White Paper Datenschutzgrundverordnung (EU- DSGVO) · konformen Umsetzung der...

White Paper

Datenschutzgrundverordnung (EU- DSGVO)

Wesentlicher Inhalt und Umsetzung in der Arvato Systems Gruppe

White Paper – EU-DSGVO

Version: WP DSGVO 1.1 Juni 2019 Seite 2 von 12

Rechtlicher Hinweis Copyright © Arvato Systems GmbH, An der Autobahn 200, 33333 Gütersloh, Deutschland. Alle Rechte

vorbehalten.

Der Inhalt dieses Dokuments ist Eigentum von Arvato Systems. Es darf ohne schriftliche Genehmigung

von Arvato Systems weder ganz noch in Ausschnitten dupliziert, an Dritte weitergegeben oder veröf-

fentlicht werden.

Dieses Dokument hat rein informatorischen Charakter und stellt insbesondere keine Rechtsberatung

oder Rechtsinformation dar und erhebt keinen Anspruch auf Vollständigkeit aller Aspekte die zur rechts-

konformen Umsetzung der Datenschutzgrundverordnung erforderlich sind.



Inhaltsverzeichnis

1 EU-Datenschutz-Grundverordnung .................................................................................................... 4

1.1 Einführung ................................................................................................................................ 4

1.2 Grundsätzliches zur DSGVO ................................................................................................... 4

1.3 Wichtige Inhalte / Änderungen im Überblick ............................................................................ 5

1.3.1 Grundprinzipien / Verbot mit Erlaubnisvorbehalt ...................................................... 5

1.3.2 Marktortprinzip .......................................................................................................... 6

1.3.3 „One-Stop-Shop-Mechanismus“ ............................................................................... 6

1.3.4 Rechenschaftspflicht ................................................................................................. 6

1.3.5 Transparenzanforderungen ...................................................................................... 6

1.3.6 Informationspflichten ................................................................................................. 6

1.3.7 Auskunftsrechte der Betroffenen .............................................................................. 7

1.3.8 Datenportabilität ........................................................................................................ 7

1.3.9 Widerspruchsrecht .................................................................................................... 7

1.3.10 Kopplungsverbot & Zweckbindung ........................................................................... 7

1.3.11 „Datenschutz durch Technikgestaltung“ und „datenschutzfreundliche

Voreinstellung“ .......................................................................................................... 8

1.3.12 Meldung bei Datenschutzverstößen ......................................................................... 8

1.3.13 Recht auf „Vergessenwerden“ .................................................................................. 8

1.3.14 Profiling ..................................................................................................................... 8

1.3.15 Datenschutzfolgeabschätzung ................................................................................. 8

1.3.16 Datenschutzorganisation .......................................................................................... 8

1.3.17 Datensicherheit ......................................................................................................... 9

1.3.18 Verzeichnis von Verarbeitungstätigkeiten ................................................................ 9

1.3.19 Auftragsdatenverarbeitung ....................................................................................... 9

1.3.20 Zertifizierungen / Verhaltensregeln ........................................................................... 9

1.3.21 Datenschutzbeauftragter ........................................................................................ 10

1.3.22 Übermittlung in Drittländer, z.B. USA ..................................................................... 10

1.3.23 Europäischer Datenschutzausschuss / Kohärenzpflicht ........................................ 10

1.3.24 Verbandsklagerecht ................................................................................................ 10

1.3.25 Haftung ................................................................................................................... 10

2 Arvato Systems Gruppe und Umsetzung der DSGVO .................................................................... 11



1 EU-Datenschutz-Grundverordnung

1.1 Einführung

Dieses Dokument hat zum Ziel, die wesentlichen Neuerungen, die mit Inkrafttreten der EU-

Datenschutzgrundverordnung (DSGVO) auf Unternehmen zukommen, zu verdeutlichen und gleichzei-

tig die Umsetzung der gesetzlichen Datenschutzanforderungen innerhalb der Arvato Systems Gruppe

aufzuzeigen.

Arvato Systems ist seit vielen Jahren für Auftraggeber aus Branchen tätig, die maximale Anforderungen

an die Verwaltung und Verarbeitung ihren Daten stellen. Dies sind z. B. Kunden aus dem Energie-,

Bank-, Versicherungs- oder Gesundheitswesen, sowie aus den Bereichen Medien, Energiewirtschaft

und Handel / e-Commerce, die nach dem Bundesdatenschutzgesetz (BDSG) besondere Arten von per-

sonenbezogenen Daten verarbeiten oder eine Datenverarbeitung mit einer hohen Schutzstufe an Arvato

auslagern. Aufgrund der daraus resultierenden hohen Anforderungen an den Datenschutz war die Ar-

vato Systems Gruppe bereits vor der Geltung der Verordnung am 25.05.2018 gut vorbereitet. Gleich-

zeitig erkennen wir die Herausforderungen, die durch Neuerungen, teilweise auch aufgrund noch unsi-

cherer Rechtslage, auf alle verantwortlich Handelnden in den Unternehmen zugekommen sind, um das

hohe Gut der personenbezogenen Daten, der Privatsphäre auch mit Hilfe der aktuellen Technologien

im Sinne unserer Kunden bestmöglich zu schützen.

1.2 Grundsätzliches zur DSGVO

Mit der DSGVO trägt der europäische Gesetzgeber der Notwendigkeit Rechnung, in einer sich globali-

sierenden und digitalisierenden Welt innerhalb der Europäischen Mitgliedsstaaten eine einheitliche Da-

tenschutzgrundlage zu schaffen. Bislang national geltendes Datenschutzrecht - wie das BDSG - wurde

durch die neue EU-Verordnung in entscheidenden Bereichen ersetzt. Gleichzeitig enthält die DSGVO

sogenannte Öffnungsklauseln, die es den Mitgliedsstaaten gestattet, ergänzende oder abweichende

nationale Regelungen zu bestimmen.

Von der Öffnung der DSGVO hat der deutsche Gesetzgeber mit dem BDSG Neu nunmehr als erster

europäischer Mitgliedstaat im April 2017 mit dem Datenschutz-Anpassungs- und Umsetzungsgesetz

Gebrauch gemacht. Die Änderungen, die hierdurch gegenüber dem bisherigen BDSG und in Bezug auf

die DSGVO vorgenommen wurden, sind nur in einigen Teilen von wesentlicher Bedeutung für nicht-

öffentlichen Unternehmen (z. B. Zuständigkeiten der Datenschutzaufsicht, Scoring und Bonitätsaus-

künfte, § 31 BDSG (neu); Videoüberwachung, § 4 Abs. 2 BDSG (neu): auch Kontaktdaten sind erkenn-

bar zu machen). Auf Einzelheiten soll hier nicht eingegangen werden zumal das Zusammenspiel von

DSGVO und BDSG (neu) sowie anderer Spezialgesetze teilweise bereits jetzt umstritten ist und das

BDSG (neu) bereits in Teilen als europarechtswidrig bewertet wurde. In Bezug auf die konkreten, aus

der Debatte resultierenden Umsetzungsanforderungen bleibt es also zunächst ungewiss und spannend.

Weitere ergänzende nationale Regelungen in Deutschland und in anderen europäischen Mitgliedsstaa-

ten stehen zum Teil noch aus. Spezialgesetzliche Regelungen, wie zum Beispiel aus dem Sozialge-

setzbuch (SGB) und dem Telekommunikationsgesetz (TKG) gelten auch weiterhin. Als Folge müssen

daher stets die DSGVO als auch die diversen nationalen Gesetzgebungen gemeinsam betrachtet wer-

den, um den gesetzgeberischen Anforderungen Rechnung tragen zu können. Das führt dazu, dass sich

international handelnde Unternehmen auch weiterhin mit den Datenschutzbestimmungen der jeweiligen

EU-Länder auseinandersetzen werden müssen, wenn Sie ihre Waren und Dienstleistungen auf und für

diese Märkte anbieten. Es wird erwartet, dass die noch im Entwurfsstadium befindliche e-Privacy Ver-

ordnung ebenfalls Auswirkungen auf die Datenverarbeitung haben wird.



In Deutschland erhoffen sich die Unternehmen für die Umsetzung in ihrer Organisation, hinsichtlich der

an vielen Stellen mit unbestimmten Rechtsbegriffen agierenden DSGVO, weiterhin Richtungsweisung

durch die Aufsichtsbehörden der Länder.

Diese Hilfestellungen stellen zwar nur eine grundsätzliche Handlungsanleitung für die Umsetzung der

Anforderungen aus der DSGVO in die Unternehmenspraxis dar. Eine fundierte juristische Auseinander-

setzung über die Auslegung hat jedoch gerade erst begonnen und auch die Landesbeauftragten weisen

darauf hin, dass die verbindliche und einheitliche Auslegung der DSGVO allein durch den Europäischen

Datenschutzausschuss und die Gerichte erfolgt.

Das Zusammenspiel und Konkretisierungen der nationalen Aufsichtsbehörden in der Praxis sowie nati-

onale ergänzende Datenschutzgesetze fehlen zum Teil noch; die Umsetzung der DSGVO stellt an vie-

len Stellen selbst Experten vor große Fragen und die Unsicherheit vieler Unternehmen in Bezug auf die

für sie konkret zu ergreifenden Maßnahmen ist groß. Eines steht jedoch fest: Die Unternehmen, d.h. die

verantwortlichen Stellen, müssen sich mit den neuen Regelungen auseinandersetzen und bestehende

Verarbeitungen, Prozesse, Verträge mit Kunden und Lieferanten, überprüfen und gegebenenfalls an-

passen sowie Neuerungen einführen. Die neuen Bußgeldvorschriften der Artikel 82 – 84 der DSGVO

bilden hier einen nicht vernachlässigbaren Anreiz.

1.3 Wichtige Inhalte / Änderungen im Überblick

Die nachfolgenden Ausführungen geben einen Überblick über die wesentlichen Anforderungen der ins-

gesamt 99 Artikel der DSGVO zuzüglich ihrer Erwägungsgründe1:

1.3.1 Grundprinzipien / Verbot mit Erlaubnisvorbehalt

Die Datenschutzgrundprinzipien wie das grundsätzliche Verbot der Verarbeitung personenbezogener

Daten mit Erlaubnisvorbehalt und das Erfordernis der Datensparsamkeit und Datensicherheit sind be-

stehen geblieben. Die Dokumentationspflichten, die der verantwortlichen Stelle durch die DSGVO auf-

erlegt werden, sind gestiegen und die Betroffenenrechte wurden gestärkt (u.a. Recht auf „Vergessen-

werden“, Auskunftsrechte, datenschutzfreundliche Voreinstellung, Datenportabilität).

Das wesentliche Grundprinzip des Datenschutzes ist, dass jede Verarbeitung personenbezogener Da-

ten der Erlaubnis bedarf. Für die Erlaubnis kommen verschiedene Alternativen in Betracht: An erster

Stelle steht dabei die Erlaubnis der betroffenen Person selbst, die Einwilligung. Erlaubnistatbestände

können sich jedoch aus Normen der DSGVO sowie aus nationalen Regelungen ergeben. Besondere

Bedingungen an die Einwilligung von Kindern bestimmt Art. 8 DSGVO. Die Nachweispflicht für das Vor-

liegen der Einwilligung besteht beim Verantwortlichen, wobei dieser auch die übrigen Grundsätze wie

Transparenzgebot und Informationspflicht zu beachten hat. Die Einwilligung des Betroffenen stellt somit

eine freiwillige und unmissverständliche Willensbekundung des Betroffenen dar, der zuvor ausreichend

informiert wurde. Diese Information muss auch beinhalten, dass der Betroffene die Einwilligung jederzeit

mit Wirkung für die Zukunft widerrufen kann.

Die Rechtmäßigkeit der Verarbeitung kann aber auch in der Notwendigkeit zur Vertragserfüllung oder

vorvertraglichen Maßnahmen begründet sein - dann bedarf es keiner expliziten Einwilligung des Be-

troffenen.

Als besondere Erlaubnisnorm ist dabei Art 6 Abs. 1 lit. f. DSGVO mit der Ermöglichung der Datenverar-

beitung auf Grundlage einer Interessenabwägung zu nennen. Aus den Erwägungsgründen ergibt sich,

1 Bitte beachten Sie, dass die Ausführungen keine Rechtsberatung oder Rechtsinformation darstellen und keinen Anspruch auf Vollständigkeit erheben.



dass grundsätzlich auch Konzerninteressen in die Interessenabwägung einzubringen sind; allerdings

darf dieser Artikel nicht als generelles Konzernprivileg missverstanden werden.

Bei der Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. ethnische Herkunft, Re-

ligion, Gesundheit, biometrische Merkmale) sind besondere Anforderungen zu stellen (Art 9 DSGVO).

Besondere Einschränkungen gelten auch für die Daten über strafrechtliche Verurteilungen oder Straf-

taten.

Bestand zunächst eine rechtmäßige Datenverarbeitung, so ist eine begrenzte Weiterverarbeitungsbe-

fugnis dann möglich, wenn dies für kompatible Zwecke geschieht. Der Verantwortliche muss daher für

die Rechtmäßigkeit der Verarbeitung nachweisen können, dass die spätere Zweckbestimmung mit der

ursprünglichen kompatibel ist.

1.3.2 Marktortprinzip

Der Anwendungsbereich der DSGVO erstreckt sich auch auf außereuropäische Unternehmen, sofern

sie ihre Leistungen in der EU anbieten. Ein verantwortlicher Verarbeiter ohne eigene Niederlassung in

der EU, muss für Betroffene und Aufsichtsbehörden einen Vertreter in der EU als Anlaufstelle für diese

benennen. Damit sind erstmals auch außereuropäische Unternehmen und Verarbeiter (zum Beispiel

Public Cloud Anbieter wie Amazon, Salesforce, Facebook oder Microsoft) im Zugriff der EU Gesetzge-

bung und müssen für ihre Produkte und Lösungen die Anforderungen der DSGVO ebenfalls erfüllen.

1.3.3 „One-Stop-Shop-Mechanismus“

Bei grenzüberschreitender Datenverarbeitung eines Unternehmens in mehreren EU-Ländern ist nun-

mehr klar geregelt, dass ausschließlich die Aufsichtsbehörde am Sitz der EU-Hauptniederlassung zu-

ständig ist.

1.3.4 Rechenschaftspflicht

Die verantwortliche Stelle – in der Regel also das Unternehmen, welches die Daten erhoben hat und

entweder selbst verarbeitet oder verarbeiten lässt - ist für die Einhaltung der Datenschutzgrundsätze

bzw. relevanten Gesetze verantwortlich und muss deren Einhaltung nachweisen können. Insgesamt

wurden die Dokumentationsanforderungen im Rahmen der DSGVO erhöht. Die Dokumentations- und

Nachweispflichten sind umfassend und erfordern ein professionelles Datenschutz-Managementsystem.

1.3.5 Transparenzanforderungen

Informationen und Auskünfte sind dem Betroffenen schriftlich, in leicht verständlicher Sprache und in

der Regel unentgeltlich zur Verfügung zu stellen. Der Betroffene muss wissen können, wer welche Da-

ten zu welchen Zwecken über ihn verarbeitet. Die Anforderung nach Transparenz spiegelt sich demnach

in vielen Anforderungen wider und deckt die gesamte Kette des „Data Lifecycle“ ab – also von der

Erhebung über die Verarbeitung (inklusive sämtlicher Zwischenschritte, Subdienstleister oder Daten-

Broker) bis zur Archivierung und Löschung.

1.3.6 Informationspflichten

Der Betroffene ist umfassend darüber schriftlich oder in elektronischer Form zu informieren, wenn und

in welchem Umfang zu welchem Zweck personenbezogene Daten erhoben werden. Unterschieden wird

hierbei, ob die Datenerhebung beim Betroffenen oder nicht beim Betroffenen selbst erfolgt. Die Anfor-

derungen sind umfangreich und stellen in der Umsetzung eine Herausforderung dar, zumal die Infor-

mationen den Transparenzanforderungen (s.o.) entsprechen müssen. Auch im Beschäftigtenverhältnis

sollte ein besonderes Augenmerk bei der Vorbereitung auf die DSGVO liegen, um auch hier ausrei-

chende Informationen gegenüber dem Betroffenen zu dokumentieren.



1.3.7 Auskunftsrechte der Betroffenen

Der Betroffene hat das Recht, von dem Verantwortlichen eine Bestätigung zu verlangen, ob und in

welchem Umfang die von ihm bereitgestellten personenbezogenen Daten verarbeitet werden. Der Aus-

kunftsanspruch richtet sich u.a. auf die Kategorien der Daten, den Verarbeitungszweck, Empfänger und

Speicherdauer. Der beauskunftete Betroffene kann weiterhin ein Recht auf Berichtigung, Löschung,

Einschränkung oder auch sein Widerspruchsrecht hinsichtlich der Verarbeitung geltend machen. Zu

beachten ist, dass das Auskunftsrecht gem. Art. 15 DSGVO nach § 34 Abs. 1 Nr. 2 a) und b) BDSG

(neu) nicht besteht, wenn die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder

satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder ausschließlich Zwe-

cken der Datensicherung oder der Datenschutzkontrolle dienen und die Auskunftserteilung einen un-

verhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch ge-

eignete technische und organisatorische Maßnahmen ausgeschlossen ist.

1.3.8 Datenportabilität

Vom Betroffenen zur Verfügung gestellte Daten müssen vom Verantwortlichen auf Anforderung grund-

sätzlich in einem gängigen Format - welches eine direkte Übertragung von einem Verantwortlichen auf

einen anderen Verantwortlichen technisch ermöglich –übergeben werden können. Der Anspruch be-

schränkt sich auf Daten, die vom Betroffenen „bereitgestellt“ worden sind. Bei enger Auslegung wird

man darunter nur solche Daten fassen können, die aktiv und wissentlich vom Betroffenen zur Verfügung

gestellt wurden. Die Übermittlung an den Betroffenen oder einen neuen Verantwortlichen muss ohne

Behinderung und grundsätzlich unentgeltlich erfolgen. Bei dem Recht auf direkte Übermittlung von ei-

nem auf den neuen Verantwortlichen ist dieses gem. Art. 20 Abs. 2 DSGVO auf das technisch machbare

begrenzt.

1.3.9 Widerspruchsrecht

Sofern die Datenverarbeitung des Betroffenen aufgrund der Wahrnehmung öffentlichen Interesses oder

einer Interessenabwägung erfolgt, kann er Widerspruch gegen diese Verarbeitung einlegen. Ein aus-

drücklicher Hinweis auf das Widerspruchsrecht ist spätestens bei der ersten Kommunikation deutlich

und getrennt von anderen Informationen zu geben. Das Widerspruchsrecht bezieht sich auch auf Di-

rektwerbung.

1.3.10 Kopplungsverbot & Zweckbindung

Vertragliche Zusatzleistungen dürfen nicht daran geknüpft werden, dass die betroffene Person in die

Verarbeitung der Daten einwilligt. Art. 7 Abs. 4 DSGVO regelt, dass Einwilligungen nur dann gültig sind,

wenn die Erfüllung eines Vertrages unabhängig von der Einwilligung zu nicht für den Vertragszweck

notwendiger Verarbeitung ist. Zu beachten ist, dass neben einer Einwilligung auch eine Interessenab-

wägung nach Art 6 Abs. 1 f DSGVO Grundlage für die Zulässigkeit von Werbung sein kann. Eine solche

Sichtweise ermöglichen die Erwägungsgründe, die ausdrücklich erwähnen, dass die Verarbeitung per-

sonenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende

Verarbeitung betrachtet werden kann.

Eine besondere Herausforderung besteht auch hinsichtlich der dokumentierbaren Zweckbindung der

Datenverarbeitung nach der DSGVO bei sog. Big Data Anwendungen.



1.3.11 „Datenschutz durch Technikgestaltung“ und „datenschutzfreundliche Voreinstel-

lung“

Bereits im Rahmen der Produktentwicklung und –implementierung sind die Datenschutzprinzipien zu

berücksichtigen, so dass z. B. Datenvermeidung und –sparsamkeit, Zweckgebundenheit der Verarbei-

tung bereits hier Einfluss nehmen müssen. Standardeinstellungen in Systemen, Prozessen oder Web-

seiten sind so vorzunehmen, dass nur diejenigen Daten erhoben werden, die für den konkreten Zweck

benötigt werden („Privacy by design / Privacy by default“). Ziel des Gesetzgebers ist es dabei auch, die

Entwicklung neuer technologischer Gestaltungsmöglichkeiten anzutreiben.

1.3.12 Meldung bei Datenschutzverstößen

Die verantwortliche Stelle muss sämtliche Datenschutzverstöße, deren Auswirkungen sowie die Abhil-

femaßnahmen in nachvollziehbarer Weise dokumentieren. Je nachdem, welches Risiko der Daten-

schutzverstoß für die Rechte und Freiheiten natürlicher Personen darstellt, ergeben sich weitere Pflich-

ten. Bei unwahrscheinlichem Risiko für die Betroffenen besteht keine Meldepflicht. Wird ein Risiko be-

jaht, so sind Datenpannen innerhalb von 72 Stunden ab Kenntnis bei der Aufsichtsbehörde zu melden.

Besteht ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen, so muss auch

dieser benachrichtigt werden. Auch hier können jedoch Ausnahmen für die Benachrichtigung der Be-

troffenen gelten so z. B. wenn durch Vorhandensein geeigneter technischer und organisatorischer Si-

cherheitsvorkehrungen getroffen sind.).

1.3.13 Recht auf „Vergessenwerden“

Der Betroffene hat ein Recht auf Datenlöschung, sobald die Speicherung nicht (mehr) aus zwingenden

rechtlichen oder vertraglichen Gründen erforderlich ist. Verantwortliche, die personenbezogene Daten

öffentlich machen, müssen auch alle Dritten darüber informieren, dass der Betroffenen von ihnen die

Löschung aller Links bzw. Kopien / Replikationen verlangt hat. Gesetzliche Aufbewahrungsfristen sind

von dem Löschungsanspruch nicht berührt. Widerruft ein Betroffener seine Einwilligung und verlangt

die Löschung seiner Daten, stellt sich die Frage, ob auch der Nachweis der Einwilligung gelöscht werden

muss.

1.3.14 Profiling

Die Betroffenen haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhen-

den Entscheidung unterworfen zu werden, die rechtliche Wirkung entfaltet (z.B. beim Scoring), sofern

nicht eine dedizierte normierte Ausnahme gegeben ist.

1.3.15 Datenschutzfolgeabschätzung

Bei Verarbeitungsvorgängen, die wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natür-

licher Personen mit sich bringen, hat der Verantwortliche zukünftig eine Datenschutzfolgeabschätzung

zum Zweck der Evaluierung von Ursache, Art, Besonderheit und Schwere des Risikos der Verarbeitung,

vorzunehmen und vor Beginn der Verarbeitung zu dokumentieren. Die Aufsichtsbehörden können Po-

sitiv- und Negativlisten veröffentlichen, für welche Verfahren eine Folgeabschätzung durchzuführen ist.

Ggf. ist die Einführung der Verarbeitung im Vorfeld mit der Datenschutzbehörde abzustimmen.

1.3.16 Datenschutzorganisation

Art. 24 DSGVO nimmt Bezug auf die Organisationspflichten des Unternehmens im Sinne eines Plan-

Do-Check-Act Prozesses. Ein Datenschutzmanagement ist in der Unternehmensorganisation zu etab-

lieren. Die Kontrolle erfolgt durch vorhandene oder neu einzuführende Systeme (z.B. internes Kontroll-

system – IKS, Compliance-Organisation). Die externe Kontrolle erfolgt durch die Aufsichtsbehörde oder

durch Auditoren und auch durch die Betroffenen selbst (z. B. durch Auskunfts-/ Berichtigungsbegehren).



Dem Datenschutzbeauftragten obliegt vor allem unterstützende, beratende Funktion, da er im Rahmen

der Planung und risikoorientierten Überwachung mitwirkt.

1.3.17 Datensicherheit

Die Kategorisierung und Struktur der Anforderungen an die Pflicht zur Einhaltung angemessener tech-

nischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten ist abweichend zum

bisherigen BDSG, so dass die schon bestehenden sog. TOMs seitens der Unternehmen zu überprüfen

sind. Bei der Bestimmung der Sicherheitsmaßnahmen nach der DSGVO ist vor Beginn der Verarbeitung

der konkrete Schutzbedarf festzustellen, das Risiko zu bewerten und im Hinblick auf das Risiko eine

verhältnismäßige Maßnahme zu ergreifen und der dazu erforderliche Nachweis (Dokumentation) zu

erbringen. Abzustellen ist insbesondere auf Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit

der verarbeitenden Systeme. Wer hier – wie Arvato Systems - auf ein bereits etabliertes ISMS oder eine

vorhandene ISO 27001 Zertifizierung zurückgreifen kann, wird es bei der Umsetzung dieser Anforde-

rungen etwas leichter haben da Systematiken und Dokumentationen in der Regel bereits bekannt und

angelegt sind.

1.3.18 Verzeichnis von Verarbeitungstätigkeiten

Die DSGVO sieht entgegen den bisherigen Anforderungen aus dem BDSG kein öffentliches Verfah-

rensverzeichnis vor. Allerdings ist ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen, das der

Aufsichtsbehörde auf Anforderung vorgelegt werden muss. Art. 30 DSGVO führt gegenüber dem bisher

bekannten Verfahrensverzeichnis neue Anforderungen hinsichtlich des Verzeichnisses auf. Darüber

hinaus besteht nun auch die Pflicht für den Auftragsverarbeiter, ein Verzeichnis über die von ihm durch-

geführten Verarbeitungstätigkeiten zu führen.

1.3.19 Auftragsdatenverarbeitung

Aus dem bisherigen „Auftragsdatenverarbeiter“ wird nach der DSGVO schlicht der Auftragsverarbeiter.

Auch bislang waren zwischen Verantwortlicher Stelle und Auftragsverarbeiter Verträge zur Regelung

der Datenverarbeitung notwendig. Künftig müssen diese jedoch nicht mehr schriftlich abgefasst werden,

sondern ein elektronisches Format ist ausreichend. Es genügt also die Textform (z.B. per click oder per

eSigning, der von Arvato Systems mittels Einsatz des Tools DocuSign® präferierten Variante). Neben

dieser Erleichterung der Formvorschrift, erfordern die Änderungen der DSGVO und des BDSG (neu)

jedoch Vertragsanpassungen (z. B. Meldung bei Datenpannen, Datenportabilität, Erteilung und Doku-

mentation von Weisungen).

Bei der vertraglichen Übertragung der Datenverarbeitung darf die verantwortliche Stelle gem. Art. 28

Abs.1 DSGVO diese nur von solchen Auftragsverarbeitern vornehmen lassen, die ausreichend „Garan-

tien“ dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden.

Diese „Garantien“ können auch durch Zertifizierungen oder genehmigte Verhaltensregeln nachgewie-

sen werden. Da die Haftungsregelungen auch einen Verschuldensmaßstab anerkennen, sind diese Ga-

rantien im Rechtssinne wohl auch eher als „Gewährleistungen“ zu verstehen, an die Sorgfaltspflichten

geknüpft sind.

1.3.20 Zertifizierungen / Verhaltensregeln

Verbände können Regeln für branchenspezifische Datenverarbeitungen aufstellen und von den Auf-

sichtsbehörden freigeben lassen, so dass Zertifizierungen durch die DSGVO gefördert werden. Derzeit

sind noch keine entsprechenden Freigaben bekannt.



1.3.21 Datenschutzbeauftragter

Nach der DSGVO ist ein betrieblicher Datenschutzbeauftragter nur für Unternehmen zu benennen, de-

ren Kerngeschäft die Datenverarbeitung ist, die besondere Risiken für Betroffene bergen. Diese Anfor-

derung ist für einige EU Staaten neu. Gem. Art. 37 Abs. 2 DSGVO ist die Ernennung eines Konzernda-

tenschutzbeauftragten möglich; die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen

und der Aufsichtsbehörde mitzuteilen.

In Deutschland gab es bereits vor der DSGVO die Bestellpflicht für Datenschutzbeauftragte gem. § 4f

Abs. 1 S. 4 BDSG. Der bundesdeutsche Gesetzgeber hat von der durch Art 34 Abs. 4 DSGVO beste-

henden Möglichkeit einer nationalen Regelung mit § 38 BDSG (neu) Gebrauch gemacht. Im Vergleich

zur alten Regelung bleibt es für Unternehmen bei der Pflicht zur Benennung ab 10 Personen, die ständig

mit der automatisierten Datenverarbeitung beschäftig sind. Unabhängig von der Anzahl der mit der Ver-

arbeitung beschäftigten Personen ist ein Datenschutzbeauftragter zu benennen, sofern der Verantwort-

liche oder der Auftragsverarbeiter Verarbeitungen vornimmt, die einer Datenschutz-Folgeabschätzung

unterliegen.

1.3.22 Übermittlung in Drittländer, z.B. USA

Bei der Übermittlung zur Verarbeitung in Drittländer sind insbesondere die Art 44 ff. DSGVO und Art.

28 DSGVO zu beachten. Die Übermittlung personenbezogener Daten in Drittländer (also insbesondere

in Länder außerhalb der EU) ist dann möglich, sofern dort ein „angemessenes Schutzniveau“ geboten

wird. Der internationale Datentransfer nach der DSGVO ist abzusichern durch Angemessenheitsbe-

schlüsse der Kommission, verbindliche unternehmensinterne Datenschutzvorschriften (Corporate Bin-

ding Rules) oder Standarddatenschutzklauseln (z.B. in ADV Verträgen oder EU Model Clauses oder

auch individuelle Vertragsklauseln). In Ermangelung neuer, seitens der EU-Kommission vorgegebener

Model Clauses, werden die bisher verwendete EU Model Clauses weiterhin von Bedeutung für die Un-

ternehmen bleiben. Wichtige Ausnahmefälle, in welchen eine Übermittlung auch ohne Angemessen-

heitsbeschluss oder ausreichende Garantien beim Empfänger möglich sind, sind z.B. die der ausdrück-

lichen Einwilligung des Betroffenen oder aufgrund gesetzlicher Erlaubnistatbestände (z.B. bei Fluggast-

daten).

1.3.23 Europäischer Datenschutzausschuss / Kohärenzpflicht

Die Mitgliedsstaaten haben unabhängige Aufsichtsbehörden einzurichten, die jedoch zur einheitlichen

Anwendung der DSGVO mit der EU-Kommission kooperieren müssen. Aus den nationalen Behörden

wird jeweils ein Vertreter im „Europäischen Datenschutzausschuss“ bestimmt. Nach § 17 BDSG (neu)

ist dies die oder der Bundesbeauftragte. Die DSGVO enthält wesentliche Vorschriften zur Zusammen-

arbeit und Abstimmung der nationalen Aufsichtsbehörden und bei grenzüberschreitenden Sachverhal-

ten, die der einheitlichen Anwendung der DSGVO dienen sollen.

1.3.24 Verbandsklagerecht

Neu ist, dass auch Verbraucherschutzverbände Verfahren wegen der Verletzung von Datenschutzvor-

schriften einleiten können. Die sind dabei auch zur Geltendmachung von Schadensersatzansprüchen

Betroffener befugt, wenn sie von diesen damit beauftragt wurden. Insbesondere bei der Verarbeitung

von B2C Daten wird also der Kreis der klageberechtigten erweitert.

1.3.25 Haftung

Neben dem Verantwortlichen haftet dem Betroffenen gegenüber gleichermaßen auch der Auftragsver-

arbeiter (aber jeder lediglich im Rahmen seiner vertraglich geschuldeten Aufgaben- und Verantwor-

tungssphäre) auf Schadensersatz. Dabei können Unternehmen dem Betroffenen gegenüber auch zum



Ersatz immateriellen Schadens verpflichtet sein. Wie bereits erwähnt, ist neben dieser gesamtschuld-

nerischen, erweiterten Haftung von Verantwortlicher Stelle und Auftragsverarbeiter, auch die Höhe der

Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Gesamtumsatzes der Unter-

nehmensgruppe, geändert worden.

2 Arvato Systems Gruppe und Umsetzung der DSGVO

Wie haben sich die Unternehmen der Arvato Systems Gruppe auf die Umsetzung der DSGVO vorbe-

reitet?

Als ausgewiesener IT-Experte im Bertelsmann-Konzern haben wir uns bereits frühzeitig in einer Kon-

zernarbeitsgruppe engagiert, die sich umfassend mit der Datenschutzgrundverordnung beschäftigt. Da-

tenschutz-Experten der verschiedenen Bertelsmann-Divisionen tauschen sich hier intensiv aus, bilden

sich auf Fachtagungen fort und sorgen so für einen aktuellen und übergreifenden Wissensstand rund

um die DSGVO. Und dieses Wissen war und ist die Basis für ganz konkrete Maßnahmen.

So wurde bereits Anfang 2017 eine neue Bertelsmann-Vorstandsrichtlinie zum Datenschutz verabschie-

det, die klar auf die DSGVO abgestimmt ist. Wesentliche Vertragsdokumente – zum Beispiel rund um

die Auftragsdatenverarbeitung - wurden entsprechend angepasst. Zusätzlich haben wir die Vorausset-

zungen dafür geschaffen, dass künftig notwendige Verfahren konzernweit onlinegestützt eingeführt wer-

den. Ob Verarbeitungsverzeichnisse oder Datenschutzberichte – wir nutzen Synergien und verringern

den vorhandenen Komplexitätsgrad für Dokumentationspflichten.

Heute ist Arvato Systems im Hinblick auf Datenschutzfragestellungen sehr gut aufgestellt. Notwendige

neue Maßnahmen rund um die DSGVO konnten sehr häufig in bereits bestehende Prozesse und Do-

kumentationen integriert werden. Einige Beispiele:

- Arvato Systems nutzt schon lange ein Information Security Management Management System

(ISMS), das sich aus der ISO/IEC 27001 ableitet.

- Der Betrieb unserer Rechenzentren in Gütersloh und Leipzig ist nach ISO/IEC 27001 zertifiziert.

Beide Rechenzentren betreiben interne Kontrollsysteme, die durch die KPMG im Rahmen eines

ISAE 3402 Reports Type II auditiert werden.

- Der Meldeprozess des Security Incident Management ist schon seit langer Zeit etabliert und

wurde um die Anforderungen der DSGVO erweitert.

- Unser bereits vorhandenes elektronisches Dokumenten-Management-System dient als Basis

für vertragliche Dokumentationspflichten.

- Arvato Systems setzt gruppenweit auf E-Signing. Dadurch wird die Digitalisierung von Verträ-

gen und die Belastbarkeit des Dokumentenmanagements deutlich ausgeweitet.

- Insgesamt sind Interne-Kontroll-Systeme (IKS) bei Arvato Systems bereits lange Standard und

als Schlüssel für eine risikobewusste Unternehmensführung etabliert. Die entsprechenden Pro-

zesse orientieren sich an „Plan-Do-Act-Check“ Zyklen.

Um unsere Fachbereiche bestmöglich zu unterstützen, haben wir uns zudem personell verstärkt, unsere

hauseigene Datenschutzkompetenz kontinuierlich ausgebaut und unsere Datenschutzverantwortlichen

durch die GDD für die DSGVO zertifizieren lassen. Nachdem wir anfangs die Expertise externer Spezi-

alisten, beispielsweise für ausführliche Gap-Analysen, genutzt haben, um durch eine zusätzliche Sicht

auf Prozesse weitere wertvollen Erkenntnisse zu erlangen, arbeiten wir mittlerweile im Datenschutz-

Management in einem kontinuierlichen PDCA-Zyklus. Das passiert natürlich stets gemeinsam mit den

Verantwortlichen der entsprechenden Fachbereiche und mit tatkräftiger Unterstützung der Geschäfts-

leitung.



Kontinuierlicher Aufbau von Know-how, intensive Zusammenarbeit mit Experten bei speziellen Fragen,

umfängliche Beschäftigung mit vielfältigen Aspekten der DSGVO sowohl im Konzernkontext als auch

bei Arvato Systems selbst sowie klare Umsetzungskompetenz sind unsere Stärken. Unsere Erfahrun-

gen und unser Wissen setzen wir täglich für das eigene Unternehmen ein. All das zeichnet unser Team

aus.

White Paper Datenschutzgrundverordnung (EU- DSGVO) · konformen Umsetzung der...

Documents

Transcript of White Paper Datenschutzgrundverordnung (EU- DSGVO) · konformen Umsetzung der...