Spieglein, Spieglein an der Wand, wer ist für den Datenschutz vorbenannt?
28.03.2018
Foto: © oliavlasenko - adobe.stock.com
Risikoeinschätzungen
Eine Datenschutzfolgeabschätzung ist durchzuführen, wenn bei der geplanten Verarbeitung der Daten ein Risiko für die Person besteht, deren personenbezogene Daten gespeichert und verarbeitet werden sollen. Sollte es bei dieser Risikobewertung zu einer hohen Risikoeinschätzung kommen, muss die Aufsichtsbehörde vorab konsultiert werden. Entscheidend bei der Einschätzung ist, dass das hohe Risiko nicht durch technische oder organisatorische Schritte minimiert werden kann. Generell gilt auch hier wieder die Nachweisbarkeit und Nachvollziehbarkeit sicherzustellen, was mittels entsprechender Dokumentation geschehen kann.
Dokumentationspflichten mit der EU-DSGVO
Eines ist von Anfang an klar: Unternehmen haben die Verantwortung, die durch die EU-DSGVO vorgeschriebenen Maßnahmen umzusetzen. Das betrifft insbesondere den Nachweis, dass die Verarbeitung von personenbezogenen Daten auch in Bezug auf Datenschutz konform ist. Um das sicherzustellen, gibt es eine Reihe von Pflichten. Im Kern geht es hierbei um Aufzeichnungen, die als Nachweis gegenüber Datenschutzbehörden dienen sowie im Rahmen von gerichtlich angeordneten Überprüfungsverfahren genutzt werden bzw. unter anderem auch, um Betroffene entsprechend zu informieren.
Das ganze Prozedere lässt sich am ehesten mit der Einführung eines neuen Managementsystems für den Datenschutz vergleichen. Dabei liegen die Unterschiede in der Größe der Unternehmen, den jeweils gespeicherten und verarbeiteten personenbezogenen Daten wie auch der Menge bzw. der Qualität der jeweiligen Daten. Damit ein solches Datenschutzmanagementsystem eingerichtet werden kann, sind die nachfolgenden Voraussetzungen wichtig:
- In Bezug auf die Dokumentationspflicht: In welchem Umfang soll dokumentiert werden?
- Die jeweiligen Grenzen müssen klar definiert sein.
- Die einzelnen Prozesse zur Sicherstellung müssen vorliegen bzw. eingeführt werden.
Rechtssicherheit jederzeit
Unabhängig von den Fähigkeiten der Mitarbeiter im Unternehmen und dem Vertrauensverhältnis kann mit dem Datenschutzmanagementsystem und seinen definierten Prozessen das Thema Rechenschaftspflicht versachlicht werden. Kein Bauchgefühl muss länger für einen Prozess herhalten, der auf einfachste Weise mittels interner Audits transparent dargestellt werden kann.
Grundregeln im Datenschutz3:
- Personenbezogene Daten dürfen nur unter Einhaltung aller Grundsätze, die in der EU-DSGVO geregelt sind, verarbeitet werden.4
- Der Verantwortliche muss die Einhaltung der Verpflichtungen aus den EU-DSGVO nachweisen können.
- Zur Verantwortung gehört auch die Überwachung der eingerichteten Maßnahmen und Aufgaben und ggf. diese auf den neuesten Stand zu bringen.
- Alle Verantwortlichen verpflichten sich, die geeigneten technischen und organisatorischen Maßnahmen zu ergreifen, die zum Schutz der personenbezogenen Daten und für die gesamte Informationssicherheit notwendig sind.
Bei der Umsetzung ist das Verzeichnis von Verarbeitungstätigkeiten ein wesentlicher Baustein.
Verzeichnis von Verarbeitungstätigkeiten5
Im Bundesdatenschutzgesetz (BDSG) steht es seit Jahren drin. Jetzt ist es auch in der EU-DSGVO vorgeschrieben. Es geht um das sogenannte Verzeichnis von Verarbeitungstätigkeiten. Unternehmen sind verpflichtet, dieses zu erstellen und fortlaufend aktuell zu führen. In diesem Verzeichnis werden für jeden Verarbeitungsprozess von personenbezogenen Daten die erforderlichen Informationen gesammelt. Dabei handelt es sich im Wesentlichen um die Information, welche personenbezogenen Daten erfasst, verarbeitet, gespeichert und archiviert werden.
Das Verzeichnis muss Aussagen über folgende Punkte geben:
- Betroffene
- Art der Daten
- Beteiligte
- Speicher
- Verwendungszweck
- Weitergabe an Dritte
- Drittstaaten
- Technische und organisatorische Maßnahmen
Verfahren zweckmäßig und nachvollziehbar beschreiben
Anhand obiger Aufzählung und mit Kenntnissen aus dem Qualitätsmanagement ist ersichtlich, dass hier vergleichbare Informationen wie bei einem Herstellungsprozess abgefragt werden. Bei einem Herstellungsprozess werden bspw. mithilfe der Turtle-Methode nach den wesentlichen Prozesseinflussfaktoren gefragt und diese beschrieben. Es wird das Input und das Output beschrieben, dann wird dargelegt, mit welchen Werkzeugen, welcher Ausrüstung, nach welchen Methoden und Verfahren gearbeitet wird, welche Personen beteiligt sind, welches Know-how erforderlich ist und letztendlich mit welchen Kennzahlen (KPIs) der Prozess überwacht wird. Somit kann der jeweilige Verarbeitungsprozess, z. B. für die Erfassung und Verarbeitung von Personalstammdaten, mit der bewährten Methode des Qualitätsmanagements um die Aspekte des Datenschutzes erweitert werden. Eine Mustervorlage für ein Verzeichnis von Verarbeitungstätigkeiten wird von den deutschen Datenschutzaufsichtsbehörden zur Verfügung gestellt.
Sämtliche Unternehmen unterliegen einer Meldepflicht gegenüber ihrer jeweils zuständigen Datenschutzaufsichtsbehörde.
Datenverletzungen sind meldepflichtig6
Kommt es zu einer Datenverletzung, dann ist diese innerhalb von 72 Stunden (der jeweils zuständigen Datenschutzbehörde) zu melden. Hieraus ergeben sich zwei wesentliche Herausforderungen für Unternehmen: Erstens die Identifikation von Datenverletzungen und zweitens die fristgerechte Meldung der Datenverletzung. Somit müssen Unternehmen kontinuierlich ihre Verarbeitungsprozesse unter anderem auf Datenverletzungen überwachen, um in der Lage zu sein, diese dann zu melden. Zu diesem Zweck ist die Bereitstellung eines Online-Tools geplant. Ist davon auszugehen, dass die Datenverletzung aller Voraussicht nach nicht zum Risiko für Betroffene wird, dann entfällt ausnahmsweise die Meldepflicht.
Der Verantwortliche hat laut EUDSGVO die Verpflichtung, jede einzelne Datenverletzung festzuhalten und entsprechend zu dokumentieren. Hierbei gilt es, alle Fakten, die möglichen Auswirkungen und die eingeleiteten Abhilfemaßnahmen zu dokumentieren. Wird eine Datenpanne festgestellt, so muss diese ohne Verzögerung dem Verantwortlichen gemeldet werden. Zusätzlich muss nach Artikel 34 geprüft werden, ob der/die Betroffenen informiert werden müssen.
Einwilligungen jederzeit widerrufen
Grundsätzlich ist die Verarbeitung von personenbezogenen Daten nicht gestattet, außer es wurde hierfür eine Erlaubnis erteilt. Eine erteilte Einwilligung kann in diesem Fall als Erlaubnis genutzt werden. Dabei muss das Unternehmen in der Lage sein, diese Einwilligung als Nachweis zu liefern.
Eine unmissverständliche Willensbekundung kann zum Beispiel als Erklärung in Textform, als E-Mail, per Fax oder als Dokumentenscan vorliegen. Weiterhin ist eine eindeutige Handlung zur Bestätigung, wie zum Beispiel die Einwilligung über einen Mausklick möglich, sofern dieser unter anderem rechtmäßig und leicht verständlich gestaltet und an keine anderen Bedingungen gekoppelt ist. Die Einwilligung muss vom Betroffenen jederzeit widerrufen werden können. Dabei ist sicherzustellen, dass der Widerruf so leicht wie möglich erteilt werden kann. Entscheidend hierbei ist, dass der Verantwortliche mittels Dokumentation den Nachweis erbringen kann, dass die Einwilligung zu jedem Zeitpunkt widerrufbar ist.
weiter auf Seite 3