Blog

„Spieglein, Spieglein an der Wand, wer ist für den Datenschutz vorbenannt?“

DSGVO – Der Datenschutzbeauftragte wird’s schon richten. So ist der ein oder andere der Meinung, wenn er einen Datenschutzbeauftragten bestellt, ist alles geregelt und erledigt. Frei nach der Devise, der wird das schon machen und wenn nicht, ist der Datenschutzbeauftragte dran. Weit gefehlt!

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) und das überarbeitete Bundesdatenschutzgesetz (BDSG) treten am 25.05.2018 in Kraft. Das bedeutet, dass Geschäftsführer von Unternehmen, CIOs, Datenschutzbeauftragte, Abteilungsleiter, IT-Leiter und auch HR-Leiter sich mit dem Thema beschäftigen müssen, um entsprechende Prozesse aufzusetzen, welche die neuen Regelungen des Datenschutzes einhalten.

Der betriebliche Datenschutzbeauftragte [1]

Wie bei allen Personalentscheidungen kommt es auf die Auswahl und die Nachweisbarkeit an. Damit ist gemeint, dass der Unternehmer sich von der Kompetenz und Qualifikation des Datenschutzbeauftragten überzeugen sollte. Besteht für einen Datenschutzbeauftragten eine Bestellpflicht bzw. wird ein Datenschutzbeauftragter freiwillig bestellt, dann erfordert das aus Gründen der Nachweisbarkeit die Schriftform. Hierzu sind in einer Bestellungsurkunde die Aufgaben im Sinne der EU-DSGVO festzuhalten. Diese Aufgabenübertragung ist eine Zuweisung von Zuständigkeiten im Innenverhältnis. Bezüglich des Außenverhältnisses verbleibt die Verantwortung bei der hierfür verantwortlichen Stelle, also dem Unternehmer!

Aufsichtsbehörden konsultieren und Datenschutzfolgen abschätzen [2]

Bei der Verarbeitung von personenbezogenen Daten ist festzustellen, ob und welche Risiken im Einzelnen für die Rechte der Betroffenen bestehen. Diese Risiken sind zu erfassen, zu analysieren und zu bewerten. Die Risikobewertung im Datenschutz, Datenschutzfolgenabschätzung genannt, wird nachvollziehbar, wenn das oberste Ziel der Schutz der Persönlichkeitsrechte der Betroffenen im Fokus steht. In vielen Fällen wurde in der Vergangenheit an dieser Stelle leichtfertig gehandelt. Dies äußerte sich zum Beispiel so: „Was will einer denn mit diesen Informationen anfangen?“ oder in der Aussage, „Wir haben doch gar keine personenbezogenen Daten“. Heute im Zeitalter, in dem personenbezogene Daten das neue Gold sind und das Internet nichts vergisst, ist es umso wichtiger, sich über die Folgen Gedanken zu machen. Damit diese Gedanken auch nachweisbar und nachvollziehbar für Dritte sind, müssen sie dokumentiert werden. In diversen Branchen ist dieses Vorgehen etabliert und alltägliche Routine, aber bei weitem nicht in allen Lebensbereichen.

Risikoeinschätzungen

Eine Datenschutzfolgeabschätzung ist durchzuführen, wenn bei der geplanten Verarbeitung der Daten ein Risiko für die Person besteht, deren personenbezogene Daten gespeichert und verarbeitet werden sollen. Sollte es bei dieser Risikobewertung zu einer hohen Risikoeinschätzung kommen, muss die Aufsichtsbehörde vorab konsultiert werden. Entscheidend bei der Einschätzung ist, dass das hohe Risiko nicht durch technische oder organisatorische Schritte minimiert werden kann.

Generell gilt auch hier wieder die Nachweisbarkeit und Nachvollziehbarkeit sicherzustellen, was mittels entsprechender Dokumentation geschehen kann.

Dokumentationspflichten mit der EU-DSGVO

Eines ist von Anfang an klar: Unternehmen haben die Verantwortung, die durch die EU-DSGVO vorgeschriebenen Maßnahmen umzusetzen. Das betrifft insbesondere den Nachweis, dass die Verarbeitung von personenbezogenen Daten auch in Bezug auf Datenschutz konform ist. Um das sicherzustellen, gibt es eine Reihe von Pflichten. Im Kern geht es hierbei um Aufzeichnungen, die als Nachweis gegenüber Datenschutzbehörden dienen sowie im Rahmen von gerichtlich angeordneten Überprüfungsverfahren genutzt werden bzw. unter anderem auch, um Betroffene entsprechend zu informieren.

Das ganze Prozedere lässt sich am ehesten mit der Einführung eines neuen Managementsystems für den Datenschutz vergleichen. Dabei liegen die Unterschiede in der Größe der Unternehmen, den jeweils gespeicherten und verarbeiteten personenbezogenen Daten und auch der Menge bzw. der Qualität der jeweiligen Daten. Damit ein solches Datenschutzmanagementsystem eingerichtet werden kann, sind folgende Voraussetzungen wichtig:

  1. In Bezug auf die Dokumentationspflicht: In welchem Umfang soll dokumentiert werden?
  2. Die jeweiligen Grenzen müssen klar definiert sein.
  3. Die einzelnen Prozesse zur Sicherstellung müssen vorliegen bzw. eingeführt werden.

Rechtssicherheit jederzeit

Unabhängig von den Fähigkeiten der Mitarbeiter im Unternehmen und dem Vertrauensverhältnis kann mit dem Datenschutzmanagementsystem und seinen definierten Prozessen das Thema Rechenschaftspflicht versachlicht werden. Kein Bauchgefühl muss länger für einen Prozess herhalten, der auf einfachste Weise mittels interner Audits transparent dargestellt werden kann.

Grundregeln im Datenschutz [3]

  • Personenbezogene Daten dürfen nur unter Einhaltung aller Grundsätze, die in der EU-DSGVO geregelt sind, verarbeitet werden.[4]
  • Der Verantwortliche muss die Einhaltung der Verpflichtungen aus den EU-DSGVO nachweisen können.
  • Zur Verantwortung gehört auch die Überwachung der eingerichteten Maßnahmen und Aufgaben und ggf. diese auf den neuesten Stand zu bringen.
  • Alle Verantwortlichen verpflichten sich, die geeigneten technischen und organisatorischen Maßnahmen zu ergreifen, die zum Schutz der personenbezogenen Daten und für die gesamte Informationssicherheit notwendig sind.

Bei der Umsetzung ist das Verzeichnis von Verarbeitungstätigkeiten ein wesentlicher Baustein.

Verzeichnis von Verarbeitungstätigkeiten [5]

Im Bundesdatenschutzgesetz (BDSG) steht es seit Jahren drin. Jetzt ist es auch in der EU-DSGVO vorgeschrieben. Es geht um das sogenannte Verzeichnis von Verarbeitungstätigkeiten. Unternehmen sind verpflichtet, dieses zu erstellen und fortlaufend aktuell zu führen. In diesem Verzeichnis werden für jeden Verarbeitungsprozess von personenbezogenen Daten die erforderlichen Informationen gesammelt. Dabei handelt es sich im Wesentlichen um die Information, welche personenbezogenen Daten erfasst, verarbeitet, gespeichert und archiviert werden.

Das Verzeichnis muss Aussagen über folgende Punkte geben:

  • Betroffene
  • Art der Daten
  • Beteiligte
  • Speicher
  • Verwendungszweck
  • Weitergabe an Dritte
  • Drittstaaten
  • Technische und organisatorische Maßnahmen

Verfahren zweckmäßig und nachvollziehbar beschreiben

Anhand obiger Aufzählung und mit Kenntnissen aus dem Qualitätsmanagement ist ersichtlich, dass hier vergleichbare Informationen wie bei einem Herstellungsprozess abgefragt werden. So werden bei einem Herstellungsprozess beispielsweise mit Hilfe der Turtle-Methode nach den wesentlichen Prozesseinflussfaktoren gefragt und diese beschrieben. Es wird das Input und das Output beschrieben, dann wird dargelegt, mit welchen Werkzeugen, welcher Ausrüstung, nach welchen Methoden und Verfahren gearbeitet wird, welche Personen beteiligt sind, welches Know-how erforderlich ist und letztendlich mit welchen Kennzahlen (KPIs) der Prozess überwacht wird. Somit kann der jeweilige Verarbeitungsprozess, zum Beispiel für die Erfassung und Verarbeitung von Personalstammdaten, mit der bewährten Methode des Qualitätsmanagements um die Aspekte des Datenschutzes erweitert werden. Eine Mustervorlage für ein Verzeichnis von Verarbeitungstätigkeiten wird von den deutschen Datenschutzaufsichtsbehörden zur Verfügung gestellt.

Datenverletzungen sind meldepflichtig [6]

Sämtliche Unternehmen unterliegen einer Meldepflicht gegenüber ihrer jeweils zuständigen Datenschutzaufsichtsbehörde. Kommt es zu einer Datenverletzung, dann ist diese innerhalb von 72 Stunden (der jeweils zuständigen Datenschutzbehörde) zu melden. Hieraus ergeben sich zwei wesentliche Herausforderungen für Unternehmen: Erstens die Identifikation von Datenverletzungen und zweitens die fristgerechte Meldung der Datenverletzung. Somit müssen Unternehmen kontinuierlich ihre Verarbeitungsprozesse unter anderem auf Datenverletzungen überwachen, um in der Lage zu sein, diese dann zu melden. Zu diesem Zweck ist die Bereitstellung eines Online-Tools geplant. Ist davon auszugehen, dass die Datenverletzung aller Voraussicht nach nicht zum Risiko für Betroffene wird, dann entfällt ausnahmsweise die Meldepflicht.

Der Verantwortliche hat laut EU-DSGVO die Verpflichtung, jede einzelne Datenverletzung festzuhalten und entsprechend zu dokumentieren. Hierbei gilt es, alle Fakten, die möglichen Auswirkungen und die eingeleiteten Abhilfemaßnahmen zu dokumentieren. Wird eine Datenpanne festgestellt, so muss diese ohne Verzögerung dem Verantwortlichen gemeldet werden. Zusätzlich muss nach Artikel 34 geprüft werden, ob der/die Betroffenen informiert werden müssen.

Einwilligungen jederzeit widerrufen

Grundsätzlich ist die Verarbeitung von personenbezogenen Daten nicht gestattet, außer es wurde hierfür eine Erlaubnis erteilt. Eine erteilte Einwilligung kann in diesem Fall als Erlaubnis genutzt werden. Dabei muss das Unternehmen in der Lage sein, diese Einwilligung als Nachweis zu liefern. Eine unmissverständliche Willensbekundung kann zum Beispiel als Erklärung in Textform, als E-Mail, per Fax oder als Dokumentenscan vorliegen. Weiterhin ist eine eindeutige Handlung zur Bestätigung, wie zum Beispiel die Einwilligung über einen Mausklick möglich, sofern dieser unter anderem rechtmäßig und leicht verständlich gestaltet und an keine anderen Bedingungen gekoppelt ist. Die Einwilligung muss vom Betroffenen jederzeit widerrufen werden können. Dabei ist sicherzustellen, dass der Widerruf so leicht wie möglich erteilt werden kann. Entscheidend hierbei ist, dass der Verantwortliche mittels Dokumentation den Nachweis erbringen kann, dass die Einwilligung zu jedem Zeitpunkt widerrufbar ist.

Meine Rechte als Betroffener [7]

Alle verantwortlichen Stellen müssen im Managementsystem die Rechte der Betroffenen kennen und die entsprechenden Prozesse installieren, um dementsprechend auf aktuelle Situationen zu reagieren und die Informationssicherheit sicherzustellen. Gegebenenfalls müssen hierzu auch einzelne Geschäftsprozesse geprüft werden, um alle relevanten Sachverhalte zu erfassen. Auch müssen die Fristen, Umfang und Grenzen für die Rechte der Betroffenen bekannt sein.

Lieferanten bei der Auftragsdatenverarbeitung richtig managen [8]

Wird ein Lieferant bzw. Dienstleister, also jemand, der in Ihrem Sinne Leistungen erbringen soll (Auftragsverarbeiter), beauftragt, dann ist hier eine Vereinbarung abzuschließen. Sicherlich nichts Neues und für Sie seit Jahren gelebte Praxis. Jetzt gilt das aber auch für jene Lieferanten, die für Sie zum Beispiel den Server betreiben, die Lohnbuchhaltung machen, Rechenzentrumsleistungen liefern, Kundendaten erfassen, die Webseite betreiben, die Datensicherung machen, usw. Mit diesen müssen sie ebenfalls eine Vereinbarung über die Auftragsdatenverarbeitung abschließen.

In dieser Vereinbarung geht es um die Weisung zur ausschließlichen Verarbeitung von personenbezogenen Daten zum Zwecke der Vertragserfüllung.

Dabei sollen Sie als Verantwortlicher in der Lage sein, gegenüber Ihrer zuständigen Datenschutzaufsichtsbehörde folgende Informationen zu liefern:

  1. Der Auftragsverarbeiter ist in der Lage, alle Anforderungen der EU-DSGVO und des BDSG zu erfüllen und er kann Garantien bzgl. der Sicherheit der Datenverarbeitung geben und die erforderlichen technischen und organisatorischen Maßnahmen sicherstellen.
  2. Die Beauftragung von Sub-Unternehmen erfolgt nur, wenn im Vorfeld eine zusätzliche bzw. allgemein gültige schriftliche Genehmigung erteilt wurde.
  3. Die Auftragsdatenverarbeitungsvereinbarung (ADV) entspricht den gesetzlichen Mindestanforderungen.

Daraus folgt für Sie, nochmals alle Vereinbarungen mit Ihren Auftragnehmern in Bezug auf die Einhaltung des Datenschutzes zu prüfen und ggf. hier entsprechende ADVs zu vereinbaren. Diverse Dienstleister, z. B. Betreiber von Rechenzentrumsleistungen oder von Cloud-Lösungen, bieten bereits von sich aus solche ADVs an. Es bleibt aber in Ihrer Verantwortung, diese zu prüfen, ggf. anzupassen und dann abzuschließen.

Ohne Cockpit wird geblitzt!

Mit aktuellen Kennzahlen den Datenschutz in den Griff bekommen. Was wäre ein Auto ohne ein funktionierendes und aktuelles Cockpit? Keine Informationen über die Drehzahl des Motors, die momentan gefahrene Geschwindigkeit, Statusanzeige der Tankfüllung, den Ölstand, die angezogene Handbremse, usw. Dies sind alles Werte und Informationen, auch Kennzahlen genannt, die ohne ein funktionierendes Cockpit der Fahrer selbst einschätzen müsste.

So steuern Sie Ihren Datenschutz

Wie steuert man den Datenschutz im eigenen Unternehmen? Und wie steuert man ein Datenschutzmanagementsystem? Dies lässt sich mittels definierter Prozesse in Form von Arbeitsanweisungen und Prozessbeschreibungen in einer Software abbilden. Diese Software bietet den Verantwortlichen die Möglichkeit, durch die Rückmeldung aus internen Audits die einzelnen Prozesse und Kennzahlen, beispielsweise mit Hilfe einer Ampel, darzustellen. Bekannt aus dem Straßenverkehr bedeutet ein Prozess, der mit einer grünen Ampel versehen ist, dass der Prozess aktuell in Ordnung ist. Eine gelbe Ampel vor einem Prozess bedeutet, dass an dem Prozess etwas korrigiert werden muss und eine rote Ampel bedeutet, dass etwas nicht derart durchgeführt wurde, wie es in den Prozessbeschreibungen definiert ist.

Die Autoren

Alexander Glöckner
Geschäftsführer
Glöckner & Schuhwerk GmbH

Peter Suhling
Inhaber suhling management consulting


[1]    Artikel 37 der EU-DSGVO

[2]    Datenschutzfolgenabschätzung gemäß Artikel 35 und Artikel 36 der EU-DSGVO

[3]    Die Rechenschaftspflicht ist in Artikel 5, Absatz 2, und Artikel 24, Absatz 1 der EU-DSGVO definiert.

[4]    Rechtmäßigkeit der Verarbeitung, Verarbeitung nach Treu und Glauben, Wahrung der Transparenz, Zweckmäßigkeit, Richtigkeit, Vertraulichkeit und Integrität.

[5]    Artikel 30 der EU-DSGVO

[6]    Artikel 33 der EU-DSGVO

[7]    Artikel 12 ff. der EU-DSGVO

[8]    Artikel 28 der EU-DSGVO