Wenn es in diesen schwierigen Tagen um Prozesse und Datenschutz in Unternehmen geht, gerade solche mit vielen Prozessen und in großen Unternehmensgruppen, stellen diese fest: das ist nicht so einfach, die Prozesse anzupassen und soweit möglich umzustellen. Es muss aber leider sein. Die Auftragsverarbeitungsverträge (AV Verträge) mit Partnern müssen überprüft werden, ggfs. sind sie seit 05/2018 oftmals nicht mehr DSGVO-konform und es drohen sehr hohe Haftungsrisiken, die nach Art. 83 DSGVO je nach Verstoss von 2 % bis zu 4 % der weltweiten Umsatze der Unernehmensgruppe betragen köennen. Es ist daher trotz der Schwerfälligkeit der Behörden keine gute Idee, diese Risiken tatenlos einzugehen – es gilt die altbewährte Regel: die Behörden sind zwar langsam, aber wenn sie dann auf den Plan gerufen sind, können sie ggfs. recht gründich sein aufgrund der hoheitlichen erweiterten Eingriffs- und Nachschaubefugnisse, die nun seit 2018 im Datenschutzrecht den Aufsichtsbehörden nach der DSGVO zuerkannt worden sind. Im Zweifel greift auch keine Versicherung bei grobfahrlässiger Vernachlässigung von Pflichten zum Datenschutzmanaement nach den Art. 5, 24, 26, 28, 30, 32 DSGVO und den daraus sich ergebennden Pflichten, die prozesse im Hinblick auf den Datenschutz vorher zu prüfen, anzupassen, datenschutzfreundlich zu gestalten und das zu dokumentieren… Ferner gibt es die seit 2018 neue Rechtsfigur der sog. gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO, die Auftragsverarbeitungsverträge zwischen den gemeinsam Verantwortlichen Partnern ausschliesst. Auch hier sind Verträge in vielen Unternehmensgruppen oder Partnerschaften anzupassen.
Wenn Sie als Unternehmen nur Auftragsverarbeitungsverträge haben obwohl teilweise richtigerweise gemeinsame Verarbeitungen vorliegen und daher Vereinbarungen nach Art. 26 DSGVO anstatt von AVs erforderlich sind oder ggfs. nicht ausreichende Datenschutzvereinbarungen mit Ihren Partnern geschlossen haben, sollten diese überprüft werden und gibt es Handlungsbedarf, wenn das nicht richtig passt. Dann kann es sein, dass dringender Handlungsbedarf besteht, weil die falschen Verträge geschlossen wurden und die Prozesse falsch bewertet worden sind, das ist dann dringend zu ändern (wegen der Höhe der Haftung). Das sollte dann besser anwaltlich abgeklärt und nachgebessssert werden. Denn: In einigen Fällen handelt es sich nach den Kriterien von Art. 4 i.V.m. Art. 26 DSGVO bei der Verarbeitung von Nutzer- oder Kudnendaten bzw. Mitarbeiterdaten (jedenfalls personenbezogenen Daten), um eine gemeinsame Verantwortlichkeit, auch wenn Sie keinen Zugriff auf die Nutzer- oder Kundendaten haben – dazu gab es in 20. Das iste ein häufiger Irrtum – so die eindeutige Rechtssprechung des EUGH in den Verfahren daß diese nicht die nach Art. 26 DSGVO erforderlichen Voraussetzungen erfüllen. D. h. dann Uups – statt einer Kooperationsvereinbarung bzw. „joint controller agreement“ nach Art. 26 DSAGVO nur einen Auftragsverarbeitungsvertrag (AV Vertrag) nach Art. 28 DSGVO abgeschlossen oder nur irgendwelche unzureichende Datenschutzvereinbarungen geschlossen? Das bereitet einigen Unternehmen massive Probleme haftungsrechtlicher Art, sei es im Verhältnis zu Partnern, Kunden oder Mitarbeitern oder bei Beschwerden oder Schadenersatzklagen nach Art. 82 DSGVO auch aufgrund deren Klagen für die Unternehmen. …. Denn das alte Bundesdatenschutzgesetz (BDSG) in der alten vor dem Mai 2018 geltenden Fassung kannte die Rechtsfigur der gemeinsamen Verantwortlichkeit in Deutschland nicht. Daher gab es hier andere vertragliche und datenschutzrechtliche Konzepte. Nunmehr poppt immer mehr auf, dass aufgrund der Art- 26 DSGVO i.V.m. Art. 6, 24 DSGVO in allen Fällen, in denen gem. Art. 4 DSGVO jemand gemeinsam Verantwortlicher ist mit Partnern, eine solche Regelung nach Art.26 DSGVO schliessen muß und das auch den Betroffenen im Wesentlichen in den Datenschutzhinweisen offenlegen muss, insbesondere damit der weiss, wer für welche Datenverarbeitungen bei dieser Kooperation zuständig ist. Das ist für die Unternehmen ungewohnt, wird nun aber zunehmend viel Aufwand bei der Umstellung von Prozessen in Anspruch.
Die Prozesse sind hier komplex und daher kann ich hier in dem Blogbeitrag keine Standardlösungen aufzeigen. Soweit die Aufsichtsbehörden meinen, dass aufgrund des Wegfalls des US-Privacy Shields als Rechtfertigung für die Übermittlung an US-Dienstleister dies „zeitnah“ so der EDSA und die DSK umzusetzen seien – was immer das heisst, wird es eine kurze Umsetzungsfrist geben, deren Dauer unklar ist. Wenige Wochen oder Monate wird das abdecken. Viele Unternehmen können nicht alle Dienste sofort umstellen, sondern es gibt Dienste, die zumutbar nicht kurzfristig verzichtbar sind und deren Umstellung auf andere Anbieter Zeit braucht. Es wird dazu gerichtliche Streitigkeiten geben, ob und wie lange das erforderlich war… und wer nichts gemacht hat und diese Umstände nicht darlegen kann, dass er sich bemüht hat, dem werden sehr hohe Abmahnstrafen/Vertragsstrafen/Rufschaden und/ oder Bussgelder der Datenschutzaufsichtsbehörden nach Art. 83 DSGVO in Höhe von bis zu 4 % der Umsätze der Unternehmensgruppe drohen, je nach Art und Schwere der Verstösse und / oder Schäden der Betroffenen, und dies ins Risikokalkül aufzunehmen haben. Schadenersatzansprüche haben nach Art. 82 DSGVO aktuell in der Rechtssprechung ebenfalls stark aufsteigende Tendenz, weil dies nach Art. 82 DSGVO gemessen an dem bisherigen Datenschutzrecht auch gar nicht mehr von den Richtern vertretbar wäre. Entsprechend gab es bereits Urteile, die allein für die unzureichende Auskunft entgegen Art. 15 DSGVO 5000 Euro Schadeneresatz zuerkannt haben (ArbG Düsseldorf) und sind weitere Verfahren bei verschiedenen deutschen Amts- und Landgerichten anhägig, in denen sich ähnliches abzeichnet. Es ist also nur eine Frage der Zeit, dass hier Schadenersatzklagen wegen ihrer Masse und ggfs. auch ihrer Höhe ernst zu nehmen sind. Dabei werden Director & Officers Versicherungen nicht eintreten, wenn grob fahrlässiges Verhalten vorliegt. Das ist der Fall, wenn Pflichten der DSGVO nach Art..24 DSGVO verletzt worden sind, d.h. falsche Verträge ohne ordnungsgemäßes Datenschutzmanagement geschlossen werden, die Prozesse nicht richtig in Verarbeitungsverzeichnissen nach Art. 30 DSGVO angeschaut und laufend aktualisiert worden sind und nicht nach Art. 24 DSGVO je nach Risiko die angemessenen Massnahmen organisiert worden sind. Je nach Lage sind dann zur Qualifizierung der Prozesse erforderlich, ob Datenschutzkonzepte, Löschungskonzepte, Auftragsverarbeitungsverträge nach Art- 29 DSGVP oder Joint-controller-agreements nach Art. 26 DSGVO erforderlich sind bei Einschaltung von Dienstleistern mit den jeweils dort vorgeschriebenen Regelungen.
Kategorien
Datenschutz in Unternehmen: Viel zu tun wegen der DSGVO – Tipps für KMU
