Zu einem Datenschutzmanagement sind alle Unternehmen verpflichtet. Die am 25. Mai 2018 in Kraft getretene DSGVO regelt an mehreren Stellen die Pflicht zur Einführung eines Datenschutzmanagements. Im Folgenden möchte ich auf die wichtigsten Grundlagen dazu eingehen. Dies ist zugleich als eine Art Leitfaden zu verstehen, an denen sich alle Unternehmen orientieren können.
In der Datenschutz-Grundverordnung (DSGVO) sind die Normen für ein solches Management an folgenden Stellen definiert:
- In Artikel 5 DSGVO sind die Grundsätze für die Verarbeitung von personenbezogenen Daten geregelt.
- Genauso finden wir in Artikel 30 DSGVO die Pflicht zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten.
- Der Artikel 32 DSGVO verlangt vom Verantwortlichen sowie vom Auftraggeber die Umsetzung der sogenannten TOMs. Das sind die technischen und organisatorischen Maßnahmen, welche umgesetzt sein müssen, um eine DSGVO-konforme Verarbeitung von personenbezogenen Daten zu ermöglichen.
- Genauso verpflichtet der Artikel 35 DSGVO zur Durchführung einer Risikoabschätzung. Zumindest wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen hinsichtlich ihrer personenbezogenen Daten besteht.
Ich möchte nun etwas genauer darauf eingehen und zeigen, wie dies in Form einer Datenschutzrichtlinie in einem Unternehmen umgesetzt werden kann. Ich kann dabei natürlich auch nur Empfehlungen herausgeben. Die Gestaltung eines Datenschutzmanagements ist dabei selbstverständlich individuell.
Nachweispflicht für Unternehmen
Als Unternehmen sind Sie nicht nur verpflichtet Datenschutz im Sinne der DSGVO zu betreiben, sondern auch dieses nachzuweisen. Der Art. 5 Abs. 2 DSGVO legt dem Verantwortlichen – im Regelfall ist das der Unternehmer – eine Rechenschaftspflicht auf. Das bedeutet, dass er die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten auch nachweisen können muss. Wenn also die Datenschutz-Aufsichtsbehörde zu Ihnen ins Unternehmen kommt, dann sollten Sie ein Datenschutzmanagement mit Nachweisen vorweisen können.
Verzeichnis von Verarbeitungstätigkeiten
Zunächst ist zu ermitteln, in welchen Fällen personenbezogene Daten erhoben und verarbeitet werden. Das können Daten von Kunden, Lieferanten oder Mitarbeitern sein. Auch hier gilt grundsätzlich, dass lediglich natürliche Personen nach der DSGVO geschützt sind. D.h. der Firmenname Ihres Kunden oder Lieferanten ist nicht relevant bzw. schützenswert nach DSGVO. Doch die Namen von natürlichen Personen sind es hingegen schon. In der Regel handelt es sich um die Verarbeitung solcher personenbezogenen Daten. Steht bspw. auf einem Angebot, einer Rechnung oder einem Lieferschein der Name einer natürlichen Person (z.B. des Ansprechpartners), handelt es sich um die Verarbeitung von personenbezogenen Daten.
Zunächst rate ich dazu alle Systeme und Programme aufzulisten, die im Unternehmen verwendet werden. Zumindest wenn diese personenbezogene Daten verarbeiten. Die Verarbeitung ist bereits ab dem Zeitpunkt der Speicherung gegeben. Das Speichern von Daten ist bereits eine Verarbeitung.
Durch diese Auflistung können wir nun sehen welche Datenflüsse vorhanden sind. Und wir sehen zudem welche Daten hinein und welche hinaus fließen. Des Weiteren besitzen wir mit dieser Auflistung eine erste Grundlage für das verpflichtende Verzeichnis von Verarbeitungstätigkeiten.
In diesem Verzeichnis für Verarbeitungstätigkeiten sind alle wesentlichen Informationen zu allen Tätigkeiten aufgelistet, bei denen personenbezogene Daten verarbeitet werden. Dazu wird der jeweilige Zweck der Datenverarbeitung und die Beschreibung der Kategorie der personenbezogenen Daten benannt und aufgelistet.
Aufgrund der schnellen Unübersichtlichkeit solcher Verzeichnisse, empfiehlt es sich mehrere verschiedene Einzelverzeichnisse für die System und Programme anzulegen. Das können z.B. das ERP-Programm, die Warenwirtschaft, das Zeiterfassungssystem, das CRM oder Bewerbertools sein. Jedes dieser Programme sollte also ein eigenes Verzeichnis für Verarbeitungstätigkeiten besitzen.
Die Datenschutz-Folgeabschätzung
Zudem sind Unternehmen unter bestimmten Voraussetzungen dazu verpflichtet eine Datenschutz-Folgeabschätzung durchzuführen. Diese Datenschutz-Folgeabschätzung ist im Grunde genommen das gleiche wie die alte „Vorabkontrolle“ nach altem Bundesdatenschutzgesetz (BDSG). Sie ist eine Art Risikoabschätzung. Jedoch muss sie nur durchgeführt werden, wenn ein hohes Risiko für echte und Freiheiten von natürlichen Personen besteht. Das ist z.B. der Fall, wenn neue Technologien zur Datenverarbeitung zur Anwendung kommen. Genauso ist eine Datenschutzfolgeabschätzung durchzuführen, wenn sensible Daten verarbeitet werden. Das wiederrum können z.B. genetische oder biometrische Daten oder auch Gesundheitsdaten sein. Jede Landesdatenschutzbehörde muss dafür sog. Positivlisten führen. Auf diesen sind maßgebliche Beschreibungen von Verarbeitungstätigkeiten aufgelistet, für die eine Datenschutz-Folgeabschätzung durchzuführen ist. Hier geht es zu der Positivliste der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht in Brandenburg.
Vertragsmanagement: Liste von Dienstleistern
Zunächst ist es sinnvoll eine Liste aller im Unternehmen eingesetzten Dienstleister zu erstellen. Dies sollte unabhängig davon geschehen, ob personenbezogene Daten vom Dienstleister verarbeitet werden. Erst im zweiten Schritt überprüft der Datenschutzbeauftragte, ob personenbezogene Daten von den Dienstleistern erhoben, verwendet, übermittelt oder verarbeitet werden. Des Weiteren ist zu prüfen, ob ein Auftragsverarbeitungsvertrag erforderlich ist bzw. bereits abgeschlossen wurde. Das ist ein Vertrag, der nach Art. 28 Abs. 3 DSGVO mit einem Auftragsverarbeiter geschlossen werden muss. Das sind z.B. Softwareanbieter, Rechenzentren, externe Datenhaltung, Cloud-Systeme in der Personal- und Kundenverwaltung oder Marketingagenturen. Bei all diesen externen Dienstleistungen ist genauer zu prüfen, ob eine Auftragsverarbeitungsvertrag abzuschließen ist.
Datengeheimnis im Unternehmen: Verpflichtung für Mitarbeiter
Obgleich es in der DSGVO keine ausdrückliche Verpflichtung zur Verpflichtung von Mitarbeitern zum Datengeheimnis gibt, sollte dies weiterhin in Ihrem Unternehmen gelten. Denn eine derartige Maßnahme kann zur Sensibilisierung der Mitarbeiter beitragen und wird von den Aufsichtsbehörden auch entsprechend wahrgenommen. Letztendlich handelt es sich hier um eine organisatorische Maßnahme im Datenschutzmanagement.
Datenschutz-Schulungen
Des Weiteren gehören Schulungen zu den organisatorischen Maßnahmen hinsichtlich des Datenschutzmanagements. Diese Schulungen werden von einem Datenschutzbeauftragten durchgeführt. Welche Aufgaben dieser hat, haben wir ja bereits hier gesehen.
Die Wahrnehmung von Betroffenenrechten: Der richtige Prozess
In den Artikel 12 bis 21 DSGVO sind die Rechte von Betroffenen geregelt. Diese Betroffenenrechte sind:
- Informationsrecht,
- Auskunfts- und Widerspruchsrecht,
- Recht auf Berichtigung, Löschung und Einschränkung,
- Recht auf Datenübertragbarkeit.
Durch die DSGVO ist eine Vervielfachung der zu berücksichtigenden Pflichten hinsichtlich der Information von Betroffenen eingetreten. Im Kern fordert die Verordnung, dass die Betroffenen wissen sollen, wer welche Daten zu welchen Zwecken über sie erhebt. Des Weiteren sollen die Betroffenen befähigt werden die Erhebung und die Nutzung der Daten zu prüfen.
Deshalb muss jedes Unternehmen die Betroffenen ausreichend über die Datenverarbeitungsvorgänge informieren. Dazu bedarf es einer grundlegenden Prozessanalyse im Unternehmen des Verantwortlichen. Dieser muss zunächst wissen, über welche Sachverhalte hinsichtlich des Datenschutzes er die Betroffenen informieren muss.
Was genau passiert eigentlich, wenn der Betroffene von seinem Recht gebrauch macht? An wen soll sich der Betroffene dann wenden? Wer ist für das Anliegen des Betroffenen zuständig? Was ist zu beachten? Gibt es verschiedene Ansprechpartner für verschiedene Systeme? Wie kann z.B. die Löschung der Kundendaten vollumfänglich gewährleistet werden?
All das sind Fragen, mit denen sich der Verantwortliche bzw. der Datenschutzbeauftragte beschäftigen muss. Er muss sich über geeignete Prozesse im Klaren werden. Diese sollen die Gewährleistung der Rechte des Betroffenen und die Einhaltung der Pflichten für den Verantwortlichen sichern. Zuletzt werden entsprechende Prozesse im Unternehmen implementiert.
Was bei Datenschutzverstößen zu tun ist?
Die DSGVO fordert im Artikel 33 Abs. 1 die unverzügliche Meldung eines Datenschutzverstoßes an die zuständige Aufsichtsbehörde. Dabei bedeutet „unverzüglich“ möglichst binnen 72 Stunden. Eine Meldung muss nur dann nicht zwingend erfolgen, wenn die Rechte und Freiheiten von natürlichen Personen nicht gefährdet sind. Des Weiteren verlangt Art 34 DSGVO sogar, dass bei einem hohen Risiko für Rechte und Pflichten zusätzlich die Betroffenen zu informieren sind.
Dafür muss ein Prozess im Unternehmen implementiert werden. Dieser muss so gestaltet werden, dass die Verletzung des Schutzes personenbezogener Daten schnell erkannt, diese an den Datenschutzbeauftragten weitergeleitet und abschließend bewertet wird. Hier erfolgt dann die Überprüfung der Risikohöhe für die Rechte und Freiheiten der Betroffenen durch den Datenschutzbeauftragten. Nur so kann der Verantwortliche seinen Melde- und Informationspflichten nachkommen.
Das Datenschutzkonzept als Pflicht für alle Unternehmen
Diese Datenschutzrichtlinie oder das Datenschutzkonzept ist also eine Zusammenfassung aller datenschutzrechtlich relevanter Dokumente. Dazu gehört die Formulierung von Zielen, Verantwortlichkeiten sowie das Nachkommen der Dokumentationspflichten. Damit erweist sich das Datenschutzkonzept als ein wichtiges Strategiepapier innerhalb eines Unternehmens. Dadurch kommen Unternehmen zudem ihrer Rechenschaftspflicht (Art. 5 Abs. 2 sowie Art. 24) laut DSGVO nach. Die Aufsichtsbehörden haben damit ein Dokument, in dem das Datenschutzmanagement im Unternehmen nachvollzogen werden kann. Außerdem dient es als Grundlage für sämtliche datenschutzrechtlichen Prüfungen.
Ein Datenschutzkonzept ist also nicht nur ein gutes Aushängeschild für Kunden und Lieferanten. Es ist ein wichtiges Strategiepapier, das Ihren Mitarbeitern, Außenstehenden sowie Betroffenen transparent zeigt, wie Sie Ihren datenschutzrechtlichen Pflichten nachkommen. Vor allem ist es eine rechtliche Verbindlichkeit. Dieses Datenschutzkonzept muss regelmäßig überprüft und ggf. aktualisiert werden.
D.h. alle Unternehmen, die personenbezogene Daten verarbeiten, müssen ein Verfahren implementieren, um Maßnahmen für Datenschutz und Informationssicherheit zu überprüfen und zu bewerten. Das Datenschutzkonzept dient hier als beste Grundlage.
Keine Strafen bei gutem Datenschutzmanagement?
Festzuhalten bleibt: Wer ein ordentliches Datenschutzmanagement betreibt und ein umfassendes Datenschutzkonzept besitzt, der wird auch vor Strafen besser geschützt sein. Zwar gibt es keine endgültige Sicherheit oder Straffreiheit bei fahrlässigen Verhalten. Dennoch ist das Vorhandensein eines guten Datenschutzmanagements und eines Datenschutzkonzeptes ein mindestens bußgeldmildernder Umstand. Doch wer sich an sein eigenes Datenschutzmanagement hält und wer seine Hausaufgaben gemacht hat, der ist auch auf den E-Fall gut vorbereitet. Wer also schnell und effizient auf einen Datenschutzverstoß reagiert, der hat gegenüber der Aufsichtsbehörde zumindest eine weitaus bessere Ausgangsposition als ein Unternehmen, das keinerlei Datenschutzbestimmungen einhält.
Schon gerüstet für die DSGVO? Haben Sie schon ein Datenschutzkonzept oder betreiben ein Datenschutzmanagement? Nein, dann lade ich Sie gerne ein mich zu kontaktieren. Füllen Sie einfach das Kontaktformular aus und vereinbaren mit mir ein kostenloses und unverbindliches erstes Beratungsgespräch.
Kontakt
Pierre Dornbrach
Freiberuflicher Datenschutzbeauftragter und Datenschtzexperte
Sie suchen einen Datenschutzexperten in Ihrer Nähe? Ich bin TÜV zertifizierter Datenschutzbeauftragter in der Region Berlin-Brandenburg. Neben der Hauptstadt bin ich vor allem in den Regionen um Zossen, Lübben und Cottbus tätig.