DSGVO-Praxisleitfaden: In acht Schritten zur Compliance

Nachdem sich der Staub um die DSGVO ein wenig gelegt hat, ist jetzt der perfekte Zeitpunkt, seine Maßnahmen rund ums Thema Datenschutz unter die Lupe zu nehmen. Rechtsanwältin Nina Diercks erklärt Ihnen hier die wichtigsten acht Punkte, die kleine und mittlere Unternehmen auf jeden Fall angehen sollten.

Symbol DSGVO-Leitfaden
(Illustration: © goodstocker.yandex.ru, depositphotos)

Als Unternehmen müssen Sie sich in jedem Fall mit den nachfolgend als Checkliste zusammengefassten Punkten befassen:

  • Verzeichnis von Verarbeitungstätigkeiten
  • Informationen zur Datenverarbeitung
  • Vertraulichkeitsverpflichtungen
  • Technische und organisatorische Maßnahmen
  • Auftragsverarbeitungsverträge
  • Datenschutzfolgeabschätzung
  • Meldepflichten
  • Datenschutzmanagement-Handbuch

Das klingt doch nach gar nicht so viel oder? Also, fangen wir einfach an.

download-iconÜbrigens: Sie können sich UPLOAD-Ausgaben als E-Book herunterladen. Und für Abonnenten sind diese Downloads sogar kostenlos. Jetzt mehr über das Abo erfahren...

Verzeichnis von Verarbeitungstätigkeiten: Das Dashboard des unternehmerischen Datenschutzes

Jedes Unternehmen ist verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten (VV) nach Art. 30 DSGVO zu führen, also eine Übersicht aller Verarbeitungsvorgänge von personenbezogenen Daten zu erstellen.

Jedes Unternehmen? Ja, faktisch jedes Unternehmen. Zwar werden kleinere und mittlere Unternehmen von dieser Pflicht ausgenommen, wenn weniger als 250 Mitarbeiter beschäftigt werden und die Verarbeitung nur gelegentlich erfolgt, man beachte hier jedoch das „und“. Denn diese Ausnahme besagt letztendlich nur, dass gelegentliche Verarbeitungsvorgänge nicht im Verzeichnis von Verarbeitungstätigkeiten mit aufzuführen sind. Auch kleine und mittlere Unternehmen werden also nicht aus der Pflicht entlassen. Sie bleiben immer zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten hinsichtlich ihrer regelmäßigen Verarbeitungstätigkeiten verpflichtet. 

Regelmäßige Verarbeitungsvorgänge sind zum Beispiel: Kundenmanagement, Buchhaltung und Personalmanagement. Gelegentliche Verarbeitungsvorgänge wären eine einmalige Werbekampagne, bei der personenbezogene Daten verarbeitet werden. Eine solche müsste nicht ins Verarbeitungsverzeichnis aufgenommen werden (was nicht heißt, dass bezüglich derer nicht sämtliche sonstigen Anforderungen aus der DSGVO wie etwa Informationspflichten erfüllt werden müssten).

Art. 30 Abs. 1 DSGVO listet dabei konkret auf, welchen Inhalt das Verzeichnis von Verarbeitungstätigkeiten aufweisen muss:  

  • Name und Kontaktdaten des Verantwortlichen & eines etwaigen Datenschutzbeauftragten
  • Zweck(e) der Verarbeitung
  • Beschreibung der Kategorien betroffener Personenkreise und Kategorien personenbezogener Daten
  • Kategorien von Empfängern
  • Übermittlung in Drittländer inkl. der Dokumentation etwaiger Garantien zum Datenschutz
  • Vorgesehene Fristen für die Löschung von Daten(-kategorien)
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen i.S.d. Art. 32 DSGVO

Das klingt überschaubar. Im Einzelnen kann dies jedoch sehr umfangreich und komplex werden. Die gilt insbesondere dann, wenn Sie auf viele Software-as-Service-Lösungen (SaaS) im Unternehmen setzen und ein Teil dieser auch in sogenannten unsicheren Drittstaaten, also etwa den USA, liegen. 

Während es noch einfach ist, den Verantwortlichen (ihr Unternehmen) und einen etwaigen Datenschutzbeauftragten zu benennen, müssen Sie sich dann an die Arbeit machen. Sie müssen in ihrem Unternehmen die verschiedenen Datenverarbeitungsvorgänge identifizieren und strukturieren und zu jedem Datenverarbeitungsvorgang den Zweck, die Betroffenen, die Empfänger, die Rechtsgrundlagen, die Löschfristen sowie etwaige Übermittlungen an ein Drittland angeben. 

Wie Sie dieses VV aufbauen und führen, das bleibt Ihnen überlassen. Hier führen viele Wege nach Rom. Sie können es als Excel-Tabelle erstellen oder als Word-Dokument. Wir arbeiten so, dass wir zunächst eine Matrix als Excel-Tabelle erstellen, um im Anschluss daraus das Verzeichnis zu erstellen. Dabei bieten wir am Anfang der Datenverarbeitungsvorgänge stets ein solches Übersichts-Cluster, in das aktive Verweisnormen gearbeitet sind, so dass schnell zu den entsprechenden Stellen im VV gesprungen werden kann. Dies sieht dann aus wie folgt: 

Datenverarbeitung im Rahmen der  Zweck Betroffene u. Daten Empfänger Rechts-grundlagen Löschung Übermittlung an Drittland
Hauptleistung 4.1 5.1 6.1. 7.1 8.1. 9.1.
Geschäftsverwaltung (Kunden-, Lieferanten- und Interessentendaten) 4.2. 5.2. 6.2. 7.2. 8.2. 9.2.
Personalverwaltung 4.3 5.3. 6.3. 7.3 8.3 9.3
Finanz- und Lohnbuchhaltung 4.4 5.4 6.4 7.4 8.4 9.4.
Website 4.5. 5.5. 6.5. 7.5. 8.5 9.5

Selbstverständlich kann mehr als eine Hauptleistung bestehen und natürlich können auch alle übrigen Kategorien Unterabschnitte aufweisen. Ganz wichtig zu wissen ist, dass Empfänger von Daten auch Auftragsverarbeiter sind. D.h. alle ihre Auftragsverarbeiter, wie z.B. ihr IT-Support oder die von Ihnen genutzte SaaS-Lösung zur Abwicklung ihrer Buchhaltung müssen hier aufgeführt sein. Im Hinblick auf die Auftragsverarbeitungen müssen Sie dokumentieren, dass diese rechtmäßig erfolgen, d.h. Sie müssen hier auf bestehende Auftragsverarbeitungsverträge nach Art. 28 DSGVO oder im Fall von Übermittlungen in unsichere Drittstaaten etwa auf EU-Standard-Clauses verweisen.

Das klingt nicht nur nach relativ viel Arbeit, das ist es auch. Aber je strukturierter und systematischer Sie das Verzeichnis von Verarbeitungstätigkeiten, bzw. die Abbildung Ihrer Datenverarbeitungsvorgänge im Rahmen des Verzeichnisses angehen, desto leichter wird es Ihnen fallen, die sonstigen Anforderungen der DSGVO zu erfüllen. Betrachten Sie das Verzeichnis von Verarbeitungstätigkeiten als Ihr Datenschutz-Dashboard, als die Grundlage Ihres Datenschutz-Managements. Jede sorgfältige Arbeit hier wird Ihnen an anderer Stelle Arbeit ersparen, da Sie an etlichen Stellen, zum Beispiel bei der Erstellung von Informationen zur Datenverarbeitung (dazu später mehr) quasi mit Copy & Paste arbeiten können, und insoweit effizientere Ergebnis vorliegen haben, als hier und da an datenschutzrechtlichen Schrauben nachzuziehen.

Im Anschluss geben Sie im Verzeichnis von Verarbeitungstätigkeiten noch einen Überblick über die getroffenen Technischen und Organisatorischen Maßnahmen, kurz TOM, die Sie zum Datenschutz und zur Datensicherheit getroffen haben. Hierauf gehe ich später noch konkreter ein. 

Sinnvollerweise ergänzen Sie schließlich das Verzeichnis noch um eine Liste Ihrer Auftragsverarbeiter mit Anschrift und Funktion. Dieses werden Sie nämlich dann wieder als Annex zu einem Auftragsverarbeitungsvertrag benötigen, wenn Sie der Auftragnehmer einer Auftragsverarbeitung sind. 

Informationen zur Datenverarbeitung – formerly known as „Datenschutzerklärung“

Wenden wir uns nun den Informationen zur Datenverarbeitung (IDV) zu. Dies ist im Ergebnis nicht viel anderes als das was bisher unter dem Begriff „Datenschutzerklärung“ aus dem Internet aufgrund der Vorgabe von § 13 TMG bekannt war. 

Nach der DSGVO ist nun mehr aber nicht mehr nur im Internet über die Verarbeitung von personenbezogenen Daten aufzuklären, sondern stets und grundsätzlich. Das heißt, Sie müssen nicht nur Ihre Webseitenbesucher oder SaaS-Nutzer über die Datenverarbeitung aufklären, sondern auch Ihre Kunden, Ihre Lieferanten, Ihre Bewerber und Ihre Mitarbeiter. Nach Art. 13 DSGVO ist dabei jeweils über das Folgende zu informieren:  

  • Namen und Kontaktdaten des Verantwortlichen & Vertreters
  • Kontaktdaten des Datenschutzbeauftragten
  • Zwecke & Rechtsgrundlage der Verarbeitung (ggf. Begründung, warum berechtigtes Interesse an der Verarbeitung besteht)
  • Empfänger der Daten, ggf. Übermittlung an Drittstaaten
  • die Dauer der Datenspeicherung
  • die Betroffenenrechte (Auskunft, Datenportabilität, Beschwerde, Widerruf und Widerspruch)

Lesen Sie dazu auch: „Datenschutzerklärung: Das muss enthalten sein“

Dabei wird Ihnen nun – hoffentlich – aufgefallen sein, dass Sie die meisten dieser Informationen doch bereits in ihrem Verzeichnis von Verarbeitungstätigkeiten aufgeführt haben. Richtig. Deswegen können Sie all diese Informationen quasi aus dem sauber angelegten Verzeichnis von Verarbeitungstätigkeiten herauskopieren im Handumdrehen mit diesen Bestandteilen ihre jeweiligen Information zur Datenverarbeitung erstellen.

Die Information zur Datenverarbeitung müssen Sie dem Betroffenen aber auch zukommen lassen. Das hört sich vielleicht fürchterlich an. Gemeint ist damit aber nicht, dass die IDV per Post, Brieftaube oder Rauchzeichen übermitteln müssen.

Am einfachsten handhaben Sie diese Informationspflicht wie folgt: Sie legen etwa eine Webseiten-IDV, eine Recruiting-IDV und eine Kunden- und Lieferanten-IDV an. Diese stellen Sie dann auf die Webseite. Fertig. Im Rahmen von Stellenanzeigen verweisen Sie dann auf die Recruiting-IDV. Den Verweis bzw. den Link auf die Kunden-IDV setzen Sie in Ihren E-Mail-Footer und/oder in ihre Angebote. Und schon sind Sie in jedem Fall auch hier ihrer Informationspflicht nachgekommen.  

Was Sie ganz sicher nicht müssen: Eine „Einwilligung“ zu den IDV oder eine „Bestätigung der Kenntnisnahme“ einholen. Sie müssen informieren. Und sonst erst einmal gar nichts.   

Im Einzelfall kann es auch hier komplizierter werden. Aber dem Grunde nach ist es wirklich nicht schwer.

Vertraulichkeitsverpflichtung

Die nächste (kleine) Baustelle, der wir uns zuwenden, ist die sogenannte „Vertraulichkeitsverpflichtung“ bzw. die „Verpflichtung auf Vertraulichkeit und Beachtung des Datenschutzes nach Art 5 DSGVO“. Aus Art. 5 (sowie Art. 28 und Art. 32) DSGVO ergibt sich, dass ein Unternehmen diejenigen Mitarbeiter, die mit personenbezogenen Daten arbeiten (also in der Regel alle), auf die Vertraulichkeit verpflichten müssen. Möglicherweise kommt Ihnen das vage bekannt vor. Und richtig, auch nach dem BDSG-alt mussten Sie Ihre Mitarbeiter auf Datengeheimnis verpflichten. Nun gilt allerdings die DSGVO und folglich müssen Sie auch diese dokumentarisch-bürokratische Hürde nehmen. 

Dies bedeutet, dass Sie Ihre Mitarbeiter mittels eines Formblattes zur Vertraulichkeit verpflichten und darüber aufklären müssen, dass personenbezogene Daten nicht unbefugt verarbeitet und/oder Dritten mitgeteilt oder zugänglich gemacht werden dürfen. Daneben müssen Sie darauf hinweisen, dass und wie die DSGVO Verstöße sanktioniert. Dazu geben Sie ein Merkblatt mit einem Auszug aus den Normen der DSGVO (Art. 4, 5 Abs. 1 f), Art. 82 Abs. 1, Art. 83 Abs. 4 und 5) mit. 

Die Vertraulichkeitsverpflichtung teilen Sie in zweifacher Ausfertig aus und lassen sich ein vom Mitarbeiter unterschriebenes Exemplar für die Personalakte zurückgeben. Dies dient dem Nachweis im Falle einer Prüfung, dass Sie Ihre Mitarbeiter auf die Vertraulichkeit verpflichtet haben. Somit können Sie ein diesbezügliches Organisations- und Aufsichtsverschulden, das zu einer Sanktion gegenüber Ihrem Unternehmen führen kann, ausschließen.

An sich also wirklich nur eine etwas lästige Pflicht, nicht mehr. In der Praxis kommt es jedoch immer wieder vor, dass sich Mitarbeiter weigern, dieses Schriftstück zu zeichnen. Der Grund ist, dass diese glauben, Sie würden sich erst mit der Zeichnung des Papiers den Normen unterwerfen und seien aufgrund der Zeichnung in Gefahr, nach Maßgabe der DSGVO sanktioniert werden zu können.  

Das stimmt natürlich nicht. Die DSGVO gilt für jeden, also auch Ihre Mitarbeiter, vollkommen unabhängig davon, ob diese eine Vertraulichkeitsverpflichtung zeichnen oder nicht. Die Vertraulichkeitsverpflichtung ist nur eine von der DSGVO geforderte organisatorische Maßnahme zur Einhaltung des Datenschutzes, aufgrund derer Sie verpflichtet sind, ihre Mitarbeiter über den Datenschutz aufzuklären. Diese Aufklärung müssen Sie als Unternehmen aus Nachweiszwecken wiederum in Form der Verpflichtungserklärung dokumentieren. 

All dies kann man den Mitarbeiter gut erklären und so steht der Absolvierung dieser kleinen unternehmerischen Pflichtübung der DSGVO nichts im Wege. 

Damit sind wir auch direkt im nächsten Abschnitt und zwar bei den Technischen und Organisatorischen Maßnahmen. Schließlich sind Vertraulichkeitsverpflichtungen nichts anderes als organisatorische Maßnahmen.

Dem Rest dieser mysteriösen Maßnahmen wollen wir uns im folgenden Abschnitt widmen.

Technische und Organisatorische Maßnahmen

Gemäß Art. 32 DSGVO müssen Sie

„…unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere des Risikos […] geeignete technische und organisatorische Maßnahmen [treffen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.

Dies bedeutet nichts anderes, als dass Sie durch technische wie organisatorische Maßnahmen eine ordentliche, sichere Verarbeitung von personenbezogenen Daten in ihrem Unternehmen gewährleisten können zu müssen. Daten müssen also vor dem unbefugten Zugriff Dritter ebenso wie vor unbefugter Veränderung oder Löschung geschützt werden. 

Technische Maßnahmen

Als mögliche technische Maßnahmen sieht Art. 32  DSGVO unter anderem die Folgenden:

  • Pseudonymisierung & Verschlüsselung
  • Fähige die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit wahrende Systeme
  • Zuverlässige und schnelle Reparationsmechanismen bei Unverfügbarkeit aufgrund eines Zwischenfalls
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen.

Diese Auflistung hilft in der Praxis bei einer strukturierten Erstellung der eigenen technischen Maßnahmen zur Datensicherheit jedoch kaum weiter. Deswegen wenden wir uns in diesem Fall der Anlage zum § 9 BDSG-alt zu. Hier werden technische Maßnahmen aufgezählt und erläutert –  darunter: Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle. Wenn Sie diesen Katalog für Ihr Unternehmen einmal durchgehen und die in ihrem Unternehmen vorhandenen Maßnahmen erfassen, etwa im Hinblick auf Zugriffskontrollen die Beschreibung der Zugriffsberechtigungen verschiedener Mitarbeitergruppen, haben Sie schon eine gute Grundlage für ihre technischen Maßnahmen – auch im Sinne der DSGVO.

Auch hier analysieren und strukturieren Sie einmal Ihre (IT-)Infrastruktur. Das Ergebnis tragen Sie so dann unter technische und organisatorische Maßnahmen in ihr Verzeichnis von Verarbeitungstätigkeiten.    

Organisatorische Maßnahmen

Während relativ klar ist, was technische Maßnahme sind oder sein können, erschließen sich organisatorischen Maßnahme nicht automatisch. Aber der Sinn und Zweck dieser wird recht schnell klar, wenn man sich daran erinnert, dass Informatiker und System-Administratoren immer wieder versichern, das Problem sitze zumeist vor dem Computer. 

Stellen Sie sich vor, Sie haben für gutes Geld ein neues und hochwertiges IT-Sicherheitssystem angeschafft. Diese technische Maßnahme(n) tragen Sie natürlich auch in ihr Verzeichnis von Verarbeitungstätigkeiten ein. Doch wenn Ihr Mitarbeiter für seinen Systemzugang das Passwort „123456“ oder „qwertz“ wählt, dann ist ihr hochwertiges IT-Sicherheitssystem aus Sicht der Datensicherheit nur noch äußerst wenig wert. Ob beauftragte Hacker oder Scriptkiddies – sie werden sich die Hände reiben und laut lachen. 

An dieser Stelle wird klar, dass technische Maßnahmen von organisatorischen Maßnahmen flankiert werden müssen. Organisatorische Maßnahmen sind vor allem Richtlinien bzw. Betriebsvereinbarungen, in denen unter anderem verbindlich festgelegt wird, 

  • wie mit Passwörtern umzugehen ist (Länge, Sonderzeichen/Zahlen), 
  • dass Arbeitsgeräte beim Verlassen des Arbeitsplatzes zu sperren sind
  • dass an öffentlichen Orten nur mit Sichtschutzfolien zu arbeiten ist, 
  • dass Arbeitsgeräte an öffentlichen Orten nicht unbeobeachtet gelassen werden (Klassiker: Laptop bleibt ungesperrt am Platz, während der Mitarbeiter Kaffee aus dem Zugrestaurant holt). 
  • dass einsam aufgefundene USB-Sticks nichts im Firmennetzwerk zu suchen haben.

Natürlich stellen auch Schulungen organisatorische Maßnahmen dar. Aber mit Richtlinien bzw. Betriebsvereinbarungen kommen Sie zum einen Ihrer Dokumentationspflicht nach der DSGVO nach und zum anderen erhalten Sie auch eine arbeitsrechtliche Verbindlichkeit.

Näher will ich an dieser Stelle gar nicht auf die organisatorischen Maßnahmen eingehen, denn mit diesen habe ich mich bereits in dem Artikel „Was die DSGVO mit IT-Richtlinien, Arbeitsrecht und Compliance zu tun hat und warum das jetzt für Unternehmen wichtig ist“ ausführlich auseinandergesetzt.

Auftragsverarbeitungsverträge

Das nächste, sehr praxisrelevante Kapitel schlagen wir mit der Auftragsverarbeitung auf. Auftragsverarbeiter sind natürlich oder juristische  Personen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten“, so Art. 4 Nr. 8 DSGVO

Der Sinn dieses Instrumentes wird schnell klar: Gerade in kleineren und mittleren Unternehmen werden nicht alle Vorgänge hausintern vorgenommen, so wird die Lohnbuchhaltung, der IT-Support und/oder das Personalmanagement gern outgesourct und an einen externen Dienstleister vergeben.

In all diesen Fällen verarbeitet der Dienstleister in der Regel personenbezogene Daten in Ihrem Auftrag, da er ansonsten die Dienstleistung gar nicht erbringen könnte (Lohnabrechnungen ohne Gehalts- und Sozialversicherungsdaten dürften sich als äußerst schwierig erweisen). 

Art. 28 DSGVO legt dabei fest, dass der Verantwortliche in diesen Fällen nur mit Auftragsverarbeitern (Dienstleistern) arbeiten darf, die 

„…hinreichend Garantien dafür biete[t], dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden dass die Verarbeitung im Einklang mit [der DSGVO] erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet

und dass 

„…die Verarbeitung durch einen Auftragsverarbeiter […] auf der Grundlage eines Vertrags [erfolgt].“

Um es also ganz klar zu formulieren: Immer, wenn Daten im Auftrag verarbeitet werden, muss ein Auftragsverarbeitungsvertrag neben dem eigentlichen Dienstleistungsvertrag geschlossen werden. Das gilt im Hinblick auf die oben genannten Beispiele, aber auch bei der Nutzung von Cloud- oder SaaS-Diensten.

Auf Ihrem Weg zur DSGVO-Compliance prüfen Sie also insbesondere, welche Verarbeitungen personenbezogener Daten Sie momentan im Auftrag von Dritten durchführen lassen. 

Art. 28 DSGVO macht übrigens sehr konkrete Vorgaben dazu, welche Inhalte ein Auftragsverarbeitungsvertrag aufweisen muss. In Folge dessen lassen sich auch circa 80% eines Auftragsverarbeitungsvertrages nicht oder nur kaum ändern. Im Hinblick auf die restlichen 20%, nämlich die konkreten Beschreibungen der gegenständlichen Auftragsverarbeitungen sowie die Nutzung der Spielräume, die die DSGVO für Auftragsnehmer oder Auftraggeber bietet, ist jedoch die größte Sorgfalt zu verwenden. Aus meiner Praxiserfahrung heraus kann ich nur davon abraten, Vorlagen aus dem Internet ungeprüft zu übernehmen und/oder selbst abzuändern. Es sei denn, Sie verfügen in Ihrem Unternehmen über einen erfahrenden Datenschutzbeauftragten – aber dann würden Sie diesen Artikel wahrscheinlich gar nicht bis hierhin gelesen haben…

Privacy by Design & by Default

Ein weiterer Begleiter auf Ihrem Weg zur DSGVO-Compliance ist die Verpflichtung zum Datenschutz durch Technikgestaltung und Voreinstellung nach Art. 25 – auch bekannter als „Privacy by Design & by Default“

Zunächst zu der ersten Verpflichtung: Privacy by Design. Diese Verpflichtung trifft den Verantwortlichen ab der ersten Minute der Technikgestaltung. Die eingesetzten (und/oder ggf. entwickelten) Technologien müssen von vornherein so konzipiert sein, dass sie unter Beachtung der Grundsätze des Schutzes personenbezogener Daten operieren können. So ist zum Beispiel darauf zu achten, dass das eingesetzte Programm oder die App nach dem Grundsatz der Datenminimierung arbeitet. Das heißt bei einer Anwendung gleich welcher Art ist stets fragen, ob Sie tatsächlich auf dieses oder jenes Datum angewiesen sind, welches die Anwendung abfragen soll. Ist die Antwort „Nein“, so müssen Maßnahmen getroffen werden, dass diese Daten nicht erhoben werden – sprich also die Anwendung sollte schon möglichst datenarm programmiert sein. Selbstverständlich heißt Privacy by Design auch, dass dem Risiko angemessene technische Maßnahmen zur Datensicherheit implementiert sind.  

Weiter ist der Verantwortliche zur Einhaltung der Privacy by Default verpflichtet. Hier geht es um die andere Seite der Medaille, nämlich um die Voreinstellungen einer fertigen Anwendung. Dort, wo der Nutzer der Anwendung zwischen mehreren Optionen wählen kann, ist im Rahmen des Verarbeitungszweck diejenige voreinzustellen, welche die „datenschonenste“ ist. Verständlich wird das mit diesem Beispiel: Geben Sie Ihrem Kunden die Möglichkeit, einen Newsletter zu abonnieren, so ist regelmäßig eine entsprechende Feldfunktion im CRM-System vorhanden.  Standardmäßig muss die vorgewählte Option der Feldfunktion nun „kein Newsletter-Versand“ beim neu angelegten Kunden sein. Das wäre die datenschonenste Einstellung. 

Zusammenfassend fragen Sie sich bei der Privacy by Design: „Benötige ich diese Daten wirklich?“ und bei der Privacy by Default „Gibt es eine datenschutzschonendere Alternative?“ Überprüfen Sie die bisher eingesetzten Anwendungen und auch die zukünftig einzusetzenden Anwendungen anhand dieser Kriterien und stellen so fest, ob die Anwendungen den Anforderungen des Datenschutzes durch Technikgestaltung entsprechen.

Ein wichtiger Hinweis: Bitte prüfen Sie künftig Anwendungen vor dem Erwerb – und zwar nicht nur darauf, ob diese die Wünsche der Fachabteilung und der IT-Abteilung, sondern ob diese auch die Anforderungen der DSGVO erfüllen kann. In meiner Praxis habe ich schon mehr als einen Fall erlebt, bei dem der Ärger sehr groß wurde, weil eine Software-Anwendung unternehmensweit erst erworben (mit langen Lizenzzeiträumen) und dann auf eine datenschutz- und arbeitsrechtliche Compliance unter deutschem bzw. europäischem Recht untersucht wurde. 

Datenschutz-Folgenabschätzung

Zur Datenschutz-Folgenabschätzung lassen sich zwei wesentliche Aussagen treffen. Zum einen werden Sie mit diesem Wort bei Scrabble mit 54 Punkten kaum zu schlagen sein. Zum anderen müssen Sie als Unternehmen unbedingt wissen, was sich hinter diesem Wort inhaltlich verbirgt.  

Nach Art. 35 DSGVO müssen Sie eine sogenannte Datenschutz-Folgenabschätzung, d.h. eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten,  vornehmen, wenn

„…eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.“

Sie soll dazu dienen, besonders risikoreiche Verarbeitungsvorgänge vorab schon auf mögliche Gefahren für Rechte und Freiheiten der betroffenen Person zu überprüfen. 

Gemäß Art. 35 Abs. 1 DSGVO ist eine Datenschutz-Folgenabschätzung insbesondere erforderlich bei 

  • systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen aufgrund automatisierter Verarbeitung,
  • umfangreicher Verarbeitung von besonders sensiblen personenbezogenen Daten des Art. 9 DSGVO
  • systematischer und umfangreicher Überwachung öffentlicher Räume.

Seitens der Aufsichtsbehörden sind daneben sogenannte. „Positiv-Listen“ herausgegeben worden, in denen Fallgestaltungen skizziert sind, bei denen die Aufsichtsbehörden eine Datenschutz-Folgeabschätzung für zwingend notwendig halten.  Eine Übersicht der Listen aller Datenschutzbehörden der Länder findet sich hier.

Wenn Sie denken, dass Sie von dieser Problematik ganz sicher nicht betroffen sind, möchte ich ihr Augenmerk auf die nachfolgende Fallgestaltung richten:

(Nicht nur) der Hamburger Datenschutzbeauftragte sieht es als erforderlich an, eine Datenschutz-Folgenabschätzung in den Fällen durchzuführen, in denen die „Verarbeitung von umfangreichen Angaben über das Verhalten von Beschäftigten, die zur Bewertung Ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben oder diese in andere[r] Weise erheblich beeinträchtigen“ (Art. 35-Liste des HmbBDSI, S. 6).

Könnte Ihr Personalmanagementsystem und/oder Ihr Arbeitszeiterfassungssystem theoretisch dafür eingesetzt werden, die Arbeitstätigkeiten Ihrer Mitarbeiter so zu bewerten? Ja? Dann sind Sie verpflichtet eine Datenschutz-Folgenabschätzung vorzunehmen. Denn es kommt nicht darauf an, ob Sie eine solche Bewertung vornehmen wollten, es kommt nur darauf an, ob Sie sie durchführen könnten. 

In Sachen Datenschutzfolgen-Abschätzung kann ich Ihnen nur empfehlen, sich die Positivlisten zur Hand zunehmen und mit ihren Verarbeitungsvorgängen abzugleichen, denn man kann schneller verpflichtet sein, eine Datenschutz-Folgeabschätzung vorzunehmen als man jemals gedacht hätte.

Ein wenig mehr zur Datenschutz-Folgenabschätzung finden Sie auch hier unter Ziffer 2 c). 

Meldepflichten & Benachrichtigungspflichten im Falle von Data Breaches

Sie haben getan, was Sie konnten und trotzdem kann es sein, dass etwas passiert. „Etwas passiert“ meint in diesem Fall eine Verletzung des Schutzes von personenbezogenen Daten, einen sogenannten Data Breach. Darunter können folgende Fälle fallen: 

  • ein Script-Kid mit zu viel Langeweile, der/die es versucht und geschafft hat, in Ihre Datenbanken einzudringen und Teile daraus zu löschen;
  • den Fehler eines Programmierers, weswegen Datensätze ungeschützt im Internet lagen; 
  • einen Mitarbeiter, der eine E-Mail statt in bcc an einen offenen Verteiler von 100 Personen versendete. 

Gemäß Art. 4 Nr. 12 DSGVO ist eine Verletzung des Schutzes personenbezogener Daten

„…eine Verletzung, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt“.

Anders ausgedrückt: Jede nicht ordnungsgemäße Verarbeitung birgt eine Verletzung des Schutzes personenbezogener Daten. 

In einem solchen Fall müssen Sie nach Art. 33 DSGVO binnen 72 Stunden nach Kenntnis des Vorfalls eben diesen der für Sie zuständigen Behörde melden und den Vorfall dokumentieren. Dies gilt nur dann nicht, wenn der Data Breach voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Person führt. Dabei ist allerdings anzumerken, dass jede Verletzung des Datenschutzes nahezu zwingend zu einem Risiko führt. Und da die Prognoseentscheidung bei Ihnen liegt, sind Sie gut beraten, der Behörde lieber einen Data Breach zu viel als zu wenig zu melden. 

Denn wenn Sie eine ordentliche Meldung nach Art. 33 Abs. 3 DSGVO vornehmen unter 

  • Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
  • Nennung von Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle
  • Beschreibung der wahrscheinlichen Folgen des Data Breach
  • Beschreibung der von Ihnen ergriffenen oder angedachten Maßnahmen zur Behebung des Data Breach und gegebenenfalls Schadensbegrenzungsmaßnahmen

stehen die Chancen – jedenfalls bei leichten bis mittleren Data Breaches – nicht schlecht, dass die Behörde sagt „Vielen Dank. Haben wir zur Kenntnis genommen.“ Und mehr nicht. (Keine Garantie an dieser Stelle!). Eine unterlassene Meldung stellt jedoch in jedem Fall einen Verstoß gegen die DSGVO dar. 

Da 72 Stunden ein recht knapp bemessenes Zeitfenster darstellen und da Data Breaches regelmäßig nicht geplant werden, ist es sinnvoll für diesen Fall einen Prozess im Unternehmen bereit zu halten und alle Mitarbeiter mittels einer entsprechenden und leicht zugänglichen Prozessanweisung im Fall eines Data Breaches beim Einleiten der ersten Maßnahmen zu stützen. Vor allem gilt es, den Mitarbeitern damit auch die Scheu vor einer Meldung gegenüber der Geschäftsführung bzw. dem Datenschutzbeauftragten zu nehmen, um ein mögliches Vertuschen seitens der Mitarbeiter zu verhindern. 

Die Erstellung und das Vorhalten solcher Prozessanweisungen bieten sich übrigens auch für die Fälle von Auskunftsverlangen und den Wünschen einer Datenübertragbarkeit an.  

Daneben besteht im Falle von Data Breaches nach Art. 34 DSGVO auch noch eine Benachrichtigungspflicht gegenüber den Betroffenen. Dies aber nur, wenn die Verletzung des Schutzes personenbezogner Daten ein voraussichtlich hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies bedeutet, während eine Meldung bei der zuständigen Behörde nahezu immer zu erfolgen hat, besteht eine Benachrichtigungspflicht gegenüber den Betroffenen eher selten. Im Zweifel kann auch hier zunächst eine Absprache mit der Behörde stattfinden, denn diese kann einem Verantwortlichen auch aufgeben, die Betroffenen zu benachrichtigen. 

Bleiben Sie auf dem Laufenden!

Wenn Sie Artikel wie diesen nicht verpassen wollen, bestellen Sie unseren wöchentlichen Newsletter. Wir haben jede Woche einen neuen, ausführlichen und nützlichen Beitrag für Sie, geschrieben von Fachjournalisten und Experten. Themen: E-Business, Online-Marketing, Social Media und mehr. Mit uns bleiben Sie auf dem Laufenden und lernen jedes Mal etwas Neues hinzu. Über 2.000 Empfänger nutzen bereits diesen kostenlosen Service!

Weitere Informationen zu den Inhalten und zum Datenschutz finden Sie auf dieser Seite.

Datenschutzmanagement-Handbuch

Am Ende des Weges zur DSGVO-Compliance steht das ominöse Datenschutzmanagement-Handbuch. Im Ergebnis handelt es sich schlicht um die Zusammenfassung all ihrer getroffenen Maßnahmen bzw. der erstellten Dokumente zum Datenschutz.

Aufgrund der Rechenschaftspflicht des Art 5 Abs. 2 DSGVO sind Sie – wie Sie spätestens jetzt wissen – dazu verpflichtet, alle ihre Bemühungen auf dem Bereich des Datenschutzes zu dokumentieren und gegebenenfalls der Aufsichtsbehörde auf Anfrage Rechenschaft abzulegen. Nach Art. 58 DSGVO kann die Datenschutzbehörde verlangen, dass der Verantwortliche ihr die entsprechenden Nachweise zur Verfügung stellt. Haben Sie all Ihre Bemühungen nun in Ihrem Datenschutzmanagement-Handbuch zusammengetragen und können Sie ihr dieses bei Verlangen unmittelbar überreichen, wird der oder die BehördenvertreterIn voraussichtlich schon einmal halbwegs glücklich sein (auch wenn er oder sie wahrscheinlich keine Sonne in Ihr Heft malen wird).

Daneben ist aber vor allem bei Ihnen im Unternehmen alles sortiert und an einem bestimmten Ort. Sie, ihr Datenschutzbeauftragter und/oder die zuständigen Fachabteilungen sowie einzelne Mitarbeiter haben darauf (Lese-)Zugriff. Hinzu kommt, dass Verarbeitungsvorgänge in Unternehmen leben und immer wieder Änderungen unterworfen sind. Von daher wird in regelmäßigen Abständen, bzw. bei Anschaffung neuer Software oder der Zusammenarbeit mit neuen Dienstleistern eine Aktualisierung des einen oder anderen Dokuments notwendig sein. 

Sinnvollerweise halten Sie das Datenschutz-Managementhandbuch digital, aber vielleicht auch einmal analog (zB. im Büro des Datenschutzbeauftragten) vor. Dabei bietet sich der folgende schlichte Aufbau an:  

  1. Verzeichnis von Verarbeitungstätigkeiten einschl. TOM
  2. Sonst. Organisatorische Maßnahmen, insb. Richtlinien bzw. BV
    1. IT-Richtlinien
    2. Geräte-Richtlinien
    3. Vertraulichkeitsverpflichtungen Ihrer Mitarbeiter (hier: Verweise auf die Personalakten)
  3. Auftragsverarbeitungsverträge 
    1. Als Auftraggeber
    2. Als Auftragnehmer
  4. Ggf. EU-Standardvertragskausel-Verträge
  5. Dokumente zur Erfüllung von Informationspflichten
    1. IDV Webseite 
    2. IDV Recruiting
    3. IDV Kunden und Lieferanten
    4. IDV Mitarbeiter
  6. Prozessanweisungen
    1. Prozessanweisung Data Breach
    2. Prozessanweisung Auskunftsrechte
    3. Prozessanweisung Recht auf Datenübertragung
  7. Löschkonzepte

Moment: „Löschkonzepte“? Scrollen Sie bitte nicht panisch nach oben und suchen Sie den Punkt, den Sie möglicherweise überlesen haben – denn Sie haben ihn nicht überlesen.

Wieso oben gelesen haben, müssen im Verzeichnis von Verarbeitungstätigkeiten auch die Löschfristen zu den einzelnen Datenkategorien angeben werden. Das schöne Festhalten von Löschfristen nützt jedoch nichts, wenn diese nicht auch im Unternehmen umgesetzt werden.  Und eben diese Umsetzung beschreiben Sie in Ziffer 7. 

Dies könnte zum Beispiel im Hinblick auf Kundendaten (vereinfacht) aussehen wie folgt: 

Kundendaten: Einmal jährlich wird geprüft, ob und wenn ja welche Kundendaten nach Ablauf der Aufbewahrungspflicht von 10 Jahren gelöscht werden müssen. Dies schließt die personenbezogenen Daten auf unseren eigenen Servern, dem E-Mail-Server, den Arbeitsgeräten der Mitarbeiter sowie den genutzten SaaS-Systemen mit ein. Wenn und soweit noch analoge Kopien vorhanden sind, werden auch diese gelöscht.

Daneben wird festgehalten, wer mit der Löschung der betraut wird (Mitarbeiter, Dienstleister, …) und wer die Löschung verantwortet (regelmäßig der Datenschutzbeauftragte).

Leider müssen auch die Löschungen dokumentiert werden. Da sich hier die Katze ein wenig in den Schwanz beißt (schließlich können Sie nicht dokumentieren, welche Daten Sie konkret gelöscht haben, denn dann würden Sie schließlich wieder personenbezogene Daten verarbeiten), bietet es sich an, Dokumentationsdateien zu entwerfen, die dann nur noch formularmäßig ausgefüllt werden müssen. Diese könnten (vereinfacht) aussehen wie folgt: 

Am [Datum] wurden alle Kundendaten, die im Jahr [Jahr] erstmalig durch uns verarbeitet wurden, gelöscht. Diese Löschung erfolgte:

Im Fall der Datenkategorien X durch Y.

Im Fall der Datenkategorien A durch B.

Datenschutzbeauftragte

Nun sprach ich immer wieder vom Datenschutzbeauftragten und Sie möchten vermutlich wissen, ob Sie einen bestellen müssen. Das können Sie, so Sie noch mögen, in dem Artikel „Der Datenschutzbeauftragte, insbesondere im Hinblick auf die EU-Datenschutzgrundverordnung (DSGVO)“ nachlesen. Aber auch hier sollten Sie die aktuelle Gesetzeslage im Auge behalten, denn auch hier wird gerade in der Legislative diskutiert, ob die Bestellpflicht für Kleinunternehmen nicht abgeschafft werden sollte.

Fazit

Die DSGVO hat die Spielregeln geändert. Datenschutz ist kein Randgebiet mehr, das mehr oder minder  ohne Risiko beachtungslos bleiben kann. Datenschutz ist nunmehr ein ernstzunehmendes Compliance-Feld geworden. Datenschutz muss nun in ihrem – wie in allen anderen – Unternehmen umgesetzt werden. Der hier vorgestellte Leitfaden soll Ihnen dabei eine erste Orientierung geben sowie Unterstützung bieten. Wichtig ist, dass eine systematische Annäherung an das Thema Datenschutz in ihrem Unternehmen hilfreich und im Ergebnis vor allem effizient ist. 

Möglicherweise fühlen Sie sich jetzt so, als müssten Sie den Mount Everest besteigen. Das ist nicht so. Sie stehen vor einer ihrer üblichen Aufgaben als Unternehmer. Sie müssen gesetzliche Vorgaben umsetzen. Und wie sonst auch, etwa im Arbeits-, Handels- und Steuerrecht, machen Sie dies soweit als nötig und praxisorientiertem Augenmaß (und vor allem ohne Panik!).

In diesem Sinne, auf eine fröhliche DSGVO-Umsetzung!


Dieser Artikel gehört zu: UPLOAD Magazin 64

Die Datenschutz-Grundverordnung DSGVO hat in diesem Jahr für viel Wirbel gesorgt. Mit einigen Monaten Abstand haben wir nun einen umfassenden Schwerpunkt für Sie rund um das wichtige Thema Datenschutz zusammengestellt. Wir ziehen darin Bilanz zur DSGVO, haben einen Praxisleitfaden mit acht Punkten für Ihre Compliance, haben Fachleute nach Ihrer Meinung zu DSGVO und e-Privacy-Verordnung befragt, beschäftigen uns mit dem Thema Cookies und haben Tipps zum technischen Datenschutz für Sie. Plus: Wie Sie den richtigen Influencer für eine Kampagne auswählen

Onlinekurs Instagram Business: 4 Grundlagen für den Erfolg

(Bild: © Sondem, Fotolia)

Jetzt mehr darüber erfahren...

 

3 Gedanken zu „DSGVO-Praxisleitfaden: In acht Schritten zur Compliance

Schreiben Sie einen Kommentar