Acht Schritte zur Umsetzung der neuen Datenschutzgrundverordnung

Acht Schritte zur Umsetzung der neuen Datenschutzgrundverordnung

 
09. April 2018

Ab Mai 2018 gilt für Unternehmen und Behörden die neue europäische Datenschutzgrundverordnung (DSGVO). Bis dahin bleibt nicht mehr viel Zeit. Um Strafen zu vermeiden, ist eine schnelle und effiziente Umsetzung erforderlich.

Die neue europäische Datenschutz-Grundverordnung (DSGVO) wird auch unter der englischen Bezeichnung General Data Protection Regulation (GDPR) diskutiert. Sie ist für alle Unternehmen in der EU die personenbezogene Daten verarbeiten ein wichtiges Thema. Obwohl sie bis zum 25. Mai 2018 umgesetzt werden muss, sind viele Unternehmen noch immer unsicher, was das neue Gesetz für sie bedeutet. Dabei gilt es, keine Zeit zu vergeuden. Wer sich nicht an die neuen Vorschriften hält, riskiert hohe Geldbußen.

Die folgenden 8 Schritte stellen einen soliden Rahmen für die stringente und effiziente Umsetzung der DSGVO dar:

Erster Schritt: Benennung des Datenschutz-Koordinators

Je nach Größe des Unternehmens oder der Behörde empfiehlt es sich zusätzlich zu dem Datenschutzbeauftragten des Unternehmens einen (oder mehrere) Datenschutz-Koordinator (DSKo) zu benennen, der als erste Anlaufstelle zwischen dem Datenschutzbeauftragten den Mitarbeitern in den Abteilungen oder von Betroffenen dient. Dieser sollte im Unternehmen gut vernetzt und akzeptiert sein. Er hat auch dafür Sorge zu tragen, dass alle datenschutzrechtlich relevanten Sachverhalte aus den Abteilungen oder Informationen über neue Dienstleister, Kooperationen oder Vorhaben der Verarbeitung rechtzeitig an den Datenschutzbeauftragten weitergeleitet werden. Schulung und Sensibilisierung der Mitarbeiter sollten jedoch vom Datenschutz­beauftragten durchgeführt werden, so wie es die DSGVO vorsieht.

Auch bei der Zusammenarbeit mit externen Datenschutzbeauftragten empfiehlt sich ein Datenschutz-Koordinator als direkte Schnittstelle zwischen dem Unternehmen und dem Datenschutzbeauftragten.

Zweiter Schritt: Definition der Datenschutz-Fälle

In einer Datenschutzrichtlinie sind Fälle zu definieren, in denen die Mitarbeiter den Datenschutz­beauftragten anzusprechen und einzubinden haben. Setzt das Unternehmen hingegen auf Datenschutzkoordinatoren, gelten diese Fälle auch für die Meldung oder Einbindung an die Koordinatoren. Ausgenommen sind alle vertraulichen Anfragen, in denen die Rechte des Mitarbeiters selbst betroffen sind und direkte persönliche Anfragen betroffener Personen an den Datenschutzbeauftragten.

Als solche an den Datenschutzbeauftragten zu meldenden Vorgänge gelten insbesondere (aber nicht ausschließlich):

  • Beschwerden von Betroffenen (Mitarbeitern, Kunden)
  • Einführung neuer Systeme/Tools
  • Einsatz eines neuen Verarbeiters (Dienstleisters)
  • Einführung neuer Werbemaßnahmen (z.B. Versand von Newslettern), Online-Marketing-Maßnahmen (Google AdWords, Conversion Tracking, etc.)
  • Einführung von neuen Systemen/Tools die der Mitarbeiterüberwachung oder –Bewertung dienen
  • Auch Mitarbeiter- und Kundenbefragungen können datenschutzrelevant sein. Ist im Unternehmen ein Betriebs- oder Personalrat vorhanden ist dieser, bei Maßnahmen die die Mitarbeiter betreffen, auch rechtzeitig einzubinden und zu beteiligen.
  • Immer einbezogen werden sollte der Datenschutzbeauftragte, wenn es um Einwilligungen zur Verarbeitung besonderer Kategorien personenbezogener Daten und vor allem um Daten Nicht-Volljähriger geht.
  • Im Unternehmen sollte der Datenschutzbeauftragte die datenschutzrechtlich relevanten Sachverhalte definieren und in die Datenschutzrichtlinie aufnehmen lassen.

Diese Auflistung kann und muss nicht abschließend sein, sondern sollte vor allem als Handlungshilfe für die Mitarbeiter dienen und nachträglich ergänzt werden können.

Die Verantwortung für den Datenschutz verbleibt immer beim Verantwortlichen – sie kann nicht an den Datenschutzbeauftragten delegiert werden, dessen Kontaktdaten künftig der Aufsichtsbehörde gemeldet werden muss.

Dritter Schritt: Aufbau eines Verzeichnisses von Verarbeitungstätigkeiten

Um personenbezogene Daten nach Maßgaben der DSGVO schützen zu können, muss das verantwortliche Unternehmen ermitteln, in welchen Fällen personenbezogene Daten z. B. von Kunden, Lieferanten oder Beschäftigten verarbeitet werden. Zunächst bietet es sich an, alle Systeme bzw. Tools im Unternehmen aufzulisten, in denen personenbezogene Daten gespeichert werden. Eine solche Vorgehensweise ist aus zweierlei Gründen sinnvoll: Zum einen können dadurch die Datenflüsse im Unternehmen ermittelt und definiert werden. Zum anderen wird ein erster Grundstein für das Verzeichnis von Verarbeitungstätigkeiten gelegt, zu dessen Führung der Verantwortliche nach Art. 30 DSGVO verpflichtet ist. Künftig wird nicht mehr zwischen internem und öffentlichem Verfahrensverzeichnis unterschieden, wie wir dies vom Bundesdatenschutzgesetztes (BDSG) kennen. Das öffentliche Verfahrensverzeichnis entfällt. Im künftigen Verzeichnis sind die wesentlichen Informationen zu Datenverarbeitungstätigkeiten zusammenzufassen, insbesondere die Angaben zum Zweck der Verarbeitung, und eine Beschreibung der Kategorien der Daten, der betroffenen Personen und möglicher Empfänger. Die neuen Verzeichnisse von Verarbeitungstätigkeiten ähneln inhaltlich den bisherigen internen Verfahrensverzeichnissen. Wer dies schon immer gut gepflegt hat ist schon im Vorteil.

Künftig sind umfassendere Auskünfte an Betroffene zu erteilen. Wenn keine anderen Auskunftssysteme verfügbar sind, wird das Verzeichnis zumeist der Grund für die Auskunft sein.

Um Unübersichtlichkeit zu vermeiden, sollten nicht alle Verarbeitungstätigkeiten in ein einzelnes Dokument gepackt werden. Das Verzeichnis sollte daher in der Praxis aus verschiedenen Einzeldokumenten bestehen. So kann z. B. für jedes Tool bzw. System (z.B. Zeiterfassungssystem, CRM-System, Bewerbertool, HR-Managementtool, etc.) ein eigenes beschreibendes Dokument zur Verarbeitungstätigkeit erstellt werden.

Auch wenn es für KMUs eine Erleichterung der Dokumentationspflicht gibt ist zu empfehlen, dass auch diese zumindest die wichtigsten Verfahren und Verarbeitungen angemessen dokumentieren. Wie sonst sollen Verfahren mit Risiken erkannt und angemessene Maßnahmen getroffen werden.

Vierter Schritt: Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung (DSFA) ist der Ersatz der Vorabkontrolle aus dem BDSG. Unternehmen sind in bestimmten Fällen verpflichtet, eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen. Dies gilt immer dann, wenn eine Form der Verarbeitung personenbezogener Daten wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person darstellt. Insbesondere findet sie Anwendung bei neuen Technologien oder aufgrund des Wesens, des Umfangs, des Kontexts oder der Zwecke der geplanten Verarbeitung. Können Risiken für die Betroffenen trotz der technisch organisatorischen Maßnahmen nicht ausgeschlossen werden ist die Aufsichtsbehörde zu konsultieren. Die Aufsichtsbehörden sind aufgefordert, Listen von den Verarbeitungsvorgängen zu erstellen, bei denen typischerweise Folgenabschätzungen erforderlich sind. Dies kann durch Positiv- oder Negativlisten erfolgen, welche die Verfahren enthalten, für die eine Datenschutz-Folgenabschätzung zwingend erforderlich oder eben nicht erforderlich ist.

Fünfter Schritt: Erstellung einer Dienstleisterübersicht

Im Rahmen des Vertragsmanagements sollten alle von einem Unternehmen eingesetzten Dienstleister in einer Liste zusammengefasst werden. Sinnvollerweise zunächst unabhängig davon, ob sie personenbezogenen Daten verarbeiten oder nicht. Im nächsten Schritt können der Datenschutzbeauftragte oder die Datenschutz-Koordinatoren prüfen, ob durch den Dienstleister personenbezogene Daten verarbeitet werden, ob eine Vereinbarung zur Auftragsverarbeitung nach § 11 BDSG erforderlich ist und ob diese bereits abgeschlossen wurde.

Im Anschluss daran wird geprüft, welche Verträge nach den Vorgaben der DSGVO abgeschlossen oder angepasst werden müssen. Was durch die umfangreicheren Vorgaben vermutlich viele Verträge betrifft. Sofern keine Verträge nach § 11 BDSG vorhanden sind, sollt die eine Ihrer wichtigsten Prioritäten sein.

Sechster Schritt: Verpflichtung zur Verschwiegenheit

Die Verpflichtung zur Verschwiegenheit ersetzt das Datengeheimnis. Mitarbeiter sollten, auch ohne explizite Erwähnung im neuen DSGVO unbedingt eine Verpflichtungserklärung abgeben, welche sie zur Verschwiegenheit über personenbezogene Daten verpflichtet.

Der Gesetzgeber schreibt in Art. 29 DSGVO, dass der Verantwortliche sicherzustellen hat, dass die ihm unterstellten Personen, die Zugang zu personenbezogenen Daten haben, diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten dürfen. Diese Verpflichtung der Mitarbeiter wird sinnvollerweise schriftlich vorgenommen, damit der Verantwortliche bei Bedarf gegenüber einer Aufsichtsbehörde für den Datenschutz nachweisen kann, dass dies auch tatsächlich geschehen ist. Zusätzlich dient dies als erste Sensibilisierungsmaßnahme für die Mitarbeiter. Idealerweise erfolgen die Verpflichtungen im Rahmen einer Unterweisung zu Datenschutz.

Siebter Schritt: Unterweisung der Mitarbeiter

Im Rahmen von Datenschutzschulungen hat der Datenschutzbeauftragte die Mitarbeiter auf die konkreten datenschutzrechtlichen Regelungen und Prozesse im Unternehmen zu unterweisen. Dies gehört zu seinen Tätigkeiten gem. Art. 39 Abs. 1 DSGVO. Die Datenschutz- Schulung und die Verpflichtung auf Verschwiegenheit sind beide als Teil der organisatorischen Maßnahmen anzusehen, die dem Schutz der personenbezogenen Daten dienen.

Achter Schritt: Prozess zur Datenauskunft definieren

Es muss zwingend ein Prozess installiert werden, über den sichergestellt wird, dass betroffene Personen ihre Rechte gemäß DSGVO (Art. 12 – 22 + 38 + 77) wahrnehmen können. Derartige Anfragen zur „Datenauskunft“ von Betroffenen dürfen keinesfalls im Unternehmen oder einer Behörde nachlässig behandelt werden und im Tagesgeschäft untergehen (Ablage P-rund ist eine der schlechtesten Lösungen).

Bedingt durch die vielfältigen Rechte der betroffenen Person, vervielfachen sich die vom Verantwortlichen zu berücksichtigenden Pflichten in Bezug auf die Information von betroffenen Personen. Die betroffene Person soll wissen, wer welche Daten zu welchem Zweck über sie verarbeitet und in die Lage versetzt werden, aufgrund er Informationen die Datenverarbeitung zu prüfen.

Diese Anforderung kann nur erfüllt werden, wenn das verantwortliche Unternehmen oder Behörde die betroffene Person ausreichend, umfassend und verständlich über die Datenverarbeitungsvorgänge informiert.

Um dies bewerkstelligen zu können, müssen im Unternehmen oder in einer Behörde die Sachverhalte ermittelt werden, in welchen Informationspflichten bestehen. Beispiele hierfür sind: die Anmeldung zu Newsletter, CRM-Systeme, Aufzeichnungen im Callcenter, Bewerbungsverfahren, Abschluss eines Kaufvertrages im Onlineshop, etc.

In einem Prozess ist zu definieren, wie zu reagieren ist, falls eine betroffene Person (intern oder extern) von ihren Rechten Gebrauch macht. An wen und in welcher Frist sollen Anfrage von Betroffenen weitergeleitet werden? Wer ist für die Bearbeitung des Anliegens zuständig? Was ist bezüglich der Vertraulichkeit zu beachten? Wer sind die Ansprechpartner für verschiedene Systeme, um beispielsweise die Löschung von personenbezogenen Daten überall im Unternehmen und bei den Datenempfängern gewährleisten zu können? Dies gilt natürlich nur, sofern der Löschanspruch der betroffenen Person begründet bzw. gesetzlich zulässig ist.

..
Jürgen Hartz
Über
Jürgen Hartz
Jürgen Hartz berät seit 2005 Unternehmen und Behörden in Fragen des Datenschutzes. Zuvor war er jahrzehntelang als Geschäftsführer im deutschen Mittelstand tätig. Sein besonderes Augenmerk liegt darauf, betriebliche Belange und Anforderungen des Datenschutzes unter dem Blickwinkel einer vertretbaren Wirtschaftlichkeit umzusetzen. Als Referent und Moderator ist er bei zahlreichen Datenschutz-Veranstaltungen und beruflichen Fortbildungen tätig. Er ist Vorstandsvorsitzender des BvD e.V. (Berufsverband der Datenschutzbeauftragten und in weiteren Gremien zum Datenschutz aktiv.
Alle Beiträge von Jürgen Hartz