Die EU-Datenschutzgrundverordnung (DSGVO)

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) löst die Datenschutzrichtlinie 95/46/EG von 1995 ab und ist ab dem 25.05.2018 unmittelbar geltendes Recht in allen Mitgliedsstaaten (Siehe dazu ausführlich die Beiträge von Dr. Thomas A. Degen in PUBLICUS 2017.12 und 2018.1). Sie gilt dabei nicht nur für Unternehmen, sondern auch für alle Behörden und öffentliche Stellen.

Anwendbarkeit der EU-DSGVO bei Behörden und öffentlichen Stellen

Die EU-DSGVO gilt für alle Datenverarbeitungsprozesse, die sich auf personenbezogene Daten von betroffenen Personen beziehen, die sich in der europäischen Union befinden. Und das sind eine ganze Menge.

Immer, wenn personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden oder auch nur in einer Datei gespeichert sind oder gespeichert werden sollen, greift die EU-DSGVO.

Auch Behörden und öffentliche Stellen dürfen und müssen im gesetzlich vorgeschriebenen Umfang personenbezogene Daten verarbeiten – aber nur, wenn dies erforderlich und aufgrund einer gesetzlichen Grundlage oder Einwilligung erlaubt ist. Etwas anderes gilt nur dann, wenn das öffentliche Interesse überwiegt. Dann müssen diese Voraussetzungen nicht gegeben sein.

Kaum jemand verarbeitet so viele personenbezogene Daten wie Behörden und öffentliche Stellen des Bundes und der Länder. Name, Adresse, Wohnort, Eigentum, begangene Ordnungswidrigkeiten, Straftaten, usw. Die Liste ist lang. Diese Daten müssen nach der nun bald geltenden EU-DSGVO, dem Datenschutzgesetz der Bundesrepublik Deutschland sowie einer Vielzahl weiterer bereichsspezifischer Gesetze gut geschützt werden. Zusätzlich ist, auch für öffentliche Stellen, aus Nachweisgründen eine umfangreiche Dokumentation der ergriffenen Maßnahmen, Abwägungen, etc. erforderlich.

Im Rahmen der EU-DSGVO werden unter anderem auch genetische und biometrische Daten unter dem Begriff der sensiblen personenbezogenen Daten zusammengefasst. Dabei handelt es sich um besondere Kategorien personenbezogener Daten, bei deren Verarbeitung weitere Maßnahmen zum Schutz des Datenschutzes eingehalten werden müssen, vgl. Art. 9 EU-DSGVO. Im Bereich der öffentlichen Verwaltung werden gerade solch sensible Daten wie Strafandrohungen, Daten aus dem Zeugenschutzprogramm und Daten zu Behinderungen verarbeitet. Wie also kann der Schutz dieser sensiblen Daten nach EU-DSGVO bis zum 25.05.2018 gewährleistet werden?

Datenschutzbeauftragter für öffentliche Stellen

Zuständig für die Umsetzung und Einhaltung der Vorgaben ist der Datenschutzbeauftragte. Diese Position kann sowohl intern von einem Mitarbeiter begleitet werden, der sich dann vorrangig um Datenschutzbelange kümmert oder extern vergeben werden. War es den Behörden und öffentlichen Stellen bislang nicht möglich diese Stelle extern zu vergeben, ändert sich dies ab dem 25.05.2018. Der Datenschutzbeauftragte kann nach der EU-DSGVO nun auch extern bestellt werden. Der große Vorteil bei der Bestellung eines externen Datenschutzbeauftragten (eDSB) besteht in der Kostenersparnis und gesteigerten Effizienz aus Skaleneffekten, in der Verlagerung der Haftung und des Einkaufs von qualifiziertem Fachwissen. Warum gerade die letzten beiden Punkte für viele Entscheider eine große Rolle spielen, bei der Überlegung die Verantwortung an einen eDSB zu vergeben, dürfte angesichts der nachfolgenden Pflichten beim Schutz von personenbezogenen Daten und den erweiterten Rechten von Betroffenen, deutlich werden.

Zulässigkeit der Datenverarbeitung

Eine der Aufgaben des Datenschutzbeauftragten ist es, zu kontrollieren, ob die Verarbeitung personenbezogener Daten nach der Datenschutzgrundverordnung rechtmäßig ist. Dies ist der Fall, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

• Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.
• Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
• Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt. (Es wurde nicht lediglich auf gesetzliche Verpflichtungen abgestellt.) Die Rechtsgrundlage für eine solche Verarbeitung wird durch Unionsrecht oder das Recht der Mitgliedsstaaten, dem der Verantwortliche unterliegt, festgelegt.
• Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
• Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
• Die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

So abstrakt diese Vorgaben auch klingen mögen, sie ziehen etliche interne strukturelle Änderungen nach sich. Prozesse müssen beleuchtet, Zuständigkeiten überprüft und neu bewertet werden. Denn immer gilt es sich zu fragen, wer darf zu welchem Zweck Daten erheben und verarbeiten und wie lange darf er sie speichern?

Verzeichnis von Verarbeitungstätigkeiten

In der Datenschutzgrundverordnung wird Unternehmen und öffentlichen Stellen grundsätzlich in Art. 30 EU-DSGVO das Führen eines Verzeichnisses aller Verarbeitungstätigkeiten mit Personenbezug vorgeschrieben. Inhaltlich ähnelt die neue Dokumentation dem bekannten Verfahrensverzeichnis. Es müssen die wesentlichen Informationen der Datenverarbeitung zusammengefasst werden, also wiederum u.a. Angaben zu Zweck der Verarbeitung, Löschfristen und Empfänger. Art. 30 Abs. 1 EU-DSGVO listet die Angaben des Verzeichnisses von Verarbeitungstätigkeiten auf:

• Angaben zur verantwortlichen Stelle und der zugehörigen Kontaktdaten inkl. Datenschutzbeauftragter.
• Zwecke der Verarbeitung.
• Kategorien der Betroffenen und personenbezogener Daten.
• Kategorien von Empfängern.
• Angaben zur Übermittlung in Drittländer oder internationalen Organisationen.
• Löschfristen je Datenkategorie.
• Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

Der Verantwortliche, also die jeweilige öffentliche Stelle, ist für das Verzeichnis von Verarbeitungstätigkeiten verantwortlich, Art. 30 Abs. 1 EU-DSGVO und gemäß Art. 30 Abs. 2 EU-DSGVO ist auch der Auftragsverarbeiter zur Führung eines eigenen Verfahrensverzeichnisses verpflichtet. Infolgedessen fallen auch alle Rechenzentren, die als Auftragsverarbeiter von den öffentlichen Stellen eingesetzt werden, unter diesen Artikel. Daher sind auch hier die Vorgaben der EU-DSGVO anzuwenden und es müssen z.B. Verträge zur Auftragsverarbeitung erstellt oder ggf. überarbeitet werden.

Betroffenenrechte

Ein weiterer wichtiger Aspekt bei Behörden und öffentlichen Stellen ist der Schutz der Rechte der betroffenen Personen. Diese dürfen Auskunft über die Inhalte und den Zweck der Datenerhebung erhalten. Zudem haben sie einen Anspruch auf Richtigstellung und unter bestimmten Umständen auch auf Löschung der Daten:

• Recht auf Auskunft.
• Unrichtigkeiten sind unverzüglich zu berichtigen.
• Recht auf Löschung der Daten, wenn diese nicht mehr notwendig sind.
• Der Betroffene hat in der Regel das Recht, die ihn betreffenden personenbezogenen Daten die er einem Verantwortlichen aufgrund einer Einwilligung bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, Art. 20 EU-DSGVO.
• Widerspruchsrecht gegen Profiling und Direktwerbung.
• Recht auf Anrufung des Datenschutzbeauftragten.
• Recht auf Beschwerde bei der Aufsichtsbehörde.
• Recht auf Schadenersatz.

Diese Informationen den Betroffenen auf Nachfrage mit nur geringem internen Aufwand und zeitnah zur Verfügung zu stellen, ist eine weitere Herausforderung, die auch Behörden und öffentliche Stellen zu bewältigen haben. Auch der Nachweis, dass Daten gelöscht wurden, muss erbracht werden können. Ein weiterer wichtiger Punkt auf einer immer länger werdenden Agenda des Datenschutzbeauftragten.

Fazit

Verlieren Sie keine Zeit mehr! Bei Behörden und öffentlichen Stellen ist genauso viel zu tun wie bei privatwirtschaftlichen Unternehmen. Selbst wenn Sie bereits erste Maßnahmen in die Wege geleitet haben – sind diese bis zum Stichtag 25.05.2018 umgesetzt? Haben Sie an alles gedacht? Diesen Fragen sollten Sie sich unbedingt stellen und sie idealerweise mit «Ja» beantworten können. Anderenfalls ist höchste Eile angesagt.