Die Datenschutzgrundverordnung (DSGVO) - Teil 12: Verfahrensverzeichnis, Vorabkontrolle und Folgenabschätzung

Fast drei Viertel der Befragten (72 Prozent) einer aktuellen Händlerbund-Studie haben entweder noch nie von der DSGVO gehört oder wissen nicht, was genau auf sie zukommt. Daher sind die verbleibenden neun Monate nicht zu unterschätzen und beispielsweise die neuen Dokumentationspflichten nicht auf die lange Bank zu schieben.

Unternehmen noch erschreckend schlecht vorbereitet

In weniger als einem Jahr wird die neue Datenschutzgrundverordnung (DSGVO) in allen europäischen Ländern zur Pflicht. Obwohl Begriffe wie Datenportabilität, Marktortprinzip oder One-Stop-Shop schon seit vielen Monaten durch die Internetwelt geistern: Wirkliche Aufklärung besteht bei den meisten Betroffenen noch nicht. Das beweist auch die aktuelle Händlerbund-Befragung. 

Am 25. Mai 2016 ist die DSGVO in Kraft getreten und muss spätestens bis zum 25. Mai 2018 umgesetzt werden. Da es eine Vielzahl von Änderungen gibt, sollten Online-Händler diese nicht auf die lange Bank schieben und bestenfalls zeitnah mit der Umsetzung beginnen. Auseinanderzusetzen haben sich die Händler beispielsweise mit dem Verfahrensverzeichnis und der Folgenabschätzung.

Maßnahme 1: Dokumentationspflicht durch Verfahrensverzeichnis

Unternehmen arbeiten massenhaft mit persönlichen Daten. Im Online-Handel ist das vornehmlich die Kundendatei mit sensiblen Anschriftsdaten oder Zahlungsinformationen (z. B. Kreditkartendaten). Sind Angestellte im Unternehmen vorhanden, kommen auch deren persönliche Daten hinzu. Für Unternehmen besteht daher die Pflicht, ein Verfahrensverzeichnis zu führen, welche die Datenverarbeitungsprozesse im Unternehmen katalogisiert. Dieses Verfahrensverzeichnis enthält u. a. die folgenden Angaben:

• den Namen und die Kontaktdaten des Verantwortlichen sowie des Datenschutzbeauftragten,
• die Zwecke der Datenverarbeitung,
• die Empfänger, gegenüber denen die Daten offengelegt worden sind oder noch offengelegt werden.

Für das Verfahrensverzeichnis ist die Unternehmensleitung verantwortlich und es ist auch vom Auftragsverarbeiter – soweit vorhanden – zu führen. Die Pflicht zur Führung eines Verfahrensverzeichnises gilt nach der DSGVO nicht für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Das dürfte auf die meisten Online-Händler zutreffen, es sei denn man heißt Zalando oder Otto.

Aber auch für jede Ausnahme gibt es natürlich eine Rückausnahme: Es gibt sehr wohl wieder eine Pflicht zur Führung eines Verfahrensverzeichnisses, wenn die Datenverarbeitung ein Risiko birgt, besondere Datenkategorien betroffen sind (z.B. bei Online-Apotheken die Gesundheitsdaten) und nicht nur "gelegentlich" stattfindet. Obwohl es bisher keine nähere Definition von "gelegentlich" gibt und kleinere und mittelständige Unternehmen vor einem erhähten bürokratischen Aufwand geschützt werden sollen, kann die Pflicht auf Händler zutreffen. Schon die Hinterlegung von Kundeninformationen in der shopeigenen Datenbank erfolgt regelmäßig automatisch und nicht nur gelegentlich. Außerdem werten viele Shops systematisch das Verhalten ihrer Webseitenbesucher aus.

Warum überhaupt ein Verzeichnis führen? Der Grund ergibt sich zum einen aus der gesetzlichen Pflicht. Die nationalen Behörden können zur Prüfung der Einhaltung des Datenschutzes Einsicht in das Verfahrensverzeichnis verlangen. Zum anderen haben Unternehmen Informations- und Auskunftspflichten auch gegenüber den Betroffenen, beispielsweise gegenüber den Kunden, mit deren Daten gearbeitet wird. Mit einem aufbereiteten Verfahrensverzeichnis können die Unternehmen den Anfragen leichter Herr werden.

Wird das Verfahrensverzeichnis nicht geführt oder ist lückenhaft, können dem Verantwortlichen Geldbußen von bis zu 10.000.000 Euro oder von bis zu 2 Prozent des weltweit erzielten Jahresumsatzes aus dem vergangenen Geschäftsjahr auferlegt werden. 

Maßnahme 2: Die Vorabkontrolle und die Folgenabschätzung 

Status quo 

Mit dem Fortschreiten der Technologisierung oder beim Wachtum des Unternehmens kommt es von Zeit zu Zeit zur Notwendigkeit, neue Datenverarbeitungsprozesse in das Unternehmen einzuführen. Hier wird einigen schon der Begriff der sog. Vorabkontrolle geläufig sein. Die sog. Vorabkontrolle ist derzeit im deutschen Recht vorhanden: „Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle)“.

Eine Vorabkontrolle ist derzeit insbesondere durchzuführen, wenn besondere Arten personenbezogener Daten (z. B. Gesundheitsdaten) verarbeitet werden oder die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten – einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens (z.B. Skill-Datenbanken).

Soweit also reguläre Datenverarbeitungsvorgänge eingeführt werden sollen, die den täglichen Kundenverkehr im Online-Shop betreffen, dürfte die Pflicht zur Vorabkontrolle nicht zutreffen. Die Berechtigung, Kundendaten (wie die Anschrift) automatisiert zu speichern und zu nutzen, ergibt sich aus dem Gesetz. Hierfür ist keine gesonderte Vorabkontrolle notwendig.

Neuerungen durch die DSGVO

Nach der DSGVO muss der Verantwortliche künftig nur dann vorab seine Verarbeitungsprozesse behördlich überprüfen lassen, wenn die sog. Folgenabschätzung („Data Protection Impact Assessment“) ergibt, dass ein hohes Risiko für die Daten besteht (z. B. Profiling) und keine anderweitigen Vorkehrungsmaßnahmen getroffen wurden. Mit der DSGVO ist daher zunächst eine Folgenabschätzung durchzuführen.

Die Folgenabschätzung

Birgt die Datenverarbeitung voraussichtlich ein hohes Risi­ko für die Betroffenen, muss der Verantwortliche bereits vor Einführung eines neuen Datenverarbeitungsprozesses eine Abschätzung der Folgen durchführen (sog. Folgenabschätzung). Dies ist insbesondere bei neuen Technologien der Fall, bei der der Umfang und der Eingriff in die Persönlichkeitsrechte noch nicht feststeht. Die DSGVO nennt bestimmte Fallgruppen, bei denen eine Folgenabschätzung stets durchzuführen ist. Dazu zählen

• das Profiling,
• die Verarbeitung besonders sensibler Daten (z. B. Gesundheitsdaten)
• der Einsatz neuer Technologien
• die umfangreiche öffentliche Videoüberwachung.

Die nationalen Aufsichtsbehörden werden hier noch nähere Konkretisierungen vornehmen und die Liste auf nationaler Ebene ergänzen.

Die Folgenabschätzung enthält u. a. Folgendes:

• eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls
• eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungs­vorgänge in Bezug auf den Zweck;
• eine Bewertung der Risiken
• die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen (z. B. Sicherheitsvorkehrungen).

Bei der Folgenabschätzung ist der behördliche oder betriebliche Datenschutzbeauf­tragte zu beteiligen. Geht aus einer Datenschutz-Folgenab­schätzung hervor, dass Verarbeitungsvorgänge ein hohes Risiko bergen, das der Verant­wortliche nicht durch geeignete Maßnahmen in Bezug auf verfügbare Technik und Imple­mentierungskosten eindämmen kann, so sollte sogar die nationale Datenschutzaufsichtsbehörde vor der Verarbeitung konsultiert werden.

Wird die Folgenabschätzung nicht oder nicht richtig durchgeführt, können dem Verantwortlichen Geldbußen von bis zu 10.000.000 Euro oder von bis zu 2 Prozent des weltweit erzielten Jahresumsatzes aus dem vergangenen Geschäftsjahr auferlegt werden.

Die Themenreihe zur Datenschutzgrundverordnung (DSGVO)

Einführung

Teil 1: Newsletterversand

Teil 2: Informationspflichten

Teil 3: Auskunftspflichten

Teil 4: Betroffenenrechte

Teil 5: Umgang mit Datenpannen

Teil 6: Neuerungen beim Umgang mit Kundendaten

Teil 7: Übermittlung von Daten ins Ausland

Teil 8: Auftragsdatenverarbeitung

Teil 9: Der Einsatz von Cookies

Teil 10: Social Plugins

Teil 11: Der Datenschutzbeauftragte

Teil 12: Verfahrensverzeichnis, Vorabkontrolle und Folgenabschätzung

Teil 13: Aufsichtsbehörden

Teil 14: Befugnisse und Sanktionsmaßnahmen

Teil 15: Praxisteil - Maßnahmen zur Vorbereitung (Checkliste)

Teil 16: Glossar

Der DSGVO-Countdown: Wie plane ich die nächsten 157 Tage? (Teil 1)

Der DSGVO-Countdown: Wie plane ich die nächsten 135 Tage? (Teil 2)

Der Händlerbund hat Online-Händler zur DSGVO befragt. Die Infografik zeigt, wie Händler sich auf die DSGVO vorbereitet fühlen und was sich bisher bei der Umsetzung getan hat.