„Spieglein, Spieglein an der Wand, wer ist für den Datenschutz vorbenannt?“
16.03.2018
Peter Suhling, Inhaber suhling management Consulting (li) und Alexander Glöckner Geschäftsführer Glöckner & Schuhwerk GmbH (re.) Foto: © suhling management Consulting / Glöckner & Schuhwerk GmbH
Das ganze Prozedere lässt sich am ehesten mit der Einführung eines neuen Managementsystems für den Datenschutz vergleichen. Dabei liegen die Unterschiede in der Größe der Unternehmen, den jeweils gespeicherten und verarbeiteten personenbezogenen Daten wie auch der Menge bzw. der Qualität der jeweiligen Daten. Damit ein solches Datenschutzmanagementsystem eingerichtet werden kann, sind die nachfolgenden Voraussetzungen wichtig:
- In Bezug auf die Dokumentationspflicht: In welchem Umfang soll dokumentiert werden.
- Die jeweiligen Grenzen müssen klar definiert sein.
- Die einzelnen Prozesse zur Sicherstellung müssen vorliegen bzw. eingeführt werden.
Rechtssicherheit jederzeit
Unabhängig von den Fähigkeiten der Mitarbeiter im Unternehmen und dem Vertrauensverhältnis kann mit dem Datenschutzmanagementsystem und seinen definierten Prozessen das Thema Rechenschaftspflicht versachlicht werden. Kein Bauchgefühl muss länger für einen Prozess herhalten, der auf einfachste Weise mittels interner Audits transparent dargestellt werden kann.
Grundregeln im Datenschutz :
• Personenbezogene Daten dürfen nur unter Einhaltung aller Grundsätze, die in der EU-DSGVO geregelt sind, verarbeitet werden.
• Der Verantwortliche muss die Einhaltung der Verpflichtungen aus den EU-DSGVO nachweisen können.
• Zur Verantwortung gehört auch die Überwachung der eingerichteten Maßnahmen und Aufgaben und ggf. diese auf den neuesten Stand zu bringen.
• Alle Verantwortlichen verpflichten sich, die geeigneten technischen und organisatorischen Maßnahmen zu ergreifen, die zum Schutz der personenbezogenen Daten und für die gesamte Informationssicherheit notwendig sind.
Bei der Umsetzung ist das Verzeichnis von Verarbeitungstätigkeiten ein wesentlicher Baustein.
Verzeichnis von Verarbeitungstätigkeiten
Im Bundesdatenschutzgesetz (BDSG) steht es seit Jahren drin. Jetzt ist es auch in der EU-DSGVO vorgeschrieben. Es geht um das sogenannte Verzeichnis von Verarbeitungstätigkeiten. Unternehmen sind verpflichtet, dieses zu erstellen und fortlaufend aktuell zu führen. In diesem Verzeichnis werden für jeden Verarbeitungsprozess von personenbezogenen Daten die erforderlichen Informationen gesammelt. Dabei handelt es sich im Wesentlichen um die Information, welche personenbezogenen Daten erfasst, verarbeitet, gespeichert und archiviert werden. Das Verzeichnis muss Aussagen über folgende Punkte geben:
• Betroffene
• Art der Daten
• Beteiligte
• Speicher
• Verwendungszweck
• Weitergabe an Dritte
• Drittstaaten
• Technische und organisatorische Maßnahmen
Verfahren zweckmäßig und nachvollziehbar beschreiben
Anhand obiger Aufzählung und mit Kenntnissen aus dem Qualitätsmanagement ist ersichtlich, dass hier vergleichbare Informationen wie bei einem Herstellungsprozess abgefragt werden. Bei einem Herstellungsprozess werden bspw. mithilfe der Turtle-Methode nach den wesentlichen Prozesseinflussfaktoren gefragt und diese beschrieben. Es wird das Input und das Output beschrieben, dann wird dargelegt, mit welchen Werkzeugen, welcher Ausrüstung, nach welchen Methoden und Verfahren gearbeitet wird, welche Personen beteiligt sind, welches Know-how erforderlich ist und letztendlich mit welchen Kennzahlen (KPIs) der Prozess überwacht wird. Somit kann der jeweilige Verarbeitungsprozess, z. B. für die Erfassung und Verarbeitung von Personalstammdaten, mit der bewährten Methode des Qualitätsmanagements um die Aspekte des Datenschutzes erweitert werden. Eine Mustervorlage für ein Verzeichnis von Verarbeitungstätigkeiten wird von den deutschen Datenschutzaufsichtsbehörden zur Verfügung gestellt. Sämtliche Unternehmen unterliegen einer Meldepflicht gegenüber ihrer jeweils zuständigen Datenschutzaufsichtsbehörde.
Datenverletzungen sind meldepflichtig
Kommt es zu einer Datenverletzung, dann ist diese innerhalb von 72 Stunden (der jeweils zuständigen Datenschutzbehörde) zu melden. Hieraus ergeben sich zwei wesentliche Herausforderungen für Unternehmen: Erstens die Identifikation von Datenverletzungen und zweitens die fristgerechte Meldung der Datenverletzung. Somit müssen Unternehmen kontinuierlich ihre Verarbeitungsprozesse unter anderem auf Datenverletzungen überwachen, um in der Lage zu sein, diese dann zu melden. Zu diesem Zweck ist die Bereitstellung eines Online-Tools geplant. Ist davon auszugehen, dass die Datenverletzung aller Voraussicht nach nicht zum Risiko für Betroffene wird, dann entfällt ausnahmsweise die Meldepflicht.
Der Verantwortliche hat laut EUDSGVO die Verpflichtung, jede einzelne Datenverletzung festzuhalten und entsprechend zu dokumentieren. Hierbei gilt es, alle Fakten, die möglichen Auswirkungen und die eingeleiteten Abhilfemaßnahmen zu dokumentieren. Wird eine Datenpanne festgestellt, so muss diese ohne Verzögerung dem Verantwortlichen gemeldet werden. Zusätzlichmuss nach Artikel 34 geprüft werden, ob der/die Betroffenen informiert werden müssen.
weiter auf Seite 3