EU-DSGVO: Kurzfristige Umsetzung noch möglich?

Haben Sie in diesem Frühjahr schon was vor? Nun, am Freitag den 25. Mai starten Sie hoffentlich bestens ins wohlverdiente Wochenende. Denn dann muss die europäische Datenschutz-Grundverordnung verbindlich umgesetzt sein. Wer als IT-Spezialist schon jetzt vorbereitet ist, hat für seinen weiteren Job vieles richtig gemacht. Die EU-DSGVO bringt neben neuen Regeln zum Datenschutz nämlich auch einen neuen Anspruch der Öffentlichkeit an so gut wie alle Kundenbeziehungen mit sich. Denn: Expertise beim Datenschutz wird damit zum integralen Bestandteil jedes seriösen Unternehmensportfolios.

Des „Pudels Kern“ bei der EU-DSGVO lautet: Personenbezogene Daten dürfen nur noch nach expliziter Einwilligung der Betroffenen verwendet werden. Soweit, so klar. Dann wird es allerdings schon ein Stück weit „dehnbar“. So schreibt der Gesetzgeber etwa: Die Verarbeitung dieser Informationen muss auf ein notwendiges Maß beschränkt sein.
Wie immer auch „notwendig“ zu definieren ist. Eindeutig dagegen ist wiederum die Forderung, dass Löschfristen festgelegt werden müssen – ebenso wie die angemessene Prävention von unbefugter Verarbeitung, Zerstörung oder Verlust der Daten. Nicht zu vergessen: die Pflicht zur Information der Betroffenen. Und eben diese Infopflicht wird für viele Anwender eine der größeren Herausforderungen. Schließlich müssen sowohl die Datenschutzbehörde wie auch die Betroffenen innerhalb von 72 Stunden in Kenntnis gesetzt werden. Ansonsten sind saftige Strafen vorgesehen. Als Verantwortlicher können Sie Ihr Unternehmen hier nur schützen, indem Sie effektive Datenschutzprozesse, die relevante Zwischenfälle schnell entdecken, aufklären und kommunizieren, entwickeln und umsetzen. Und die Frist dafür ist mittlerweile durchaus sportlich.

Was können Sie abhaken? Als erstes die Angst!

Was mit der EU-DSGVO in der Praxis alles auf Unternehmen zukommt, ist selbst für viele Juristen noch nicht vollkommen durchschaubar. Als gute Nachricht erscheint da allerdings, dass sich die neue Verordnung sehr stark am bereits bestehenden deutschen Bundesdatenschutzgesetz (BDSG) orientiert. In vielen Fällen genügt den Datenschutzbehörden auch schon eine tabellarische Dokumentation. Zum Beispiel darüber, wo welche Kundendaten verarbeitet werden – und wozu. Kurz: Bangemachen gilt nicht! Und gute Vorbereitung ist auch hier der Königsweg auf die sichere Seite. Mit unserer Checkliste möchte ich Ihnen daher heute die zentralen fünf Punkte für den Start in die Ära der EU-DSGVO vorstellen.

1. Ihr Datenschutzbeauftragter

Hier kommt’s auf die Größe an

Generell gilt: wenn im Unternehmen personenbezogene Daten automatisiert verarbeitet werden (also per IT), ist ein Datenschutzbeauftragter zu benennen. Und weil diese „personenbezogenen Daten“ vor allem auch Kunden und Mitarbeiter umfassen, ist davon zunächst mal so gut wie jeder Betrieb betroffen.

  1. AUSNAHME: Falls im Unternehmen regelmäßig nur neun oder weniger Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind, ist kein Datenschutzbeauftragter zwingend. Dabei zählt übrigens nicht, ob es sich um Teil-
    oder Vollzeitkräfte handelt, ob fest oder frei beschäftigt oder ob Chef oder Praktikant. Entscheidend ist die Summe der für die Verarbeitung personenbezogener Daten eingesetzten Köpfe: Neun oder weniger? Kein Datenschutzbeauftragter nötig.
  2. AUSNAHME: Das „Neuner-Limit“ gilt nicht, wenn Ihr Unternehmen Daten verarbeitet, für die eine sogenannte Datenschutz-Folgenabschätzung nötig ist (siehe Punkt 2). Dies betrifft alle Daten, die ein erhöhtes Risiko für die Betroffenen bergen können. Dazu gehören u. a. Informationen zur ethnischen Herkunft, zur sexuellen Orientierung, zum Status der Gesundheit oder zu politischen Überzeugungen. In diesem Fall braucht z. B. selbst eine kleine psychologische Beratungsstelle mit entsprechenden Kundenakten explizit einen Datenschutzbeauftragten.

Und wenn er zwingend nötig ist, muss die Qualifikation des Datenschutzbeauftragten gesichert sein. Beispielsweise durch dokumentierte Fortbildungen bei einschlägigen Instituten oder Institutionen.

2. Die Datenschutz-Folgenabschätzung (DSFA)

Jeder muss prüfen, ob er betroffen ist.

Leider gibt es seitens der Datenschutzbehörden bis heute noch keine konkrete Liste dazu, welche Datenverarbeitungsvorgänge eine Datenschutz-Folgenabschätzung voraussetzen. Was ist also nun ein „voraussichtlich hohes Risiko“, verbunden mit der Verarbeitung von Daten? Im juristischen Kontext sind dies die Rechte und Freiheiten betroffener Personen, die bei Missbrauch zu physischen, materiellen und immateriellen Schäden führen können. Zum Beispiel:

  • Diskriminierung
  • Identitätsdiebstahl
  • Finanzieller Verlust
  • Rufschädigung
  • Hinderung der Kontrolle über eigene Daten
  • Profilbildung mit Standortdaten

Die Datenschutz-Folgenabschätzung soll daher Risiken für die Persönlichkeitsrechte der betroffenen Personen identifizieren, um auf dieser Basis wirksame Schutzmaßnahmen treffen zu können. Konkret umfasst dies:

  • Beschreiben der Datenverarbeitungsvorgänge
  • Beschreiben des Zwecks der Datenverarbeitung und Begründung, warum ein berechtigtes Interesse daran besteht
  • Beschreiben der Risiken, die für betroffene Personen bestehen
  • Dokumentation dessen, was technisch und organisatorisch getan wird, um diese Daten gegen unberechtigten Zugriff oder Weitergaben zu sichern
  • Dokumentation darüber, wie im Fall von Leaks verfahren wird
  • Dokumentation dazu, welche Kontrollmechanismen greifen, um die Daten geschützt zu halten

Auch gut zu wissen: Bei allen diesen Punkten haben die Landesdatenschutzbehörden eine beratende Funktion. Generell sollten Sie hierfür jede Expertise nutzen, die Sie bekommen können. Denn stellt sich etwa heraus, dass Sie trotz Verpflichtung zur einer Datenschutz-Folgenabschätzung darauf verzichtet haben oder diese nicht korrekt durchführen, kann es schnell existenzbedrohend werden: Hier können empfindliche Bußgelder drohen, die abschreckenden Charakter haben werden.

3. Verzeichnis der Verarbeitungstätigkeiten

Ob Friseur oder Fabrik: Da müssen alle ran!

Das „Verzeichnis der Verarbeitungstätigkeiten“ muss jedes Unternehmen anlegen. Dies übrigens schon nach dem alten Bundesdatenschutzgesetz. Gemacht haben es bisher zwar die wenigsten – aber ab 25. Mai ist die Schonfrist vorbei! „Verzeichnis der Verarbeitungstätigkeiten“ hört sich auch erstmal höchst anspruchsvoll an. Letztlich ist es aber bloß eine eher bescheidene Tabelle, die auflistet, welche Daten wann, wie und warum erhoben werden. So zum Beispiel im Fall von Kunden mit Name, Adresse und E-Mail bzw. Telefonnummer. Wichtig dabei: Auch an die internen Daten denken! Also
Personaldaten, Angaben aus der Lohnbuchhaltung, Adressen freier Mitarbeiter, etc.

Je nach Umfang der Erhebungen, kann die Ernennung eines Projektverantwortlichen
hier sinnvoll sein. Abgefragt im Sinne des „Verzeichnis der Verarbeitungstätigkeiten“ sollten dann folgende Punkte:

  • Welche Informationen erhalten Betroffene (z. B. Kunden, Bewerber, Lieferanten) in Bezug auf die Erhebung und Speicherung ihrer personenbezogenen Daten?
  • Wie werden diese Informationen kommuniziert? In den AGB, als Text auf der Website und/oder mündlich?
  • Welche Daten werden erhoben? Welchem Zweck dient die Datenerhebung?
  • Wie werden diese Daten weiterverarbeitet?
  • Werden die Daten anonymisiert, bzw. pseudonymisiert?
  • Wie lange werden die Daten gespeichert?
  • Werden Daten weitergegeben? Und wenn ja, an wen?
  • Wo werden die Daten gespeichert?
  • Ist bei Speicherung außerhalb der EU die Voraussetzung zur Übermittlung in Drittstaaten erfüllt?
  • Sind die Daten durch technische und organisatorische Maßnahmen geschützt?

Beispiel Verlag: Bewerberdaten

Verantwortlich Geschäftsführerin Anja Mann, Adresse,

Kontaktdaten

Zweck HR-Management
Betroffene Bewerber
Wer kann auf die Daten zugreifen? Geschäftsführerin Anja Mann,

Abteilungsleiter HR, Alexander Wolf

Datenkategorie Bewerbungsmappen, Lebensläufe, Adressdaten (Name, Adresse, Telefonnummer, E-Mail-Adresse)
Übermittlung an Drittstaaten Nein
Löschfrist Sechs Monate nach Beendigung des Bewerbungsverfahrens
Rechtsgrundlage Vorvertragliche Maßnahmen DSGVO Art. 6, Abs. 1b
Bewerber werden mit einer automatischen E-Mail über den Zweck der Datenerhebung und die Dauer der Datenaufbewahrung informiert.

Beispiel Friseur: Kundendatendaten

Verantwortlich Salonleiter Karim Yildiz, Adresse,

Kontaktdaten

Zweck Terminvereinbarung, Art der Friseurdienstleitung
Betroffene Kunden des Salons Haarmony
Wer kann auf die Daten zugreifen? Mitarbeiter des Salons Haarmony
Datenkategorie Kundenstammdaten, Frisurvorlieben (Haarschnitt, Haarfarbe, bevorzugter Mitarbeiter)
Übermittlung an Drittstaaten Nein
Löschfrist Bei Widerruf des Betroffenen
Rechtsgrundlage Einwilligung des Betroffenen gem. DSGVO Art. 6, Abs. 1a
Jeder Kunde wird mündlich auf die Erfassung der Daten hingewiesen und informiert, dass er seine Daten jederzeit einsehen und löschen lassen kann.

4. Datenschutz-Management-Prozesse

Verfahren fixieren. Abläufe optimieren.

Legen Sie im Sinne der EU-DSGVO vor allem auch in Ihrem Datenschutz-Management ein Augenmerk auf künftige Datenerhebungen. Etwa bei der Planung von Gewinnspielen oder wenn ein Newsletter Ihren Marketingmix ergänzen soll. Neben der Prüfung auf Rechtmäßigkeit sind auch hier umfangreiche Dokumentationen gefordert, um eventuelle Schwierigkeiten zu vermeiden.

Beim Datenschutz-Management geht es darum, dort alle Ihre Anstrengungen in Bezug auf die EU-DSGVO zu dokumentieren – und gegebenenfalls auf Grundlage der aufgezeigten Punkte dann auch zu optimieren. Unter anderem sollten Sie im Zuge des Datenschutz-Managements folgende Abläufe verbindlich definieren:

  • Wie werden Ihre Kunden über die Verarbeitung ihrer Daten informiert?
  • Wie reagieren Sie, wenn Kunden nach den gespeicherten Daten fragen?
  • Welcher Prozess läuft bei Ihnen an, wenn ein Kunde die Löschung verlangt?
  • Welches Verfahren starten Sie, wenn es zu einem Datenleck kommt und personenbezogene Daten in falsche Hände geraten?
  • Wie halten Sie die Meldefrist bei einem Datenschutzverstoß ein?
  • Wann werden bei Ihnen Daten gelöscht, wenn die Zweckbindung entfällt?
  • Wie werden Ihre Mitarbeiter geschult, um alle Prozesse sicher ausführen zu können?

5. Die Dokumentation

Auf Anfragen vorbereitet reagieren

Ein wichtiger Aspekt des Datenschutzmanagements im Rahmen der EU-DSGVO ist auch die Rechenschaftspflicht. Konkret geht es hier darum, bei Problemen möglichst schnell alle relevanten Dokumente zur Hand zu haben, um sie auf Verlangen der Behörden vollständig vorlegen zu können.

Die Rechenschaftspflicht bedeutet also, dass IT-Verantwortliche belegen können, alle technischen und organisatorischen Maßnahmen zur Verarbeitung personenbezogener Daten ergriffen zu haben. Dazu sollte ein Unternehmen auf Anforderung der Aufsichtsbehörde die entsprechende Dokumentation schnellstens vorlegen können. Nicht zuletzt auch, weil sich selbst bei größeren Datenlecks oder Fehlern in der Datenschutz-Erklärung eine Kooperationsbereitschaft meistens zum Positiven auswirkt.

Als Unternehmen lohnt es sich also unbedingt, seine Anstrengungen im Sinne der EU-DSGVO eindeutig belegen zu können. Wichtige Punkte wären zum Beispiel:

  • Welche Fortbildungen hat Ihr Datenschutzbeauftragter absolviert?
  • Welche technischen und organisatorischen Sicherheits- und Datenschutzmaßnahmen wurden umgesetzt? Und wann?
  • Welche Verträge, insbesondere zur Auftragsverarbeitung, bestehen mit externen Dienstleistern?

Unternehmen müssen übrigens nicht ihre gesamte Dokumentation vorlegen, sondern nur von der Behörde explizit angeforderte Unterlagen. Diese aber dann umgehend!

Mein Fazit

Strukturierte und durchdachte Planung ist ein zentraler Schlüssel zur Erfüllung der Vorgaben, die sich aus der neuen EU-DSGVO für Unternehmen ergeben. Hier kann externe Expertise mit einem professionellen und am besten auch schonungslosen Blick ein echter Erfolgsfaktor sein. Denn viele Aufgaben, die bisher von Datenschutzbeauftragten wahrgenommen wurden, fallen jetzt direkt der Geschäftsführung zu. Diese delegiert für gewöhnlich die Aufgaben an den IT-Leiter – oder noch besser – an ein Datenschutz-Management. Und wie immer liegt der Fokus dann auf dem Etablieren eleganter organisatorischer Prozesse, um die Informationspflichten und den IT-Sicherheitsbetrieb weiterhin so schlank wie möglich aufzustellen. Denn genau hier liegen die wirklichen Hürden für die Unternehmen. Aber auch jede Menge an Chancen.

Zwar ist das Zeitfenster bis zum 25. Mai mittlerweile schon straff getaktet, aber bereits ein professioneller Workshop zur Identifizierung und Priorisierung der Maßnahmen zur Einhaltung der EU-DSGVO startet erfahrungsgemäß einen echten Spurt auf die Zielgerade. Im Idealfall mündet dieser dann auch in eine effektive Strukturierung aller identifizierten Maßnahmen in Form von zielgerichteten Arbeitspaketen. Natürlich hilft Ihnen auch Axians sehr gern, Ihre Prozesse und Richtlinien rund um die EU-DSGVO individuell und praxisgerecht zu gestalten. In diesem Sinne: Let’s check it out! Ich freue mich auf Ihren Anruf.

EU-DSGVO in den Startlöchern: Ist Ihre Organisation vorbereitet?

Testen Sie jetzt, wie weit Ihr Unternehmen auf die kommende EU-DSGVO vorbereitet ist.

Zum DSGVO-Test

Diesen Beitrag kommentieren

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.