Die Zeit wird Knapp (1)

Bis 25. Mai 2018 ist es nicht mehr weit. Wie Umfragen ergeben haben, sind viele Unternehmen noch immer nicht auf die neuen Vorgaben und Vorschriften vorbereitet. Seit kurzem ist auch das Datenschutz-Anpassungs- und -Umsetzungsgesetz  (DSAnpUG-EU) also das neue Bundesdatenschutzgesetz (BDSG) verabschiedet. Es ergänzt und konkretisiert, in nationalen Öffnungsklauseln, die DS-GVO. Dort sind u.a. der Beschäftigtendatenschutz und die Bestellpflicht des Datenschutzbeauftragten (DSB) geregelt.

Datenschutz-Managementsystem wird Pflicht

Die Datenschutz-Grundverordnung (DS-GVO) erwartet von Unternehmen ein aktives Datenschutz-Management (DMS), das den Schutz der personenbezogenen Daten in Unternehmen sicherstellt. Ab dem 25. Mai 2018 wird das heute in Deutschland gültige BDSG durch die Datenschutz-Grundverordnung (DS-GVO) abgelöst. Dabei ändert sich die Beweislast grundsätzlich. Unternehmen müssen künftig nach- und beweisen, dass Datenschutz und Datensicherheit im Unternehmen umgesetzt und Maßnahmen ergriffen sind, die den Datenschutz i. S. der DS-GVO gewährleisten. Eine echte Herausforderung für alle, die es mit dem Datenschutz bisher noch nicht so furchtbar ernst genommen haben.

Diese Information soll helfen erste Fragen zu beantworten und eine Zusammenfassung der wichtigsten Anforderungen der DS-GVO sein. Jeder Verantwortliche in Unternehmen, vom Geschäftsführer über IT- und Marketingleiter und Personalverantwortliche, sollte die wichtigsten Anforderungen kennen.

Neben 99 Artikeln beinhaltet die DS-GVO zusätzlich 173 Erwägungsgründe (ErwGr). Die Erwägungsgründe erläutern die Artikel und deren Umsetzung. Die Erwägungsgründe stehen in Ihrer Bedeutung den Artikeln der DS-GVO in nichts nach, sie haben quasi Gesetzescharakter. Vorrangig ist daher der Aufbau eines Datenschutz-Managementsystems (DMS). Die dafür relevanten Normen finden sich in der DS-GVO an vielen unterschiedlichen Stellen:

• Art. 5 DS-GVO stellt die Grundsätze für die Verarbeitung personenbezogener Daten auf.
• Art. 30 DS-GVO verlangt vom Verantwortlichen ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Es gibt Ausnahmen für KMU's, aber es empfiehlt sich grundsätzlich eine derartige Dokumentation zur eigenen Transparenz zu führen.
• Art. 32 DS-GVO regelt, dass sowohl der Verantwortliche als auch der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umzusetzen haben, damit sichergestellt ist, dass die Verarbeitung von personenbezogenen Daten gemäß der Datenschutz-Grundverordnung erfolgt. Die Nachweise hierzu müssen erbracht werden.
• Art. 35 DSGVO verpflichtet den Verantwortlichen bei Verarbeitungen, welche ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, eine Abschätzung der Risiken und Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz der personenbezogenen Daten von betroffenen Personen durchzuführen.
• Art.28ff und ErwGr. 81ff legen die Vorgaben zur Auftragsverarbeitung (ehemals Auftragsdatenverarbeitung) fest. Auftraggeber und Verarbeiter haben künftig jeder eigene Verfahrensverzeichnisse zu führen und zu dokumentieren. Neu ist, dass mit der DS-GVO jetzt auch dem Dienstleister (zukünftig: Verarbeiter) eigene Verantwortlichkeiten obliegen und ihn Haftungsrisiken und Bußgelder direkt treffen können. Auch können sich betroffene Personen künftig mit ihren Auskunftsansprüchen oder mit Schadenersatzforderungen unmittelbar an den Verarbeiter wenden. Verantwortlicher und Auftragsverarbeiter sind gleichermaßen haftbar.

Nachweispflichten für Unternehmen (Beweislastumkehr)

Die DS-GVO bringt umfassende Nachweispflichten für Unternehmen mit sich (so genannte Accountability). Die Unternehmen müssen nicht nur sicherstellen, dass sie die Vorgaben der DS-GVO erfüllen, sondern dies zudem auch gegenüber den Aufsichtsbehörden oder dem Datenschutzbeauftragten nachweisen können (Art. 5 Abs. 2 DS-GVO).
Somit müssen die Unternehmen belegen können, dass sie geeignete Datenschutzrichtlinien und angemessene Datenschutzvorkehrungen installiert haben und umsetzen. Erfüllen Unternehmen diese Anforderungen nicht, drohen Anordnungen der Aufsichtsbehörden, Bußgelder und/oder Schadenersatzansprüche. So ist quasi eine Beweislastumkehr entstanden. Unternehmen müssen präventiv ihre Maßnahmen zum Datenschutz belegen können – bevor überhaupt etwas passiert ist.

Zu empfehlen - Datenschutzrichtlinie

Die unternehmensweite Datenschutzrichtlinie sollte mindestens folgende Punkte  umfassen:

Datenschutzorganisation und Verantwortlichkeiten

Was nützen die besten Leit- und Richtlinien, wenn sie nicht gelebt werden? Je nach Größe des Unternehmens kann es sich empfehlen zusätzlich zu dem Datenschutzbeauftragten des Unternehmens einen (oder mehrere) Datenschutz-Koordinator (DSKo) zu benennen, der als Koordinierungsstelle zwischen dem Datenschutzbeauftragten und den Mitarbeitern in den Abteilungen dient. Dieser sollte im Unternehmen gut vernetzt und akzeptiert sein. Er hat auch dafür Sorge zu tragen, dass alle datenschutzrechtlich relevanten Sachverhalte aus den Abteilungen oder Informationen über neue Dienstleister, Kooperationen oder Vorhaben der Verarbeitung rechtzeitig an den Datenschutzbeauftragten weitergeleitet werden. Schulung und Sensibilisierung der Mitarbeiter sollten jedoch vom Datenschutzbeauftragten durchgeführt werden, so wie es die DS-GVO vorsieht. Auch bei der Zusammenarbeit mit externen Datenschutzbeauftragten empfiehlt sich ein DSKo als direkte Schnittstelle zwischen dem Unternehmen und dem DSB.

Einbindung des Datenschutzbeauftragten

In einer Datenschutzrichtlinie sind Fälle zu definieren, in denen die Mitarbeiter den Datenschutz¬beauftragten anzusprechen und einzubinden haben. Setzt das Unternehmen hingegen auf Datenschutzkoordinatoren, gelten diese Fälle auch für die Meldung oder Einbindung an die Koordinatoren. Ausgenommen sind alle vertraulichen Anfragen, in denen die Rechte des Mitarbeiters selbst betroffen sind und direkte persönliche Anfragen betroffener Personen an den DSB. Als solche an den DSB zu meldenden Vorgänge gelten insbesondere (aber nicht ausschließlich):

• Beschwerden von Betroffenen (Mitarbeitern, Kunden)
• Einführung neuer Systeme/Tools
• Einsatz eines neuen Verarbeiters (Dienstleisters)
• Werbemaßnahmen (z.B. Versand von Newslettern), Online-Marketing-Maßnahmen (Google AdWords, Conversion Tracking, etc.)
• Einführung von neuen Systemen/Tools die der Mitarbeiterüberwachung oder –bewertung dienen
• Auch Mitarbeiter- und Kundenbefragungen können datenschutzrelevant sein.

Immer einbezogen werden sollte der DSB, wenn es um Einwilligungen zur Verarbeitung besonderer Kategorien personenbezogener Daten und vor allem um Daten Nicht-Volljähriger geht. Im Unternehmen sollte der Datenschutzbeauftragte die datenschutzrechtlich relevanten Sachverhalte definieren und in die Datenschutzrichtlinie aufnehmen lassen. Diese Auflistung kann und muss nicht abschließend sein, sondern sollte vor allem als Handlungshilfe für die Mitarbeiter dienen und nachträglich ergänzt werden können. Die Verantwortung für den Datenschutz verbleibt immer beim Verantwortlichen - sie kann nicht an den DSB delegiert werden, der zukünftig wohl auch namentlich der Aufsichtsbehörde gemeldet werden muss.

Verzeichnis von Verarbeitungstätigkeiten

Um personenbezogene Daten nach Maßgaben der DS-GVO schützen zu können, muss das verantwortliche Unternehmen ermitteln, in welchen Fällen personenbezogene Daten z. B. von Kunden, Lieferanten oder Beschäftigten verarbeitet werden. Zunächst bietet es sich an, alle Systeme bzw. Tools im Unternehmen aufzulisten, in denen personenbezogene Daten gespeichert werden. Eine solche Vorgehensweise ist aus zweierlei Gründen sinnvoll: Zum einen können dadurch die Datenflüsse im Unternehmen ermittelt und definiert werden. Zum anderen wird ein erster Grundstein für das Verzeichnis von Verarbeitungstätigkeiten gelegt, zu dessen Führung der Verantwortliche nach Art. 30 DSGVO verpflichtet ist. Künftig wird nicht mehr zwischen internem und öffentlichem Verfahrensverzeichnis unterschieden, wie wir dies vom BDSG kennen. Das öffentliche Verfahrensverzeichnis entfällt. Im künftigen Verzeichnis sind die wesentlichen Informationen zu Datenverarbeitungstätigkeiten zusammenzufassen, insbesondere die Angaben zum Zweck der Verarbeitung, und eine Beschreibung der Kategorien der Daten, der betroffenen Personen und möglicher Empfänger. Die neuen Verzeichnisse von Verarbeitungstätigkeiten ähneln inhaltlich den bisherigen internen Verfahrensverzeichnissen. Wer dies schon immer gut gepflegt hat ist schon im Vorteil. Künftig sind umfassendere Auskünfte an Betroffene zu erteilen. Wenn keine anderen Auskunftssysteme verfügbar sind, wird das Verzeichnis zumeist der Grund für die Auskunft sein.

Um Unübersichtlichkeit zu vermeiden, sollten nicht alle Verarbeitungstätigkeiten in ein einzelnes Dokument gepackt werden Das Verzeichnis sollte daher in der Praxis aus verschiedenen Einzeldokumenten bestehen. So kann z. B. für jedes Tool bzw. System (z.B. Zeiterfassungssystem, CRM-System, Bewerbertool, HR-Managementtool, etc.) ein eigenes beschreibendes Dokument zur Verarbeitungstätigkeit erstellt werden.

Zur Fortsetzung

Dieser Artikel wird Ihnen in Zusammenarbeit von Raz-Lee Security GmbH und dem Datenschutzbeauftragten Jürgen Hartz präsentiert.

Jürgen Hartz, ist als externer Datenschutzbeauftragter für verschiedene mittelständige Unternehmen bestellt. Er war viele Jahre im Kundendienst in leitenden Funktionen bei internationalen Unternehmen tätig. Zuletzt über 10 Jahre Alleingesellschafter und Geschäftsführer eines Kundendienstunternehmens für Consumerelektronik mit über 120
Mitarbeitern.

Seit 2005 berät er Unternehmen in den Fragen des Datenschutzes. Betriebliche Belange und Anforderungen mit den gesetzlichen Vorschriften in Einklang zu bringen ist die besondere Herausforderung dieser Aufgabe. Dabei kommt ihm die eigene unternehmerische Tätigkeit der vergangen Jahre zu Gute. Als Referent und Moderator ist er bei zahlreichen Datenschutzveranstaltungen aktiv. Er ist stellv. Vorstandvorsitzender des BvD e.V. (Berufsverband der Datenschutzbeauftragten) und in verschieden Gremien tätig. Jürgen Hartz ist per E-Mail über info@jhartz.de erreichbar.