Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
White Paper
Datenschutzgrundverordnung (EU- DSGVO)
Wesentlicher Inhalt und Umsetzung in der Arvato Systems Gruppe
White Paper – EU-DSGVO
Version: WP DSGVO 1.1 Juni 2019 Seite 2 von 12
Rechtlicher Hinweis Copyright © Arvato Systems GmbH, An der Autobahn 200, 33333 Gütersloh, Deutschland. Alle Rechte
vorbehalten.
Der Inhalt dieses Dokuments ist Eigentum von Arvato Systems. Es darf ohne schriftliche Genehmigung
von Arvato Systems weder ganz noch in Ausschnitten dupliziert, an Dritte weitergegeben oder veröf-
fentlicht werden.
Dieses Dokument hat rein informatorischen Charakter und stellt insbesondere keine Rechtsberatung
oder Rechtsinformation dar und erhebt keinen Anspruch auf Vollständigkeit aller Aspekte die zur rechts-
konformen Umsetzung der Datenschutzgrundverordnung erforderlich sind.
White Paper – EU-DSGVO
Version: WP DSGVO 1.1 Juni 2019 Seite 3 von 12
Inhaltsverzeichnis
1 EU-Datenschutz-Grundverordnung .................................................................................................... 4
1.1 Einführung ................................................................................................................................ 4
1.2 Grundsätzliches zur DSGVO ................................................................................................... 4
1.3 Wichtige Inhalte / Änderungen im Überblick ............................................................................ 5
1.3.1 Grundprinzipien / Verbot mit Erlaubnisvorbehalt ...................................................... 5
1.3.2 Marktortprinzip .......................................................................................................... 6
1.3.3 „One-Stop-Shop-Mechanismus“ ............................................................................... 6
1.3.4 Rechenschaftspflicht ................................................................................................. 6
1.3.5 Transparenzanforderungen ...................................................................................... 6
1.3.6 Informationspflichten ................................................................................................. 6
1.3.7 Auskunftsrechte der Betroffenen .............................................................................. 7
1.3.8 Datenportabilität ........................................................................................................ 7
1.3.9 Widerspruchsrecht .................................................................................................... 7
1.3.10 Kopplungsverbot & Zweckbindung ........................................................................... 7
1.3.11 „Datenschutz durch Technikgestaltung“ und „datenschutzfreundliche
Voreinstellung“ .......................................................................................................... 8
1.3.12 Meldung bei Datenschutzverstößen ......................................................................... 8
1.3.13 Recht auf „Vergessenwerden“ .................................................................................. 8
1.3.14 Profiling ..................................................................................................................... 8
1.3.15 Datenschutzfolgeabschätzung ................................................................................. 8
1.3.16 Datenschutzorganisation .......................................................................................... 8
1.3.17 Datensicherheit ......................................................................................................... 9
1.3.18 Verzeichnis von Verarbeitungstätigkeiten ................................................................ 9
1.3.19 Auftragsdatenverarbeitung ....................................................................................... 9
1.3.20 Zertifizierungen / Verhaltensregeln ........................................................................... 9
1.3.21 Datenschutzbeauftragter ........................................................................................ 10
1.3.22 Übermittlung in Drittländer, z.B. USA ..................................................................... 10
1.3.23 Europäischer Datenschutzausschuss / Kohärenzpflicht ........................................ 10
1.3.24 Verbandsklagerecht ................................................................................................ 10
1.3.25 Haftung ................................................................................................................... 10
2 Arvato Systems Gruppe und Umsetzung der DSGVO .................................................................... 11
White Paper – EU-DSGVO
Version: WP DSGVO 1.1 Juni 2019 Seite 4 von 12
1 EU-Datenschutz-Grundverordnung
1.1 Einführung
Dieses Dokument hat zum Ziel, die wesentlichen Neuerungen, die mit Inkrafttreten der EU-
Datenschutzgrundverordnung (DSGVO) auf Unternehmen zukommen, zu verdeutlichen und gleichzei-
tig die Umsetzung der gesetzlichen Datenschutzanforderungen innerhalb der Arvato Systems Gruppe
aufzuzeigen.
Arvato Systems ist seit vielen Jahren für Auftraggeber aus Branchen tätig, die maximale Anforderungen
an die Verwaltung und Verarbeitung ihren Daten stellen. Dies sind z. B. Kunden aus dem Energie-,
Bank-, Versicherungs- oder Gesundheitswesen, sowie aus den Bereichen Medien, Energiewirtschaft
und Handel / e-Commerce, die nach dem Bundesdatenschutzgesetz (BDSG) besondere Arten von per-
sonenbezogenen Daten verarbeiten oder eine Datenverarbeitung mit einer hohen Schutzstufe an Arvato
auslagern. Aufgrund der daraus resultierenden hohen Anforderungen an den Datenschutz war die Ar-
vato Systems Gruppe bereits vor der Geltung der Verordnung am 25.05.2018 gut vorbereitet. Gleich-
zeitig erkennen wir die Herausforderungen, die durch Neuerungen, teilweise auch aufgrund noch unsi-
cherer Rechtslage, auf alle verantwortlich Handelnden in den Unternehmen zugekommen sind, um das
hohe Gut der personenbezogenen Daten, der Privatsphäre auch mit Hilfe der aktuellen Technologien
im Sinne unserer Kunden bestmöglich zu schützen.
1.2 Grundsätzliches zur DSGVO
Mit der DSGVO trägt der europäische Gesetzgeber der Notwendigkeit Rechnung, in einer sich globali-
sierenden und digitalisierenden Welt innerhalb der Europäischen Mitgliedsstaaten eine einheitliche Da-
tenschutzgrundlage zu schaffen. Bislang national geltendes Datenschutzrecht - wie das BDSG - wurde
durch die neue EU-Verordnung in entscheidenden Bereichen ersetzt. Gleichzeitig enthält die DSGVO
sogenannte Öffnungsklauseln, die es den Mitgliedsstaaten gestattet, ergänzende oder abweichende
nationale Regelungen zu bestimmen.
Von der Öffnung der DSGVO hat der deutsche Gesetzgeber mit dem BDSG Neu nunmehr als erster
europäischer Mitgliedstaat im April 2017 mit dem Datenschutz-Anpassungs- und Umsetzungsgesetz
Gebrauch gemacht. Die Änderungen, die hierdurch gegenüber dem bisherigen BDSG und in Bezug auf
die DSGVO vorgenommen wurden, sind nur in einigen Teilen von wesentlicher Bedeutung für nicht-
öffentlichen Unternehmen (z. B. Zuständigkeiten der Datenschutzaufsicht, Scoring und Bonitätsaus-
künfte, § 31 BDSG (neu); Videoüberwachung, § 4 Abs. 2 BDSG (neu): auch Kontaktdaten sind erkenn-
bar zu machen). Auf Einzelheiten soll hier nicht eingegangen werden zumal das Zusammenspiel von
DSGVO und BDSG (neu) sowie anderer Spezialgesetze teilweise bereits jetzt umstritten ist und das
BDSG (neu) bereits in Teilen als europarechtswidrig bewertet wurde. In Bezug auf die konkreten, aus
der Debatte resultierenden Umsetzungsanforderungen bleibt es also zunächst ungewiss und spannend.
Weitere ergänzende nationale Regelungen in Deutschland und in anderen europäischen Mitgliedsstaa-
ten stehen zum Teil noch aus. Spezialgesetzliche Regelungen, wie zum Beispiel aus dem Sozialge-
setzbuch (SGB) und dem Telekommunikationsgesetz (TKG) gelten auch weiterhin. Als Folge müssen
daher stets die DSGVO als auch die diversen nationalen Gesetzgebungen gemeinsam betrachtet wer-
den, um den gesetzgeberischen Anforderungen Rechnung tragen zu können. Das führt dazu, dass sich
international handelnde Unternehmen auch weiterhin mit den Datenschutzbestimmungen der jeweiligen
EU-Länder auseinandersetzen werden müssen, wenn Sie ihre Waren und Dienstleistungen auf und für
diese Märkte anbieten. Es wird erwartet, dass die noch im Entwurfsstadium befindliche e-Privacy Ver-
ordnung ebenfalls Auswirkungen auf die Datenverarbeitung haben wird.
White Paper – EU-DSGVO
Version: WP DSGVO 1.1 Juni 2019 Seite 5 von 12
In Deutschland erhoffen sich die Unternehmen für die Umsetzung in ihrer Organisation, hinsichtlich der
an vielen Stellen mit unbestimmten Rechtsbegriffen agierenden DSGVO, weiterhin Richtungsweisung
durch die Aufsichtsbehörden der Länder.
Diese Hilfestellungen stellen zwar nur eine grundsätzliche Handlungsanleitung für die Umsetzung der
Anforderungen aus der DSGVO in die Unternehmenspraxis dar. Eine fundierte juristische Auseinander-
setzung über die Auslegung hat jedoch gerade erst begonnen und auch die Landesbeauftragten weisen
darauf hin, dass die verbindliche und einheitliche Auslegung der DSGVO allein durch den Europäischen
Datenschutzausschuss und die Gerichte erfolgt.
Das Zusammenspiel und Konkretisierungen der nationalen Aufsichtsbehörden in der Praxis sowie nati-
onale ergänzende Datenschutzgesetze fehlen zum Teil noch; die Umsetzung der DSGVO stellt an vie-
len Stellen selbst Experten vor große Fragen und die Unsicherheit vieler Unternehmen in Bezug auf die
für sie konkret zu ergreifenden Maßnahmen ist groß. Eines steht jedoch fest: Die Unternehmen, d.h. die
verantwortlichen Stellen, müssen sich mit den neuen Regelungen auseinandersetzen und bestehende
Verarbeitungen, Prozesse, Verträge mit Kunden und Lieferanten, überprüfen und gegebenenfalls an-
passen sowie Neuerungen einführen. Die neuen Bußgeldvorschriften der Artikel 82 – 84 der DSGVO
bilden hier einen nicht vernachlässigbaren Anreiz.
1.3 Wichtige Inhalte / Änderungen im Überblick
Die nachfolgenden Ausführungen geben einen Überblick über die wesentlichen Anforderungen der ins-
gesamt 99 Artikel der DSGVO zuzüglich ihrer Erwägungsgründe1:
1.3.1 Grundprinzipien / Verbot mit Erlaubnisvorbehalt
Die Datenschutzgrundprinzipien wie das grundsätzliche Verbot der Verarbeitung personenbezogener
Daten mit Erlaubnisvorbehalt und das Erfordernis der Datensparsamkeit und Datensicherheit sind be-
stehen geblieben. Die Dokumentationspflichten, die der verantwortlichen Stelle durch die DSGVO auf-
erlegt werden, sind gestiegen und die Betroffenenrechte wurden gestärkt (u.a. Recht auf „Vergessen-
werden“, Auskunftsrechte, datenschutzfreundliche Voreinstellung, Datenportabilität).
Das wesentliche Grundprinzip des Datenschutzes ist, dass jede Verarbeitung personenbezogener Da-
ten der Erlaubnis bedarf. Für die Erlaubnis kommen verschiedene Alternativen in Betracht: An erster
Stelle steht dabei die Erlaubnis der betroffenen Person selbst, die Einwilligung. Erlaubnistatbestände
können sich jedoch aus Normen der DSGVO sowie aus nationalen Regelungen ergeben. Besondere
Bedingungen an die Einwilligung von Kindern bestimmt Art. 8 DSGVO. Die Nachweispflicht für das Vor-
liegen der Einwilligung besteht beim Verantwortlichen, wobei dieser auch die übrigen Grundsätze wie
Transparenzgebot und Informationspflicht zu beachten hat. Die Einwilligung des Betroffenen stellt somit
eine freiwillige und unmissverständliche Willensbekundung des Betroffenen dar, der zuvor ausreichend
informiert wurde. Diese Information muss auch beinhalten, dass der Betroffene die Einwilligung jederzeit
mit Wirkung für die Zukunft widerrufen kann.
Die Rechtmäßigkeit der Verarbeitung kann aber auch in der Notwendigkeit zur Vertragserfüllung oder
vorvertraglichen Maßnahmen begründet sein - dann bedarf es keiner expliziten Einwilligung des Be-
troffenen.
Als besondere Erlaubnisnorm ist dabei Art 6 Abs. 1 lit. f. DSGVO mit der Ermöglichung der Datenverar-
beitung auf Grundlage einer Interessenabwägung zu nennen. Aus den Erwägungsgründen ergibt sich,
1 Bitte beachten Sie, dass die Ausführungen keine Rechtsberatung oder Rechtsinformation darstellen und keinen Anspruch auf Vollständigkeit erheben.
White Paper – EU-DSGVO
Version: WP DSGVO 1.1 Juni 2019 Seite 6 von 12
dass grundsätzlich auch Konzerninteressen in die Interessenabwägung einzubringen sind; allerdings
darf dieser Artikel nicht als generelles Konzernprivileg missverstanden werden.
Bei der Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. ethnische Herkunft, Re-
ligion, Gesundheit, biometrische Merkmale) sind besondere Anforderungen zu stellen (Art 9 DSGVO).
Besondere Einschränkungen gelten auch für die Daten über strafrechtliche Verurteilungen oder Straf-
taten.
Bestand zunächst eine rechtmäßige Datenverarbeitung, so ist eine begrenzte Weiterverarbeitungsbe-
fugnis dann möglich, wenn dies für kompatible Zwecke geschieht. Der Verantwortliche muss daher für
die Rechtmäßigkeit der Verarbeitung nachweisen können, dass die spätere Zweckbestimmung mit der
ursprünglichen kompatibel ist.
1.3.2 Marktortprinzip
Der Anwendungsbereich der DSGVO erstreckt sich auch auf außereuropäische Unternehmen, sofern
sie ihre Leistungen in der EU anbieten. Ein verantwortlicher Verarbeiter ohne eigene Niederlassung in
der EU, muss für Betroffene und Aufsichtsbehörden einen Vertreter in der EU als Anlaufstelle für diese
benennen. Damit sind erstmals auch außereuropäische Unternehmen und Verarbeiter (zum Beispiel
Public Cloud Anbieter wie Amazon, Salesforce, Facebook oder Microsoft) im Zugriff der EU Gesetzge-
bung und müssen für ihre Produkte und Lösungen die Anforderungen der DSGVO ebenfalls erfüllen.
1.3.3 „One-Stop-Shop-Mechanismus“
Bei grenzüberschreitender Datenverarbeitung eines Unternehmens in mehreren EU-Ländern ist nun-
mehr klar geregelt, dass ausschließlich die Aufsichtsbehörde am Sitz der EU-Hauptniederlassung zu-
ständig ist.
1.3.4 Rechenschaftspflicht
Die verantwortliche Stelle – in der Regel also das Unternehmen, welches die Daten erhoben hat und
entweder selbst verarbeitet oder verarbeiten lässt - ist für die Einhaltung der Datenschutzgrundsätze
bzw. relevanten Gesetze verantwortlich und muss deren Einhaltung nachweisen können. Insgesamt
wurden die Dokumentationsanforderungen im Rahmen der DSGVO erhöht. Die Dokumentations- und
Nachweispflichten sind umfassend und erfordern ein professionelles Datenschutz-Managementsystem.
1.3.5 Transparenzanforderungen
Informationen und Auskünfte sind dem Betroffenen schriftlich, in leicht verständlicher Sprache und in
der Regel unentgeltlich zur Verfügung zu stellen. Der Betroffene muss wissen können, wer welche Da-
ten zu welchen Zwecken über ihn verarbeitet. Die Anforderung nach Transparenz spiegelt sich demnach
in vielen Anforderungen wider und deckt die gesamte Kette des „Data Lifecycle“ ab – also von der
Erhebung über die Verarbeitung (inklusive sämtlicher Zwischenschritte, Subdienstleister oder Daten-
Broker) bis zur Archivierung und Löschung.
1.3.6 Informationspflichten
Der Betroffene ist umfassend darüber schriftlich oder in elektronischer Form zu informieren, wenn und
in welchem Umfang zu welchem Zweck personenbezogene Daten erhoben werden. Unterschieden wird
hierbei, ob die Datenerhebung beim Betroffenen oder nicht beim Betroffenen selbst erfolgt. Die Anfor-
derungen sind umfangreich und stellen in der Umsetzung eine Herausforderung dar, zumal die Infor-
mationen den Transparenzanforderungen (s.o.) entsprechen müssen. Auch im Beschäftigtenverhältnis
sollte ein besonderes Augenmerk bei der Vorbereitung auf die DSGVO liegen, um auch hier ausrei-
chende Informationen gegenüber dem Betroffenen zu dokumentieren.
White Paper – EU-DSGVO
Version: WP DSGVO 1.1 Juni 2019 Seite 7 von 12
1.3.7 Auskunftsrechte der Betroffenen
Der Betroffene hat das Recht, von dem Verantwortlichen eine Bestätigung zu verlangen, ob und in
welchem Umfang die von ihm bereitgestellten personenbezogenen Daten verarbeitet werden. Der Aus-
kunftsanspruch richtet sich u.a. auf die Kategorien der Daten, den Verarbeitungszweck, Empfänger und
Speicherdauer. Der beauskunftete Betroffene kann weiterhin ein Recht auf Berichtigung, Löschung,
Einschränkung oder auch sein Widerspruchsrecht hinsichtlich der Verarbeitung geltend machen. Zu
beachten ist, dass das Auskunftsrecht gem. Art. 15 DSGVO nach § 34 Abs. 1 Nr. 2 a) und b) BDSG
(neu) nicht besteht, wenn die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder
satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder ausschließlich Zwe-
cken der Datensicherung oder der Datenschutzkontrolle dienen und die Auskunftserteilung einen un-
verhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch ge-
eignete technische und organisatorische Maßnahmen ausgeschlossen ist.
1.3.8 Datenportabilität
Vom Betroffenen zur Verfügung gestellte Daten müssen vom Verantwortlichen auf Anforderung grund-
sätzlich in einem gängigen Format - welches eine direkte Übertragung von einem Verantwortlichen auf
einen anderen Verantwortlichen technisch ermöglich –übergeben werden können. Der Anspruch be-
schränkt sich auf Daten, die vom Betroffenen „bereitgestellt“ worden sind. Bei enger Auslegung wird
man darunter nur solche Daten fassen können, die aktiv und wissentlich vom Betroffenen zur Verfügung
gestellt wurden. Die Übermittlung an den Betroffenen oder einen neuen Verantwortlichen muss ohne
Behinderung und grundsätzlich unentgeltlich erfolgen. Bei dem Recht auf direkte Übermittlung von ei-
nem auf den neuen Verantwortlichen ist dieses gem. Art. 20 Abs. 2 DSGVO auf das technisch machbare
begrenzt.
1.3.9 Widerspruchsrecht
Sofern die Datenverarbeitung des Betroffenen aufgrund der Wahrnehmung öffentlichen Interesses oder
einer Interessenabwägung erfolgt, kann er Widerspruch gegen diese Verarbeitung einlegen. Ein aus-
drücklicher Hinweis auf das Widerspruchsrecht ist spätestens bei der ersten Kommunikation deutlich
und getrennt von anderen Informationen zu geben. Das Widerspruchsrecht bezieht sich auch auf Di-
rektwerbung.
1.3.10 Kopplungsverbot & Zweckbindung
Vertragliche Zusatzleistungen dürfen nicht daran geknüpft werden, dass die betroffene Person in die
Verarbeitung der Daten einwilligt. Art. 7 Abs. 4 DSGVO regelt, dass Einwilligungen nur dann gültig sind,
wenn die Erfüllung eines Vertrages unabhängig von der Einwilligung zu nicht für den Vertragszweck
notwendiger Verarbeitung ist. Zu beachten ist, dass neben einer Einwilligung auch eine Interessenab-
wägung nach Art 6 Abs. 1 f DSGVO Grundlage für die Zulässigkeit von Werbung sein kann. Eine solche
Sichtweise ermöglichen die Erwägungsgründe, die ausdrücklich erwähnen, dass die Verarbeitung per-
sonenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende
Verarbeitung betrachtet werden kann.
Eine besondere Herausforderung besteht auch hinsichtlich der dokumentierbaren Zweckbindung der
Datenverarbeitung nach der DSGVO bei sog. Big Data Anwendungen.
White Paper – EU-DSGVO
Version: WP DSGVO 1.1 Juni 2019 Seite 8 von 12
1.3.11 „Datenschutz durch Technikgestaltung“ und „datenschutzfreundliche Voreinstel-
lung“
Bereits im Rahmen der Produktentwicklung und –implementierung sind die Datenschutzprinzipien zu
berücksichtigen, so dass z. B. Datenvermeidung und –sparsamkeit, Zweckgebundenheit der Verarbei-
tung bereits hier Einfluss nehmen müssen. Standardeinstellungen in Systemen, Prozessen oder Web-
seiten sind so vorzunehmen, dass nur diejenigen Daten erhoben werden, die für den konkreten Zweck
benötigt werden („Privacy by design / Privacy by default“). Ziel des Gesetzgebers ist es dabei auch, die
Entwicklung neuer technologischer Gestaltungsmöglichkeiten anzutreiben.
1.3.12 Meldung bei Datenschutzverstößen
Die verantwortliche Stelle muss sämtliche Datenschutzverstöße, deren Auswirkungen sowie die Abhil-
femaßnahmen in nachvollziehbarer Weise dokumentieren. Je nachdem, welches Risiko der Daten-
schutzverstoß für die Rechte und Freiheiten natürlicher Personen darstellt, ergeben sich weitere Pflich-
ten. Bei unwahrscheinlichem Risiko für die Betroffenen besteht keine Meldepflicht. Wird ein Risiko be-
jaht, so sind Datenpannen innerhalb von 72 Stunden ab Kenntnis bei der Aufsichtsbehörde zu melden.
Besteht ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen, so muss auch
dieser benachrichtigt werden. Auch hier können jedoch Ausnahmen für die Benachrichtigung der Be-
troffenen gelten so z. B. wenn durch Vorhandensein geeigneter technischer und organisatorischer Si-
cherheitsvorkehrungen getroffen sind.).
1.3.13 Recht auf „Vergessenwerden“
Der Betroffene hat ein Recht auf Datenlöschung, sobald die Speicherung nicht (mehr) aus zwingenden
rechtlichen oder vertraglichen Gründen erforderlich ist. Verantwortliche, die personenbezogene Daten
öffentlich machen, müssen auch alle Dritten darüber informieren, dass der Betroffenen von ihnen die
Löschung aller Links bzw. Kopien / Replikationen verlangt hat. Gesetzliche Aufbewahrungsfristen sind
von dem Löschungsanspruch nicht berührt. Widerruft ein Betroffener seine Einwilligung und verlangt
die Löschung seiner Daten, stellt sich die Frage, ob auch der Nachweis der Einwilligung gelöscht werden
muss.
1.3.14 Profiling
Die Betroffenen haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhen-
den Entscheidung unterworfen zu werden, die rechtliche Wirkung entfaltet (z.B. beim Scoring), sofern
nicht eine dedizierte normierte Ausnahme gegeben ist.
1.3.15 Datenschutzfolgeabschätzung
Bei Verarbeitungsvorgängen, die wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natür-
licher Personen mit sich bringen, hat der Verantwortliche zukünftig eine Datenschutzfolgeabschätzung
zum Zweck der Evaluierung von Ursache, Art, Besonderheit und Schwere des Risikos der Verarbeitung,
vorzunehmen und vor Beginn der Verarbeitung zu dokumentieren. Die Aufsichtsbehörden können Po-
sitiv- und Negativlisten veröffentlichen, für welche Verfahren eine Folgeabschätzung durchzuführen ist.
Ggf. ist die Einführung der Verarbeitung im Vorfeld mit der Datenschutzbehörde abzustimmen.
1.3.16 Datenschutzorganisation
Art. 24 DSGVO nimmt Bezug auf die Organisationspflichten des Unternehmens im Sinne eines Plan-
Do-Check-Act Prozesses. Ein Datenschutzmanagement ist in der Unternehmensorganisation zu etab-
lieren. Die Kontrolle erfolgt durch vorhandene oder neu einzuführende Systeme (z.B. internes Kontroll-
system – IKS, Compliance-Organisation). Die externe Kontrolle erfolgt durch die Aufsichtsbehörde oder
durch Auditoren und auch durch die Betroffenen selbst (z. B. durch Auskunfts-/ Berichtigungsbegehren).
White Paper – EU-DSGVO
Version: WP DSGVO 1.1 Juni 2019 Seite 9 von 12
Dem Datenschutzbeauftragten obliegt vor allem unterstützende, beratende Funktion, da er im Rahmen
der Planung und risikoorientierten Überwachung mitwirkt.
1.3.17 Datensicherheit
Die Kategorisierung und Struktur der Anforderungen an die Pflicht zur Einhaltung angemessener tech-
nischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten ist abweichend zum
bisherigen BDSG, so dass die schon bestehenden sog. TOMs seitens der Unternehmen zu überprüfen
sind. Bei der Bestimmung der Sicherheitsmaßnahmen nach der DSGVO ist vor Beginn der Verarbeitung
der konkrete Schutzbedarf festzustellen, das Risiko zu bewerten und im Hinblick auf das Risiko eine
verhältnismäßige Maßnahme zu ergreifen und der dazu erforderliche Nachweis (Dokumentation) zu
erbringen. Abzustellen ist insbesondere auf Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit
der verarbeitenden Systeme. Wer hier – wie Arvato Systems - auf ein bereits etabliertes ISMS oder eine
vorhandene ISO 27001 Zertifizierung zurückgreifen kann, wird es bei der Umsetzung dieser Anforde-
rungen etwas leichter haben da Systematiken und Dokumentationen in der Regel bereits bekannt und
angelegt sind.
1.3.18 Verzeichnis von Verarbeitungstätigkeiten
Die DSGVO sieht entgegen den bisherigen Anforderungen aus dem BDSG kein öffentliches Verfah-
rensverzeichnis vor. Allerdings ist ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen, das der
Aufsichtsbehörde auf Anforderung vorgelegt werden muss. Art. 30 DSGVO führt gegenüber dem bisher
bekannten Verfahrensverzeichnis neue Anforderungen hinsichtlich des Verzeichnisses auf. Darüber
hinaus besteht nun auch die Pflicht für den Auftragsverarbeiter, ein Verzeichnis über die von ihm durch-
geführten Verarbeitungstätigkeiten zu führen.
1.3.19 Auftragsdatenverarbeitung
Aus dem bisherigen „Auftragsdatenverarbeiter“ wird nach der DSGVO schlicht der Auftragsverarbeiter.
Auch bislang waren zwischen Verantwortlicher Stelle und Auftragsverarbeiter Verträge zur Regelung
der Datenverarbeitung notwendig. Künftig müssen diese jedoch nicht mehr schriftlich abgefasst werden,
sondern ein elektronisches Format ist ausreichend. Es genügt also die Textform (z.B. per click oder per
eSigning, der von Arvato Systems mittels Einsatz des Tools DocuSign® präferierten Variante). Neben
dieser Erleichterung der Formvorschrift, erfordern die Änderungen der DSGVO und des BDSG (neu)
jedoch Vertragsanpassungen (z. B. Meldung bei Datenpannen, Datenportabilität, Erteilung und Doku-
mentation von Weisungen).
Bei der vertraglichen Übertragung der Datenverarbeitung darf die verantwortliche Stelle gem. Art. 28
Abs.1 DSGVO diese nur von solchen Auftragsverarbeitern vornehmen lassen, die ausreichend „Garan-
tien“ dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden.
Diese „Garantien“ können auch durch Zertifizierungen oder genehmigte Verhaltensregeln nachgewie-
sen werden. Da die Haftungsregelungen auch einen Verschuldensmaßstab anerkennen, sind diese Ga-
rantien im Rechtssinne wohl auch eher als „Gewährleistungen“ zu verstehen, an die Sorgfaltspflichten
geknüpft sind.
1.3.20 Zertifizierungen / Verhaltensregeln
Verbände können Regeln für branchenspezifische Datenverarbeitungen aufstellen und von den Auf-
sichtsbehörden freigeben lassen, so dass Zertifizierungen durch die DSGVO gefördert werden. Derzeit
sind noch keine entsprechenden Freigaben bekannt.
White Paper – EU-DSGVO
Version: WP DSGVO 1.1 Juni 2019 Seite 10 von 12
1.3.21 Datenschutzbeauftragter
Nach der DSGVO ist ein betrieblicher Datenschutzbeauftragter nur für Unternehmen zu benennen, de-
ren Kerngeschäft die Datenverarbeitung ist, die besondere Risiken für Betroffene bergen. Diese Anfor-
derung ist für einige EU Staaten neu. Gem. Art. 37 Abs. 2 DSGVO ist die Ernennung eines Konzernda-
tenschutzbeauftragten möglich; die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen
und der Aufsichtsbehörde mitzuteilen.
In Deutschland gab es bereits vor der DSGVO die Bestellpflicht für Datenschutzbeauftragte gem. § 4f
Abs. 1 S. 4 BDSG. Der bundesdeutsche Gesetzgeber hat von der durch Art 34 Abs. 4 DSGVO beste-
henden Möglichkeit einer nationalen Regelung mit § 38 BDSG (neu) Gebrauch gemacht. Im Vergleich
zur alten Regelung bleibt es für Unternehmen bei der Pflicht zur Benennung ab 10 Personen, die ständig
mit der automatisierten Datenverarbeitung beschäftig sind. Unabhängig von der Anzahl der mit der Ver-
arbeitung beschäftigten Personen ist ein Datenschutzbeauftragter zu benennen, sofern der Verantwort-
liche oder der Auftragsverarbeiter Verarbeitungen vornimmt, die einer Datenschutz-Folgeabschätzung
unterliegen.
1.3.22 Übermittlung in Drittländer, z.B. USA
Bei der Übermittlung zur Verarbeitung in Drittländer sind insbesondere die Art 44 ff. DSGVO und Art.
28 DSGVO zu beachten. Die Übermittlung personenbezogener Daten in Drittländer (also insbesondere
in Länder außerhalb der EU) ist dann möglich, sofern dort ein „angemessenes Schutzniveau“ geboten
wird. Der internationale Datentransfer nach der DSGVO ist abzusichern durch Angemessenheitsbe-
schlüsse der Kommission, verbindliche unternehmensinterne Datenschutzvorschriften (Corporate Bin-
ding Rules) oder Standarddatenschutzklauseln (z.B. in ADV Verträgen oder EU Model Clauses oder
auch individuelle Vertragsklauseln). In Ermangelung neuer, seitens der EU-Kommission vorgegebener
Model Clauses, werden die bisher verwendete EU Model Clauses weiterhin von Bedeutung für die Un-
ternehmen bleiben. Wichtige Ausnahmefälle, in welchen eine Übermittlung auch ohne Angemessen-
heitsbeschluss oder ausreichende Garantien beim Empfänger möglich sind, sind z.B. die der ausdrück-
lichen Einwilligung des Betroffenen oder aufgrund gesetzlicher Erlaubnistatbestände (z.B. bei Fluggast-
daten).
1.3.23 Europäischer Datenschutzausschuss / Kohärenzpflicht
Die Mitgliedsstaaten haben unabhängige Aufsichtsbehörden einzurichten, die jedoch zur einheitlichen
Anwendung der DSGVO mit der EU-Kommission kooperieren müssen. Aus den nationalen Behörden
wird jeweils ein Vertreter im „Europäischen Datenschutzausschuss“ bestimmt. Nach § 17 BDSG (neu)
ist dies die oder der Bundesbeauftragte. Die DSGVO enthält wesentliche Vorschriften zur Zusammen-
arbeit und Abstimmung der nationalen Aufsichtsbehörden und bei grenzüberschreitenden Sachverhal-
ten, die der einheitlichen Anwendung der DSGVO dienen sollen.
1.3.24 Verbandsklagerecht
Neu ist, dass auch Verbraucherschutzverbände Verfahren wegen der Verletzung von Datenschutzvor-
schriften einleiten können. Die sind dabei auch zur Geltendmachung von Schadensersatzansprüchen
Betroffener befugt, wenn sie von diesen damit beauftragt wurden. Insbesondere bei der Verarbeitung
von B2C Daten wird also der Kreis der klageberechtigten erweitert.
1.3.25 Haftung
Neben dem Verantwortlichen haftet dem Betroffenen gegenüber gleichermaßen auch der Auftragsver-
arbeiter (aber jeder lediglich im Rahmen seiner vertraglich geschuldeten Aufgaben- und Verantwor-
tungssphäre) auf Schadensersatz. Dabei können Unternehmen dem Betroffenen gegenüber auch zum
White Paper – EU-DSGVO
Version: WP DSGVO 1.1 Juni 2019 Seite 11 von 12
Ersatz immateriellen Schadens verpflichtet sein. Wie bereits erwähnt, ist neben dieser gesamtschuld-
nerischen, erweiterten Haftung von Verantwortlicher Stelle und Auftragsverarbeiter, auch die Höhe der
Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Gesamtumsatzes der Unter-
nehmensgruppe, geändert worden.
2 Arvato Systems Gruppe und Umsetzung der DSGVO
Wie haben sich die Unternehmen der Arvato Systems Gruppe auf die Umsetzung der DSGVO vorbe-
reitet?
Als ausgewiesener IT-Experte im Bertelsmann-Konzern haben wir uns bereits frühzeitig in einer Kon-
zernarbeitsgruppe engagiert, die sich umfassend mit der Datenschutzgrundverordnung beschäftigt. Da-
tenschutz-Experten der verschiedenen Bertelsmann-Divisionen tauschen sich hier intensiv aus, bilden
sich auf Fachtagungen fort und sorgen so für einen aktuellen und übergreifenden Wissensstand rund
um die DSGVO. Und dieses Wissen war und ist die Basis für ganz konkrete Maßnahmen.
So wurde bereits Anfang 2017 eine neue Bertelsmann-Vorstandsrichtlinie zum Datenschutz verabschie-
det, die klar auf die DSGVO abgestimmt ist. Wesentliche Vertragsdokumente – zum Beispiel rund um
die Auftragsdatenverarbeitung - wurden entsprechend angepasst. Zusätzlich haben wir die Vorausset-
zungen dafür geschaffen, dass künftig notwendige Verfahren konzernweit onlinegestützt eingeführt wer-
den. Ob Verarbeitungsverzeichnisse oder Datenschutzberichte – wir nutzen Synergien und verringern
den vorhandenen Komplexitätsgrad für Dokumentationspflichten.
Heute ist Arvato Systems im Hinblick auf Datenschutzfragestellungen sehr gut aufgestellt. Notwendige
neue Maßnahmen rund um die DSGVO konnten sehr häufig in bereits bestehende Prozesse und Do-
kumentationen integriert werden. Einige Beispiele:
- Arvato Systems nutzt schon lange ein Information Security Management Management System
(ISMS), das sich aus der ISO/IEC 27001 ableitet.
- Der Betrieb unserer Rechenzentren in Gütersloh und Leipzig ist nach ISO/IEC 27001 zertifiziert.
Beide Rechenzentren betreiben interne Kontrollsysteme, die durch die KPMG im Rahmen eines
ISAE 3402 Reports Type II auditiert werden.
- Der Meldeprozess des Security Incident Management ist schon seit langer Zeit etabliert und
wurde um die Anforderungen der DSGVO erweitert.
- Unser bereits vorhandenes elektronisches Dokumenten-Management-System dient als Basis
für vertragliche Dokumentationspflichten.
- Arvato Systems setzt gruppenweit auf E-Signing. Dadurch wird die Digitalisierung von Verträ-
gen und die Belastbarkeit des Dokumentenmanagements deutlich ausgeweitet.
- Insgesamt sind Interne-Kontroll-Systeme (IKS) bei Arvato Systems bereits lange Standard und
als Schlüssel für eine risikobewusste Unternehmensführung etabliert. Die entsprechenden Pro-
zesse orientieren sich an „Plan-Do-Act-Check“ Zyklen.
Um unsere Fachbereiche bestmöglich zu unterstützen, haben wir uns zudem personell verstärkt, unsere
hauseigene Datenschutzkompetenz kontinuierlich ausgebaut und unsere Datenschutzverantwortlichen
durch die GDD für die DSGVO zertifizieren lassen. Nachdem wir anfangs die Expertise externer Spezi-
alisten, beispielsweise für ausführliche Gap-Analysen, genutzt haben, um durch eine zusätzliche Sicht
auf Prozesse weitere wertvollen Erkenntnisse zu erlangen, arbeiten wir mittlerweile im Datenschutz-
Management in einem kontinuierlichen PDCA-Zyklus. Das passiert natürlich stets gemeinsam mit den
Verantwortlichen der entsprechenden Fachbereiche und mit tatkräftiger Unterstützung der Geschäfts-
leitung.
White Paper – EU-DSGVO
Version: WP DSGVO 1.1 Juni 2019 Seite 12 von 12
Kontinuierlicher Aufbau von Know-how, intensive Zusammenarbeit mit Experten bei speziellen Fragen,
umfängliche Beschäftigung mit vielfältigen Aspekten der DSGVO sowohl im Konzernkontext als auch
bei Arvato Systems selbst sowie klare Umsetzungskompetenz sind unsere Stärken. Unsere Erfahrun-
gen und unser Wissen setzen wir täglich für das eigene Unternehmen ein. All das zeichnet unser Team
aus.