„Spieglein, Spieglein an der Wand, wer ist für den Datenschutz vorbenannt?“

DSGVO – Der Datenschutzbeauftragte wird’s schon richten. So ist der ein oder andere der Meinung, wenn er einen Datenschutzbeauftragten bestellt, ist alles geregelt und erledigt. Frei nach der Devise, der wird das schon machen und wenn nicht, ist der Datenschutzbeauftragte dran. Weit gefehlt!

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) und das überarbeitete Bundesdatenschutzgesetz (BDSG) treten am 25.05.2018 in Kraft. Das bedeutet, dass Geschäftsführer von Unternehmen, CIOs, Datenschutzbeauftragte, Abteilungsleiter, IT-Leiter und auch HR Leiter sich mit dem Thema beschäftigen müssen, um entsprechende Prozesse aufzusetzen, welche die neuen Regelungen des Datenschutzes einhalten.

Der betriebliche Datenschutzbeauftragte

Wie bei allen Personalentscheidungen kommt es auf die Auswahl und die Nachweisbarkeit an. Damit ist gemeint, dass der Unternehmer sich von der Kompetenz und Qualifikation des Datenschutzbeauftragten überzeugen sollte. Besteht für einen Datenschutzbeauftragten eine Bestellpflicht bzw. wird ein Datenschutzbeauftragter freiwillig bestellt, dann erfordert das aus Gründen der Nachweisbarkeit die Schriftform. Hierzu sind in einer Bestellungsurkunde die Aufgaben im Sinne der EU-DSGVO festzuhalten. Diese Aufgabenübertragung ist eine Zuweisung von Zuständigkeiten im Innenverhältnis. Bezüglich des Außenverhältnisses verbleibt die Verantwortung bei der hierfür verantwortlichen Stelle, also dem Unternehmer!

Aufsichtsbehörden konsultieren und Datenschutzfolgen abschätzen

Bei der Verarbeitung von personenbezogenen Daten ist festzustellen, ob und welche Risiken im Einzelnen für die Rechte der Betroffenen bestehen. Diese Risiken sind zu erfassen, zu analysieren und zu bewerten. Die Risikobewertung im Datenschutz, Datenschutzfolgenabschätzung genannt, wird nachvollziehbar, wenn das oberste Ziel der Schutz der Persönlichkeitsrechte der Betroffenen im Fokus steht.

In vielen Fällen wurde in der Vergangenheit an dieser Stelle leichtfertig gehandelt. Dies äußerte sich zum Beispiel so: „Was will denn einer mit diesen persönlichen Informationen oder Daten anfangen?“ oder in der Aussage, „Wir haben doch gar keine personenbezogenen Daten“. Heute im Zeitalter, in dem personenbezogene Daten das neue Gold sind und das Internet nichts vergisst, ist es umso wichtiger, sich über die Folgen Gedanken zu machen. Damit diese Gedanken auch nachweisbar und nachvollziehbar für Dritte sind, müssen sie dokumentiert werden. In diversen Branchen ist dieses Vorgehen etabliert und alltägliche Routine, aber bei weitem nicht in allen Lebensbereichen.

Risikoeinschätzungen

Eine Datenschutzfolgeabschätzung ist durchzuführen, wenn bei der geplanten Verarbeitung der Daten ein Risiko für die Person besteht, deren personenbezogene Daten gespeichert und verarbeitet werden sollen. Sollte es bei dieser Risikobewertung zu einer hohen Risikoeinschätzung kommen, muss die Aufsichtsbehörde vorab konsultiert werden. Entscheidend bei der Einschätzung ist, dass das hohe Risiko nicht durch technische oder organisatorische Schritte minimiert werden kann. Generell gilt auch hier wieder die Nachweisbarkeit und Nachvollziehbarkeit sicherzustellen, was mittels entsprechender Dokumentation geschehen kann.

Dokumentationspflichten mit der EU-DSGVO

Eines ist von Anfang an klar: Unternehmen haben die Verantwortung, die durch die EU-DSGVO vorgeschriebenen Maßnahmen umzusetzen. Das betrifft insbesondere den Nachweis, dass die Verarbeitung von personenbezogenen Daten auch in Bezug auf Datenschutz konform ist. Um das sicherzustellen, gibt es eine Reihe von Pflichten. Im Kern geht es hierbei um Aufzeichnungen, die als Nachweis gegenüber Datenschutzbehörden dienen sowie im Rahmen von gerichtlich angeordneten Überprüfungsverfahren genutzt werden bzw. unter anderem auch, um Betroffene entsprechend zu informieren.

weiter auf Seite 2