von Uwe Huchler
Nachdem in Ausgabe 1/2019 bereits eine Checkliste zur Verfügung gestellt wurde, was bisher schon erledigt sein muss, wird in diesem Beitrag konkret auf drei Bereiche eingegangen.
- Die Benennung eines Datenschutzbeauftragten
- Die Datenschutzerklärung auf der Webseite
- Das Verarbeitungsverzeichnis
Der Datenschutzbeauftragte
Die Datenschutz-Grundverordnung sieht erstmals eine verbindliche und verpflichtende Regelung zur Bestellung eines betrieblichen Datenschutzbeauftragten vor. Unter bestimmten Voraussetzungen müssen auch kleine Unternehmen oder Vereine einen Datenschutzbeauftragten benennen. Der Datenschutzbeauftragte soll dabei die jeweils Verantwortlichen in Fragen des Datenschutzes unterstützen. Allerdings bleibt rechtlich gesehen die Verantwortung, dass der Datenschutz eingehalten wird, bei den jeweiligen Geschäftsführern oder Vereinsvorständen.
Eine Pflicht zur Benennung besteht auf alle Fälle, wenn mindestens 10 Personen im Unternehmen oder Verein damit beschäftigt sind, personenbezogenen Daten automatisiert zu verarbeiten. Werden Gesundheitsdaten oder eine Reihe anderer Daten (z. B. ethnische Herkunft, politische Meinungen, religiöse Weltanschauungen, Gewerkschaftszugehörigkeit, strafrechtliche Verurteilungen) verarbeitet, dann muss ebenfalls ein Datenschutzbeauftragter bestellt werden, wenn die Verarbeitung der Daten zum Kerngeschäft des Unternehmens oder Vereins zählt. Diese Regelungen sind sicherlich nicht einfach zu verstehen, dazu gibt es aber von behördlicher Seite gute Hilfen mittels eines Fragebogens. Sonst einfach bei der zuständigen Behörde nachfragen.
Freiwillige Benennung kann Sinn machen
Nicht nur aus diesem Grund kann es Sinn machen, dass man freiwillig einen Datenschutzbeauftragten benennt. Der Datenschutz muss auf alle Fälle beachtet werden und wenn es keinen solchen echten Fachmann gibt, fühlen sich viel ‚selbsternannte Experten’ berufen oder das Thema ‚Datenschutz’ kommt überhaupt nicht ins Bewusstsein. Die Verantwortung hierfür liegt weiterhin beim Verantwortlichen, also der Leitung des Unternehmens oder dem Vorsitzenden des Vereines.
Aufgaben eines Datenschutzbeauftragten
Die Aufgaben ergeben im Wesentlichen aus Art. 39 der DS-GVO:
- Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten hinsichtlich ihrer Pflichten nach Datenschutzrecht
- Überwachung der Einhaltung der gesetzlichen Vorschriften
- Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung
- Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für diese
- Beratung betroffener Personen
Nicht zu verwechseln ist es also, dass der Datenschutzbeauftragte nicht (nur) für die Sicherheit der Daten, sondern insbesondere für den Schutz der personenbezogenen Daten mit weitreichenden anderen Aufgaben, zuständig ist.
Stellung des Datenschutzbeauftragten
Kern der Rechtsstellung ist seine Unabhängigkeit. Er ist unabhängig von fachlichen Weisungen und der Berichtsweg zur höchsten Managementebene muss unmittelbar sein. Er darf nicht abberufen oder benachteiligt werden und somit darf ihm wegen seiner Tätigkeit nicht gekündigt werden. Für seine Aufgaben müssen ihm genügend zeitliche Ressourcen eingeräumt werden, so zur eigentlichen Tätigkeit, als auch zur Fortbildung und zur Erlangung und Vertiefung des Fachwissens (Schulungen). Es muss sichergestellt sein, dass er frühzeitig in alle Fragen des Datenschutzes eingebunden ist.
Interner oder Externer Datenschutzbeauftragter
Beides ist nach dem Gesetz möglich – beides hat Vor- und Nachteile mit teilweise nicht unerheblichen Kosten. Beide Möglichkeiten sind nach dem Gesetz gleichwertig. So ist beim internen Datenschutzbeauftragten zu beachten, dass es ausdrücklich zu keinem Interessenkonflikt kommt. Damit fallen eine Reihe von Funktionsträgern weg, z. B. Geschäftsführer, IT-Leiter, Personalleiter, Vorstand (allgemein: leitendes Management), dürfen nicht dazu bestellt werden. Interne müssen für die Zeit der Tätigkeit freigestellt werden bzw. müssen ihnen genügend Zeitressourcen dafür zur Verfügung gestellt werden.
Die Datenschutzerklärung auf der Webseite
Alle Webseiten benötigen eine Datenschutzerklärung. Das ist nicht neu, allerdings wurden diese Vorgaben bislang nur unzureichend beachtet und kontrolliert.
Neu ist mit der DSGVO, dass die bereitzustellenden Informationen weitreichender sind als bisher. Beispielsweise ist über die zugrunde gelegten Rechtsgrundlagen ebenso zu informieren wie über die Erforderlichkeit für einen Vertragsabschluss oder ob eine Verpflichtung zur Bereitstellung der Daten besteht.
Die Datenschutzerklärung muss sofort auf jeder Seite der Homepage erreichbar sein, daher empfiehlt es sich, diese im Header oder Footer neben dem Impressum zu platzieren. Es reicht nicht mehr aus, diese im Impressum mit einem kurzen Absatz zu formulieren.
Notwendige Inhalte einer Datenschutzerklärung
- Informationen über die Erhebung personenbezogener Daten
- Kontaktdaten des Verantwortlichen nach DSGVO
- Kontaktdaten des Datenschutzbeauftragten (falls einer bestellt ist)
- Nennung der Rechte der betroffenen Personen
- Auflistung der regelmäßig verarbeiteten personenbezogenen Daten
- Informationen zur Nutzung von Cookies
- Hinweis auf Widerrufbarkeit einer Einwilligung
- Hinweis auf Widerspruchsrecht gegen die Datenabwägbarkeit bei Interessenabwägung sowie gegen Direktmarketing
Des Weiteren sind bestimmte Ergänzungen notwendig, z. B. wenn sie folgende Funktionen auf ihrer Webseite nutzen oder anbieten:
- ein Kontaktformular oder eine Kommentarfunktion
- Google Analytics
- Einbindung eines Facebook-Plugins, Google-Plus-Plugins, Twitter-Plugins
- einen Newsletter mit Anmeldung oder eine Abo-Funktion
Diese Aufzählung ist nicht abschließend, da es eine Reihe von Faktoren geben kann, die eine Ausweitung erfordert, wenn Daten zu weiteren Zwecken verarbeitet werden (z. B. Profiling – Profilerstellung). Dies ist bei kleinen sozialen Einrichtungen in der Regel nicht der Fall. Es ist zu beachten, dass die Datenschutzerklärung in leicht verständlicher Weise und in Alltagssprache zu formulieren ist. Es gilt das Gebot der Prägnanz. Ausschweifende Formulierungen sind zu vermeiden.
Kostenlose Datenschutzgeneratoren
Es gibt eine Reihe von Datenschutzgeneratoren zur Erstellung von Datenschutzerklärungen und Verwendung auf der eigenen Webseite. Diese sind teilweise für Vereine, kleine Unternehmen und NPO’s sowie für private Personen kostenfrei.
Das Verarbeitungsverzeichnis
Grundsätzlich muss nach DSGVO ein Verzeichnis aller Verarbeitungstätigkeiten geführt werden. Es muss also dokumentiert werden, in welchem Zusammenhang mit personenbezogenen Daten gearbeitet wird. Die Verzeichnisse müssen dabei in deutscher Sprache entweder schriftlich oder auch elektronisch geführt werden.
Das Verzeichnis der Verarbeitungstätigkeiten dient dazu, Rechenschaft über die rechtmäßige Verarbeitung von personenbezogenen Daten gegenüber der Aufsichtsbehörde ablegen zu können. Es macht transparent, wie der Datenschutz innerhalb einer Organisation eingehalten wird. Dieses Verzeichnis ist nicht öffentlich, muss aber der Aufsichtsbehörde auf Anfrage vorgelegt werden.
Ein solches Verzeichnis sollte enthalten:
- die Art der Verarbeitungstätigkeit (Mitgliederverwaltung, Betreuungsverträge etc.)
- verantwortliche Ansprechperson in der Organisation zum Thema Datenschutz
- Datenschutzbeauftragte/r (falls einer benannt werden muss)
- Zweck der Datenverarbeitung (Kinderbetreuung, Personalverwaltung etc.)
- Kategorien der betroffenen Personen (Kinder, Eltern, Mitarbeiter*innen etc.)
- Kategorien der personenbezogenen Daten (Name, Adresse, Geburtsdatum,
Kontoverbindung etc.) - Empfänger von Daten (Steuerberater, Finanzamt, Krankenkasse etc.)
- vorgesehene Löschfristen (6 Jahre/10 Jahre, gesetzliche Aufbewahrungsfristen)
- vorgesehene technische und organisatorische Maßnahmen zum Datenschutz
(Virenscanner, Passwortschutz, personalisierte Zugangsberechtigungen, Updates des Betriebssystems etc.)
Darüber hinaus empfiehlt es sich, ein erweitertes Verzeichnis zu erstellen, in dem zusätzlich die
- konkreten Verarbeitungstätigkeiten im Sinne der DSGVO (erheben, speichern, abfragen, offenlegen, löschen usw.) beschrieben werden
- die herangezogenen Rechtsgrundlagen (z. B. Arbeitsvertrag, Betriebsvereinbarung, Einwilligung oder sonstige spezielle Regelungen)
… aufgeführt werden. Damit verschafft man sich einen guten Überblick für sich selbst und im Fall einer Prüfung durch die Aufsichtsbehörde kann man Rechenschaft ablegen, ob die Verarbeitung personenbezogener Daten zulässig ist.
Es ist ratsam, dass das vollständige Verzeichnis schon aus eigenem Interesse sofort erstellt wird. Es dienst als Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, nachzuweisen, dass die Vorgaben der DSGVO eingehalten werden.
Fazit
Mit Datenschutz müssen sich derzeit viele beschäftigen, ob sie wollen oder nicht – auch Pflegeeinrichtungen. Die DSGVO gilt seit über zwei Jahren unmittelbar, das Bundesdatenschutzgesetz schon wesentlich länger. Seit dem 25. Mai 2018 können die Aufsichtsbehörden nun Bußgelder verhängen, die bis zu vier Prozent des Jahresumsatzes ausmachen. Daher die klare Empfehlung: Auch wenn die Aufsichtsbehörden bislang sehr massvoll gehandelt haben und eher für Informationen und Beratungen zur Verfügung stehen, warten Sie nicht, bis sie sich bei Ihnen meldet. Setzen Sie die beschriebenen Maßnahmen sofort in die Tat um. Es ist allen daran gelegen, dass der Datenschutz einhalten wird: es geht um Ihre persönlichen Daten und die Daten Ihrer Klienten und Betreuten, die besonders schützenswert sind.
Fachliteraturtipps und Quellen
- Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine. Das Sofortmaßnahmenpaket. Herausgegeben vom Bayerischen Landesamt für Datenschutzaufsicht. München 2017
- Kurzpapier Nr. 1 der Datenschutzkonferenz: Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS-GVO, Stand 29.06.2017.
(https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_1.pdf) - Härting, N., Datenschutz-Grundverordnung, Köln 2016
- Koreng, A., Lachenmann, M. (Hrsg). Formularhandbuch Datenschutzrecht, München 2018.
Kurzinfo
Foto: Huchler
Uwe Huchler, Diplomökonom Univ., ist selbständiger Analyst und Berater in der Gesundheits- und Sozialwirtschaft (uwehuchler.de) sowie Chefredakteur von www.social-software.de . Als externer Datenschutzbeauftragter betreut er mehrere soziale Einrichtungen sowie Bildungseinrichtungen. Er ist Mitglied im ‚Berufsverband der Datenschutzbeauftragten’ und der ‚Gesellschaft für Datenschutz und Datensicherheit’.
Kontakt: info@uwehuchler.de
Der Artikel ist in der Ausgabe 02/2019 zu finden.