Die DSGVO ist keine Verordnung, die sich mit einmaliger Umsetzung für immer erledigt hat. Sie ist vielmehr ein dauerhafter Prozess. Wer jetzt noch nicht mit der Umsetzung angefangen hat, der sollte dies schnellstmöglich tun. Bereits pünktlich zum 26. Mai 2018 erhielten viele Webseitenbetreiber die erste wettbewerbsrechtliche Abmahnung wegen nicht vorhandener oder unzureichender Datenschutzerklärungen. Aber auch E-Mails, die ihren Absender als Beschwerdestelle für Datenschutzverstöße ausgeben und zugleich eine „kostenfreie“ Erstberatung anbieten, kamen ebenso pünktlich. Wer sich bisher nur um die datenschutzkonforme Außendarstellung, zum Beispiel die Website, gekümmert hat, sollte nun die internen Prozesse anpassen. Auch bei bereits erfolgter Umsetzung der DSGVO hat sich für Behörden und Unternehmen die Arbeit noch nicht erledigt. Das Verzeichnis über die Verarbeitungstätigkeiten gemäß Art. 30 DSGVO ist stets aktuell zu halten. Dies bedeutet: Wenn weitere personenbezogene Daten verarbeitet werden oder eine weitere Verarbeitungstätigkeit im Laufe der Zeit hinzukommt, ist das Verzeichnis zu aktualisieren. In dem Verzeichnis sollten als Anlage die technisch-organisatorischen Maßnahmen (TOMs) zum Schutz der personenbezogenen Daten aufgelistet werden. Ergeben sich bei den TOMs Änderungen, insbesondere im Bereich der IT Security, sollte dies im Verzeichnis ebenfalls dokumentiert werden. Ebenso verhält es sich mit der Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO. Diese hat insbesondere in folgenden Fällen zu erfolgen:
- Bei systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
- bei umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO oder
- bei systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche.
Bei neuen Verarbeitungstätigkeiten sollte daher geprüft werden, ob eine Datenschutz-Folgenabschätzung notwendig ist, und, wenn ja, diese auch durchgeführt und dokumentiert werden. Die Landesdatenschutzbehörden haben mittlerweile entsprechende Listen veröffentlicht, für welche Tätigkeiten zwingend eine Datenschutzfolgenabschätzung durchzuführen ist. Diese Liste ist auf der Website der jeweiligen zuständigen Landesdatenschutzbehörde einsehbar (Beispiel: Hessen). Wenn neue Dienstleister hinzukommen, die im Auftrag personenbezogene Daten verarbeiten, so muss mit ihnen auch eine entsprechende Vereinbarung zur Auftragsverarbeitung geschlossen werden. Auch diese Vereinbarungen sind zu aktualisieren, falls ein Dienstleister im Laufe der Zeit mehr Verarbeitungstätigen im Auftrag durchführt. Nicht zuletzt muss auch die Entwicklung jederzeit beobachtet werden. Bislang waren viele Dinge innerhalb der DSGVO umstritten. Es sollten daher jederzeit die aktuelle Rechtsprechung und Stellungnahmen der Landesdatenschutzbehörden beobachtet werden, um sodann entsprechend Anpassungen vornehmen zu können. Autor des Beitrages: Rechtsanwalt Brian Scheuch ist Partner der Kanzlei Heidrich Rechtsanwälte in Hannover. Er absolvierte sein Studium der Rechtswissenschaften an den Universitäten Leipzig und Hannover. Der Schwerpunkt lag dabei auf den Gebieten IT-Recht, Urheberrecht und Wettbewerbsrecht. Sein Referendariat absolvierte er unter anderem beim Heise-Verlag. Scheuch ist Autor von IT-rechtlichen Publikationen und hat eine Reihe von Beiträgen für die Zeitschrift c’t und den IT-Newsticker heise online verfasst. Daneben ist er Autor der Fachzeitschrift ITRB. Er ist Mitglied im Hafven Hannover und engagiert sich bei der Förderung und Beratung von Start-ups.
Heidrich Rechtsanwälte, Brahmsstraße 3, 30177 Hannover, Tel.: 0511-2352702, scheuch@kanzlei-heidrich.de, www.recht-im-internet.de/ra-brian-scheuch