Die Datenschutzgrundverordnung (DSGVO) harmonisiert seit dem 25. Mai 2018 die rechtlichen Vorgaben zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen der EU. Verschiedene Öffnungsklauseln erlauben länderspezifische Regelungen, welche hierzulande ihren Niederschlag vorwiegend im 2018 novellierten Bundesdatenschutzgesetz (BDSG) finden. Die DSGVO erlegt Unternehmen seither zusätzlich zu den bereits bestehenden datenschutzrechtlichen Aufgaben aus dem BDSG umfangreiche neue Pflichten auf.Neben der Sicherstellung der Datensicherheit und auch der Umsetzung von Betroffenenrechten – in Form von „aktiven“ Transparenzpflichten einerseits und „passiven“ Rechten, welche auf Aufforderung im Einzelfall zu erfüllen sind, andererseits – gibt es auch neue Meldepflichten zum Beispiel bei Datenpannen. Durch diese Maßnahmen stärkt die DSGVO die Verbraucherrechte in bis dato nicht gekanntem Ausmaß.
Über all diesen neuen Maßnahmen steht die Erfüllung der zentralen Anforderung der Rechenschaftspflicht der Unternehmer gegenüber den zuständigen Aufsichtsbehörden: Nach Artikel 5 (2) DSGVO ist demnach ein Unternehmen nicht nur für die Einhaltung der Datenschutzgrundsätze verantwortlich, sondern muss deren Einhaltung aktiv nachweisen können – quasi eine Beweislastumkehr.
Unter dem Strich hat dadurch der Dokumentationsaufwand in erheblichem Maße zugenommen. Zur Unterstützung der Banken hat der Bundesverband der Deutschen Volksbanken und Raiffeisenbanken (BVR) 2017 einen Leitfaden zur Umsetzung der DSGVO veröffentlicht. Des Weiteren werden die Banken durch die Musterarbeitsanweisungen des BWGV bei der Erfüllung ihrer Pflichten unterstützt.
Unter dem Strich bleibt die Verantwortung für die Einhaltung der datenschutzrechtlichen Anforderungen jedoch stets beim Verantwortlichen beziehungsweise seinen gesetzlichen Vertretern. Kennen Sie all Ihre Anforderungen und haben den „Datenschutz im Griff“?
Bußgelder nehmen enorm zu
Ein Verstoß gegen die DSGVO kann im schlimmsten Fall mit bis zu 20 Millionen Euro Geldbuße oder einem Betrag bis zu 4 Prozent des weltweiten Jahresumsatzes geahndet werden. Zu Grunde gelegt wird der höhere dieser beiden Werte.
Nach Ansicht der Datenschutzaufsichtsbehörden muss ein Bußgeld wirksam, verhältnismäßig und vor allem abschreckend sein. Im Vergleich mit den europäischen Nachbarländern waren die deutschen Aufsichtsbehörden zunächst noch zurückhaltend. Seit 2020 sind jedoch die national verhängten Bußgelder sowohl in Ihrer Anzahl als auch in ihrer Höhe enorm gestiegen: Während in den Jahren 2018 und 2019 insgesamt „nur“ 18 Bußgelder mit in der Summe 2,3 Millionen Euro Strafe verhängt wurden, wurden seit 2020 in 53 Fällen Bußgelder in Summe von knapp 50 Millionen Euro verhängt – im Einzelfall betrug die Strafe dabei 35,3 und 10,4 Millionen Euro. Diese Bußgelder haben Ihre Ursachen in den verschiedensten Bereichen des „Anforderungskatalogs“ der DSGVO. Es ist mit einem weiteren Anstieg sowohl der Fälle auch als der einzelnen Bußgeldsummen zu rechnen.
Grundsätze der Datenverarbeitung
Gemäß Artikel 5 DSGVO müssen sämtliche Datenverarbeitungen durchgängig den allgemeinen Maßstäben der Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie der Integrität und Vertraulichkeit genügen.
Vermehrt werden Bußgelder wegen Verstößen gegen diese Datenschutzgrundsätze und speziell aufgrund fehlender Rechtsgrundlagen nach Artikel 6 DSGVO verhängt. Wie eingangs beschrieben, kommen der Dokumentation und der Legitimation der Datenverarbeitung seit Einführung der DSGVO eine deutlich höhere Bedeutung zu. Ein Unternehmen muss stets nachweisen können, dass die Regelungen der DSGVO eingehalten sind beziehungsweise werden (Stichwort: Beweislastumkehr).
Rechtsgrundlagen für die Datenverarbeitung
Zu jeder Datenverarbeitung bedarf es einer Rechtsgrundlage nach Artikel 6 (1) DSGVO. Die für Banken relevantesten Rechtsgrundlagen sind hervorgehoben:
- Einwilligung der betroffenen Personen – zum Beispiel ist zur Veröffentlichung von Fotos oder Geburtstagen, zur Nutzung von Unterschriftsnachbildungen auch unternehmensintern eine explizite Einwilligung erforderlich; dasselbe gilt für das Tätigen von Werbeanrufen.
- Erforderlichkeit zur Erfüllung eines Vertrags beziehungsweise zur Durchführung vorvertraglicher Maßnahmen;
- Erfüllung einer rechtlichen Verpflichtung;
- Erforderlichkeit zum Schutz lebenswichtiger Interessen;
- Erforderlichkeit zur Wahrnehmung einer Aufgabe im öffentlichen Interesse bzw. in Ausübung öffentlicher Gewalt;
- Erforderlichkeit zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten, sofern keine widerstreitenden Interessen des Betroffenen bestehen – etwas bei der Verarbeitung von Kundendaten im Rahmen von Direktwerbung, zu der keine Einwilligung vorliegt.
Haben Sie in Ihrem Unternehmen wirksame Einwilligungserklärungen zu allen relevanten Themenfeldern eingeholt, die den vielfältigen Anforderungen aus Artikel 7 DSGVO genügen? Wie sind diese archiviert? Werden Widerrufe ausreichend beachtet?
Haben Sie im Zuge der Rechenschaftspflicht für die Direktwerbemaßnahmen – ein nach Erwägungsgrund 47 zur DSGVO grundsätzlich legitimes Interesse – ein funktionsfähiges Verfahren zur Prüfung und Dokumentation des berechtigten Interesses etabliert? Erfüllen die Dokumentationen die Auseinandersetzung mit den folgenden Pflichtinhalten:
- Besteht ein berechtigtes Interesse der Bank an der geplanten Datenverarbeitung?
- Ist die Verarbeitung erforderlich, um dieses Interesse zu wahren?
- Überwiegt kein den Schutz personenbezogener Daten erforderndes berechtigtes Interesse oder Grundrecht oder keine entsprechende Grundfreiheit der betroffenen Person?
Wie sind diese Prüfung und deren Dokumentation in Ihrem Hause geregelt und in die Governance-Struktur integriert?
Informationspflichten
Ein weiterer, wichtiger Aspekt der DSGVO mit enormer Außenwirkung ist die aktive Informationspflicht nach den Artikeln 13 und 14 DSGVO. Für agree21 gibt es standardisierte Datenschutzhinweise der DG Nexolution. Aber wie sieht es mit individuell verarbeiteten Daten zum Beispiel im Rahmen von Miet- oder Vermittlungsgeschäften, Bankreisen, Bewerbungen, Websites und Apps etc. aus?
Haben Sie für diese Geschäfte individuelle Datenschutzhinweise implementiert und genügen diese den Anforderungen? Ist die Ausgabe von Datenschutzhinweisen geregelt und wird diese auch analog zu den Regelungen durchgeführt?
Auftragsverarbeitung
Auch der Prüfung der Verträge mit Auftragsverarbeitern nach Artikel 28 DSGVO kommt eine besondere Bedeutung zu, denn auch schon rein formale Vertragsmängel führten in der Vergangenheit zu Bußgeldern. Zum Teil sind die Verträge der Auftragsverarbeiter immer noch fehlerbehaftet oder veraltet oder die Archivierung der Verträge und deren Überprüfung ist in der einzelnen Bank noch nicht ausreichend geregelt. In anderen Unternehmen herrscht auch der Irrglaube vor, dass ein Auftragsverarbeitungsvertrag als Rechtsgrundlage zur Verarbeitung personenbezogener Daten dient. Dies ist mitnichten der Fall. Der Auftragsverarbeiter übernimmt nach Weisung des Auftraggebers Tätigkeiten, aber für die Verarbeitung selbst benötigt der Auftraggeber eine Rechtsgrundlage nach Artikel 6 DSGVO.
Verzeichnis der Verarbeitungstätigkeiten
Zentrales Nachweis-Medium der Umsetzung und Einhaltung der DSGVO ist das Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Artikel 30 DSGVO. Das VVT wird von den Aufsichtsbehörden vor einem Kontrollbesuch und bei der Beurteilung von Sachverhalten regelmäßig angefordert. Wird das VVT bei Ihnen kontinuierlich aktualisiert und ergänzt? Ist das VVT vollständig? Sind Besonderheiten wie die Videoüberwachung ausreichend berücksichtigt?
Löschkonzept
Um den Grundsatz der Speicherbegrenzung zu erfüllen, muss die Bank ein dokumentiertes Löschkonzept vorweisen können und dieses selbstverständlich ausreichend nachvollziehbar einhalten. Die Nichtbeachtung des Löschkonzepts und damit fehlerhafte Löschungen führten bereits zu hohen nationalen Bußgeldern. Gibt es ein dokumentiertes Löschkonzept bei Ihnen im Haus? Erstreckt sich die Fachverantwortung für die rechtskonforme Löschung der Daten in Ihrem Haus über den jeweiligen Bereich bis hin zu einem System zur Durchführung von Löschläufen und ist den für die Daten Verantwortlichen klar, was wann zu tun ist?
Datenschutzbeauftragter
Nach Artikel 35 der DSGVO hat Ihr Datenschutzbeauftragter mindestens folgende Aufgaben:
- Unterrichtung und Beratung des Verantwortlichen und seiner Beschäftigten der DSGVO- und nationaler Datenschutzpflichten;
- Überwachung der Einhaltung dieser Pflichten sowie der Strategien des Verantwortlichen zum Schutz personenbezogener Daten; Sensibilisierung und Schulung der beteiligten Mitarbeiter;
- Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung;
- Zusammenarbeit mit der Aufsichtsbehörde;
- Tätigkeit als Anlaufstelle für die Aufsichtsbehörde.
Der Datenschutzbeauftragte (DSB) trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenem Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
Durch die DSGVO haben sich die Aufgaben des DSB von einem Hinwirkungsauftrag zu einem Überwachungsauftrag geändert. Dabei gilt der Grundsatz der Risikoorientierung. Gibt es einen risikoorientierten Überwachungsplan in Ihrem Hause? Wird dieser laufend fortgeschrieben?
Datenpannen
Jede Datenpanne muss dokumentiert werden, unabhängig davon, ob es zu einer Meldung an die Aufsichtsbehörden und gegebenenfalls an die betroffenen Personen kommt. Im Zweifel müssen Sie auf Grund einer späteren Anfrage nachweisen können, warum keine Meldung gegenüber der Aufsicht und den Betroffenen abgegeben wurde.Konnten Sie die Risiken beziehungsweise die Höhe der Risiken bisher stets korrekt abschätzen? Sind Ihre Datenpannen ausreichend dokumentiert? Halten Sie die Meldefristen stets ein?
Gestiegene Anforderungen im Griff?
Wie anhand der vorstehend beschriebenen Sachverhalte unschwer zu erkennen ist, sind 2018 mit der Einführung der DSGVO sehr viele weitreichende Änderungen eingetreten und damit weitere Pflichten für die Unternehmen hinzugekommen. Der BVR informiert Sie neben dem oben erwähnten Leitfaden bei wesentlichen Änderungen durch Rundschreiben. Der BWGV stellt neben der Musterarbeitsanweisung „Datenschutz“ auf Anfrage auch Unterstützungsleistungen durch seine Fachbereiche zu spezifischen Fragestellungen zur Verfügung.
Die Zahl von Kundenbeschwerden und Kontrollen der Datenschutzaufsichtsbehörden nehmen, wie eingangs beschrieben, stetig zu. Zusätzlich gewährt die DSGVO auch Schadensersatzansprüche für materielle und immaterielle Schäden, die Personen aufgrund einer Verletzung von Regelungen aus der DSGVO erleiden.
Was Sie tun können
Kurz gesagt: Nehmen Sie den Datenschutz ernst und implementieren Sie eine ausreichende Awareness dafür in Ihrem Unternehmen. Statten Sie die Fachbereiche und Ihre Datenschutzorganisation mit für diese Risikolage angemessenen Ressourcen aus.
Und – ganz wichtig: Stellen Sie den Datenschutz regelmäßig auf den Prüfstand, denn nach Art. 32 DSGVO ist die Implementierung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der getroffenen technischen und organisatorischen Maßnahmen eine konkrete gesetzliche Anforderung an die Verantwortlichen, das heißt an die Leitungs- und da-mit auch der Aufsichtsorgane des Unternehmens.Von Seiten der Audit WPG haben wir neben der Übernahme der Funktion des DSB weitere Unterstützungsleistungen entwickelt,welche wir Ihnen anbieten können: Zum einen die Durchführung der Prüfung des Prüffelds „Datenschutz“ im Rahmen eines Innenrevisionsauftrags durch unsere dafür ausgebildeten Spezialisten mit nachweislicher Fachkunde auf diesem Gebiet (zum Beispiel Datenschutz-Auditoren, CDPSE).
Zudem bieten wir Ihnen auch die Möglichkeit, einen Datenschutz-QuickCheck durchführen zu lassen. Hier können wir mit Interviews, aber auch durch Einsicht in Ihre Unterlagen und einer stichprobenhaften Kontrolle der Umsetzung der Anforderungen der DSGVO und das „Leben mit der DSGVO“ in Ihrem Unternehmen in der Praxis testen und Sie so bei der weiteren Umsetzung unterstützen beziehungsweise Ihnen ein „gutes Gefühl“ zu diesem ungeliebten, aber wichtigen Thema geben. Hierbei kann Ihr Datenschutzbeauftragter durch eine strukturierte Auflistung offener Punkte auch wichtige Impulse für den risikobasierten Kontrollplan und seine weitere Vorgehensweise erhalten.Ein positiver Nebeneffekt ergibt sich insoweit, als Sie unsere Dokumentationen dabei im Zuge der Rechenschaftspflicht auch als Nachweis der Selbstüberprüfung ihres Datenschutzmanagementsystems verwenden können.
