Die Datenschutzgrundverordnung aus der Sicht von Compliance
Was ist bis wann zu prüfen? – Erste Handlungsempfehlungen für die Praxis
I. Einleitung
Durch die Datenschutzgrundverordnung wird das Datenschutzrecht neu geordnet. Der Gesetzgeber gewährt eine Umsetzungsfrist bis zum Mai 2018, was aufgrund der Vielzahl der Änderungen knapp bemessen ist. Compliance muss die Umsetzung begleiten und überwachen. Der Beitrag gibt Praxistipps für die hausinterne Vorgehensweise.
II. Was ändert sich durch die Datenschutzgrundverordnung?
Durch die Datenschutzgrundverordnung wird der Datenschutz in Zukunft primär auf europäischer Ebene geregelt. Zwar wird das BDSG wohl erhalten bleiben. Ein Entwurf für ein neues BDSG kursiert bereits im Netz. Jedoch kann der nationale Gesetzgeber zukünftig nur noch eine Regelung treffen, soweit die Datenschutzgrundverordnung eine Öffnungsklausel bereithält. Eine solche Öffnungsklausel ist z.B. für den Beschäftigtendatenschutz in Art. 88 DSGVO vorhanden. Nach dem ersten Entwurf ist nicht mit großen Änderungen auf nationaler Ebene (verglichen mit dem jetzigen § 32 BDSG) zu rechnen.
Die Grundstrukturen im Datenschutz bleiben erhalten. Allerdings ergeben sich durch die Datenschutzgrundverordnung viele Änderungen im Detail. Die hausinternen Prozesse müssen umfassend überprüft und ggf. angepasst werden.
Zwar muss Compliance die Datenschutzgrundverordnung nicht eigenverantwortlich umsetzen. Hierfür wird hausintern in der Regel der Fachbereich zuständig sein, der sich umfassend durch den Datenschutzbeauftragten beraten lässt. Compliance muss die hausinterne Umsetzung aber überwachen. Dies insbesondere vor folgendem Hintergrund: Der Bußgeldrahmen wurde durch die DSGVO beträchtlich erweitert (vgl. Art. 83 DSGVO). In der Praxis muss daher alles unternommen werden, um die Verhängung eines Bußgeldes zu verhindern. Compliance kann hierzu seinen Beitrag durch eine entsprechend effektive Überwachung der Umsetzung leisten.
III. Wie kann die Umsetzung der DSGVO durch Compliance überwacht werden?
Ein abgeschlossenes Regelwerk, das nur der Umsetzung harrt, ist mithin noch nicht vorhanden. Die Umsetzungsfrist läuft dennoch im Mai 2018 ab. Compliance muss daher auf eine zeitnahe Umsetzung drängen. Wie geht man praxisgerecht mit diesen Problemen um?
Ein Ansatz könnte lauten, zunächst den hausinternen Umsetzungsbedarf zu analysieren (Soll-Ist-Vergleich). Allein dies dürfte mehrere Monate dauern. Zu überprüfen ist hierbei, wo sich hausintern aufgrund der DSGVO Änderungsbedarf ergibt. In einem nächsten Schritt wäre zu ermitteln, welche Änderungen anhand des DSGVO Wortlautes ohne nationale Vorgaben wie BDSG umgesetzt werden können. Diese könnte man „vorziehen“, um Zeit zu sparen.
Nach Erlass von BDSG und Aufsichtsvorgaben könnten schließlich die übrigen Punkte umgesetzt werden. Compliance sollte bei diesem Konzept überwachen, dass die zeitlichen Prioritäten richtig gesetzt werden. Regelmäßig wird z.B. das Thema Auftragsdatenverarbeitungen vorrangig bearbeitet werden müssen, da die rechtlichen Vorgaben in der DSGVO schon sehr weitgehend konkretisiert sind und gerade in der IT viele Auftragsdatenverarbeitungen vergeben werden.
IV. Welches sind beispielhaft mögliche Prüfungsschwerpunkte für Compliance?
1. Umgang mit Altfällen bei der Einwilligung
Zur Einwilligung findet sich in Art. 7 Abs. 3 DSGVO folgende Regelung: „Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.“ Neu ist die Pflicht zur Inkenntnissetzung.
Eine entsprechende Pflicht ist im geltenden Recht noch nicht vorhanden. Es stellt sich daher die Frage, ob entsprechend eingeholte Einwilligungen aufgrund der DSGVO neu erteilt werden müssen. Der entsprechende Aufwand wäre für Banken beträchtlich.
Der Düsseldorfer Kreis (=nationales Abstimmungsgremium der Aufsichtsbehörden) hat zu dieser Frage zwischenzeitlich einen Beschluss erlassen. Bisher erteilte Einwilligungen gelten danach fort, sofern sie Erwägungsgrund 171, S. 3 DSGVO entsprechen. Für die Praxis heißt das: In der Regel muss die Bank nicht jede bereits erteilte Einwilligung neu einholen. Es muss aber überprüft werden, ob die „alten“ Einwilligungen zumindest die Anforderungen gem. Erwägungsgrund 171, S. 3 DSGVO erfüllen. Das ist nach Auffassung des Düsseldorfer Kreises insbesondere dann nicht der Fall, wenn gegen das sogenannte Kopplungsverbot (Art. 7 Abs. 4 DSGVO) oder die regelmäßig bestehende Altersgrenze (16 Jahre) verstoßen wird.
2. Informationspflichten und Mitteilungspflichten nach der DSGVO (Art. 13 ff.)
Art. 13 DSGVO regelt die Informationspflichten bei der Datenerhebung. Mitzuteilen sind danach insbesondere die Kontaktdaten der Bank und des Datenschutzbeauftragten, die Zwecke der Datenverarbeitung und die Dauer der Datenspeicherung. Ähnliche Informationspflichten regelt Art. 14 DSGVO für den Fall, dass die Daten bei Dritten erhoben werden. Darüber hinaus muss die Bank den Empfängern von personenbezogenen Daten gem. Art. 19 DSGVO insbesondere jede Löschung von personenbezogenen Daten mitteilen.
Es stellt sich die Frage, ob die vorgenannten Pflichten erst ab Mai 2018 zu beachten sind oder auch schon für das Altgeschäft gelten. Dies wäre mit einem erheblichen Arbeitsaufwand verbunden, da umfangreiche Nachbelehrungen im Bestandsgeschäft vorgenommen werden müssten. Die Frage dürfte aber zu verneinen sein, da sich aus der DSGVO eine rückwirkende Anordnung nicht entnehmen lässt.
Compliance muss jedoch überwachen, dass die entsprechenden Pflichten ab Mai 2018 eingehalten werden. Dazu dürfte insbesondere eine Anpassung von Homepage und der Musterverträge für die Kunden erforderlich sein.
3. Auftragsdatenverarbeitungen
Die DSGVO regelt die Auftragsdatenverarbeitungen in den Art. 28 ff. Wesentliche Vorgaben für die Ausgestaltung des vertraglichen Verhältnisses zwischen Auftraggeber und Auftragnehmer ergeben sich aus Art. 28 Abs. 3 DSGVO. Die bestehenden Verträge müssen dahingehend überprüft werden, ob sie mit Art. 28 Abs. 3 DSGVO im Einklang stehen. Auch die übrigen Vorgaben der Art. 28 ff. DSGVO müssen zukünftig eingehalten werden.
Zu überwachen ist, dass alle bestehenden Auftragsdatenverarbeitungen vom Fachbereich überprüft werden. In der Regel wird die Bank wohl ein neues Vertragsmuster mit den jeweiligen Vertragspartnern abschließen müssen. Sofern auf Seiten des Dienstleisters nicht vorhanden ist, wird man eine entsprechende Auftragsdatenverarbeitung wohl kündigen müssen.
V. Empfehlungen für die hausinterne Umsetzung der Datenschutzgrundverordnung
1. Bildung einer Projektgruppe
Die Anforderungen der DSGVO kann nicht ein einzelner Mitarbeiter hausintern umsetzen. Daher ist eine Projektgruppe mit allen Beteiligten zu bilden. Die Leitung der Projektgruppe kann der Datenschutzbeauftragte übernehmen. Die IT muss ebenfalls beteiligt werden, da verschiedene Änderungen bei der EDV erforderlich sind. Auch die operativen Fachbereiche und der Personalbereich sind einzubeziehen, da in ihren Einheiten die personenbezogenen Daten verarbeitet werden. Auch die Einbeziehung von Revision und Marketing dürfte zweckdienlich sein.
2. Erfassung des Ist-Zustandes
Zunächst ist zu ermitteln, wo im Hause personenbezogene Daten verarbeitet werden. Hierfür kann das Verfahrensverzeichnis als Ausgangsgrundlage dienen. Sodann ist zu ermitteln, inwieweit die Datenverarbeitungen bereits mit der DSGVO im Einklang stehen. Soweit ein Einklang besteht, sind weitere Schritte entbehrlich.
3. Festlegung des Sollzustandes und Umsetzung
Soweit festgestellt wird, dass die Vorgaben der DSGVO noch nicht eingehalten werden, müssen Anpassungen festgenommen werden. Zunächst sollte eine Exeltabelle erstellt werden, in die alle kritischen Maßnahmen aufgenommen werden. Sodann sind die Maßnahmen nach Not-wendigkeit zu sortieren und umzusetzen.
Frankfurt am Main, den 13.01.2017 – ULH