Materialien zur Umsetzung des neuen Datenschutzrechts für die Mitgliedsorganisationen

Materialien zur Umsetzung des neuen Datenschutzrechts für die Mitgliedsorganisationen

Ab dem 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DS-GVO) als geltendes Recht unmittelbar anzuwenden. Eine Übergangsfrist gibt es nicht. Zugleich tritt das neue Bundesdatenschutzgesetz in Kraft, das die EU-Verordnung für bestimmte Bereiche wie den Beschäftigtendatenschutz und den betrieblichen Datenschutzbeauftragten ergänzt. Das neue Datenschutzrecht ist von allen Mitgliedsorganisationen des Paritätischen Landesverbandes zu beachten. Dies gilt umso mehr, als in den meisten Tätigkeitsfeldern mit besonders sensiblen Daten gearbeitet wird, die wiederum besondere Sicherheitsanforderungen an die Datenverarbeitung stellen. Es empfiehlt sich, interne Datenschutzrichtlinien zu erarbeiten, die den Mitarbeitern Orientierung geben. Zugleich wird gegenüber der Aufsichtsbehörde dokumentiert, dass das Thema ernst genommen wird.

Diese Zusammenstellung von Informationen soll als Service des Landesverbandes für seine Mitgliedsorganisationen nur erste Hinweise geben und erhebt daher keinen Anspruch auf Vollständigkeit, wird aber fortlaufend aktualisiert und ergänzt. Obwohl diese Informationen mit größtmöglicher Sorgfalt erstellt wurden, wird eine Haftung sowohl für eigene erstellte Texte als auch für externe Texte keine Haftung übernommen.

I. Wichtige Eckpunkte

1. Wichtige Begriffe und Grundsätze

Anknüpfung für die Geltung des Datenschutzrechts ist der Schutz personenbezogener Daten. Damit sind alle Informationen umfasst, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen zum Beispiel wie Name, Geburtsdatum, Steuernummer oder IP-Adresse. Der Begriff der personenbezogenen Daten ist sehr weit gefasst – und damit zugleich der Anwendungsbereich des Datenschutzrechts.

Besondere personenbezogene Daten sind wohl in den Arbeitsfeldern aller Mitglieder Gegenstand von Datenverarbeitungsvorgängen. Das Spektrum dieser sensiblen Daten ist breit; es fallen Daten darunter, die in besonderer Weise identitätsstiftend und höchstpersönlicher Natur sind, wie: Daten zur Gesundheit, zur religiösen Überzeugung, zur sexuellen Orientierung, zur Herkunft oder die Zugehörigkeit zu einer Gewerkschaft.

Die Datenschutzaufsichtsbehörden haben Daten schon seit Längerem Schutzstufen definiert, die die unterschiedlich hohe Sensibilität verdeutlicht. Die Einstufung durch die Datenschutzaufsichtsbehörde Niedersachsen finden Sie hier. Die Verarbeitung solcher Daten hat vielfältige Konsequenzen, etwa die Pflicht zur Bestellung eines Datenschutzbeauftragten, die Pflicht zur Führung von Verarbeitungsverzeichnissen und Datenschutz-Folgeabschätzungen und eine besondere Sorgfalt bei der Verwendung vorformulierter Einwilligungserklärungen.

Zentral: besondere Kategorien personenbezogener Daten

Zentral für die meisten Mitgliedsorganisationen dürfte die Frage sein, ob besondere Kategorien personenbezogener Daten verarbeitet werden.

Art. 9 DS-GVO stellt klar, dass bestimmte Daten unter einem besonderen Schutz stehen:

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“

Was man unter Gesundheitsdaten versteht, wird im Erwägungsgrund 35 der DS-GVO näher definiert. Dazu zählen alle Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand hervorgehen. Dies sind zum Beispiel Informationen über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen oder klinische Behandlungen.

Werden solche Daten bearbeitet, hat dies Konsequenzen für die Einrichtung:

- es besteht die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten, Art. 37 DS-GVO,

- es besteht die Pflicht zur Erstellung von Verzeichnissen über die Verarbeitung, Art. 30 DS-GVO,

- es besteht die Pflicht zur Erstellung von Datenschutz-Folgenabschätzungen, Art. 35 DS-GVO,

- an die Erlaubnis zur Verarbeitung werden besondere Anforderungen geknüpft, insbesondere an die Einwilligung, Art. 9 DS-GVO,

- u. U. ist die Berufsträgereigenschaft zu beachten.

Gleiches gilt bei der Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO.

Wichtig: Einschränkungen des Datenschutzrechts bei Berufsgeheimnisträgern

Die DS-GVO lässt es in wenigen Bereichen zu, dass die Mitgliedstaaten der EU Ausnahmen vorsehen können. Von dieser Option hat Deutschland im neuen Bundesdatenschutzgesetz Gebrauch gemacht. Gemäß § 29 BDSG werden die datenschutzrechtlichen Informations- und Transparenzpflichten sowie die Befugnisse der Datenschutzaufsicht ein, soweit andernfalls Informationen, die besonderen Geheimhaltungspflichten unterliegen, offenbart würden. Das Datenschutzrecht gilt grundsätzlich auch für Berufsgeheimnisträger, es sei denn, es wird durch berufsrechtliche Regelungen – zum Beispiel das Berufsrecht der Heilberufe – verdrängt. Mit § 29 BDSG sieht bereits das Bundesdatenschutzrecht selbst wichtige Einschränkungen zur Wahrung der Geheimhaltungspflichten vor, die sich aus Berufsrecht, aber auch aus § 203 StGB ergeben.

§ 203 StGB nennt u. a. folgende Berufsgeheimnisträger:

Nr. 1: Arzt, Zahnarzt, Tierarzt, Apotheker, Angehörige eines anderen Heilberufs, der eine staatlich geregelte Ausbildung erfordert,

Nr. 2: Berufspsychologen,

Nr. 4: Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen in einer anerkannten Beratungsstelle,

Nr. 5: Mitglied oder Beauftragter einer anerkannten Schwangerschaftskonfliktberatungsstelle,

Nr. 6: staatlich anerkannte Sozialarbeiter oder staatlich anerkannte Sozialpädagogen,

und jeweils ebenso das angestellte Hilfspersonal und Auszubildende.

Um die Geheimhaltungspflicht zu wahren, sieht § 29 BDSG folgende Sicherungen vor:

· Gemäß § 29 Absatz 3 BDSG haben die Datenschutzaufsichtsbehörden kein Recht auf Zugang zu den Räumlichkeiten, die zum Arbeitsbereich eines Berufsgeheimnisträgers gehören.

· Die Behörden haben keine Zugriffsrechte und dürfen keine Einblicke in die Datenverarbeitung von Berufsgeheimnisträgern verlangen.

· Auch bei den Betroffenenrechten gibt es Ausnahmen, um das Berufsgeheimnis zu schützen: Außenstehende – zum Beispiel Angehörige –können keine Informations- und Auskunftsrechte aus Art. 14 und 15 DS-GVO geltend machen, wenn es um Daten geht, die dem beruflichen Geheimnisschutz unterliegen. Dokumentationen in einer Beratungsstelle bleiben auf diese Weise davor geschützt, dass unter dem Deckmantel des Datenschutzrechts Auskunft über Akteninhalte verlangt wird.

II. Fünf Schritte zur Umsetzung des neuen Datenschutzrechts

Die DS-GVO erlegt den Datenverarbeitern umfangreiche Pflichten auf. Auch den Datenschutzbehörden ist dabei bewusst, dass das Ziel einer hundertprozentigen Befolgung aller Regeln illusorisch ist. Bei der Anpassung an das Datenschutzrecht empfiehlt sich daher eine ebenso gründliche wie pragmatische Herangehensweise. Zunächst sollten die wichtigsten Anforderungen nachweisbar erfüllt werden. Das kann in 5 Schritten geschehen. Damit ist dann die Basis gelegt für weitere Maßnahmen, mit denen sich nach und nach etwaige Schwachstellen schließen lassen, um den Erfordernissen der DS-GVO in größtmöglichem Umfang zu genügen.

Erster Schritt: Betrieblicher Datenschutzbeauftragter

Es ist zu prüfen, ob entweder nach Art. 37 DS-GVO oder nach § 38 BDSG eine Pflicht besteht, einen betrieblichen Datenschutzbeauftragten zu bestellen. Für Unternehmen und andere nicht-öffentliche Stellen besteht nach Art. 37 DS-GVO diese Pflicht, wenn

· die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder

· die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DS-GVO oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO besteht.

Diese Regelungen enthalten einige zentrale Begriffe, die näher zu bestimmen sind:

Kerntätigkeiten sind Geschäftsbereiche, die für die Umsetzung der Unternehmensstrategie entscheidend sind und nicht bloß routinemäßige Verwaltungsaufgaben darstellen. Abzustellen ist auf den Geschäftszweck, wie er etwa in einer Satzung eines Trägervereins beschrieben wird.

Von einer umfangreichen Verarbeitung ist auszugehen, wenn große Datenmengen- insbesondere in einer Vielzahl von Verarbeitungsprozessen - verarbeitet werden, eine große Anzahl von Personen betroffen ist oder ein hohes Risiko für die Betroffenen besteht, zum Beispiel aufgrund der Verarbeitung sensibler Daten.

Das BDSG sieht in § 38 ergänzend dazu weitere Voraussetzungen für eine Bestellpflicht vor:

Wie bisher muss ein Datenschutzbeauftragter bestellt werden, wenn mindestens zehn Personen mit der Datenverarbeitung beschäftigt sind. Bei dieser 10-Personen-Regel ist zu beachten, dass es allein um die Anzahl der Personen geht, die mit Datenverarbeitung ständig befasst sind. Ob es sich Vollzeitbeschäftigte, Teilzeitkräfte, Auszubildende oder Praktikanten handelt, spielt keine Rolle. Es kommt allein auf die Kopfzahl an.

Ferner wird die Bestellpflicht auf zwei weitere Risikobereiche ausgedehnt, indem sie unabhängig von der Zahl der hierbei Beschäftigten anfällt, nämlich

· bei einer der Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegenden Verarbeitung oder

· bei Verarbeitungen, die geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung erfolgen.

Ein Datenschutzbeauftragter kann intern oder als externer Dienstleister bestellt werden. Ist er intern bestellt, kann er seiner Aufgabe auch in Teilzeit nachgehen. Stets ist darauf zu achten, dass der zum Datenschutzbeauftragten Bestellte nicht in Interessenkollision geraten kann zu seinen sonstigen Aufgaben. Die Bestellung eines externen Datenschutzbeauftragten ist mit § 203 StGB konform.

Die Bestellung des Datenschutzbeauftragten ist mit Angabe seiner Kontaktdaten der Aufsichtsbehörde zu melden.

Die IHK Saarland stellt weitere Informationen zur Verfügung. Einen Link auf die Internetseite finden Sie hier.

Zweiter Schritt: Erstellung eines Verarbeitungsverzeichnisses

Art. 30 DS-GVO schreibt vor, wann ein Verarbeitungsverzeichnis erstellt werden muss. Eine solche Pflicht besteht danach, wenn

· mehr als 250 Mitarbeiter beschäftigt sind,

· die Verarbeitungen ein Risiko für die Rechte und Freiheiten der Betroffenen darstellt,

· besondere Kategorien von Daten gemäß Art. 9 bzw. personenbezogene Daten über die Straffälligkeit im Sinne des Art. 10 DS-GVO verarbeitet werden oder

· nicht nur gelegentlich personenbezogene Daten verarbeitet werden.

Die letzte Alternative wird auf die meisten Einrichtungen zutreffen, da in der Regel zumindest Beschäftigtendaten und Klientendaten verarbeitet werden.

„Verarbeiten“ kann gemäß Art. 4 DS-GVO zum Beispiel sein das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung und Löschung, die Anpassung und Veränderung, das Auslesen, das Abfragen, die Weitergabe, die Verwendung, den Abgleich, die Verknüpfung, die Einschränkung oder die Vernichtung.

Als Verarbeitungstätigkeiten gelten zum Beispiel:

· Adressdatenbanken,

· Buchhaltungssoftware,

· Software zur Versendung und Verwaltung von E-Mails,

· Betreiben einer Website,

· Dienstpläne oder Urlaubslisten,

· Personalakten,

· Dokumentationen über die Klienten.

Eine bestimmte Form oder ein bestimmter Aufbau ist nicht für das Verzeichnis vorgeschrieben.

Die Erstellung eines solchen Verzeichnisses kann ein langwieriger Prozess sein, da ein Überblick gewonnen werden muss über die Datenverarbeitungsprozesse, die es in einer Einrichtung überhaupt gibt. Dies gilt umso mehr, wenn ortsungebunden Smartphones, Tablets oder Laptops benutzt werden. Auch die Arbeit auf solchen Endgeräten kann als Verarbeitungstätigkeit gelten, für die die Pflicht zur Aufnahme in das Verzeichnis besteht.

Die IHK Saarland stellt weitere Informationen und ein Muster der Aufsichtsbehörde des Saarlandes zur Verfügung. Einen Link über die Internetseite der IHK Saarland finden Sie hier.

Der Gewinn für jede Einrichtung: wichtige Erkenntnisse für das Management

Wird erstmals ein Verarbeitungsverzeichnis erstellt, sind der Lohn dieser umfang- und detailreichen Arbeit Erkenntnisse für das Management. Zudem sind in diesem Rahmen weitere Schritte der Umsetzung der DS-GVO vorzunehmen:

werden die Verarbeitungsprozesse jeweils in den Blick genommen, müssen deren Zwecke der Datenverarbeitungen reflektiert und u. U. neu definiert und beschrieben werden. Es müssen die Rechtsgrundlagen des eigenen Tuns zusammengestellt werden und die Festlegung von Löschfristen gibt Anlass, ein Löschkonzept zu erstellen, wo gesetzliche Aufbewahrungsfristen fehlen. Letztlich birgt dieser Prozess die Chance, die Effizienz der Arbeitsabläufe auf den Prüfstand zu stellen. Die Erstellung von Verarbeitungsverzeichnissen erfordert zudem eine Vielzahl von Entscheidungen. Ändern sich die Verarbeitungsprozesse oder kommen neue hinzu, muss dies im Verarbeitungsverzeichnis festgehalten werden.

Das Verfahrensverzeichnis ist die maßgebliche Grundlage der Dokumentation, zu der die DS-GVO umfassend verpflichtet. Auf Anforderung der Aufsichtsbehörde muss der Verantwortliche einer Einrichtung jederzeit in der Lage sein, durch Vorlage des Verzeichnisses nachzuweisen, welche Verarbeitungsprozesse es im Rahmen ihrer Tätigkeit gibt. Vor diesem Hintergrund ist die ständige Pflege der Aktualität ein wichtiger Punkt; wer dafür zuständig ist, sollte klar geregelt werden.

Besonders wichtig: Maßnahmen der Datensicherheit

Nach Art. 30 und 32 DS-GVO sind Maßnahmen der Datensicherheit im Verarbeitungsverzeichnis zu definieren. Hier ist der gesamte technische und organisatorische Bereich angesprochen, der das gesamte Informationssicherheitsmanagement meint. Es geht um Zugriffsrechte, Verschlüsselungen, Virenschutz oder Betretungsrechte zu Räumen, aber auch um deren Überwachung und Fortentwicklung. Maßstab ist der Stand der Technik bei wirtschaftlicher Zumutbarkeit. Auch in diesem Zusammenhang muss die Sensibilität der Daten, mit denen gearbeitet wird, bedacht werden.

Dritter Schritt: Ermittlung von Lücken oder Schwachstellen

Das Verarbeitungsverzeichnis ist die die Grundlage für einen Maßnahmenplan, der zu erstellen ist, wenn man bei der Suche nach Lücken und Schwachstellen beim eigenen Datenschutz fündig wird.

Dies könnte zum Beispiel passieren, wenn man sich an den folgenden Grundsätzen des Datenschutzrechtes orientiert:

· Datensparsamkeit: ist die Vorhaltung von Daten und deren Verarbeitung tatsächlich notwendig?

· Datenrichtigkeit: ist gewährleistet, dass Daten von Kunden/Klienten stets auf dem neuesten Stand sind, Fehler berichtigt und unrichtige Daten gelöscht werden?

· Rechtmäßigkeit: ist die Datenverarbeitung nach den Vorgaben des Art. 6 DS-GVO bzw. bei besonders sensiblen Daten gemäß Art. 9 oder Art. 10 DS-GVO rechtmäßig? Dient die Verarbeitung der Erfüllung eines Vertrages? Liegen wirksame Einwilligungserklärungen des Betroffenen vor?

· Löschfristen: werden Daten gelöscht, sobald sie nicht mehr benötigt werden, ihre Speicherung also nicht mehr erforderlich ist?

· Zugriffsrechte: sind Zugriffsrechte vergeben und wir die Einhaltung kontrolliert?

· Ist die elektronische Datenverarbeitung gegen Hacker geschützt?

Dies sind nur einige Themen, bei denen sicherlich in vielen Fällen Nachbesserungsbedarf bestehen dürfte. Bestehen Lücken oder muss nachgebessert werden, ist dementsprechend ein Maßnahmenplan zu erstellen, mit dem man das Bestreben dokumentiert, dass den Anforderungen der DS-GVO möglichst umfassend Rechnung getragen werden soll.

Hinsichtlich eines Löschkonzeptes hat das Deutsche Institut für Normung e. V. die DIN 66398 als Leitlinie herausgegeben.

Die DIN 66398 „Leitlinie zur Entwicklung eines Löschkonzeptes“ beinhaltet kein generell passendes Löschkonzept, sondern erläutert entsprechende Rahmenbedingungen für eine individuelle Erstellung eines solchen Konzeptes. Während die DIN 66398 kostenpflichtig ist und weiterentwickelt wurde, ist die gleichnamige Leitlinie von Hammer/Schüler aus 2015 frei zugänglich hier. Sie wurde u. a. vom Bundesministerium für Wirtschaft und Technologie gefördert und nach Angaben der beiden Autoren auf der Grundlage der DIN erarbeitet

Vierter Schritt: Technische und organisatorische Maßnahmen zur Datensicherheit ergreifen

Zur Gewährleistung der Datensicherheit sind technische und organisatorische Maßnahmen zu ergreifen, Art. 32 DS-GVO. Die Vorschrift konkretisiert einen der Grundsätze des Datenschutzrechts, nämlich den der „Integrität und Vertraulichkeit“.

Folgende Maßnahmen sind vorgeschrieben:

· Verschlüsselung: soweit möglich, sollen personenbezogene Daten verschlüsselt werden. Dies gilt beispielsweise für E-Mails.

· Stabilität: die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme ist auf Dauer sicherzustellen. Hierzu bedarf es IT-Fachwissen.

· Wiederherstellbarkeit: Verarbeitungsprozesse müssen gegen Datenverlust geschützt werden. Auch hier wird es ohne IT-Fachwissen nicht gehen.

· Regelmäßige Überprüfung: eine regelmäßige Routineprüfung ist für die Datensicherheit vorgeschrieben.

Die DS-GVO schreibt keinen optimalen Schutz vor, sondern ein angemessenes Schutzniveau, das anhand der bestehenden Risiken und des Stands der Technik zu bestimmen ist. Investitionen, die außer Verhältnis zur Größe der Einrichtung stehen, sind also nicht gefordert. Es sollte jedoch überprüft werden, ob der Stand der Technik noch im Blick ist.

Fünfter Schritt: Überarbeitung und Anpassung von Verträgen, Musterformularen und Betroffeneninformationen

1) Anpassung bestehender Verträge

Insbesondere dann, wenn sich eine Einrichtung eines externen Dienstleisters bedient, der das Abrechnungsmanagement oder die IT-Wartung übernimmt, sind verschärfte Anforderungen an die Auftragsdatenverarbeitung zu beachten. Bestehende Verträge mit entsprechenden Dienstleistern sind entsprechend anzupassen.

2) Datenschutzinformationen und Musterformulare

Es empfiehlt sich, Datenschutzinformationen an Klienten neu zu formulieren und ggfs. Verträgen bzw. Vertragsmustern beizufügen. Auch Arbeitsverträge müssen in den Blick genommen werden. Zudem sind die Datenschutzbestimmungen auf der Web-site zu überarbeiten.

Die neuen Informationspflichten umfassen unter anderem:

· Namen und Kontaktdaten des Trägers/der Einrichtung

· Namen und Kontaktdaten des Datenschutzbeauftragten

· die Art der verarbeiteten Daten

· die Zwecke der Datenverarbeitung

· die Art der Personen, deren Daten verarbeitet werden (Klienten, Beschäftigte oder externe Dienstleister, Kostenträger)

· die möglichen Empfänger der Daten, an die die Daten übermittelt werden

· Löschfristen

· Die Ansprüche des Betroffenen (Auskunft, Berichtigung, Löschung, Sperrung, Widerrufsrecht, Datenübertragbarkeit)

· Recht des Betroffenen auf Widerruf einer Einwilligung

· Recht des Betroffenen auf Beschwerde bei der Datenschutzaufsichtsbehörde.