Spieglein, Spieglein an der Wand, wer ist für den Datenschutz vorbenannt?

Meine Rechte als Betroffener7

Alle verantwortlichen Stellen müssen im Managementsystem die Rechte der Betroffenen kennen und die entsprechenden Prozesse installieren, um dementsprechend auf aktuelle Situationen zu reagieren und die Informationssicherheit sicherzustellen. Gegebenenfalls müssen hierzu auch einzelne Geschäftsprozesse geprüft werden, um alle relevanten Sachverhalte zu erfassen. Auch müssen die Fristen, Umfang und Grenzen für die Rechte der Betroffenen bekannt sein.

Lieferanten bei der Auftragsdatenverarbeitung richtig managen8

Wird ein Lieferant bzw. Dienstleister, also jemand, der in Ihrem Sinne Leistungen erbringen soll (Auftragsverarbeiter), beauftragt, dann ist hier eine Vereinbarung abzuschließen. Sicherlich nichts Neues und für Sie eine seit Jahren gelebte Praxis. Jetzt gilt das aber auch für jene Lieferanten, die für Sie zum Beispiel den Server betreiben, die Lohnbuchhaltung machen, Rechenzentrumsleistungen liefern, Kundendaten erfassen, die Website betreiben, Datensicherung machen usw. Mit diesen Personen müssen sie ebenfalls eine Vereinbarung über die Auftragsdatenverarbeitung abschließen. In dieser Vereinbarung geht es um die Weisung zur ausschließlichen Verarbeitung von personenbezogenen Daten zum Zwecke der Vertragserfüllung.

Als Verantwortlicher sollten Sie in der Lage sein, gegenüber Ihrer zuständigen Datenschutzaufsichtsbehörde folgende Informationen zu liefern:

  1. Der Auftragsverarbeiter ist in der Lage, alle Anforderungen der EUDSGVO und des BDSG zu erfüllen. Er kann Garantien bzgl. der Sicherheit der Datenverarbeitung geben und die erforderlichen technischen und organisatorischen Maßnahmen sicherstellen.
  2. Die Beauftragung von Sub-Unternehmen erfolgt nur, wenn im Vorfeld eine zusätzliche bzw. allgemein gültige schriftliche Genehmigung erteilt wurde.
  3. Die Auftragsdatenverarbeitungsvereinbarung (ADV) entspricht den gesetzlichen Mindestanforderungen.

Daraus folgt für Sie, nochmals alle Vereinbarungen mit Ihren Auftragnehmern in Bezug auf die Einhaltung des Datenschutzes zu prüfen und ggf. hier entsprechende ADVs zu vereinbaren. Diverse Dienstleister, z. B. Betreiber von Rechenzentrumsleistungen oder von Cloud-Lösungen, bieten bereits von sich aus solche ADVs an. Es bleibt aber in Ihrer Verantwortung, diese zu prüfen, ggf. anzupassen und dann abzuschließen.

Ohne Cockpit wird geblitzt!

Mit aktuellen Kennzahlen den Datenschutz in den Griff bekommen. Was wäre ein Auto ohne ein funktionierendes und aktuelles Cockpit? Keine Informationen über die Drehzahl des Motors, die momentan gefahrene Geschwindigkeit, Statusanzeige der Tankfüllung, den Ölstand, die angezogene Handbremse usw. Dies sind alles Werte und Informationen, auch Kennzahlen genannt, die ohne ein funktionierendes Cockpit der Fahrer selbst einschätzen müsste.

So steuern Sie Ihren Datenschutz

Wie steuert man den Datenschutz im eigenen Unternehmen? Und wie steuert man ein Datenschutzmanagementsystem? Dies lässt sich mittels definierter Prozesse in Form von Arbeitsanweisungen und Prozessbeschreibungen in einer Software abbilden. Diese Software bietet den Verantwortlichen die Möglichkeit, durch die Rückmeldung aus internen Audits die einzelnen Prozesse und Kennzahlen, beispielsweise mit Hilfe einer Ampel, darzustellen. Bekannt aus dem Straßenverkehr bedeutet ein Prozess, der mit einer grünen Ampel versehen ist, dass der Prozess aktuell in Ordnung ist. Eine gelbe Ampel vor einem Prozess bedeutet, dass an dem Prozess etwas korrigiert werden muss. Und eine rote Ampel bedeutet, dass etwas nicht derart durchgeführt wurde, wie es in den Prozessbeschreibungen definiert ist. Mit der Ampeldarstellung können die Verantwortlichen jederzeit Maßnahmen ergreifen und in „Echtzeit“ ihrer Verantwortung nachkommen.

Peter Suhling,
Inhaber suhling management consulting

Alexander Glöckner,
Geschäftsführer Glöckner & Schuhwerk GmbH

 

1Artikel 37 der EU-DSGVO
2Datenschutzfolgenabschätzung gemäß Artikel 35 und Artikel 36 der EU-DSGVO
3Die Rechenschaftspflicht ist in Artikel 5, Absatz 2, und Artikel 24, Absatz 1 der EU-DSGVO definiert.
4Rechtmäßigkeit der Verarbeitung, Verarbeitung nach Treu und Glauben, Wahrung der Transparenz, Zweckmäßigkeit, Richtigkeit, Vertraulichkeit und Integrität.
5Artikel 30 der EU-DSGVO
6Artikel 33 der EU-DSGVO
7Artikel 12 ff. der EU-DSGVO
8Artikel 28 der EU-DSGVO