn dabei, vielfältige interne und externe Risiken zu vermeiden. Nachdem der DSB nicht weisungsgebunden ist und eine gesetzlich definierte Sonderrolle im Unternehmen einnimmt, ist er hierarchisch gesehen nach dem Chef die “Nummer 2” im Unternehmen. Der Chef muss immer ein offenes Ohr für den DSB haben, aber ob und wieweit er dessen Empfehlungen umsetzen will, muss er selbst entscheiden. 

3) Wann muss oder soll ein DSB bestellt werden?

In Deutschland muss ein Unternehmen, in dem 10 oder mehr Mitarbeiter regelmäßig und automatisiert personenbezogene Daten verarbeiten, einen DSB bestellen. Es reicht also unter Umständen aus, wenn 10 oder mehr Mitarbeiter einen E-Mail Account nutzen. Für kleinere Firmen ist ein DSB zwar nicht zwingend vorgeschrieben, es gelten aber dieselben Gesetze und Dokumentationspflichten wie für größere Unternehmen. Auch kleine Unternehmen sind verpflichtet, ausreichendes Wissen über Datenschutz vorzuweisen, personenbezogene Daten zu schützen und auf eventuelle Anfragen der Datenschutz-Aufsichtsbehörden zeitnah reagieren zu können. 

4) Interner oder externer DSB?

Es steht jedem Unternehmen frei, ob es einen Mitarbeiter zum DSB ausbilden lässt und als internen DSB bestellt oder ob ein externer DSB beauftragt werden soll. Meist hängt die Entscheidung von Art und Umfang der Datenverarbeitung sowie dem Zeit- und Kostenaufwand ab. In größeren Unternehmen gibt es oft auch eine stellvertretenden DSB oder sogar ein ganzes Team von Mitarbeitern, die dem DSB zuarbeiten. Wichtig zu bemerken ist, dass wenn ein Unternehmen einen seiner Mitarbeiter zum DSB bestellt, dieser starken Kündigungschutz genießt, vergleichbar mit dem Betriebsrat. Während ein interner DSB meist nur den Datenschutz in eigenen Unternehmen kennt, kann der externe DSB über Erfahrungen bei verschiedenen Firmen zurückgreifen und vergleichen. Dies hilft dabei besser zu beurteilen, welche Risiken bestehen und welches Datenschutzniveau angemessen ist. 

5) Was sind die Aufgaben des DSB?

Die Hauptaufgabe des DSB besteht darin, die Einhaltung des Datenschutzes zu prüfen und zu dokumentieren. Er muss daher regelmäßig (mind. 1x pro Jahr) Prüfungen durchführen und eine Ergebnisliste von Befunden und Empfehlungen zusammenstellen, die dem Chef vorgelegt wird. 

Außerdem ist der DSB Ansprechpartner für interne und externe Mitarbeiter, Kunden, Lieferanten, Behörden, Interessenten und sonstige Personen, die Fragen hinsichtlich des Datenschutzes im Unternehmen haben. Diese Personen haben das Recht, sich direkt an den DSB zu wenden, auch anonym. 

Der DSB unterliegt wie ein Rechtsanwalt der Schweigepflicht. Wenn z.B. ein Mitarbeiter sich anonym an den DSB wendet, weil ihm im Unternehmen ein seltsamer Vorgang aufgefallen ist, der vielleicht gegen Richtlinien oder Gesetze verstößt, kann er sich vertrauensvoll an den DSB wenden. Der DSB kann sich dann an den Chef wenden, muss aber die Identität des betroffenen Mitarbeiters geheim halten. Der DSB muss ferner alle datenschutzrelevanten Vorfälle dokumentieren und ggf. auch an die Aufsichtsbehörde melden. Wenn der Chef die Warnungen des DSB ignoriert und  z.B. entscheidet, dass er Newsletter ohne das Einverständnis von Kunden verschicken will oder dass Dokumentationspflichten aus Kostengründen bewusst nicht einzuhalten werden sollen, muss der DSB dies dokumentieren.  

Ferner muss der DSB sicherstellen, dass im Unternehmen regelmäßige Schulungen zum Datenschutz (mind. 1x pro Jahr) stattfinden. Wie diese Schulungen aussehen hängt vom Unternehmen ab. Es kann sich also z.B. um einen vom DSB gehaltenen Vortrag (mit oder ohne Prüfung), einen Online-Kurs oder nur das Verteilen von Unterlagen zum Selbststudium handeln.

Der DSB selbst muss ebenfalls regelmäßig an Fortbildungen teilnehmen, seine Zertifizierungen erneuern und sich über den aktuellen Stand der Gesetze und Technik informieren. 

6) Was ist nicht Teil der Aufgaben des DSB?

Der DSB hat keine Weisungsbefugnis. Er darf also den Mitarbeitern eines Unternehmens nicht  vorschreiben, wie sie ihre Arbeit zu erledigen haben. Dies ist Aufgabe der Führungskräfte. Der DSB spricht lediglich Empfehlungen aus und prüft die Umsetzung der rechtlichen Vorgaben.

Seit der Einführung der DSGVO muss Datenschutz im Unternehmen ausführlicher dokumentiert werden als früher. Wie die Dokumentation konkret aussieht, bleibt dem Unternehmen überlassen. Von handgeschriebenen Zetteln bis zu komplexen digitalen Managementsystemen nach den ISO-Familien 9.000 und 27.000  ist alles vorstellbar. Die Erstellung dieser Dokumente (z.B. Konzepte, Richtlinien, Handlungsanweisungen, Erklärungen etc.) ist jedoch nicht Aufgabe des DSB. Er kann aber Hilfestellungen leisten und dem Management Vorschläge unterbreiten. In Deutschland ist von den Aufsichtsbehörden i. d. R. eine Dokumentation auf Deutsch gewünscht. Ergänzend dazu können auch Dokumente auf Englisch oder Japanisch bereitgestellt werden.

Seit 25. Mai 2018 ist es Pflicht, den DSB bei den Aufsichtsbehörden zu registrieren. Der DSB darf dies aber nicht selbst tun, sondern muss vom Unternehmen, das ihn bestellt hat, dort registriert werden.

7) Mit welchen Kosten muss man rechnen?

In Anbetracht der drohenden hohen Strafen ist es ratsam, in Datenschutz zu investieren. Kurz gesagt: Datenschutz kostet Geld. Aber beim Datenschutz zu sparen, kann am Ende noch viel teurer werden. Auf der anderen Seite kann guter Datenschutz dazu beitragen Kosten zu sparen, weil durch Managementsysteme und prozessorientiertes Vorgehen die Verarbeitung von Daten nicht nur sicherer, sondern auch wesentlich effizienter geschieht.  

Alleine schon die Bestellung eines DSB ist ein Mehrwert für ein Unternehmen. Er steht als erfahrener Ansprechpartner für Betroffene zur Verfügung und geht professionell mit Anfragen der Aufsichtsbehörden um.  

Wenn ein interner DSB bestellt wird, muss dieser regelmäßig an Schulungen teilnehmen, wird u. U. ein separates Büro benötigen und muss vom Management ausreichend unterstützt werden.  

Die Bestellung eines externen DSB ist normalerweise mit einer jährlichen oder monatlichen Grundgebühr verbunden, durch die die Bereitstellung eines zertifizierten DSB und vertraglich vereinbarter Reaktionszeiten gewährleistet wird. Je nach Arbeitsaufwand werden die Leistungen des DSB i. d. R. nach einem Stundenhonorar abgerechnet.  

Nach dem Prinzip “make or buy” muss der Chef jedes Unternehmens bei der Budgetplanung entscheiden, welche Leistungen im eigenen Unternehmen erbracht werden sollen und wo externe Dienstleister beauftragt werden sollen.  

Bei der Budgetierung müssen sich japanische Tochtergesellschaften in Deutschland in vielen Fällen gegenüber der Muttergesellschaft in Japan rechtfertigen. Insbesondere nachdem das Verständnis von Datenschutz in Japan ein anderes als in Deutschland ist, muss anfangs mit Widerstand gerechnet werden. Bei japanische Firmen, die sich aufgrund der DSGVO zum ersten Mal mit Datenschutz beschäftigen, besteht oft großer Nachholbedarf. Man muss daher mit einem erheblichen Zeit- und Kostenaufwand rechnen.  

Deutsche Firmen, die Datenschutz seit Jahrzehnten ernst nehmen, haben zwar bereits ein festes Budget im Haushalt eingeplant; dieses muss aber in diesem Jahr aufgrund der DSGVO wohl deutlich höher ausfallen. Auch in Deutschland muss man gut argumentieren, um Zweifler von der Wichtigkeit des Datenschutzes zu überzeugen. Ein DSB kann bei der Argumentation helfen, z.B. indem er Fälle von Datenpannen bei anderen  recherchiert und zeigt, welche Kosten (Bußgelder, Schadensersatzforderungen, Schmerzensgelder, Wiederherstellung der Betriebsbereitschaft von IT-Systemen etc.) dort entstanden sind. 

8) Welche Aufgaben hat der DSB, welche der Rechtsanwalt?

Der DSB muss neben den technischen und organisatorischen Anforderungen auch die relevanten Gesetze (DSGVO, BDSG, Strafrecht, etc.) kennen, darf aber keine Rechtsberatung leisten. Der Rechtsanwalt ergänzt daher im Idealfall die Beratung durch den DSB. Die Firma Enobyte GmbH arbeitet mit mehreren ausgewählten Rechtsanwaltskanzleien zusammen, die unter anderem auf japanische Firmen und internationales Recht spezialisiert sind. 

9) Was ändert sich bei Datentransfers nach Japan?

Die Europäische Union und Japan haben am 17.07.2018 mit dem erfolgreichen Abschluss der Verhandlungen über ein angemessenes Datenschutzniveau den Weg für die Schaffung des weltweit größten Raums für sicheren Datenverkehr geebnet. Die getroffene Vereinbarung sieht vor, die jeweiligen Datenschutzniveaus, also die europäische Datenschutzgrundverordnung (DSGVO) und den japanischen “Act on Protection of Personal Information” (APPI) gegenseitig als gleichwertig anzuerkennen. Dieser Angemessenheitsbeschluss soll im Herbst dieses Jahres von der EU Kommission und gleichzeitig von der japanischen Datenschutzbehörde (PPC) angenommen werden.

Referenzen:

1) EU:   http://europa.eu/rapid/press-release_IP-18-4501_de.htm
2) PPC: https://www.ppc.go.jp/files/pdf/300717_pressstatement2.pdf

10) Wie läuft eine Kontrolle durch die Aufsichtsbehörde ab?

Generell gibt es zwei Arten von Datenschutzkontrollen: Bei einer “allgemeinen Kontrolle” werden  Unternehmen aufgefordert, Fragebögen zu beantworten und Kopien wichtiger Dokumente (z.B. Verfahrensverzeichnisse, Datenschutz-Konzepte, technische und organisatorische Maßnahmen) vorzulegen. Bei einer "fokussierten Kontrolle” besuchen Mitarbeiter der zuständigen Aufsichtsbehörde die Betriebsstätten, befragen Mitarbeiter und überprüfen Arbeitsplätze und IT-Anlagen. Meist werden aber solche Kontrollen einige Wochen im Voraus angekündigt, sodass Unternehmen noch etwas Zeit bleibt, sich entsprechend vorzubereiten.

 

Hinweis: Die obigen Informationen dienen lediglich Informationszwecken. Sie stellen keine Rechtsberatung dar. Sie können insbesondere keine individuelle rechtliche Beratung durch einen Anwalt ersetzen, welche die Besonderheiten des Einzelfalles berücksichtigt.

Im Mai ist ein „GDPR Guidebook“ (auf Japanisch) erschienen. Co-Autor ist Dr. Hermann Gumpp, der für DJW-Mitglieder freundlicherweise 10 Exemplare kostenlos zur Verfügung stellt. Die Bücher können über den DJW bezogen werden. Bei Interesse kontaktieren Sie daher bitte das DJW-Büro unter services@djw.de. Dieses Angebot gilt nur, solange der Vorrat reicht.