- Regelungen zum DS-Management in der DSGVO
- Datenschutzrichtlinie:
- Datenschutzorganisation und Verantwortlichkeiten
- Einbindung des Datenschutzbeauftragten
- Verzeichnis von Verarbeitungstätigkeiten
- Datenschutz-Folgenabschätzung
- Vertragsmanagement
- Verpflichtung auf das Datengeheimnis
- Datenschutz-Schulung
- Prozess für die Wahrnehmung von Betroffenenrechten
- Prozess für die Meldung von Datenschutzverstößen
- Nachweis der Datensicherheit
- Bußgelder
Regelungen zum DS-Management in der DSGVO
In Deutschland ist das Datenschutzrecht bislang im Bundesdatenschutzgesetz (BDSG) und in vielen speziellen Gesetzen geregelt. Ab dem 25. Mai 2018 wird das BDSG durch die EU-Datenschutz-Grundverordnung (DSGVO) abgelöst.
Die für das DS-Management relevanten Normen finden sich in der Verordnung an vielen unterschiedlichen Stellen, beispielsweise:
- Art. 5 DSGVO stellt die Grundsätze für die Verarbeitung personenbezogener Daten dar,
- Art. 30 DSGVO legt dem Verantwortlichen auf, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen,
- Art. 32 DSGVO regelt, dass der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umzusetzen haben, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung von personenbezogenen Daten gemäß der Datenschutz-Grundverordnung erfolgt,
- Art. 35 DSGVO verpflichtet den Verantwortlichen bei Verarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz der personenbezogenen Daten durchzuführen.
Alles schön und gut. Die große Frage ist aber: Wie soll in der Praxis ein DS-Managementsystem in einem Unternehmen aussehen, um in der Lage zu sein, alle Vorgaben der Datenschutz-Grundverordnung zu erfüllen?
Im Folgenden werden die einzelnen Dokumente kurz dargestellt, jedoch ohne einen Anspruch auf Vollständigkeit. Es handelt sich lediglich um eine erste Empfehlung, wie an das Thema DS-Management in einem Unternehmen herangegangen werden kann.
Datenschutzrichtlinie
Die Datenschutz-Grundverordnung bringt für Unternehmen umfassende Nachweispflichten mit sich (sog. „accountability”). Die Unternehmen müssen nicht nur sicherstellen, dass sie die Vorgaben der Datenschutz-Grundverordnung erfüllen, sondern dies zudem auch nachweisen können, vgl. Art. 5 Abs. 2 DSGVO. Das heißt, die Unternehmen müssen beweisen können, dass sie geeignete Datenschutzrichtlinien und geeignete Datenschutzvorkehrungen umsetzen. Andernfalls drohen Bußgelder, Schadensersatzansprüche und weitere Nachteile. Die Datenschutzrichtlinie sollte daher folgende, zu regelnden Punkte umfassen:
Datenschutzorganisation und Verantwortlichkeiten
Auch die beste Datenschutzrichtlinie macht keinen Sinn, wenn sie nicht gelebt wird. Die Datenschutzrichtlinie muss also von den Mitarbeitern im Unternehmen umgesetzt werden. Je nach Größe des Unternehmens kann es sich empfehlen – zusätzlich zu dem Datenschutzbeauftragten des Unternehmens – in den verschiedenen Abteilungen einen Verantwortlichen für den Datenschutz/Datenschutz-Koordinator zu benennen, der als Koordinierungsstelle zwischen dem Datenschutzbeauftragten und den Mitarbeitern in seiner Abteilung dient. Dieser Verantwortliche (beispielsweise der Abteilungsleiter) hat dafür zu sorgen, dass alle datenschutzrechtlich relevanten Sachverhalte aus seiner Abteilung an den Datenschutzbeauftragten weitergeleitet werden. Die Schulung und Sensibilisierung der Mitarbeiter sollte aber der Datenschutzbeauftragte selbst übernehmen.
Einbindung des Datenschutzbeauftragten
In der Datenschutzrichtlinie sind die Fälle zu definieren, in denen die Mitarbeiter den Datenschutzbeauftragten anzusprechen und einzubinden haben. Hat das Unternehmen sich dafür entschieden, dass die Mitarbeiter sich zunächst an den Datenschutz-Koordinator wenden sollen, dann gelten diese Fälle auch für diesen (ausgenommen sind vertrauliche Anfragen, in denen die Rechte des Mitarbeiters selbst betroffen sind). Als solche „meldepflichtige“ Fälle gelten insbesondere (aber nicht ausschließlich):
- Beschwerden von Betroffenen (Mitarbeitern, Kunden)
- Einführung eines neuen Systems/Tools
- Einsatz eines neuen Dienstleisters
- Werbemaßnahmen (z.B. Versand von Newsletter)
- Onlinemarketing-Maßnahmen (Google AdWords, Conversion Tracking, etc.)
- Verkauf von Teilen des Unternehmens
In jedem Unternehmen hat der Datenschutzbeauftragte die datenschutzrechtlich relevanten Sachverhalte zu definieren und in die Datenschutzrichtlinie aufzunehmen. Diese Liste kann und muss nicht abschließend sein, sondern sollte vor allem als Handlungshilfe für die Mitarbeiter dienen und nachträglich ergänzt werden können.
Verzeichnis von Verarbeitungstätigkeiten
Um personenbezogenen Daten nach Maßgaben der Datenschutz-Grundverordnung schützen zu können, muss das verantwortliche Unternehmen zunächst ermitteln, in welchen Fällen personenbezogene Daten – z.B. von Kunden, Lieferanten oder Beschäftigten – erhoben und verarbeitet werden. Als erster Anhaltspunkt bietet es sich an, alle Systeme bzw. Tools im Unternehmen aufzulisten, in welchen personenbezogenen Daten gespeichert werden.
Eine solche Vorgehensweise ist aus zwei Gründen sinnvoll: Einerseits können dadurch die Datenflüsse im Unternehmen ermittelt und definiert werden. Zusätzlich wird ein erster Grundstein für das Verzeichnis von Verarbeitungstätigkeiten gelegt.
Eine Unterscheidung zwischen dem öffentlichen und internen Verfahrensverzeichnis wird es nach der Datenschutz-Grundverordnung nicht mehr geben. Nach Art. 30 DSGVO ist der Verantwortliche verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. In diesem Verzeichnis sind die wesentlichen Informationen zu Datenverarbeitungstätigkeiten zusammenzufassen, insbesondere also Angaben zum Zweck der Verarbeitung und eine Beschreibung der Kategorien der personenbezogenen Daten, der betroffenen Personen und der Empfänger. Da eine Übersicht über alle Datenverarbeitungsvorgänge in einem Dokument schnell unübersichtlich wird, wird das Verzeichnis in der Praxis in der Regel aus vielen verschiedenen Einzelverzeichnissen bestehen. So sollte für jedes Tool bzw. System (z.B. Zeiterfassungssystem, CRM-System, Bewerbertool, HR-Managementtool, etc.) ein eigenes Verzeichnis der Verarbeitungstätigkeiten erstellt werden.
Die neuen Verzeichnisse von Verarbeitungstätigkeiten ähneln inhaltlich den bisherigen internen Verfahrensverzeichnissen nach dem BDSG. Daher dürften für Unternehmen, die bereits jetzt über strukturierte Verfahrensübersichten verfügen, die Vorgaben des Art. 30 DSGVO keine größeren Probleme bereiten.
Weitere Hinweise finden Sie in unserem Beitrag:
Verzeichnis von Verarbeitungstätigkeiten – Infos & Tipps zur Umsetzung
Datenschutz-Folgenabschätzung
Daneben sind Unternehmen in bestimmten Fällen verpflichtet, eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen. Diese sind durchzuführen, wenn eine Form der Verarbeitung wahrscheinlich ein hohes Risiko für personenbezogenen Daten verursacht, insbesondere bei neuen Technologien oder aufgrund ihres Wesens, ihres Umfangs, ihres Kontexts oder ihrer Zwecke.
Die Aufsichtsbehörden für den Datenschutz sind gehalten, Listen von Verarbeitungsvorgängen zu erstellen, bei denen typischerweise Folgenabschätzungen nach Art.?35 DSGVO vorgeschrieben sind (sog. Positivlisten). Ebenso erstellen die Datenschutz-Aufsichtsbehörden Listen von Vorgängen, bei denen Folgenabschätzungen entbehrlich sind (sog. Negativlisten).
Mehr zum Thema Datenschutz-Folgenabschätzung können Sie hier nachlesen.
Vertragsmanagement
Im Rahmen des Vertragsmanagements empfiehlt es sich, alle von einem Unternehmen eingesetzten Dienstleister in einer Liste zusammenzufassen – dies zunächst unabhängig davon, ob sie personenbezogenen Daten verarbeiten oder nicht. Im nächsten Schritt hat der Datenschutzbeauftragte zu prüfen,
- ob durch den Dienstleister personenbezogenen Daten erhoben, genutzt, übermittelt oder verarbeitet werden,
- ob eine Vereinbarung zur Auftragsdatenverarbeitung nach § 11 BDSG erforderlich ist und
- ob diese bereits abgeschlossen wurde.
Im Anschluss kann der Datenschutzbeauftragte prüfen, welche Verträge nach den Vorgaben der Datenschutz-Grundverordnung angepasst bzw. geändert werden müssen.
Verpflichtung auf das Datengeheimnis
Die Mitarbeiter sollten auch weiterhin auf das Datengeheimnis verpflichtet werden, auch wenn dies in der Datenschutz-Grundverordnung nicht mehr ausdrücklich geregelt ist. Eine solche Verpflichtung kann als erste Maßnahme zur Sensibilisierung der Mitarbeiter angesehen werden.
Datenschutz-Schulung
Im Rahmen der Datenschutzschulungen hat der Datenschutzbeauftragte die Mitarbeiter auf die konkreten datenschutzrechtlichen Regelungen und Prozesse im Unternehmen hinzuweisen. Dies gehört zu seinen Tätigkeitsaufgaben gem. Art. 39 Abs. 1 DSGVO. Die Datenschutz-Schulung und die Verpflichtung auf das Datengeheimnis sind beide als Teil der organisatorischen Maßnahmen anzusehen, die dem Schutz der personenbezogenen Daten dienen.
Prozess zur Wahrnehmung von Betroffenenrechten
Bevor ein Prozess zur Wahrnehmung von Betroffenenrechten implementiert werden kann, muss der Verantwortliche sich klar machen, welche Rechte die Betroffenen überhaupt haben.
Die Betroffenen einer Datenverarbeitung haben folgende Rechte:
- Informationsrecht
- Auskunfts- und Widerspruchsrecht
- Recht auf Berichtigung, Löschung und Einschränkung
- Recht auf Datenübertragbarkeit
Mit der Datenschutz-Grundverordnung vervielfachen sich die von Verantwortlichen zu berücksichtigenden Pflichten in Bezug auf die Information von Betroffenen. Die Betroffenen sollen wissen, wer welche Daten zu welchem Zweck über sie erhebt und in die Lage versetzt werden, die Datenerhebung, -verarbeitung bzw. –nutzung zu prüfen.
Diese Anforderung kann nur dann erfüllt werden, wenn das verantwortliche Unternehmen die Betroffenen ausreichend über die Datenverarbeitungsvorgänge informiert. Um die Betroffenen informieren zu können, müssen im Unternehmen wiederum die Sachverhalte ermittelt werden, in welchen Informationspflichten bestehen (beispielsweise Anmeldung zum Newsletter, Abschluss eines Kaufvertrages im Onlineshop, etc.). Den Inhalt der Informationspflichten haben wir in unserem Blog bereits dargestellt.
Des Weiteren sollte definiert werden, wie zu reagieren ist, falls ein Betroffener (Kunde, Interessent oder Mitarbeiter) von seinen Rechten Gebrauch macht: An wen und in welcher Frist soll die E-Mail, der Brief oder das Telefonat des Betroffenen weitergeleitet werden und wer ist für die Bearbeitung des Anliegens zuständig? Was ist dabei zu beachten (Stichwort: „Vertraulichkeit“)? Wer sind die Ansprechpartner für verschiedene Systeme, um beispielsweise die Löschung von Kundendaten überall im Unternehmen gewährleisten zu können (falls der Löschungsanspruch begründet ist)?
Die ausführlichere Darstellung der Betroffenenrechte können Sie aus unserem Artikel Neues EU-Datenschutzgesetz: Das sind Ihre Rechte entnehmen.
Meldung von Datenschutzverstößen
Nach Art. 33 Abs. 1 DSGVO müssen Unternehmen im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich – möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde – die Verletzung bei der zuständigen Aufsichtsbehörde melden. Von einer Meldung kann abgesehen werden, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen führt.
Nach Art. 34 DSGVO sind bei einem hohen Risiko für die persönlichen Rechte und Freiheiten zusätzlich die Betroffenen zu informieren.
Um diesen Melde- bzw. Informationspflichten nachkommen zu können, muss im Unternehmen ein Prozess implementiert werden, dass die Verletzung des Schutzes personenbezogenen Daten erkannt, der Sachverhalt an den Datenschutzbeauftragten weitergeleitet und anschließend von diesem bewertet wird. Der Datenschutzbeauftragte hat dabei zu prüfen, ob ein normales oder ein hohes Risiko für die Rechte und Freiheiten von Betroffenen vorliegt (bzw. ob überhaupt ein Risiko vorliegt).
Nachweis der Datensicherheit
Die neuen Vorgaben für die „Sicherheit der Verarbeitung“ finden sich hauptsächlich in Art. 5 Abs. 1 f) DSGVO sowie in Art. 32 DSGVO. Zudem normieren weitere Bestimmungen wie z.B. Art. 24, 25, 36 DSGVO die Datensicherheit.
§ 9 BDSG inklusive Anlage wird durch Art. 32 DSGVO ersetzt. In dieser Bestimmung finden sich lediglich abstrakte Anhaltspunkte zur Umsetzung technischer und organisatorischer Maßnahmen. Konkrete Maßnahmen, wie in der Anlage zu § 9 BDSG aufgezählt, werden in Art. 32 Abs. 1 DSGVO (abgesehen von der Pseudonymisierung und Verschlüsselung) nicht genannt. Die Datensicherheitsgebote (von der Zutritts- bis zur Trennungskontrolle) werden durch Begriffe und Beschreibungen ersetzt, die auf den ersten Blick interpretationsbedürftig erscheinen und die vermutlich noch von den Aufsichtsbehörden bzw. der Praxis konkretisiert werden.
Welche Aspekte bei den technischen und organisatorischen Maßnahmen nach der Datenschutz-Grundverordnung zu beachten sind, können Sie in unserem Artikel Datenschutz-Grundverordnung und Datensicherheit nachlesen.
Es empfiehlt sich aktuell, die Maßnahmen der Datensicherheit in einem Konzept – ähnlich wie bisher nach § 9 BDSG inkl. Anlage – zu dokumentieren und fortlaufend zu aktualisieren.
Drohen Bußgelder trotz DS-Management?
Ein DS-Managementsystem kann zwar bei unbeabsichtigten Datenschutzverstößen nicht mit Sicherheit den Vorwurf der Fahrlässigkeit entfallen lassen, ist jedoch nach Art.?83 Abs.?2 d) zumindest bußgeldmindernd zu berücksichtigen. Zudem ermöglicht ein effizientes System eine schnelle Reaktion des Unternehmens, falls es tatsächlich zu Datenschutzverstößen kommt.
Wie sind Ihre Erfahrungen?
Die Umsetzung der Datenschutz-Grundverordnung wird fast alle Unternehmen vor große Herausforderungen stellen, für welche es in absehbarer Zeit keine Patentlösung geben wird. Daher freuen wir uns, wenn Sie ihre eigenen Erfahrungen mit uns teilen. Wie sieht die Implementierung des DS-Management bei Ihnen aus? Wie ist der aktuelle Stand und wo sehen Sie besondere Probleme?