Erleichterungen bei der Führung des Nachweises durch unabhängige Bescheinigungen zur Konformität des Datenschutz-Managements

veröffentlicht am 7. Januar 2019

​Mit Einführung der DSGVO sowie der Neufassung des BDSG und zahlreicher Landesdatenschutzgesetze wurde das Datenschutzrecht wesentlich novelliert. Auch für die Gebietskörperschaften und die Unternehmen des öffentlichen Sektors ist es wesentlich anspruchsvoller geworden, sich rechtskonform zu verhalten.

Zwar läuft die Bundes- und Landesgesetzgebung darauf hinaus, dass gegen Behörden und öffentliche Stellen keine Bußgelder verhängt werden. Trotzdem sollte man sich nicht voreilig in Sicherheit wiegen. Denn dieser Schutz gilt in der Regel nicht für Leistungen, mit denen die Körperschaften am Wettbewerb teilnehmen. Hinzu kommt: Im Falle einer Panne wird dem Betroffenen ein Recht auf Schadensersatz zugesichert, und gleichzeitig wird dem Verantwortlichen die Beweislast dafür auferlegt, rechtskonform gehandelt zu haben. Daher kommt dem Nachweis eines tatsächlich funktionierenden Datenschutz-Managements, möglichst in Form einer Referenz von unabhängiger Stelle, eine wachsende Bedeutung zu. Dafür eignen sich Bescheinigungen eines Wirtschaftsprüfers, beispielsweise eine IT-Prüfung außerhalb der Abschlussprüfung oder auch eine spezifische, fokussierte Prüfung der Datenschutz-Compliance.

Die gesetzlichen Vertreter einer Organisation sind dafür verantwortlich, Maßnahmen zu ergreifen, um das rechtskonforme Verhalten der Organisation zu gewährleisten. Anderenfalls besteht der Verdacht auf ein Organisationsverschulden. Viele wissen dabei gar nicht, dass die Haftung auch solche gesetzlichen Vertreter trifft, die lediglich ehrenamtlich tätig sind. Es besteht also auch ein Risiko für den nebenamtlichen Vereinsvorstand! Dieser Grundsatz wurde in der EU-Datenschutz-Grundverordnung dadurch unterstrichen, dass in Art. 5 Absatz 2 der Verantwortliche die Pflicht auferlegt bekommt, die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nachweisen zu können (faktische Beweislastumkehr).

Ende Oktober wurde über das erste empfindliche Bußgeld berichtet, das in der EU wegen eines Verstoßes gegen die DSGVO ergangen ist. Es wurde in Portugal gegen ein Krankenhaus verhängt und betrug 400.000 Euro. Die Unternehmen des Öffentlichen Sektors verarbeiten, oft in großem Umfang, sog. „besondere”, also besonders sensible Daten nach der Definition der DSGVO (u. a. Gesundheitsdaten, beispielsweise in Krankenhäusern, Pflegeeinrichtungen oder der Jugend- und Sozialarbeit). Es wäre kaum überraschend, wenn sich u. a. in diesem Bereich ein Tätigkeitsschwerpunkt der Landesdatenschutzbehörden entwickeln würde.

Der bayerische Landesbeauftragte für den Datenschutz schreibt beispielsweise schon in seinem Tätigkeitsbericht für das Jahr 2016 mit Bezug zum Art. 27 des Bayerischen Krankenhausgesetzes: „Gerade in Krankenhäusern entstehen zunehmend große Mengen an Daten, die die Gesundheit der Patientinnen und Patienten und damit deren intimsten Lebensbereich betreffen. Für diese Daten ist es durchaus angemessen, strengere Schutzmaßnahmen zu fordern. Durch die Beteiligung externer Stellen wird der Kreis derer größer, die mit sensiblen medizinischen Daten in Berührung kommen. Gleichzeitig sinken die direkten Einflussmöglichkeiten der Krankenhäuser auf den Umgang mit den Daten ihrer Patientinnen und Patienten. Das kann das Risiko von Datenmissbrauch und Datenverlust in einem besonders sensiblen Bereich erhöhen.”

Angesichts einer sehr anspruchsvollen Regelungsdichte der DSGVO und der zahlreichen weiteren einschlägigen Rechtsnormen wird auch der Nachweis der Konformität für die betroffenen Unternehmen erheblich anspruchsvoller. Zum Anforderungskatalog zählen beispielsweise:

• Der Nachweis angemessener technischer und organisatorischer Maßnahmen nach dem aktuellen Stand der Technik,
• der umfassende Nachweis der Verarbeitungstätigkeiten einschl. des Nachweises, welchen Zweck diese erfüllen und auf welcher Rechtsgrundlage sie erfolgen,
• die zuverlässige Umsetzung der Auskunfts- und Löschungsrechte der Betroffenen,
• der Nachweis über die ggf. zuverlässige, fristgerechte Meldung einer Datenpanne,
• der Nachweis, dass Mitarbeiter zum Datenschutz verpflichtet und dass sie unterwiesen worden sind,
• die Vorlage der notwendigen Vereinbarungen zur Auftragsverarbeitung,
• der Nachweis, dass für die Datenweitergaben, für die Einwilligungserklärungen erforderlich sind, diese Einwilligungserklärungen systematisch eingeholt werden
• der Nachweis, dass die Mitarbeiter im Bedarfsfall schnell prüfen können, ob die betreffende Einwilligung tatsächlich vorliegt,
• die Ermittlung der wichtigsten Datenschutzrisiken aus Betroffenensicht zur Auswahl derjenigen Verarbeitungstätigkeiten, für die eine Datenschutzfolgenabschätzung zu erstellen ist und schließlich
• die Vorlage der erforderlichen Datenschutzfolgenabschätzungen.

Nachweispflicht der DSGVO heißt nichts anderes als DATENSCHUTZ-COMPLIANCE-MANAGEMENT

Damit entsteht im Bereich Datenschutz die Notwendigkeit, ein funktionierendes Compliance-Management, also ein Datenschutz-Compliance-Management, belegen zu können. Denn der Inhalt des Begriffs Compliance ist durch die (nachgewiesene) Einhaltung gesetzlicher und interner Regelungen und Standards definiert. Bei der Übersetzung der allgemein gehaltenen Anforderungen der DSGVO in die Praxis spielen die für die Körperschaft und ihre Prozesse angemessenen TOMs, die technischen und organisatorischen Maßnahmen also, eine zentrale Rolle. Hier gibt es branchen- und risikospezifische Anhaltspunkte, die man berücksichtigen sollte. Eine funktionierende Datenschutz-Compliance bedeutet, dass die tatsächliche Einhaltung der unternehmensbezogen definierten Standards nachgewiesen werden kann.

Die Bescheinigung eines Wirtschaftsprüfers über die Wirksamkeit eines Compliance-Management-Systems (CMS) bedeutet wertvolle Anhaltspunkte nach außen hin für den Fall, dass trotz aller Maßnahmen dennoch einmal etwas schiefläuft und eine Datenpanne geschieht. Das Institut der Wirtschaftsprüfer (IDW) hat mit dem Prüfungsstandard 980 einen Standard gesetzt, anhand dessen die Fragestellung nach der Wirksamkeit eines CMS beantwortet und als Ergebnis eine entsprechende Bescheinigung erlangt werden kann.

Die Prüfung des CMS nach diesem Prüfungsstandard 980 kann auf bestimmte Unternehmensfunktionen eingeschränkt werden. Deshalb eignet sich der Standard u. a. gut dafür, eine gezielte Prüfung des Datenschutz-Compliance-Management-Systems mit anschließender Bescheinigung durchzuführen. Die Prüfung kann als Konzeptions-, als Angemessenheits- oder als Wirksamkeitsprüfung definiert werden. Ziel einer umfassenden Wirksamkeitsprüfung ist es festzustellen, ob die definierten Grundsätze und Maßnahmen gemäß der Konzeption des CMS angemessen sind, ob sie zu einem bestimmten Zeitpunkt implementiert und in einem zu bestimmenden Prüfungszeitraum auch wirksam waren. Für den Fall einer spezifischen Datenschutz-CMS-Prüfung umfasst diese sowohl organisatorische als auch technische Aspekte eines Datenschutz-CMS.

Bescheinigung der Datenschutz-Compliance in einem abgrenzbaren IT-System: PS 860 als Alternative zum PS 980

Wenn eine Bescheinigung mit Bezug zu bestimmten IT-Systemen angestrebt wird, eignet sich eine Prüfung nach dem IDW-Prüfungsstandard 860 für IT-Prüfungen außerhalb der Abschlussprüfung. Die Prüfung kann als Angemessenheitsprüfung und als Wirksamkeitsprüfung gestaltet werden. Ziel einer Angemessenheitsprüfung ist es festzustellen, ob die angewandten Grundsätze, Verfahren und Maßnahmen geeignet sind, die durch das IDW erstellten Kriterien einzuhalten und ob sie zum relevanten Prüfzeitpunkt im Unternehmen implementiert sind. Ziel der Wirksamkeitsprüfung ist über die Angemessenheitsprüfung hinaus zu beurteilen, ob die in der Erklärung zum IT-System dargestellten Grundsätze, Verfahren und Maßnahmen des zu prüfenden IT-Systems in dem zu prüfenden Zeitraum wirksam gewesen sind.

Da sich das Datenschutz-Management-System des Unternehmens letztlich in der Gesamtheit dieser Grundsätze, Verfahren und Maßnahmen manifestiert, wird mit der Prüfung daher eine externe, unabhängige Aussage zur Angemessenheit, zum Stand der Implementierung sowie ggf. zur Wirksamkeit des Datenschutz-Management-Systems getroffen. Sie kann daher ebenfalls ein wertvoller Baustein bei der Führung des Nachweises sein, den die DSGVO vom Verantwortlichen fordert.

Aufgrund der Ausrichtung des zugrundeliegenden IDW PS 860 für IT-Prüfungen sind diese Prüfungen besonders dafür geeignet, Gewissheit über die Angemessenheit und den Implementierungsstand der notwendigen Schutzmaßnahmen (technische und organisatorische Maßnahmen, TOMs) zu erlangen. Damit steht ein zusätzliches Werkzeug mit ggf. besonderem Schwerpunkt auf die TOMs und zur Erlangung einer entsprechenden Bescheinigung zur Verfügung.

Die von den gesetzlichen Vertretern getroffenen Grundsätze, Verfahren und Maßnahmen sind den rechtlichen Kriterien gegenüberzustellen und auf ihre Angemessenheit und ggf. Wirksamkeit hin zu überprüfen. Diese Überprüfung kann durch eine geeignete Aufbau- und Funktionsprüfung erfolgen. Darüber hinaus ist eine Risikobeurteilung durchzuführen.

Bescheinigungen aufgrund von Prüfungen, die als CMS-Prüfungen (PS 980) oder auch als Systemprüfungen (PS 860) ausgestaltet sind, unterliegen, genau wie andere Testate und Bescheinigungen eines Wirtschaftsprüfers, der Berufspflicht der Unabhängigkeit. Gleichzeitig unterstützt der Prüfungsprozess oftmals beim Aufdecken und Beseitigen noch unbemerkter Schwachstellen und bietet damit im Anschluss an die Prüfung eine wesentlich verbesserte Ausgangslage, um den Nachweis der Einhaltung der Grundsätze der DSGVO zu führen.