Daten schützen, Datenschutz managen

PrintMailRate-it

​​​​​​​​​​​​​​veröffentlicht am 22. November 2018


„Was gestrichen ist, kann nicht durchfallen”. Die alte Bühnenweisheit stellt auch im Datenschutz eine risikoangemessene Maßnahme dar – schließlich können wirksam gelöschte Daten nicht unbefugt verlorengehen. Alleine ist das jedoch nicht ausreichend für einen aktuellen Unternehmens­daten­schutz. Jedes Unternehmen ist verpflichtet, personenbezogene Daten nach Maßgabe des aktuellen Datenschutzrechts zu verarbeiten.

   

Beweislastumkehr

Die europäische Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen darüber hinaus jedoch dazu, die Einhaltung des Datenschutzrechts jederzeit nachweisen zu können, vgl. Art. 5 Abs. 2 und Art. 24 DSGVO. Anforderungen zum Nachweis können anlassunabhängig zunächst von der Aufsichtsbehörde kommen, also den jeweils zuständigen Landesdatenschutzbeauftragten der einzelnen Bundesländer. Darüber hinaus können Betroffene einer Datenverarbeitung einwenden, dass diese unrechtmäßig erfolgte. Auch in solchen Fällen sind Unternehmen verpflichtet, die Rechtmäßigkeit der Verarbeitung nachzuweisen. Deutlich wird das insbesondere, wenn die Datenverarbeitung aus Sicht des Verantwortlichen gewünschte Auswirkungen auf den Betroffenen hatte, etwa bei arbeitsrechtlichen Kündigungsrechtsstreiten wegen eines festgestellten und dokumentierten Fehlverhaltens von Mitarbeitern, aber auch bei Marketing­aktivitäten, v.a. gegenüber Verbrauchern sowie der bloßen Sammlung und Verarbeitung von Daten. Im Ergebnis führt das neue Datenschutzrecht somit zu einer Beweislastumkehr für jede einzelne Datenver­arbeitung.

 

Datenschutzmanagement

Unternehmen müssen daher nachweisen können, wie sie sicherstellen, sämtliche Anforderungen der DSGVO einzuhalten. Bei anlassbezogenen Prüfungen – etwa aufgrund einer einzelnen Anfrage oder eines Datenschutzvorfalls, z.B. einem Abhandenkommen von Daten – kommt es zunächst darauf an, die Angemessenheit der ursprünglich ergriffenen Maßnahmen bei der jeweiligen Datenverarbeitung nachzu­weisen. Ergänzend dazu – und erst recht bei anlasslosen Prüfungen – sind zudem weiter ergriffene Maßnahmen zum datenschutzkonformen Umgang mit personenbezogenen Daten hilfreich, können sie doch in einem konkreten Fall als mildernde Umstände bei der Verhängung von Geldbußen berücksichtigt werden.

 

Einzelne Maßnahmen

Unternehmen müssen daher darstellen können, die Anforderungen der DSGVO überhaupt erkannt und angemessene Maßnahmen zur ihrer Einhaltung ergriffen zu haben. Anforderungen zur Einhaltung der Nachweispflichten ergeben sich dabei teilweise aus der DSGVO selbst, im Übrigen aus den Erfahrungen mit anderen Risiko-Management-Systemen: So sind technische und organisatorische Maßnahmen zu ergreifen, die die Einhaltung datenschutzkonformen Verhaltens sicherstellen (sollen), Art. 24 Abs. 1, 32 Abs. 1 DSGVO. Hilfreich ist dafür – abhängig von Unternehmensgröße und den verarbeiteten Daten – ein für den Datenschutz im Unternehmen verantwortliches Datenschutz-Team. Das muss nicht zwangsläufig mit dem betrieblichen Datenschutzbeauftragten identisch sein, dessen Pflicht zur Bestellung sich in Deutschland ergänzend aus § 38 Abs. 1 BDSG ergibt.


Ein Überblick über die einzelnen Verarbeitungsvorgänge im Unternehmen, ihre Gründe und Zwecke stellt den Ausgangspunkt für spezifischere Regelungen dar. Ein solcher Überblick ist daher unabhängig davon sinnvoll, ob er auch formal in die Form eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO gefasst werden muss. Organisatorisch kann die Unternehmensleitung über Richtlinien (Policies) sicherstellen, wie mit bestimmten Sachverhalten datenschutzkonform umgegangen wird. Das betrifft etwa
  • eine Sensibilisierung der Mitarbeiter für das Thema Datenschutz,
  • die Einhaltung der Datenschutz-Grundsätze des Art. 5 DSGVO,
  • die Benennung interner Verantwortlicher für einzelne Verarbeitungsprozesse,
  • die Einhaltung der Betroffenenrechte, insbesondere in Hinblick auf Informationspflichten und Auskunftsverlangen,
  • interne Meldepflichten bei Datenschutzvorfällen („Datenpannen”),
  • die Einbeziehung Externer bei der Verarbeitung personenbezogener Daten (Auswahl und Abschluss von Verträgen zur Auftragsverarbeitung oder gemeinsam Verantwortliche),
  • die Einführung neuer Verarbeitungsprozesse (neben dem Vorgenannten die Einhaltung datenschutzfreundlicher Technikgestaltung, datenschutzfreundlicher Voreinstellungen sowie Beachtung erforderlicher Datenschutzfolgenabschätzungen),
  • Regelungen für die kontinuierliche Überprüfung und Aktualisierung der Maßnahmen.

 

Schließlich sind technische Maßnahmen zur Prüfung und Einhaltung der Sicherheit der Verarbeitung mit dem Ziel eines risikoangemessenen Schutzniveaus zu planen und umzusetzen, Art. 32 DSGVO.

 

Fazit

Ziel eines Datenschutz-Management-Systems ist es, die Einhaltung datenschutzrechtlicher Anforderungen sicherzustellen und nachweisen zu können. Damit kommt die Unternehmensleitung ihrer gesetzlichen Verpflichtung aus der DSGVO nach. Selbst wenn es im Einzelfall dennoch zu Datenschutzverstößen kommt, so können ergriffene angemessene Maßnahmen zu ihrer Vermeidung das Risiko von Sanktionen der Aufsichtsbehörden sowie Schadenersatzansprüchen Betroffener reduzieren oder gar ausschließen.

Contact Person Picture

Johannes Marco Holz, LL.M.

Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Datenschutzbeauftragter (GDDcert.EU), Master of Laws Rechtsinformatik (Universität Passau)

Partner

+49 911 9193 1511

Anfrage senden

Profil

Contact Person Picture

Stefan Alexander Breider

Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Datenschutzbeauftragter DSB-TÜV

Associate Partner

+49 6196 7611 4703

Anfrage senden

Profil

Wir beraten Sie gern!

Themen im Fokus

 

Unternehmer­briefing

Kein Themen­special verpas­sen mit unserem Newsletter!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu