Datenschutz einfach umsetzen

Ihr externer Datenschutzbeauftragter

Was muss ein Unternehmen tun, um DSGVO-konform zu werden?

Ein Datenschutzmanagementsystem aufsetzen.

 „Wer aufgehört hat besser werden zu wollen, hat aufgehört gut zu sein.“ Das Zitat von Phillip Rosenthal ist so wahr wie abgedroschen. Für den Datenschutz müsste es angepasst werden: „Wer aufgehört hat, gut genug sein zu wollen, ist nicht mehr sicher.“  

Für kleine Unternehmen kann es passend ein „kleines“ Managementsystem sein. Entscheidend ist, dass auf Nachfragen nachgewiesen werden kann, dass eine regelmäßige und systematische Überprüfung des Datenschutzniveaus stattfindet. Damit der Bedarf für Verbesserungen erkannt werden kann, und diese umgesetzt werden. Art 32 (1) d DSGVO 

Das macht zwar immer wieder auf’s neue Arbeit, bei näherer Betrachtung macht es aber auch Sinn. In Zeiten sich ändernder Bedrohungen, insbesondere für die IT, kann man nicht erwarten, dass man seine Ruhe hat, wenn einmal alles eingerichtet wurde. Gehackt werden will ja niemand – insofern muss man das einfach als Chance begreifen. Wenn einem also das Leben Zitronen in Form der DSGVO schickt, macht man eben Limonade draus, und sichert sein Unternehmen besser ab. Es ist ja nicht so, als wären die Unternehmensdaten nichts wert. 

Auch interne Abläufe ändern sich ständig. Daten werden zu anderen Zwecken verwendet. Eine neue wird Software eingeführt oder der Dienstleister gewechselt. Daher muss auch die Dokumentation aktuell gehalten werden. Wenn einmal alles steht, ist der Aufwand für die Pflege und regelmäßige Überprüfung händelbar.

Die Sicherheitsmaßnahmen überprüfen und dokumentieren.

Haben Sie eine Liste, in der Ihre Sicherheitsmaßnahmen von Antivirus bis Zutrittsschutz einmal komplett aufgeführt sind?  

Für Auftragsverarbeiter ist eine TOM-Liste de facto zwingend erforderlich, da die Kunden genau danach fragen werden. Aber auch jedes andere Unternehmen steht in der Pflicht, die Daten nachweislich wirksam zu schützen. Die ersten höheren Bußgelder, die verhängt wurden, waren Ergebnis von vermeidbaren Schwachstellen und gar nicht mal von bewussten Datenschutzverletzungen. In die IT-Sicherheit zu investieren, lohnt sich daher doppelt.

Wie oft werden Backups gezogen, sind diese verschlüsselt? Wer administriet die Firewall und wann fand die letzte Schulung aller Beschäftigten zum Datenschutz statt? Selten ist das zentral dokumentiert. Ich gehe in der Regel so vor, dass ich im ersten Jahr der Benennung zunächst dokumentiere, was vorhanden ist. Häufig ergeben sich aus der Dokumentation heraus schon sehr einfache und vergleichsweise günstige Maßnahmen, die einen großen Gewinn an zusätzlicher Sicherheit bringen. Erst in den Folgejahren, wenn auch die anderen Datenschutz-Baustellen geschlossen sind, führe ich ein tiefergehendes Audit der Datensicherheit in Form einer Gap-Analyse  durch.

Pflicht zur Benennung eines Datenschutzbeauftragten prüfen. 

Nicht alle Unternehmen müssen einen Datenschutzbeauftragten benennen. Aber ob mit oder ohne Datenschützer muss sich jeder an das Gesetz halten.

Und  alle Unternehmen müssen nachweisen dokumentieren können, dass sie sich mit der Frage der Benennungspflicht auseinander gesetzt haben.  Ob Ihr Unternehmen in der Pflicht zur Benennung ist, können Sie mit meiner Liste von Prüffragen feststellen. 

Alle Datenverarbeitungsprozesse erfassen und dokumentieren.


Das sogenannte Verarbeitungsverzeichnis (VVZ) ist der Kern der Datenschutzdokumentation. Hier wird von A wie „Aktenvernichtung“ bis Z wie „Zahlungserinnerungen versenden“ jeder Vorgang erfasst, in dem personenbezogene Daten verarbeitet werden. Das bedeutet nicht, dass jede einzelne verschickte Mahnung im VVZ dokumentiert wird, sondern (um im Beispiel zu bleiben) eine Prozessbeschreibung zum Versand der Zahlungserinnerungen  erstellt wird.

Also Woher kommen die Daten? Was für Daten sind das? Wessen Daten sind das? Wozu werden sie genutzt?  Wohin gehen sie? Wie sicher werden sie gespeichert? Wann werden sie gelöscht? Zusätzlich Wie wurde informiert und ggf wie wurde eingewilligt?   

Sie Fragen sich jetzt vermutlich: ERNSTHAFT, MUSS DAS JEDER MACHEN?  Nein. Die Pflicht, ein VVZ zu führen entfällt, für Unternehmen mit weniger als 250 Beschäftigten. Es sei denn, es werden regelmäßig personenbezogene Daten verarbeitet. Dieser Passus der DSGVO ist mein absoluter Favorit wenn es um unsinnige Regelungen im Gesetz geht. Wer auch immer den Satz rein geschrieben hatte, muss schon ein paar gute Flaschen Rotwein intus gehabt haben. Daher lobe ich hiermit eine Flasche Luberon aus für den ersten oder die erste, die mir ein real existierendes Unternehmen mit 249 Beschäftigten nennen kann, wo keine regelmäßige Verarbeitung personenbezogener Daten erfolgt.

Aber zurück zu der Frage, ob das jeder machen muss. De facto ja. Leider. Das VVZ ist eine zeitaufwändige Fleißarbeit, deren Sinn in der Regel erst erkannt wird, wenn es doch mal ein Vorfall gab. Wenn ein IT-Dienstleister eine Panne hatte, kann so sehr schnell erfasst werden, welche Personengruppen informiert werden müssen. Wenn eine betroffene Person ein Auskunftersuchen nach Art. 15 stellt, lässt sich sehr schnell zusammentragen, welche Daten wo liegen. Und wenn die Aufsichtsbehörde fragt, wo das VVZ ist, sollte eines vorliegen. Ein Verstoß gegen die Pflicht eines zu führen ist bußgeldbehaftet.

Datenweitergaben und Auftragsverarbeitungsverhältnisse klären.

Es gibt kaum ein Unternehmen, dass alle Daten ausschließlich selber erhebt, speichert oder verarbeitet. Auftragsverarbeitungsverhältnisse gibt es auch da, wo sie nicht so offensichtlich sind.  Alleine eine normale Webseite hat mit dem Hoster, der Webdesing-Agentur, Google Analytics und dem Newsletteranbieter schnell eine Handvoll Auftragsverarbeiter. Cloudspeicherdienste, IT-Support, Buchhaltung-Software, Kolaborationstools, der Aktenvernichter und die Zeiterfassung kommen noch dazu.  

Mit jedem sogenannten Auftragsverarbeiter ist ein Vertrag über die Datenverarbeitung im Auftrag (AVV) abzuschließen. Das ursprünglich für die Datenverarbeitung verantwortliche Unternehmen bleibt dabei selbstredend verantwortlich. Und muss dokumentieren, dass der Auftragsverarbeiter so ausgewählt wurde, dass der Schutz der Daten dadurch nicht gemindert ist.
Dazu muss man sich den Vertrag ansehen, ob er alle Pflichtinhalte abdeckt und die technischen und organisatorischen Maßnahmen des Dienstleister überprüfen, ob die angemessen sind. 

Bei Datenweitergaben ins außereuropäische Ausland sind zusätzlich die Rechtsgrundlagen der Weitergaben zu überprüfen. 

Rechtsgrundlagen der Verarbeitung klären.

Ein DSGVO-Mythos ist, dass nun keine Daten mehr ohne Einwilligung verarbeitet werden dürfen. Das ist Quatsch, der sich leider hartnäckig hält.
Mir wurden schon allerlei unterschriebene Einwilligungen vorgelegt, die es gar nicht gebraucht hätte. Da willigt z.B. die Buchhaltung der Firema ein, dass die Debitoren eine Rechnung mit Ansprechperson erhalten.  Überlegen Sie sich mal, was sie machen, wenn die Buchhaltung nicht einwilligt?  

Schon zuvor galt in Deutschland das sogenannte „Totalverbot mit Erlaubnisvorbehalt“. Es ist also richtig, dass grundsätzlich keine Daten verarbeitet werden dürfen. Es sei denn, es gibt einen Erlaubnistatbestand (bzw. eine Rechtsgrundlage).

Das kann zum Beispiel eine Einwilligung sein. Aber auch wenn ein Vertrag vorliegt, oder eine Gesetz die Datenhaltung erfordert (Aufbewahrungsfristen), ist es erlaubt, personenbezogene Daten zu verwenden. Ebenso wenn es um Leib und Leben geht oder wichtige öffentliche Interessen wahrgenommen werden. Nicht zuletzt kann im Rahmen einer Interessenabwägung festgestellt werden, dass die betroffene Person eigentlich nichts dagegen haben kann, und Sie für Ihr Unternehmen ein berechtigtes Interesse sehen.  

Ein guter Datenschützer ist meiner Meinung nach kein Nein-Sager, sondern ein Legalisierer. Wenn Datenverarbeitungsprozesse erforderlich sind, lässt sich so gut wie immer eine Rechtsgrundlage finden und dokumentieren, dass die Datenverarbeitung legal ist.  

Betroffenenrechte umsetzen.

Die Betroffenenrechte sollen bewirken, dass die betroffene Person Souverän über die eigenen Daten bleiben kann. Hierzu sind Transparenzpflichten zu erfüllen, indem bei Erhebung oder auf Anfrage informiert wird. Aber auch die Sperrung, Löschung oder Korrekturen kann die betroffene Person einfordern. Sie brauchen allerdings nur dann zu löschen, wenn dem z.B. keine gesetzlichen Aufbewahrungsfristen entgegen stehen. 

Für Ihr Unternehmen bedeutet dies, dass Sie Prozesse aufsetzen oder anpassen müssen, mit denen Sie solche Anfragen zeitnah  beantworten können, und im Fall einer Anfrage schnell ein Muster-Antwortschreiben aus der Schublade ziehen können.

Die Betroffenenrechte sind, wie ich finde, ein echter Fortschritt für die informationelle Selbstbestimmung; gerade in Zeiten, in denen private Unternehmen weitaus mehr Daten erfasst haben, als z.B. staatliche Behörden. Leider gibt es gelegentlich Menschen (insb. angelehnte Bewerber, entlassene Mitarbeiter oder unzufriedene Kunden) die diese Rechte ein wenig missbräuchlich einsetzen und den Datenschutz zum Nebenkriegsschauplatz für andere Probleme machen. Die also ihre Fragen nicht wegen der Antworten stellen, sondern weil sie auf der Suche nach einem Fehler sind. 

Schön für Sie, wenn Sie einfach antworten können: „Wenden Sie sich bitte an unseren Datenschutzbeauftragten.“

Informationspflichten erfüllen.

Die Informationspflichten sind jeweils bei Erhebung zu erbringen. Gerade in diesem Punkt gab es auch schon einigen Unfug, den man so gehört hat.
Z.B. wie die Infos bei einem telefonischen Erstkontakt oder bei der Übergabe von Visitenkarten zu erfolgen haben. Im Kern muss für Kunden, Webseitenbenutzer, Dienstleister, Lieferanten und Mitarbeiter jeweils eine Information erfolgen, was mit den Daten zu welchen Zwecken erfolgt.
 
Am einfachsten ist es, wenn alles mit in der Datenschutzerklärung auf den Webseite steht und darauf verwiesen werden kann. 

Contact us

With the Internet spreading linke wildfire and reaching every part of our daily life, more and more traffic is directed to websites in search for information.