5 vor 12 - was tun?

DS-GVO: 5 vor 12 - was tun? (5)

Die aktuelle Datenschutz-Grundverordnung gilt nur noch fünf Monate – und wie geht es dann weiter?

Wie es nach der aktuellen Datenschutz-Grundverordnung für Sie weitergeht, hängt  sehr davon ab, was Sie hinsichtlich des Datenschutzes nach der letzten Novelle vorbereitet und umgesetzt haben. Stellen Sie sich dazu folgende Fragen:

  • Sind die Verantwortlichkeit und die Struktur im Unternehmen geregelt?
  • Ist ein qualifizierter Datenschutzbeauftragter wirksam bestellt?
  • Wurden der DSB und seine Funktion im ganzen Unternehmen bekannt gemacht?
  • Sind Verfahren mit Beteiligung personenbezogener Daten dokumentiert?
  • Gibt es eine Datenschutzleitlinie?
  • Gibt es Richtlinien und Verfahrensanweisungen zum Datenschutz und zur IT-Sicherheit?
  • Wurden Vorabkontrollen für Verfahren mit risikobehafteten Verfahren (zum Beispiel Videoüberwachung und die Verarbeitung von sensiblen Daten nach § 3 Abs. 9) durchgeführt?
  • Erfolgen Schulungen und Sensibilisierungen für die Mitarbeiter?
  • Sind alle Mitarbeiter auf das Datengeheimnis nach § 5 BDSG verpflichtet?
  • Wurden technische und organisatorische Maßnahmen (toM) für die eigenen Verarbeitungen mit personenbezogenen Daten den möglichen Risiken entsprechend festgelegt?
  • Ist ein angemessenes IT-Sicherheitskonzept abgestimmt?
  • Gibt es Desaster-Recovery- und Wiederanlaufpläne?
  • Sind Verfahren zur Sicherstellung von Betroffenenrechten, insbesondere auf Auskunft, installiert, und sind diese allen Mitarbeitern geläufig?
  • Sind Prozesse und Verfahren zur Meldung, Bewertung und Durchführung von Meldepflichten bei Datenpannen etabliert?
  • Werden mit Dienstleistern Vereinbarungen zur Auftragsdatenverarbeitung abgeschlossen?
  • In dem Fall sind Weisungs- und Kontrollrechte, technische und organisatorische Maßnahmen, Löschvorgaben sowie die Zugangs- und Zugriffskontrolle festgelegt. Auch erfolgen regelmäßige Audits bei Dienstleistern, die sensible Verarbeitungen durchführen – persönlich vor Ort und durch angeforderte Eigenbestätigungen, Frageaktionen oder die Vorlage von anerkannten Zertifikaten.
  • Ist überprüft, ob eine aktuelle Aufstellung aller Dienstleister, die pbD im Auftrag verarbeiten oder daran beteiligt sind, vorliegt?
  • Ist eine aktuelle Aufstellung aller Software-Tools und Dateien, mit denen regelmäßig pbD verarbeitet werden, vorhanden?
  • Haben Sie schon einen Testlauf zur Datenauskunft nach § 34 BDSG durchgeführt?

Nachdem Sie sich die Fragen gestellt haben, empfiehlt es sich, in einer Firmenzentrale anzurufen und nach dem Datenschutzbeauftragten zu fragen. Sie werden sehen, dass dieser häufig nicht erreichbar ist bzw. gar nicht existiert.

Wenn Sie die meisten der oben genannten Fragen mit Nein oder „weiß nicht“  beantwortet haben, ist es an der Zeit, für den Datenschutz zu sorgen.

Sind Sie DS-GVO-ready?

Es gibt bereits Checklisten und Produkte, die Ihnen helfen können, eine erste Einschätzung zur DS-GVO Readyness zu treffen. Einen umfangreichen Fragenkatalog hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach auf seiner Website  Darüber hinaus bietet es einen Online-Test an, mit Hilfe dessen man sich auf eine Reise durch das „Datenschutz-Europa“ begeben kann: hier.  Testen Sie Ihr Datenschutzwissen spielerisch. Idealerweise machen die Geschäftsführung und die Abteilungsverantwortlichen mit.

Für den Fall, dass Sie für den Datenschutz und die DS-GVO noch nicht ganz fit sind, sollten Sie schnellstmöglich so vorgehen:
Wenn im eigenen Unternehmen das fachliche Know-how vorhanden ist, legen Sie ein angemessenes und realistisches Zeitbudget für Ihren DSB fest, um die Vorbereitung und Umsetzung des Projekts auf die DS-GVO zu vollziehen. Haben Sie die fachliche Kompetenz nicht im eigenen Unternehmen, dann holen Sie sich am besten professionelle Hilfe durch einen externen Datenschutzbeauftragten.

Unterstützung bei der Auswahl eines qualifizierten DSB finden Sie beim Berufsverband der Datenschutzbeauftragten BvD e.V. Hier  finden Sie kostenfrei eine Liste aller DSB, die sich auf das berufliche Leitbild des Verbandes verpflichtet haben. Fordern Sie auch das berufliche Leitbild an.

Starten Sie Ihr eigenes DS-GVO-Projekt

Da die Zeit drängt, sollten Sie das Thema DS-GVO wie ein wichtiges Projekt angehen. Legen Sie klare Ziele, Teilziele sowie Ressourcen- und Maßnahmenpläne fest und vergessen Sie dabei nicht: Datenschutz ist kein Projekt, das endet, sondern bleibt ein permanenter Prozess.

Stellen Sie dem (externen) DSB einen im Unternehmen anerkannten und gut vernetzten Datenschutzkoordinator (DSKo) zur Seite, der das Vertrauen der Geschäftsleitung genießt und die Besonderheiten des Unternehmens sowie viele Abläufe und Verfahren kennt. Er stellt so die Schnittstelle zum Datenschutzbeauftragten her, ohne das direkte Vortragsrecht des DSB zur Geschäftsführung aufzuheben.

Führen Sie eine DS-GVO-Kick-off-Veranstaltung mit Beteiligung der Geschäftsführung durch und machen Sie die Prioritäten des Projekts deutlich. Gibt es einen Betriebsrat oder eine Personalvertretung, dann binden Sie diese unbedingt mit ein.

Das sind Ihre Aufgaben:

  1. Die Geschäftsleitung informieren
  2. Die Datenschutzkoordinatoren installieren
  3. Die Verantwortlichen in den Abteilungen, die als Ansprechpartner zuarbeiten, identifizieren
  4. Die Verantwortlichen schulen und unterweisen
  5. Die Datenschutzleitlinie erstellen
  6. Die Datenschutzrichtlinie mit Anlagen und Musterverträgen erstellen
  7. Handlungsanweisungen sowie Organisations- und Umsetzungshilfen erstellen
  8. Ein vollständiges Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO  erfassen (Dokumentation)
  9. Alle Verarbeiter (Dienstleister) mit der Art der Verarbeitung und den Datenkategorien erfassen, ein aktuelles Verzeichnis führen und pflegen sowie die erforderlichen Verträge zur Auftragsverarbeitung nach Art. 28 DS-GVO prüfen (fehlende Verträge nachholen)
  10. Alle Auftraggeber, bei denen das Unternehmen selbst als Verarbeiter tätig ist, erfassen sowie ein aktuelles Verzeichnis führen und pflegen
  11. Ein Datenschutz-Managementsystem (DSMS) aufbauen und pflegen (Empfehlung: Anbindung an ein bestehendes System, zum Beispiel QM)
  12. Die Mitarbeiter schulen, unterweisen und für den Datenschutz sensibilisieren
  13. In einen Regelbetrieb Datenschutz übergehen, zum Beispiel PDCA-Zyklus.

Idealerweise besteht bereits ein Managementsystem im Unternehmen, zum Beispiel zur Qualitätssicherung (ISO9001) oder zur IT-Sicherheit (ISO27001). Binden Sie das Datenschutz-Managementsystem darin ein.

Notwendige Prozesse und Strukturen

Wahrung der Betroffenenrechte

Betroffene können nach der DS-GVO verschiedene Möglichkeiten zur Geltendmachung ihrer Rechte nutzen, so etwa die Wahrnehmung des Auskunftsrechts nach Art. 15 DS-GVO, welches viel umfangreicher ist als das bisherige Recht nach § 34 BDSG. Ebenso sieht die DS-GVO ein Recht auf Berichtigung (Art. 16 DS-GVO), ein „Recht auf Vergessenwerden“ (Art. 17 Abs. 2 DS-GVO), ein Recht auf Datenübertragbarkeit (Art. 18 Abs. 1 DS-GVO) und ein Widerspruchsrecht (Art. 21 DS-GVO) vor. Daher sollten Unternehmen ein System einrichten, das gewährleitet, dass Beschwerden oder Anfragen Betroffener erkannt, intern richtig adressiert und zügig bearbeitet werden.

Die Wertigkeit der Betroffenenrechte legt nahe, dass, wenn keine angemessene Reaktion erfolgt und Betroffene die zuständigen Aufsichtsbehörden einschalten, mit entsprechenden Maßnahmen zu rechnen ist. Verschiedene Aufsichtsbehörden haben für diese Fälle Online-Formulare auf ihrer Webseite bereitgestellt, womit es für die Betroffenen einfacher wird, Beschwerden einzureichen.

Transparenz herstellen

Das Transparenzgebot ist wohl eines der wichtigsten Gebote der DS-GVO. Bei der Verarbeitung personenbezogener Daten durch die verantwortliche Stelle, insbesondere bei der Verarbeitung der Daten der eigenen Mitarbeiter, müssen die betroffenen Personen bezüglich der geplanten Datenverarbeitung rechtzeitig und umfassend informiert werden. Im Vergleich zum dem BSDG enthält die DS-GVO deutlich erweiterte Mitteilungs- und Hinweispflichten (Art. 13 und 14 DS-GVO), vor allem dahingehend, dass der Zweck und die Zweckänderung einer erstmaligen Erhebung oder geplanten Datenverarbeitung transparent artikuliert werden müssen. Unternehmen sind verpflichtet, ein Löschkonzept mit entsprechenden Löschfristen zu entwickeln und diese bekannt zu geben. Kontaktdaten des DSB sind anzugeben; gegebenenfalls ist die Anschrift der zuständigen Aufsichtsbehörde mitzuteilen.

Dokumentation

Die DS-GVO enthält zahlreiche Dokumentationspflichten, wie zum Beispiel das Führen eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DS-GVO) (eine Ausnahme gilt für KMU mit weniger als 205 Mitarbeitern), die Dokumentation bei Auftragsverarbeitungsverhältnissen für Auftraggeber und Verarbeiter (früher Auftragnehmer) (Art. 28 Abs. 2 lit. a) sowie die Bewertung und rechtzeitige Meldung von Datenschutzvorfällen (Art. 33 Abs. 5 DS-GVO). Besonders wenn interne Gremien bei der Bewertung von Vorfällen zu der Entscheidung kommen, keine Meldung abgeben zu wollen, sollten der Sachverhalt und die Entscheidungsfindung umfassend dokumentiert werden.

Vertragsmanagement

Zur Dokumentation der Datenschutz-Accountability sollten auf jeden Fall die aktuell zu haltende Ablage der Verträge, die Dokumentation, die zur qualifizierten Auswahl von Dienstleistern geführt hat, die Auftragsdatenverarbeitungsverträge (ADV), die Verträge zur Übermittlung von personenbezogenen Daten, die Verträge für Fernwartungen sowie sonstige Verträge, die die Verarbeitung personenbezogener Daten beinhalten, gehören.

Unternehmen sollten ein Vertrags- und Ablagemanagement für alle Verträge mit datenschutzrechtlichem Bezug zu Art. 28 und 29 DS-GVO einführen. Auch sollten sie bis zur Geltendmachung der DS-GVO sicherstellen, dass alle eingesetzten Dienstleister und bestehenden Verträge erfasst und auf die Vorgaben der GS-GVO geprüft sind. Da künftig auch die Verarbeiter (Auftragnehmer) mit in die Haftungspflichten kommen, gilt diese Vorgabe natürlich unbedingt auch für jeden Verarbeiter von personenbezogenen Daten.

Privacy by Design & Privacy by Default

Künftig sind Unternehmen dazu verpflichtet, Datenschutzvorschriften im Vorfeld bereits durch eine datenschutzfreundliche Gestaltung der eingesetzten IT und entsprechende Voreinstellungen nach Art. 25 DS-GVO umzusetzen. Dies muss erfolgen durch auf Datenminimierung ausgerichtete IT-Systeme und geeignete technische Maßnahmen, zum Beispiel eine möglichst frühe Pseudonymisierung von personenbezogenen Daten. Dazu gehört unter anderem die sichere Verschlüsselung von IT-Systemen, Datenträgern und Kommunikation.

Datenschutzfolgenabschätzung

Als Ersatz für die derzeit geltende Vorabkontrolle und beim Einsatz von Verfahren mit hohem Risiko für die Rechte und Freiheiten natürlicher Personen ist der Verantwortliche künftig verpflichtet, vor dem erstmaligen Einsatz des Verfahrens eine sogenannte Datenschutzfolgenabschätzung (DFA) (Art. 35 DS-GVO) vorzunehmen und zu dokumentieren. Zur Durchführung und Dokumentation eines solchen Verfahrens sollte rechtzeitig ein Konzept erstellt werden, und es sollten entsprechende Verfahrensdokumentationen erarbeitet werden.

Einwilligung

Auch wenn die Einwilligung vielfach als Freibrief für die Verarbeitung gesehen wird, sollte sie gewissenhaft eingesetzt werden. Die DS-GVO stellt hohe Anforderungen an die Einwilligung betroffener Personen in die Verarbeitung ihrer personenbezogenen Daten. Daher sollte gut geprüft und dokumentiert werden, auf welcher Grundlage personenbezogene Daten verarbeitet werden. Bestehende Prozesse und Dokumente für Einwilligungen sind auf ihre Konformität nach Art. 7 DS-GVO umzustellen. Nach dem Beschluss des Düsseldorfer Kreises vom 14. September 2016 gelten bisher erteilte Einwilligungen fort, sofern sie der Art nach den Bedingungen der Datenschutz-Grundverordnung entsprechen (Erwägungsgrund 171, Satz 3 DS-GVO).

Da je nach Art des Unternehmens und seiner Geschäftstätigkeit die erforderlichen Maßnahmen, Prozesse und Anforderungen sehr unterschiedlich sind und es noch einige mehr als die zuvor genannten gibt, kann die Lösung von der Stange oder der Kauf einer alles lösenden Software, eines Datenschutzhandbuchs, einer Formularsammlung oder dergleichen nicht das Nonplusultra sein. Vielmehr sind Unternehmen, Mitarbeiter und Datenschutzbeauftragte gefordert, ihre Verarbeitungen und Prozesse mit personenbezogenen Daten kritisch zu analysieren und zu bewerten sowie angemessene Maßnahmen zu erarbeiten und umzusetzen, um den Datenschutz im Unternehmen sicherzustellen.

Die Datenschutz-Grundverordnung ist auch eine Chance für den Datenschutz und die Unternehmen, die personenbezogene Daten für sich selbst oder als Dienstleister im Auftrag für Dritte verarbeiten. Datenschutzverletzungen werden künftig noch existenzbedrohlicher sein  – nicht nur aufgrund der gestiegenen Bußgelder, nein, Betroffene und Partner werden sensibel reagieren, wenn durch schlechten oder fehlenden Datenschutz und mangelnde IT-Sicherheit sonst vermeidbare Datenschutzpannen passieren.  

So ist es dringend geraten, sich auf den Weg in Richtung besseren Datenschutz zu begeben.

 

Dieser Artikel wird Ihnen in Zusammenarbeit der Raz-Lee Security GmbH mit dem Datenschutzbeauftragten Jürgen Hartz präsentiert.

Raz-Lee Security ist ein führender internationaler Anbieter von Sicherheits-, Auditing-und Compliance-Lösungen (SOX, PCI, HIPAA, etc.) für die IBM i. Zu den Raz-Lee-Kunden zählen Unternehmen jeder Größe, von KMUs bis zu Unternehmen mit Hunderten von Systemen in allen vertikalen Märkten und Branchen. Finanzinstitute wie Banken und Versicherungen sind besonders zahlreich unter der Raz-Lee-Klientel vertreten.

Jürgen Hartz ist als externer Datenschutzbeauftragter für verschiedene mittelständische Unternehmen bestellt. Er war viele Jahre im Kundendienst in leitenden Funktionen bei internationalen Unternehmen tätig. Zuletzt war er mehr als zehn Jahre lang Alleingesellschafter und Geschäftsführer eines Kundendienstunternehmens für Consumer-Elektronik mit über 120 Mitarbeitern.

Seit 2005 berät er Unternehmen in Fragen des Datenschutzes. Betriebliche Belange und Anforderungen mit den gesetzlichen Vorschriften in Einklang zu bringen ist die besondere Herausforderung seiner Aufgabe. Dabei kommt ihm die eigene unternehmerische Tätigkeit der vergangenen Jahre zugute. Als Referent und Moderator ist er bei zahlreichen Datenschutzveranstaltungen aktiv. Er ist stellvertretender Vorstandsvorsitzender des BvD e. V. (Berufsverband der Datenschutzbeauftragten) und in verschiedenen Gremien tätig. Jürgen Hartz ist per E-Mail über info@jhartz.de erreichbar.