„Spieglein, Spieglein an der Wand, wer ist für den Datenschutz vorbenannt?“
16.03.2018
Peter Suhling, Inhaber suhling management Consulting (li) und Alexander Glöckner Geschäftsführer Glöckner & Schuhwerk GmbH (re.) Foto: © suhling management Consulting / Glöckner & Schuhwerk GmbH
Einwilligungen jederzeit widerrufen
Grundsätzlich ist die Verarbeitung von personenbezogenen Daten nicht gestattet, außer es wurde hierfür eine Erlaubnis erteilt. Eine erteilte Einwilligung kann in diesem Fall als Erlaubnis genutzt werden. Dabei muss das Unternehmen in der Lage sein, diese Einwilligung als Nachweis zu liefern.
Eine unmissverständliche Willensbekundung kann zum Beispiel als Erklärung in Textform, als E-Mail, per Fax oder als Dokumentenscan vorliegen. Weiterhin ist eine eindeutige Handlung zur Bestätigung, wie zum Beispiel die Einwilligung über einen Mausklick möglich, sofern dieser unter anderem rechtmäßig und leicht verständlich gestaltet und an keine anderen Bedingungen gekoppelt ist. Die Einwilligung muss vom Betroffenen jederzeit widerrufen werden können. Dabei ist sicherzustellen, dass der Widerruf so leicht wie möglich erteilt werden kann.
Entscheidend hierbei ist, dass der Verantwortliche mittels Dokumentation den Nachweis erbringen kann, dass die Einwilligung zu jedem Zeitpunkt widerrufbar ist.
Meine Rechte als Betroffener
Alle verantwortlichen Stellen müssen im Managementsystem die Rechte der Betroffenen kennen und die entsprechenden Prozesse installieren, um dementsprechend auf aktuelle Situationen zu reagieren und die Informationssicherheit sicherzustellen. Gegebenenfalls müssen hierzu auch einzelne Geschäftsprozesse geprüft werden, um alle relevanten Sachverhalte zu erfassen. Auch müssen die Fristen, Umfang und Grenzen für die Rechte der Betroffenen bekannt sein.
Lieferanten bei der Auftragsdatenverarbeitung richtig managen
Wird ein Lieferant bzw. Dienstleister, also jemand, der in Ihrem Sinne Leistungen erbringen soll (Auftragsverarbeiter), beauftragt, dann ist hier eine Vereinbarung abzuschließen. Sicherlich nichts Neues und für Sie eine seit Jahren gelebte Praxis. Jetzt gilt das aber auch für jene Lieferanten, die für Sie zum Beispiel den Server betreiben, die Lohnbuchhaltung machen, Rechenzentrumsleistungen liefern, Kundendaten erfassen, die Website betreiben, Datensicherung machen usw. Mit diesen Personen müssen sie ebenfalls eine Vereinbarung über die Auftragsdatenverarbeitung abschließen. In dieser Vereinbarung geht es um die Weisung zur ausschließlichen Verarbeitung von personenbezogenen Daten zum Zwecke der Vertragserfüllung.
Als Verantwortlicher sollten Sie in der Lage sein, gegenüber Ihrer zuständigen Datenschutzaufsichtsbehörde folgende Informationen zu liefern:
- Der Auftragsverarbeiter ist in der Lage, alle Anforderungen der EUDSGVO und des BDSG zu erfüllen. Er kann Garantien bzgl. der Sicherheit der Datenverarbeitung geben und die erforderlichen technischen und organisatorischen Maßnahmen sicherstellen.
- Die Beauftragung von Sub-Unternehmen erfolgt nur, wenn im Vorfeld eine zusätzliche bzw. allgemein gültige schriftliche Genehmigung erteilt wurde.
- Die Auftragsdatenverarbeitungsvereinbarung (ADV) entspricht den gesetzlichen
Mindestanforderungen. Daraus folgt für Sie, nochmals alle Vereinbarungen mit Ihren Auftragnehmern in Bezug auf die Einhaltung des Datenschutzes zu prüfen und ggf. hier entsprechende ADVs zu vereinbaren. Diverse Dienstleister, z. B. Betreiber von Rechenzentrumsleistungen oder von Cloud-Lösungen, bieten bereits von sich aus solche ADVs an. Es bleibt aber in Ihrer Verantwortung, diese zu prüfen, ggf. anzupassen und dann abzuschließen.
Ohne Cockpit wird geblitzt!
Mit aktuellen Kennzahlen den Datenschutz in den Griff bekommen. Was wäre ein Auto ohne ein funktionierendes und aktuelles Cockpit? Keine Informationen über die Drehzahl des Motors, die momentan gefahrene Geschwindigkeit, Statusanzeige der Tankfüllung, den Ölstand, die angezogene Handbremse usw. Dies sind alles Werte und Informationen, auch Kennzahlen genannt, die ohne ein funktionierendes Cockpit der Fahrer selbst einschätzen müsste.
So steuern Sie Ihren Datenschutz
Wie steuert man den Datenschutz im eigenen Unternehmen? Und wie steuert man ein Datenschutzmanagementsystem? Dies lässt sich mittels definierter Prozesse in Form von Arbeitsanweisungen und Prozessbeschreibungen in einer Software abbilden. Diese Software bietet den Verantwortlichen die Möglichkeit, durch die Rückmeldung aus internen Audits die einzelnen Prozesse und Kennzahlen, beispielsweise mit Hilfe einer Ampel, darzustellen. Bekannt aus dem Straßenverkehr bedeutet ein Prozess, der mit einer grünen Ampel versehen ist, dass der Prozess aktuell in Ordnung ist. Eine gelbe Ampel vor einem Prozess bedeutet, dass an dem Prozess etwas korrigiert werden muss. Und eine rote Ampel bedeutet, dass etwas nicht derart durchgeführt wurde, wie es in den Prozessbeschreibungen definiert ist. Mit der Ampeldarstellung können die Verantwortlichen jederzeit Maßnahmen ergreifen und in „Echtzeit“ ihrer Verantwortung nachkommen.
Autoren: Peter Suhling, Inhaber suhling management Consulting und Alexander Glöckner, Geschäftsführer Glöckner & Schuhwerk GmbH
