Die Datenschutzgrundverordnung der EU, die im Mai 2018 in Kraft treten wird, regelt nicht nur den Umgang mit personenbezogenen Daten, sondern auch die diesbezügliche Kommunikation: die Informationspflicht gegenüber Betroffenen, die Meldepflicht gegenüber Aufsichtsbehörden. Der Fachartikel beleuchtet, wie genau die Zusammenarbeit mit den Aufsichtsbehörden geregelt ist, wo Freiräume herrschen und wie Unternehmen sich sinnvoll auf Prüfungen vorbereiten können.

In Vorbereitung dieses Fachartikels sendeten wir eine Anfrage an den Hamburger Beauftragten für Datenschutz und Informationsfreiheit – kurz die Datenschutzbehörde Hamburg. Unter anderem wollten wir wissen, wie eine Unternehmensprüfung nach EU-DSGVO ablaufen wird: Wie lange im Voraus werden Unternehmen über eine anstehende Prüfung informiert? Wenn ein Umgang mit Daten bemängelt wird, wie viel Zeit erhalten Unternehmen, um den Mangel zu beheben?



Seitens der Datenschutzbehörde vieles im Unklaren

Über viele Punkte unserer Anfrage konnte uns die Sprecherin der Datenschutzbehörde Hamburg noch keine Auskunft geben. Wie genau eine Prüfung nach der DSGVO ablaufen wird, sei noch nicht endgültig geklärt. Die Sprecherin geht jedoch davon aus, dass eine Unterscheidung danach getroffen wird, ob es sich um Prüfungen handelt, die aufgrund eines Anlasses, also etwa einer Beschwerde eingeleitet wird, oder ob es sich um gezielte anlassfreie Prüfungen handelt – das würde keine Änderung der aktuellen Vorgehensweise bedeuten.



Angaben zu von uns angefragten festen Fristen für Informationen der Unternehmen, Vorab-Informationen, die Frage, ob vor Ort oder schriftlich geprüft wird und wieviel Zeit ein Unternehmen für die Behebung von Mängeln haben wird, soll es bisher nicht geben. Laut Datenschutzbehörde Hamburg hängen diese Fragen sehr von den Einzelfällen, etwa auch von der Eilbedürftigkeit oder der Schwere von Datenschutzverletzungen ab. Auf Basis ihrer Erfahrung mit den bisherigen Prüfungen geht die Sprecherin der Datenschutzbehörde Hamburg davon aus, dass die Fristen und Prüfungsvorgehen den jeweiligen Prüfungen angepasst sein werden und es daher keine strikten Regelungen geben wird. Das könne jedoch möglicherweise dann der Fall sein, wenn es bei einer Prüfung zu einem Zusammenwirken mit anderen Aufsichtsbehörden kommt, spekulierte die Sprecherin und wies gleichzeitig darauf hin, dass man soweit noch nicht sei.



Trotz aller Unwägbarkeiten müssen und wollen sich Unternehmen bereits heute auf die europäische Datenschutzgrundverordnung vorbereiten. Daher werfen wir einen Blick auf das, was feststeht, und skizzieren am Beispiel Datensicherung einen Plan, wie Unternehmen und Behörden sich auf das, was noch nicht feststeht, solide, nämlich entsprechend bestehender Sorgfaltsempfehlungen, vorbereiten können. Mit dem Fokus auf die Zusammenarbeit mit den Datenschutzbehörden behandeln wir die zwei vorherrschenden Szenarien: Die Meldung einer Datenpanne an die Aufsichtsbehörde und eine Prüfung durch die Aufsichtsbehörde.Die viel diskutierten Meldepflichten und Neuregelungen der Betroffenenrechte der EU-DSGVO verdeutlich, dass die neue DSGVO auf eine schnelle Kommunikation abzielt: Unternehmen und Organisationen sollen die nationale Aufsichtsbehörde so bald wie möglich über schwere Verstöße gegen den Datenschutz informieren. Zu beachten sind also sowohl die Bedingungen als auch die Frist für die Meldung einer Datenpanne.An die Aufsichtsbehörde gemeldet werden müssen Sicherheitsvorfälle, die zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen führen können. Ebenfalls ist die Information der betroffenen Person notwendig. Besteht jedoch Grund zur Annahmen, dass der Vorfall voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten des Betroffenen, führt ist keine Meldung notwendig. Ein überzeugendes Argument, einen Vorfall ungemeldet zu lassen, wäre beispielsweise eine Verschlüsselung der Daten auf dem neuesten Stand der Technik.Besteht jedoch ein Risiko für die Rechte und Freiheit natürlicher Personen, muss die Meldung möglichst unverzüglich, spätestens jedoch innerhalb von 72 Stunden erfolgen. Bei Überschreitung des Zeitraums, müssen Unternehmen ihrer Meldung eine Begründung für die Verzögerung hinzufügen.Gemäß des Marktortprinzips gilt die neue EU-DSGVO für alle datenverarbeitenden Unternehmen in der EU und Unternehmen außerhalb der EU, die Daten von EU-Bürgern verarbeiten und ihre Produkte, Dienstleistungen in der EU anbieten. Unternehmen mit Niederlassungen in mehreren EU-Mitgliedstaaten, die personenbezogene Daten verarbeiten, müssen bei grenzüberschreitenden Datenverarbeitungen Sicherheitsvorfälle nur der Aufsichtsbehörde am Hauptsitz melden.Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so sind neben der Aufsichtsbehörde auch die betroffenen Personen unverzüglich zu benachrichtigen.