Noch immer viele Fragen zur Datenschutz-Grundverordnung
Auch weiterhin erreichen uns viele Anfragen zur Datenschutz-Grundverordnung, die am 25.05.2018 bei allen Unternehmen eingeführt und umgesetzt sein muss. Einige immer wieder aufkommenden Fragen habe wir für Sie zusammengefasst.
Engel: Die DS-GVO (EU Datenschutz-Grundverordnung) und die neue Fassung des BDSG (Bundesdatenschutzgesetz) stehen unmittelbar bevor. Dennoch erreichen uns immer noch viele Fragen zur DS-GVO, die die Unternehmen bei der Umsetzung offensichtlich noch beschäftigen.
Welche Informationen gehören denn zu den personenbezogenen oder besonders zu schützenden Daten?
Hartz: Personenbezogene Daten sind alle Informationen und Daten mit denen sich eine natürliche Person identifizierten oder identifizierbar machen lässt. Es genügt schon, wenn Daten vorliegen, die es ermöglichen, dass man dadurch auf eine bestimmte Person schließen kann. Dazu gehören Name, Anschrift, Email-Adressen, IP-Adressen, Bankverbindung, Benutzerkonto, Bild der Person und vieles mehr.
Besonderen Schutz genießen die Daten besonderer Kategorien nach Art. 9 DS-GVO aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Auch die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt sofern keine rechtlichen Grundlagen der Verarbeitung vorliegen. Z.B. durch Einwilligung oder zum Schutz lebenswichtiger Interessen der betroffenen Person.
Engel: Was bedeutet „Nachweisbarkeit“ (Accountability) von Datenschutz bei der DS-GVO?
Hartz: Damit ist gemeint, dass Unternehmen jederzeit nachweisen und belegen können, dass sie umfassende proaktive Maßnahmen zum Datenschutz ergriffen und installiert haben. Dazu gehören angemessene Schulungen und Unterweisungen der Mitarbeiter, Leit- und Richtlinien zum Datenschutz- und zur Datensicherheit im Rahmen eines Datenschutzmanagementsystems (DMS). Je risikobehafteter die Daten und Datenverarbeitung für Betroffene ist oder sein kann umso umfassender muss das DMS eines Unternehmens aufgebaut sein.
Engel: Kann man da nicht einfach eine Software kaufen die das Problem Datenschutz erledigt? Es gibt derzeit doch viele Angebote im Internet die das versprechen.
Hartz: Das stimmt, viele Angebote versprechen den Datenschutz ganz einfach zu lösen. Dabei ist aber zu berücksichtigen, dass es kaum eine Universallösung von der Stange geben kann. Zumal das Übernehmen von vorgefertigten Formularen und Mustern mit anschließendem Ersetzen der „Musterfirma“ durch „eigen Fima“ kaum für gelebten Datenschutz im Unternehmen sorgen kann. Natürlich gibt es bereits viele gute Arbeitshilfen, Muster und Checklisten die bei der Analyse, Einführung und Umsetzung helfen können. Viele dieser Hilfsmittel werden sogar kostenfrei zur Verfügung gestellt. Hier lohnt sich immer ein Blick auf die Webseiten der Aufsichtsbehörden und der Berufsverbände wie BvD www.bvdnet.de und GDD www.ggd.de oder der Bitkom www.bitkom.org .
Darüber hinaus gibt es unterschiedlichste Software für Datenschutzbeauftragte mit denen sich der Datenschutz planen, organisieren und verwalten lässt. Von der Mitarbeiterschulung über die Verfahrensdokumentationen, die Ablage der Verträge zur Auftragsdatenverarbeitung und Tätigkeitsnachweis des DSB kann der gesamte Datenschutz organisiert und dokumentiert werden. Es gibt von der Einzelplatzversion bis zu großen Webanwendungen Lösungen mit denen von KMUs bis zum Konzern der Datenschutz umgesetzt werden kann. Wie schon die Studie des BvD vor einigen Jahren zu Datenschutzsoftware gezeigt hat sind diese Programme ohne die Kenntnis eines Datenschutzbeauftragten jedoch wenig hilfreich. Ohne die Begleitung und Beratung eines qualifizierten DSB ist auch mit der besten Software ein guter Datenschutz nicht zu erreichen.
Engel: Wie findet man einen externen DSB der zum Unternehmen passt oder wer von den eigenen Mitarbeitern darf kein interner DSB sein?
Hartz: Zunächst einmal steht es jedem Unternehmen frei, sich für einen internen oder externen Datenschutzbeauftragten zu entscheiden. Auch wenn einige der aktuellen Landesdatenschutzgesetze für den öffentlichen Bereich externe Datenschutzbeauftragte ausschließen, wird dies mit der Anpassung der Landesdatenschutzgesetze an die DS-GVO geändert.
Nicht als Datenschutzbeauftragte eines Unternehmens benannt werden können Mitglieder der Geschäftsleitung. Auch die Leitung der IT oder der Personalführung schließt sich aus, da sie sich in vielen Bereichen selber kontrollieren würde. Ansonsten kann als Datenschutzbeauftragter jeder Mitarbeiter benannt werden, der über die entsprechende fachliche und persönliche Qualifikation verfügt. Das bedeutet vor allem, dass das Unternehmen ein ausreichendes zeitliches Budget und technische und organisatorische Mittel bereitstellt damit die Funktion als Datenschutzbeauftragter angemessen wahrgenommen werden kann. Es ist auch verantwortlich das der DSB, wenn er noch mit anderen Aufgabenbetraut ist, nicht in Interessenskollisionen gerät. Der große Vorteil des internen Datenschutzbeauftragten ist natürlich, dass er das Unternehmen seine Stärken und Schwächen genau kennt. Ein Nachteil kann sein, dass er oft noch andere Aufgaben wahrnehmen muss und das zeigt die tägliche Praxis, der Datenschutz steht dann manchmal hinten an.
Der Vorteil des externen Datenschutzbeauftragten ist, dass er sich zu 100 % nur mit Datenschutz beschäftigt. Er sollte damit über ein sehr umfangreiches Fachwissen verfügen das der Interne sich meist erst aneignen muss. Der Nachteil ist natürlich, dass er nicht immer anwesend ist und somit den „Flurfunk“ nicht mitbekommt. Daher empfiehlt es sich auch einen internen Datenschutzkoordinator (DSKo) zu installieren der dafür sorgt, dass der externe DSB schnell und umfassend bei Neuerungen informiert wird.
Engel: Wo ist die Ausbildung von Datenschutzbeauftragten geregelt um die Qualifikation zu gewährleisten?
Hartz: Leider gibt es bis heute keine gesetzliche Regelung der Ausbildung für Datenschutzbeauftragte. Von 2-Tagesseminaren bis zu mehrwöchiger Ausbildung und Online-Schulungen ist alles am Markt. Unternehmen sind daher gut beraten bei der Auswahl sorgfältig vorzugehen, sich Ausbildungs- und Fortbildungsnachweise sowie die beruflichen Versicherungen anzusehen. Auch die Mitarbeit in Berufsverbänden oder Referenzen anderer Kunden können hilfreich sein. Das Wichtigste ist allerdings ein persönliches Erstgespräch in dem die gegenseitigen Erwartungen und Vorstellungen für die Umsetzung des Datenschutzes abgestimmt werden. Hilfestellung kann dabei das berufliche Leitbild des BvD e.V. zum DSB geben. Die Qualifikation eines Datenschutzbeauftragten muss immer danach gemessen werden, welche Art der Verarbeitungen von personenbezogenen Daten das jeweilige Unternehmen durchführt. Ein Unternehmen der Werbebranche braucht sicher einen anders qualifizierten Datenschutzbeauftragten als eine Gemeinschaftspraxis oder ein Krankenhaus.
Engel: Wenn ich einen Datenschutzbeauftragten bestellt habe, bin ich als Unternehmen dann aus der Haftung?
Hartz: Nein, verantwortlich bleibt immer die Unternehmensleitung.
Engel: Welche Rechte haben die Aufsichtsbehörden? Muss ich denen Zutritt zum Unternehmen gewähren?
Hartz: Neben den mit der DS-GVO wesentlich erhöhten Bußgeldern haben die Aufsichtsbehörden das Recht im Unternehmen angekündigte und unangekündigte, selbst anlassunabhängige Prüfungen vorzunehmen. Dazu können Sie auf ein Betretungs- und Kontrollrecht zurückgreifen. Wenn es jedoch keine Vorfälle gibt die ein sofortiges Handeln erforderlich machen, wird eine Aufsichtsbehörde zumeist schriftlich um Auskunft oder Stellungnahmen anfragen. Ich gehe auch davon aus, dass Aufsichtsbehörden künftig öfter auf standardisierte Fragebögen zurückgreifen.
Engel: Was bedeutet „privacy by design & default“
Hartz: Unternehmen sollen bereits bei der Planung und Erstellung von Dienstleistungen oder Systemen, mit denen personenbezogene Daten verarbeitet werden, den Datenschutz berücksichtigen. So muss datenschutzgerechte SW u.a. die Möglichkeit beinhalten Zugriffsrechte und Rollen zu definieren oder datenschutzkonformes Löschen zulassen. Erste Softwareanbieter haben bereits Funktionen integriert um z.B. der Auskunftspflicht einfach nachkommen zu können.
Engel: Wie ändern sich die alten toM’s (technisch organisatorischen Maßnahme) nach §9 Anlage BDSG (alt).
Hartz: Die alten Vorgaben von Zutritts-, und Zugangs- und Zugriffskontrolle bis Mandantentrennung haben sicher nicht ausgedient. Aber künftig ist der Fokus von Schutzmaßnahmen an dem Risiko auszurichten das dem Betroffenen durch die Verarbeitung entstehen kann. Neue Vorgaben wie Vertraulichkeit, Integrität oder Belastbarkeit der Systeme sind umzusetzen. Beschreibungen der Datensicherheit, allgemeine Datenschutz- und Sicherheitskonzepte sollten verfügbar und gelebt werden.
Wann haben Sie das letzte Mal den Wiederanlauf der IT nach einem Systemstillstand oder Ihr Backup unter Realbedingungen getestet?
Engel: Wie stellt man „Gewährleistung der Verfügbarkeit“ sicher und weist das nach?
Hartz: Ein gute Möglichkeit sind interne und externe Audits und Zertifizierungen z.B. ISO27001. In meiner Praxis lassen immer mehr Kunden Ihre Systeme durch spezialisierte Unternehmen mittels Penetration-Test überprüfen.
Engel: Wie verhindere ich, dass Unbefugte Zugang auf zu schützende Daten bekommen?
Hartz: Der erste Schritt ist die eigenen Mitarbeiter zu schulen und zu sensibilisieren und die offensichtlichsten Schwachstellen abzustellen. Zugriff zu sensiblen Daten sollten nur eingeschränkte Mitarbeiterkreise erhalten. Unverschlüsselte Laptops und USB-Sticks sind immer ein Risiko und leider weit verbreitet. Auch bei der sicheren Entsorgung von Datenträgern (DIN 66399) wird noch immer leichtfertig vorgegangen. Daten, personenbezogen oder vertrauliche Unternehmensdokumente landen im normalen Abfall. Auch die Nutzung eines offenen WLAN unterwegs oder im Hotel kann ein hohes Risiko darstellen.
Engel: Was ist der wesentliche Unterschied von DS-GVO, BDSG, LDSG (Datenschutz-Grundverordnung, Bundesdatenschutz (n.F.), Landesdatenschutzgesetze)?
Hartz: Die Grundlage des europäischen Datenschutzes, quasi die Basis, ist künftig in alle EU-Ländern die DS-GVO. Darauf aufbauend stehen die nationalen Datenschutz-Anpassungs- und –Umsetzungsgesetze (EU - DSAnpUG-EU). Also bei uns das BDSG (neue Fassung). Darin werden für Unternehmen in den sogg. Öffnungsklauseln Regelungen getroffen, die z.B. die DSB Bestellpflicht für Unternehmen (§38)national gestalten können oder den Beschäftigungsdatenschutz (§26) regeln. Weiter sind im BDSG n.F. und in den Landesdatenschutzgesetzen umfangreiche Regelungen für die sogg. „öffentlichen Stellen“ also Verwaltungsorgane, Behörden, Polizei, etc. getroffen. Wer als Unternehmen Dienstleistungen für Behörden erbringt wird daher unter Umständen auch mit Vorschriften der Landesdatenschutzgesetze konfrontiert. Der Blick auch in das neue BDSG und das LDSG kann im Einzelfall also nicht schaden.
Das Interview führte Robert Engel, Geschäftsführer Raz-Lee Security GmbH mit Jürgen Hartz, externer Datenschutzbeauftragter und stellvertretender Vorstand beim Berufsverband der Datenschutzbeauftragten Deutschland e.V.
Wir danken für das Gespräch.
Über den Autor und Raz-Lee
Das Interview, Abschluss der Artikelserie zur DS-GVO, führt Robert Engel, Geschäftsführer von Raz-Lee Security GmbH mit dem Datenschutzbeauftragten Jürgen Hartz.Seit 2005 berät er Unternehmen in den Fragen des Datenschutzes. Betriebliche Belange und Anforderungen mit den gesetzlichen Vorschriften in Einklang zu bringen ist die besondere Herausforderung dieser Aufgabe. Dabei kommt ihm die eigene unternehmerische Tätigkeit der vergangenen Jahre zu Gute. Als Referent und Moderator ist er bei zahlreichen Datenschutzveranstaltungen aktiv. Er ist stellv. Vorstandvorsitzender des BvD e.V. (Berufsverband der Datenschutzbeauftragten) und in verschieden Gremien tätig. Jürgen Hartz ist per E-Mail über info@jhartz.de erreichbar.