05 Juni 2017 Daniel Rink 35 Minuten Lesezeit
Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen in unterschiedlichsten Normen ein sog. Datenschutzmanagementsystem (DMS) einzuführen. Nicht zuletzt, da die Unternehmen nach Art. 5 Abs. 2 DSGVO einer umfassenden Nachweispflicht (sog. accountability) nachkommen müssen.
Letztlich handelt es sich hierbei um nichts anderes, als ein Set von Dokumenten, die das Unternehmen pflegen und sich hiernach aufstellen muss. Der folgende Artikel gibt Ihnen einen kurzen Überblick, über die Notwendigen Dokumente und handelt sich um eine erste Grundlage, wie der Datenschutz organisiert werden könnte.
Wir sprechen im Folgenden von Leitlinien, Richtlinien und Prozessen und lehnen uns an die gängige Aufbauweise von Risikomanagement Instrumenten. Wenn Sie in Ihrem Unternehmen eine gänzlich andere Herangehensweise haben (z.B. agile Methoden), zusammenzuarbeiten, so können Sie diese Hinweise selbstverständlich nur als Inspiration verwenden und entsprechend anpassen.
Richtlinie klingt zwar sehr förmlich, sollte in jedem Fall auch alle wesentliche Punkte enthalten, denken Sie jedoch daran, dass Adressat und Leser Ihre Mitarbeiter sind. Schreiben Sie diese so, dass sie gut aufgenommen werden können. Wenn Sie sich beispielsweise dutzen, so behalten Sie dies unbedingt bei. Vermeiden Sie unbedingt eine Sprache, die nicht auf den Adressaten abgestimmt ist, sonst bleiben Ihre Dokumente ein „zahnloser Tiger“.
Übrigens: Ein Datenschutzmanagementsystem ist geeignet, unter Umständen den Fahrlässigkeitsvorwurf entfallen zu lassen. Jedenfalls soll es von der Datenschutzbehörde bußgeldmindernd berücksichtigt werden.
Zunächst einmal ist eine Datenschutzlinie ein gutes Instrument, um Aussenstehende über Ihre Aktivititäten und Ihr Selbstverständnis in diesem Bereich zu informieren. Die Leitlinie soll die allgemeinen Ziele, die durch Richtlinien konkretisiert werden, festlegen, zu denen Sie sich bekennen.
Auf der anderen Seite ist diese Richtlinie geeignet, in einem ersten Schritt ihren umfangreichen Nachweispflichten, welche die Datenschutz-Grundverordnung vorschreibt, nachzukommen. Nach Art. 5 Abs. 2 DSGVO müssen Sie nicht nur sicherstellen, dass sie die Vorgaben der Datenschutzgrundverordnung einhalten, sondern dies jederzeit nachweisen können.
Für den Aufbau einer effektiven Datenschutzorganisation unter der Datenschutz-Grundverordnung ist es erforderlich ein Verzeichnis sämtlicher Verarbeitungstätigkeiten zu erstellen, bei denen personenbezogene Daten verarbeitet werden. Damit müssen Sie sich die Frage stellen, wo werden personenbezogene Daten wie z.B.:
Als sinnvoll erachtet sich ein Vorgehen, wie es auch für den Aufbau eines Informationssicherheitsmanagementsystems (ISMS) ist: sie listen zunächst einmal die von Ihnen verwendete Software mit den entsprechenden Systemen auf. Im ersten Durchlauf werden Sie keine vollständige Liste erstellen können. Diese kann im Nachgang aber jederzeit erweitert werden.
Das Verzeichnis ist nicht nur für die eigene Organisation sinnvoll, sondern vorgeschrieben. Nach Art. 30 DSGVO ist der Verantwortliche verpflichtet, dieses Verzeichnis zu führen. In diesem Verzeichnis sind die wesentlichen Informationen zur Datenverarbeitungstätigkeiten zusammenzufassen. Hierbei müssen Angaben zum Zweck der Verarbeitung, sowie eine Beschreibung der Kategorien der personenbezogenen Daten aufgenommen werden.
Wenn Sie in Ihrem Unternehmen bereits heute Verarbeitungsverzeichnisse nach dem BDSG vorhalten, so sind keine großen Änderungen notwendig.
Legen Sie außerdem in einer Richtlinie fest, wie das Verzeichnis effektiv gepflegt werden soll. Wir erleben häufig, dass die Verzeichnisse zwar einmal erstellt wurden, danach aber nie wieder angefasst worden sind. Auch hier überlegen Sie sich, wie sie die Pflege sinnvoll in ihre Unternehmensabläufe integrieren können. Haben Sie z.B. bereits eine Übersicht ihrer Prozesse oder ein Informationssicherheitsmanagementsystem (ISMS), in dem sämtliche Prozesse abgebildet sind, so kann es sinnvoll sein, diese nur um die weiteren Informationen zu erweitern.
Denken Sie daran, dass eine Vielzahl von Sachverhalten vor der Erhebung von personenbezogenen Daten Informationspflichten auslösen (z.B. Anmeldung zum Newsletter, bei Abschluss eines Vertrages), dessen Erstellung, Aktualisierung und Überprüfung über diese Richtlinie gesteuert werden sollte.
In dieser Richtlinie organisieren Sie Ihren Datenschutz.
Hierzu gehört es, dass sie definieren, wann einzelne Mitarbeiter oder Abteilungen Ihren Datenschutzbeauftragten miteinbeziehen können oder auch müssen. Genauso ist es möglich, dass Sie sog. Datenschutz-Koordinatoren in Ihrem Unternehmen haben, welche der erste Anlaufpunkt sein sollen. Ebenso ist zu regeln, wie die Datenschützer im Rahmen eines Konzerns zusammenarbeiten sollen.
Der Datenschutzbeauftragte hat als sog. „organisatorische Maßnahmen“ nach Art. 39 DSGVO die Aufgabe, Mitarbeiter auf die entworfenen Richtlinien und Prozesse im Unternehmen hinzuweisen und über die Pflichten, die sich aus der DSGVO ergeben, aufzuklären.
Definieren Sie, wie Sie diese „Maßnahme“ durchführen wollen. Klassisch ist auf jeden Fall eine Präsenz-Schulung, Plakate etc. aber auch Webinare oder gestreute Informationen im Unternehmen sind geeignet diese Pflicht zu erfüllen. Sie sollten jedoch vermeiden, diese Durchführung unkontrolliert durchzuführen. Denken Sie hierbei an die Nachweis-Pflicht. Insoweit erscheint eine festgelegte Maßnahmen Strategie sinnvoll.
Zwar fällt die ausdrückliche Verpflichtung auf das Datengeheimnis weg, allerdings sollten Sie die Ihre Mitarbeiter auch weiterhin im Rahmen ihrer organisatorischen Maßnahmen aufklären und verpflichten und das Verfahren in einer Richtlinie regeln.
Denken Sie daran, dass Adressat und damit Leser dieser Richtlinie Ihre Mitarbeiter sind.
Wir empfehlen Ihnen immer wieder praxisnahe Beispiele in die Beschreibungen einzufügen. Z.B. ist die Einbeziehung eines Datenschutzbeauftragten immer erforderlich, wenn neue Software eingeführt werden soll, neue Dienstleister beauftragt werden sollen oder Werbemaßnahmen (z.B. Google Adwords, Newsletter) verwendet werden sollen.
Werden personenbezogene Daten durch Ihr Unternehmen durch einen Dritten verarbeitet, so gelten an die sog. Auftragsverarbeitung besondere Anforderungen, die sich zum Teil mit der Datenschutzgrundverordnung ändern werden.
Für eine gute Übersicht und dem entsprechenden Nachweis empfehlen wir Ihnen, alle eingesetzten Dienstleister in einer Liste zusammenzufassen. Anhand dieser Liste kann der Datenschutzbeauftragte prüfen,
In der Richtlinie sollten Sie den „on-boarding“ Prozess für Dienstleister definieren. Es empfiehlt sich ebenfalls entsprechende Vertragsentwürfe vorzuhalten.
In bestimmten Konstellationen, nämlich nach Art. 35 DSGVO wenn eine Form der Verarbeitung wahrscheinlich ein hohes Risiko für personenbezogene Daten verursacht, insbesondere bei neuen Technologien oder aufgrund ihres Wesens, ihres Umfangs, ihres Kontexts oder ihrer Zwecke eine Datenschutz-Folgenabschätzung vor der Verarbeitung durchzuführen.
Hierbei sollen die Aufsichtsbehörden Listen von Verarbeitungsvorgängen zu erstellen, bei denen typischerweise Folgenabschätzungen vorgeschrieben sind, bzw. gerade nicht vorgeschrieben sind.
Je nach Art des Unternehmens sollten Sie eine eigenständige Richtlinie verfassen, wann geprüft werden muss, ob eine DFA durchzuführen ist und wann nicht. Wenn Ihr Fokus nicht die massenhafte Verarbeitung von personenbezogenen Daten ist, so erscheint es sinnvoll, einen Prozess in der Richtlinie zur Datenschutzorganisation im Rahmen der Einführung von neuen Verarbeitungstätigkeiten aufzunehmen.
Die betroffenen Personen haben durch die Datenschutzgrundverordnung weitere Rechte erhalten. Da die Rechte unverzüglich erfüllt werden müssen, sind entsprechende Prozesse in Ihrem Unternehmen zu etablieren.
Die betroffenen Personen haben:
Sie merken sicherlich: diese teilweise sehr umfangreichen Rechte können nur dann erfüllt werden, wenn die Hausaufgabe „Verarbeitungsverzeichnis“ erledigt wurde.
Legen Sie in dieser Richtlinie das genaue Verfahren fest, wie reagiert werden soll. Wie in welcher Frist sollen die Anfragen bearbeitet werden. Wer ist zuständig für derartige Anfragen? Wie kann z.B. beauskunftet werden? Können die Auskünfte z.B. unverschlüsselt per E-Mail erfolgen? Wie können Daten unternehmensweit gelöscht werden? Wer ist Ansprechpartner?
Die Datenschutzgrundverordnung hat die Meldepflichten bei Datenschutzverstößen deutlich verschärft. Schon die bloße Verletzung des Schutzes personenbezogener Daten löst eine Meldepflicht aus, die binnen 72 Stunden, nachdem die Verletzung bekannt wurde, an die zuständige Aufsichtsbehörde zu melden ist.
Bei einem voraussichtlich hohem Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen sind zusätzlich die betroffenen Personen zu informieren.
Von dieser Meldung kann abgesehen werden, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen führt. Doch wann ist das der Fall? Zumindest diese Frage muss bei der Verletzung untersucht und dokumentiert werden.
Sie merken schon, alleine die Zeit zwingt Sie, fertige Prozesse „in der Schublade zu haben“. Schon die Frage, ob überhaupt ein Risiko vorliegt und welchen Grad dieses Risiko hat, wird ohne Definition jener Begriffe nicht so einfach. Auch ist zu überlegen, ob sie bereits Kontakte zu Sachverständigen Gutachter hinterlegen sollten, um das Ausmaß die Verletzung von Dritten analysieren lassen zu können.
Art 9 BDSG wird durch Art. 32 DSGVO ersetzt. Die bisher in Anlage zu § 9 BDSG aufgezählten konkreten Maßnahmen wurden nicht übernommen, sondern allgemein und abstrakt gefasst und erinnern damit stark an die „best-practises“ aus dem Bereich der Informationssicherheit. Auch wenn zu erwarten ist, dass die Aufsichtsbehörden diese Bestimmungen noch weiter konkretisieren, so ist die abstrakte Definition Vor- und Nachteil zugleich. Die Unternehmen sind in der Ausgestaltung ihrer „Sicherheit der Verarbeitung“ wesentlich freier, sie müssen jedoch ein dem Risiko angemessenes Schutzniveau schaffen. Damit ist letztlich nichts anderes gemeint, als eine Risiko-Analyse durchzuführen und einen Prozess zu etablieren, der sicherstellt, dass das einmal definierte Schnutzniveau laufend an die sich veränderten Gegebenheiten angepasst wird.
Derartige Vorgehen sind aus dem Bereich der Informationssicherheit bekannt, wenngleich sie aus ein der Perspektive des Unternehmens und nicht der betroffenen Personen das angemessene Schutzniveau definieren.
Ist beispielsweise die Höhe eines Bußgeldes nicht hoch, die Risiken für die betroffenen Personen hoch, so könnte sich das Unternehmens aus Sicht der Informationssicherheit dafür entscheiden, mit diesem Risiko zu leben, aus Sicht des Datenschutzes wäre dies aber nicht tragbar
Haben Sie bereits ein IT-Risikomanagement (z.B. nach ISO 27001 oder VDS 3473 etabliert, so bietet es sich an, die dort erhobenen Daten im Rahmen der DSGVO-Risikoanalyse zu verwenden
Der oben skizzierte Weg ist kein „status-quo“, den Sie erreichen müssen, um datenschutzkonform zu arbeiten. Auch der einmal erreichte „statu-quo“ ist gerade keine datenschutzkonforme Verarbeitung.
Der Gesetzgeber gibt an zahlreichen Stellen, wie z.B. im Bereich der Sicherheit der Verarbeitung nach Art. 32 DSGVO („angemessenes Schutzniveau“) vor, dass die Datenschutzorganisation laufend angepasst, verbessert und geprüft werden muss. Hier empfiehlt sich nach dem aus dem Qualitätsmanagement bekannten PDCA-Zyklus vorzugehen.
Letztlich ist die Vorgehensweise keine komplizierte Sache: Plan-Do-Check-Act bedeutet letztlich nichts anderes, als dass Sie sich in einem ständigen Arbeitsprozess befinden, der sicherstellt, dass die Dokumente laufend verbessert werden: