EU-Datenschutz-Grundverordnung: Praxistipps zur Umsetzung

​veröffentlicht am 9. Januar 2018

Am 25. Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union rechtskräftig und ist überall in der EU unmittelbar anwendbar. Alle datenschutzrelevanten Prozesse sollten bis zu diesem Zeitpunkt den Regularien der DSGVO entsprechen, womit die Anforderungen an Unternehmen hoch sind und erheblichen Einfluss auf die Prozesse haben können. In der Praxis stellt man vermehrt eine Unsicherheit fest, begründet darin, dass es keine standardisierten Umsetzungs-Pläne oder allgemeingültigen Vorgehensweisen gibt. Mit folgendem Artikel wollen wir Tipps aus der Praxis für betriebsinterne oder externe Datenschutzbeauftragte geben.

EU-Datenschutz-Grundverordnung steht in den Startlöchern: Was Sie jetzt wissen und tun sollten

Dem Schutz von personenbezogenen Daten ist spätestens seit dem Digitalisierungsvormarsch ein noch höherer Stellenwert zuzuschreiben. Die Europäische Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft und wirkt unmittelbar in den Mitgliedstaaten. Das Ziel der DSGVO soll es sein, einen einheitlichen Rechtsrahmen zu schaffen. Auf nationaler Ebene wird jedoch mit den sogenannte „Öffnungsklauseln” eine Duldung des jeweiligen nationalen Datenschutzgesetzes hingenommen, sofern dies an das Unionsrecht angepasst wird. Sollte dies doch der Fall sein, dann „verstoßen sie damit gegen ihre Verpflichtung aus dem europäischen Primärrecht zur loyalen Zusammenarbeit (Art. 4 Abs. 3 EUV).” Die Öffnungsklauseln haben primär den Zweck, den Mitgliedstaaten die Möglichkeit zu geben, nationale Regelungen einzubinden. „Insbesondere mit Blick auf die weitreichenden allgemeinen Öffnungsklauseln Art. 6 Abs. 2, 3 und 4 (…) DSGVO verbleiben erhebliche mitgliedstaatliche Handlungsspielräume.”

So wird es also auch ein Nachfolgegesetz des aktuellen Bundesdatenschutzgesetzes (BDSG) geben, das sich BDSG-neu tauft und ebendiese Anpassungen an die DSGVO beinhaltet. Die 16 deutschen Landesdatenschutzgesetze wurden oder werden sukzessive an die Inhalte der DSGVO angepasst. So ist das Bayrische Datenschutzgesetz (BayDSG) bereits geändert worden. Unternehmen und öffentlichen Stellen drohen empfindlich hohe Strafen bzw. Sanktionen bei Nichteinhaltung der DSGVO, weshalb deren Inhalte und Regelungen vermehrt auf die Agenda gesetzt werden. So wird zunächst laut Art. 37 Abs. 1 bestimmt werden müssen, ob ein Datenschutzbeauftragter bestellt werden muss. Dies ist dann der Fall, wenn regelmäßig personenbezogene Daten erhoben, gespeichert, verarbeitet oder gelöscht werden. Somit sind Prozesse aus Bestellvorgängen, die Ablage im internen CRM, das Bewerbermanagement oder die Lohnbuchhaltung unmittelbar betroffen, wonach Art. 37 für den Großteil der Unternehmen gelten wird. Behörden oder öffentliche Stellen, mit Ausnahme von Gerichten, haben in jedem Falle einen Datenschutzbeauftragten zu stellen!

In der Praxis stellen wir vermehrt fest, dass die Umsetzung der DSGVO-Inhalte für interne wie externe Datenschutzbeauftragte zur Herausforderung wird.

Grundlage für die Arbeit als Datenschutzbeauftragter

Stellen Sie sicher, dass die relevanten Stellen innerhalb des Unternehmens mit der Wichtigkeit und Tragweite des Themas vertraut sind. „Nur” einen Datenschutzbeauftragten zu bestellen, heißt nicht, dass der Großteil der Arbeit damit getan wäre. In der Praxis stellen wir immer wieder fest, dass die unternehmensinternen Datenschutzbeauftragten ihre Tätigkeit im Nebenamt ausüben. Damit wird eine rechtssichere Bearbeitung von datenschutzrelevanten Aufgaben möglicherweise nicht mehr gewährleistet. Die Geschäftsleitung sollte dahingehend sensibilisiert werden, dass der Datenschutzbeauftragte nicht nur das nötige Know-how benötigt, sondern auch entsprechende zeitliche Ressourcen zur Verfügung hat. Sofern dies sichergestellt ist, sollte ein Konzept zur sauberen und nachhaltigen Dokumentation der anstehenden Aufgaben und deren Umsetzung entwickelt werden. Das Führen von Word-Dokumenten oder Excel-Tabellen ist laut DSGVO nicht mehr praktikabel. Es sollte ein Management-Prozess erkennbar sein, entsprechend dem PDCA-Ansatz (Plan-Do-Check-Act). Eine softwaregestützte Lösung sowohl zur Dokumentation als auch für die auf Checklisten und Prüffragen basierenden Management-Lösung bietet der „Datenschutz Assistent®”. Auf Grundlage der Inhalte dieses Werkzeuges sind die folgenden kurzen Schritte zu verstehen:

Organisation des Datenschutzbeauftragten

Der Datenschutzbeauftragte sollte sich zur eigenen Organisation einen Überblick über das Unternehmen/die Behörde, die eingesetzte Technik und den Vorbereitungsstand verschaffen. Wichtig ist diese Ausgangsbasis deshalb, weil auf dieser Grundlage bereits eventuelle Missstände, zwingend notwendige Informationen oder Sicherheitslücken entdeckt werden. Folgende Fragen dienen der Orientierung:

• Ist der Überblick über das Unternehmen/die Unternehmensgruppe gegeben?
• Sind Verantwortlichkeiten – zumindest im Überblick – bekannt?
• Sind Aufgabenzuordnungen bekannt?
• Steht fest, wer verantwortlich für den Datenschutz ist?
• Sind die Einheiten bekannt, die IT-Services für das Unternehmen bzw. den Unternehmensverbund erbringen?
• Ist der Überblick über die Netzwerkstruktur gegeben?
• Ist der Überblick über die Applikationen gegeben?
• Ist der Überblick über Dienstleister gegeben?
• Wurde ein Team bestimmt, das sich mit den Vorbereitungsarbeiten (Projektorganisation) und den Inhalten der DSGVO befasst? (Team besteht z.B. aus einem Teil der Geschäftsführung, dem IT-Leiter sowie den Abteilungsleitern)
• Hat dieses Team einen Aktions- und Zeitplan erstellt?
• Orientiert sich der Zeitplan inhaltlich an den notwendig werdenden Schritten?
• Sind im Unternehmen für die Umstellungsarbeiten Ressourcen in angemessener Höhe eingeplant?

Abb. 1: Die Arbeitsoberfläche des Datenschutzassistenten erleichtert strukturiertes Arbeiten

Datenschutzstrukturen des Unternehmens identifizieren und dokumentieren

Im Rahmen der DSGVO ist es für Unternehmen und Behörden wichtig, eine nachhaltige Umsetzung mit datenschutzrelevanten Inhalten zu gewährleisten. Dafür sollten Datenschutzleitlinien, Datenschutzziele und eine Governance-Struktur implementiert werden. Sofern diese zum jetzigen Zeitpunkt noch nicht vorliegen, wurde damit bereits eine konkrete Aufgabe im Rahmen der Umsetzung der DSGVO ermittelt.

• Existiert eine Datenschutzleitlinie?
• Vermittelt die Datenschutzleitlinie die übergeordneten Datenschutzziele, die Verteilung der Verantwortlichkeiten und verweist sie auf eine gewisse Governance-Struktur?
• Wurde die Datenschutzleitlinie durch die Unternehmensleitung offiziell verabschiedet?
• Ist eine schriftliche Verankerung der Datenschutz-Governance gewährleistet?
• Wurde eine klare Verantwortlichkeit für den Datenschutz im Unternehmen bzw. im Unternehmensverbund schriftlich erklärt?
• Geht aus der Datenschutzleitlinie eine gewisse Selbstverpflichtung der Unternehmensleitung hervor?
• Verbindet die Leitlinie die oberste Datenschutzleitlinie mit der Governance-Struktur und den darunter liegenden operativen Regelwerken (Anweisungen, Detailrichtlinien etc.)?

Überblick über die „Konforme Datenverarbeitung” verschaffen

Der wesentliche Teil der Aufgabenstellung für den Datenschutzbeauftragten besteht darin, die Datenverarbeitung von personenbezogenen Daten rechtssicher zu gestalten. Dazu sollte er sich zunächst einen allgemeinen Überblick verschaffen und sogenannte Anker setzen. Ein Anker bedeutet den allgemeinen Zustand festzuhalten und zu einem späteren Zeitpunkt detailliert auf den Anker einzugehen. In der Praxis ist dies vor allem bei den technischen und organisatorischen Maßnahmen sowie beim Verzeichnis der Verarbeitungsaktivitäten sinnvoll.

• Sind alle Verarbeitungstätigkeiten (idealerweise prozessorientiert) aufgeführt, welche personenbezogene Daten verarbeiten?
• Ist für jede Verarbeitungstätigkeit bekannt und dokumentiert, welche Daten von welchen Betroffenen zu welchem Zweck verarbeitet werden?
• Ist festgelegt, ob die Verarbeitung unter Zuhilfenahme eines Auftragsverarbeiters erfolgen soll/erfolgt, so stellt sich die Frage, ob dies entsprechend dokumentiert ist?
• Sind die technischen und organisatorischen Maßnahmen für die jeweilige Verarbeitung geeignet, die Sicherheit zu gewährleisten und sind diese dokumentiert?
• Das Verzeichnis der Verarbeitungstätigkeiten liegt vollständig, richtig und aktuell vor? (Anker: Verweis auf eine später folgende Checkliste, die die Verarbeitungstätigkeiten pro Verarbeitung im Detail beschreibt)

 Abb. 2: Aufbau der Datenschutzstruktur

Überblick über die „Sicherstellung der Betroffenenrechte“ verschaffen

Nachdem über die konforme Datenverarbeitung definiert wurde, mit welchen technischen und organisatorischen Maßnahmen das Unternehmen/die Behörde für eine rechtssichere Verarbeitung von personenbezogenen Daten sorgt, wird mit der Sicherstellung der Betroffenenrechte geregelt, welche Prozesse zum Tragen kommen, wenn natürliche Personen Auskünfte über ihre erhobenen Daten verlangen. Nach der DSGVO hat dieses Recht jede natürliche Person, auch wenn bereits eine Zustimmung über die Verarbeitung erfolgte. (Wie eine solche Zustimmung nach der DSGVO erfolgen muss, ist in den Kapiteln „Privacy by Design und Privacy by Default” geklärt. Für mehr Informationen stehen unsere Experten zur Verfügung) Um ein Verständnis für den PDCA-Zyklus der Software „Datenschutz Assistent®” zu bekommen, sind folgende Orientierungsfragen entsprechend unterteilt:

Plan

• Ist klar geregelt, an wen sich ein Betroffener wenden kann, um Auskunft darüber zu erhalten, welche personenbezogenen Daten verarbeitet werden und wie dieser Antrag bearbeitet werden soll?
• Ist klar geregelt, an wen sich ein Betroffener wenden kann, um eine Berichtigung seiner Daten zu beantragen und wie mit diesem Antrag verfahren werden soll?
• Ist klar geregelt, an wen sich ein Betroffener wenden kann, um eine Löschung seiner Daten zu beantragen und wie mit diesem Antrag verfahren werden soll?

Do

• Ist sichergestellt, dass Veränderungen in der Zuständigkeit bzw. Verantwortlichkeit erkannt werden und die Konzeption angepasst wird/wurde?
• Ist sichergestellt, dass alle Anträge und Rückmeldungen in einem Dokumentenmanagementsystem oder einem Ticketsystem nachvollzogen werden können?

Check

• Wird in angemessenen Abständen das Eskalationsverfahren geprüft, um dessen Wirksamkeit festzustellen?
• Werden die Anträge regelmäßig dahingehend ausgewertet, ob sie Aufschlüsse für Verbesserungen geben?

Act

• Sind erkannte Verbesserungen als Maßnahmen geplant?
• Wird die Umsetzung der Verbesserungsmaßnahmen systematisch nachverfolgt?
• Ist im Rahmen der Umsetzung der Verbesserungsmaßnahmen die Wirksamkeit (Tests, Freigaben, Kontrollanpassung etc.) sichergestellt?

Verzeichnis der Verarbeitungsaktivitäten, ADV-Verträge und Löschkonzept

Eine komplettierte Bearbeitung von datenschutzrelevanten Aufgaben beinhaltet neben den genannten Punkten ebenso ein detailliertes Verzeichnis von allen Verarbeitungsaktivitäten in Zusammenhang mit personenbezogenen Daten. Das Verzeichnis sollte unter anderem, pro Verfahren aufzeigen, zu welchem Zweck die jeweiligen Daten verarbeitet werden, welcher Kategorie sie unterliegen (z.B. Geburtsdatum, E-mail-Adresse, Anschrift etc.) und vor allem ob sie mittels der technisch und organisatorischen Maßnahmen (TOMs) rechtssicher verarbeitet werden. Dabei gilt auch zu klären, welche Verarbeitungen von Dienstleistern übernommen werden. In Art. 28 der DSGVO wird beschrieben, wie ein Vertrag zwischen Auftraggeber und Auftragnehmer auszusehen hat. Ein weiteres Basiselement der konformen Datenverarbeitung ist die Konzeption eines funktionierenden Löschkonzepts innerhalb des Unternehmens oder der öffentliche Stelle. So ist zu definieren, wie sichergestellt wird, dass ein Prozess von – beispielsweise – der Datenträgerbereinigung eingehalten werden kann und die verantwortlichen Mitarbeiter die entsprechenden Schritte der korrekten Bereinigung einhalten und der Vorgang als solches auch kontrolliert werden kann.

Viele der in der Praxis entstehenden Aufgaben werden erst dann sichtbar, wenn der Datenschutzbeauftragte sich an eine gute Organisation, eine Dokumentation seiner Ergebnisse und eine Konzeption der anstehenden Aufgaben hält. Es gibt keine Musterlösung, die Arbeitsaufträge müssen immer auf den Einzelfall abgestimmt und je nach Unternehmen von Beginn an aufgerollt werden. Bereits bestehende Ergebnisse müssen angepasst, überprüft und kontrolliert werden.

Unsere Experten für IT-Datenschutz und -recht helfen Ihnen gerne bei der Umsetzung Ihres Datenschutzmanagements.