Allgemeines zur Reihe „Die DSGVO in der Unternehmenspraxis“:

Wie allgemein bekannt, wird ab dem 25. Mai 2018 ein komplett neues europäisches Datenschutzrecht in Kraft treten. Die Datenschutzgrundverordnung (DSGVO) wird in sämtlichen Mitgliedstaaten automatisch Anwendung finden. Bereits jetzt ist es höchste Zeit für alle Unternehmen, sich mit den Auswirkungen auf die täglichen Abläufe im Geschäftsleben auseinanderzusetzten und sich ggf. auf die interne Umsetzung vorzubereiten.

Diese Artikelreihe wurde speziell für die Praxis entworfen. Sie soll bei dem Verständnis der DSGVO unterstützen und beinhaltet einen Fahrplan zur internen Implementierung der DSGVO in allen Bereichen eines Unternehmens.

TEIL 2

Vorbereitung: Der Umlauf von personenbezogenen Daten im Unternehmen

Nach einer Bestandsaufnahme aller in einem Unternehmen gesammelter personenbezogener Daten (bitte lesen Sie den vorherigen Beitrag), ist es für jedes Unternehmen sehr wichtig zu verstehen, wie und warum personenbezogene Daten erfasst werden. Dies ist erforderlich, um dem neu eingesetzten Verantwortlichkeitsprinzip der DSGVO zu genügen, wonach jede Gesellschaft nachweisen muss, dass alle gesetzlichen Datenschutzregeln sowohl durch die Gesellschaft selbst als auch durch deren Angestellte beachtet werden. In diesem Zusammenhang stellen sich folgende Fragen:

I. Woher stammen die Daten?

In der Praxis kann ein Unternehmen personenbezogene Daten aus unterschiedlichen Quellen erhalten. Üblicherweise liefert der Dateninhaber selbst seine Daten entweder mittelbar oder unmittelbar (z.B. die Eltern für die Kinder). Allerdings bestehen auch Möglichkeiten, in denen personenbezogene Daten anderweitig erlangt werden, z.B.

  • automatisch, durch technische Mittel – IP, andere Online-Kennungen, Telefonnummer auf dem Display, Bilderfassung;
  • aus einer anderen Abteilung desselben Unternehmens – z.B. ein Arbeitnehmer aus der Personalabteilung liefert der Buchhaltungsabteilung Auskünfte über die Gesundheit eines anderen Arbeitnehmers;
  • von Geschäftspartnern oder aus offiziellen Unterlagen.

II. Warum werden solche Daten erfasst?

Sobald eine vollständige Liste mit personenbezogenen Daten vorbereitet und die Quellen bestimmt worden sind, stellt sich die Frage, warum die Daten erfasst wurden. Üblicherweise erfasst das Unternehmen personenbezogene Daten, um:

  • gesetzlichen Anforderungen zu entsprechen (z.B. die Buchhaltungsabteilung nutzt personenbezogene Daten von Kunden für die Rechnungsstellung, die Daten der Arbeitnehmer für die Lohnlisten, etc.);
  • vertragliche Pflichten zu erfüllen (z.B. ein Transportunternehmen muss die personenbezogenen Daten der Empfänger erfassen);
  • Marketingmaßnahmen vorzubereiten (z.B. Versendung von Newslettern an Kunden zur Information über neue Produkte);
  • Kundenübersichten zu erstellen und Profiling (z.B. wenn ein Unternehmen einen Online- Vertrieb hat und Cookies oder Google Apps nutzt);
  • die Kundenbedürfnisse besser zu verstehen und eigene Produkte zu verbessern (z.B. Verteilung von Proben und Fragebögen an Kunden);
  • die Lieferanten für Zwecke des eigenen Unternehmens zu überprüfen (z.B. Übersichten von Vertragsabwicklungen mit den Lieferanten, deren Vertreter und Kontaktdaten);
  • eine Datenbank mit potenziellen Arbeitnehmern (z.B. Archivierung von Lebensläufen, die per E-Mail erhalten werden) zu erstellen;
  • die Sicherheit der Geschäftsräumlichkeiten zu gewährleisten (z.B. Archivierung der Aufnahmen von Überwachungskameras).

Personenbezogene Daten dürfen nicht ohne einen bestimmten Zweck oder „für alle Fälle“ erfasst werden.

Aus gesetzlicher Sicht sind die oben genannten Aspekte mit der Rechtmäßigkeit der Datenverarbeitung verbunden, welche in unserem nächsten Artikel genauer beschrieben wird.

III. Wo/ wie lange müssen die Daten erfasst werden?

Ungeachtet der Rechtmäßigkeit der Datenverarbeitung muss jede Art von Daten in Anbetracht der technischen Maßnahmen für deren Verarbeitung (einschließlich Speicherung) während der Dauer einer solchen Verarbeitung geprüft werden.

Grundsätzlich dürfen personenbezogene Daten nicht länger als erforderlich verarbeitet werden. Dennoch bestehen gesetzliche Bestimmungen, die eine langfristige Aufbewahrungsfrist für bestimmte personenbezogene Daten festlegen (z.B. 50 Jahre für Lohnlisten).

Jedes Unternehmen muss daher gründlich prüfen, ob:

  • die personenbezogenen Daten noch erforderlich sind,
  • die Datenverarbeitung hinsichtlich der Sicherheit, Vertraulichkeit und Zugangsbedingungen der DSGVO entspricht,
  • die Daten von dazu bevollmächtigten Personen rechtzeitig im Falle von technischen Missständen abgerufen werden können,
  • die Datenverarbeitung regelmäßig geprüft wird, um die oben genannte Konformität zu gewährleisten.

IV. Hat eine Übertragung von Daten stattgefunden?

Personenbezogene Daten können (teilweise) Dritten zur Verfügung gestellt werden, z.B. anderen Unternehmen aus derselben Gruppe oder anderen Vertragsparteien. Bitte beachten Sie, dass der Begriff “Datenübertragung“ weit ausgelegt wird. In der Praxis gilt auch der Zugriff eines Kollegen aus der Personalabteilung der Mutterfirma auf die Personalakte als eine Datenübertragung und muss den Arbeitnehmern bekannt gegeben werden.

Im Falle einer Übertragung muss ein Unternehmen darauf achten, dass der Empfänger dasselbe Regelwerk beachtet. Dies ist eine ausdrückliche gesetzliche Verpflichtung und das Unternehmen haftet ebenso, sofern dessen Vertragspartner die Datenschutzgrundsätze nicht einhält. Daher müssen in diesem Zusammenhang alle Verträge mit Lieferanten (IT, Sicherheitsleistungen) geprüft und entsprechend den Bestimmungen der DSGVO angepasst werden.

Anmerkung: sofern und sobald das Unternehmen durchleuchtet und das oben genannte Informationspuzzle vorbereitet wurde, ist die Vorbereitungsphase des Unternehmens abgeschlossen. Der nächste Schritt besteht darin, gemeinsam mit IT- und Rechtsberatern zu beurteilen, ob und inwiefern die Datenverarbeitung in dem Unternehmen im Lichte der DSGVO angepasst werden muss.