Fünf DSGVO-Maßnahmen, die IT-Unternehmen (immer noch) nicht auf dem Schirm haben

Ein gutes Jahr nach Inkrafttreten der DSGVO sind wir auch heute noch damit beschäftigt, unsere Mandanten auf dem Weg zur Einhaltung der Datenschutzgesetze zu begleiten. Dabei stoßen wir selbst bei gut informierten IT-Unternehmen immer noch auf einige Missverständnisse. Fünf wesentliche Fehleinschätzungen in Bezug auf die DSGVO haben wir hier kurz zusammengefasst.

1. Datenschutzhinweise – nicht nur für die Website!

Mit Inkrafttreten der DSGVO stellten Datenschutzerklärungen (hier unser „Basics“-Beitrag hierzu) auf Websites zunächst das größte Abmahnrisiko dar. Folglich hatten unsere Mandanten im Frühjahr 2018 viel Beratungsbedarf in diesem Bereich.

Was vielen nicht klar ist: Die Informationspflicht nach Art. 13, 14 DSGVO gilt nicht nur für Besucher der Website, sondern gegenüber allen Personen, deren personenbezogene Daten verarbeitet werden. Dies sind vor allem die Kunden. Neben diesen müssen zum Beispiel auch Mitarbeiter und Geschäftspartner wie Subunternehmer oder Kooperationspartner bei der ersten Verarbeitung ihrer Daten entsprechend der Art. 13, 14 DSGVO informiert werden.

Unter anderem müssen Sie Folgendes mitteilen: die Identität des Verantwortlichen, sofern ein Datenschutzbeauftragter vorhanden ist, dessen Kontaktdaten oder etwa die Zwecke, zu denen die personenbezogene Datenverarbeitung erfolgt. Welche Informationen Sie noch mitteilen müssen, können Sie in diesem Beitrag nachlesen.

Es stehen Ihnen verschiedene Möglichkeiten zur Verfügung, wenn es um die Frage geht, auf welchem Weg Sie Ihrer Informationspflicht nachkommen. Sie können die Informationen zum Beispiel als Anhang Ihren Allgemeinen Geschäftsbedingungen beifügen oder den Arbeitsverträgen beziehungsweise sonstigen Verträgen anhängen. Auch eine Mitteilung der Informationen per E-Mail reicht aus.

Im Rahmen von Vereinbarungen zur Auftragsverarbeitung (AVV) muss man auf eine besondere Falle achten. Nicht alle verarbeiteten Daten unterliegen der AVV. In Bezug auf die (Stamm-)Daten des Auftraggebers handelt der Auftragnehmer als Verantwortlicher. Folglich muss auch der Auftragnehmer den Auftraggeber über den Datenschutz informieren.

2. AVV ist für Auftragsverarbeiter zwingend!

Mit Einführung der DSGVO gibt es im Bereich Auftragsverarbeitung (AV) eine zentrale Änderung. Vor dem Inkrafttreten der DSGVO war nur der AV-Kunde, also der Auftraggeber, verpflichtet, eine AVV abzuschließen und damit die Datenübertragung an den Auftragsverarbeiter zu rechtfertigen. Den Auftragsverarbeiter traf keine entsprechende Pflicht. Er musste sich also nicht proaktiv um den Abschluss einer AVV kümmern, sondern musste nur auf entsprechende Kundenanfragen reagieren.

Das ist nun anders. Auch der Auftragsverarbeiter verstößt gegen die DSGVO, wenn er Daten für seine Kunden ohne den vorherigen Abschluss einer AVV verarbeitet. Vielen Auftragsverarbeitern ist dies immer noch nicht bewusst. Es reicht heute also nicht aus, Kunden höflich danach zu fragen, ob sie eine AVV abschließen möchten. Sollte sich ein Kunde weigern, eine AVV zu unterschreiben, muss der Auftragsverarbeiter die Zusammenarbeit zur Vermeidung von Rechtsverstößen beenden.

Alles, was Sie zur Auftragsverarbeitung in der Praxis wissen sollten, erfahren Sie in unserem hier.

3. Zwei Verarbeitungsverzeichnisse für Auftragsverarbeiter!

Mit der DSGVO wurde durch deren Art. 30 für jeden Verantwortlichen zur Pflicht, ein Verarbeitungsverzeichnis (VV) zu führen. Das VV ist die Grundlage einer “sauberen” Verarbeitung personenbezogener Daten. Es ist nach aktuellem Stand der Praxis das Erste, was sich eine Aufsichtsbehörde bei einer Prüfung anschaut.

Ist man als Auftragsverarbeiter tätig, genügt das normale VV jedoch nicht. Für Auftragsverarbeiter gilt, dass diese ein separates Verarbeitungsverzeichnis in Bezug auf die Verarbeitungsschritte im Rahmen der Auftragsverarbeitung (AV) führen müssen. Für dieses AV-VV gelten andere inhaltliche Anforderungen als für das normale VV. Zum Beispiel muss das AV-VV eine AV-Kundenliste enthalten.

4. Prozesse für Betroffenenrechte!

Neben der Kontrolle des Verarbeitungsverzeichnisses schauen sich die Aufsichtsbehörden auch gerne an, wie das Unternehmen mit Betroffenenrechten umgeht. Ist eine Person von einer Datenverarbeitung betroffen, kann er gemäß der Art. 15 ff. DSGVO bestimmte Rechte geltend machen, die sogenannten Betroffenenrechte. Diese können unter anderem Ansprüche auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung oder etwa Datenübertragung begründen.

Unternehmen müssen für die Gewährleistung der Betroffenenrechte definierte Prozesse implementiert haben und die dokumentieren. Es muss zum Beispiel geklärt sein, wer in diesem Bereich für welche Arbeitsschritte zuständig ist. Auch muss ein Unternehmen darlegen können, welche Schritte zur Einräumung der Betroffenenrechte unternommen werden. Daneben gibt es weitere Anforderungen, die zu berücksichtigen sind.

Wir haben bewusst einfach gehaltene Standard-Prozesse für den Umgang mit Betroffenenrechten in kleineren IT-Unternehmen entwickelt, die wir unseren Mandanten gerne auf Anfrage bereitstellen.

5. Löschen, löschen, löschen!

Jeder ahnt, dass er es eigentlich tun muss, aber kaum einer macht es: Daten löschen! Dabei handelt es sich hier nicht um eine freiwillige Maßnahme. Unternehmen dürfen Daten nur so lange speichern, wie es diese für zulässige Zwecke braucht. Der Zweck muss dabei aber bereits im Zeitpunkt der erstmaligen Erhebung festgelegt sein und kann nachher grundsätzlich nicht ohne Weiteres geändert werden. Sind die Daten also zum Beispiel nicht mehr zur Vertragserfüllung nötig, muss man die Daten löschen! Bestehen Aufbewahrungspflichten, sind die Daten zu „sperren“, damit keine weitere Verarbeitung erfolgen kann.

Unternehmen müssen im Rahmen des Verarbeitungsverzeichnisses auch ein Konzept in Bezug auf die Datenlöschung nachweisen. Aus diesem Konzept muss hervorgehen, wo die Daten gespeichert sind und wie das Unternehmen sicherstellt, dass nicht mehr benötigte Daten regelmäßig gelöscht werden. Die Entwicklung eines allen Anforderungen entsprechenden Löschkonzeptes kann sich mitunter als schwierig gestalten und einigen Aufwand bedeuten.

Wir machen Ihr IT-Unternehmen fit für die DSGVO!

Wir machen IT-Unternehmen fit für die DSGVO – übrigens auch als Externer Datenschutzbeauftragter. Falls Sie unsicher sind, ob mit Ihren Verarbeitungsverzeichnissen, AVV und Datenschutzhinweisen alles in Ordnung oder ob Luft nach oben ist: Beauftragen Sie uns mit einem IT-Vertragscheck. Auf unseren Produktseiten erfahren Sie, welche Leistungen wir im Datenschutzrecht für Sie erbringen und was Sie das kostet.