Was ist zu tun?

Ihr externer Datenschutzbeauftragter

Was ist zu tun?

Einen Datenschutzbeauftragen bestellen – Jedenfalls eventuell.

Nicht alle Unternehmen müssen einen Datenschutzbeauftragten benennen. Ob Ihr Unternehmen in der Pflicht zur Benennung ist, können Sie mit meiner Liste von Prüffragen feststellen. 

Die Verantwortlichkeiten klären und Datenweitergaben vertraglich absichern 

Es gibt kaum ein Unternehmen, dass alle Daten nur im eigenen Verantwortungsbereich hält. Ob es die Webseite ist, wo die Logfiles auf dem Server des Hosters liegen, der IT-Supporter, der per Fernwartung mal schaut, warum die IT nicht so funktioniert, wie gewohnt oder der Aktenvernichter, der schreddern kommt. 

Mit jedem sogenannten Auftragsverarbeiter ist ein Vertrag über die Auftragsverarbeitung abzuschließen. Der ursprünglich für die Datenverarbeitung verantwortliche bleibt dabei selbstredend verantwortlich und muss dokumentieren, dass der Auftragsverarbeiter so ausgewählt wurde, dass der Schutz der Daten dadurch nicht gemindert ist. Dazu muss man sich den Vertrag ansehen, ob er alle Pflichtinhalte abdeckt und die technischen und organisatorischen Maßnahmen des 

Alle Datenverarbeitungsprozesse
Erfassen und dokumentieren 

Das sogenannte Verarbeitungsverzeichnis (VVZ) ist der Kern der Datenschutzdokumentation. Hier wird von A wie „Aktenvernichtung“ bis Z wie „Zahlungserinnerungen versenden“ jeder Vorgang erfasst, in dem personenbezogene Daten verarbeitet werden. Das bedeutet nicht, dass jede einzelne verschickte Mahnung im VVZ dokumentiert wird, sonder eher eine Prozessbeschreibung für die Vorgang, 

Im VVZ wird auch aufgeschrieben, zu welchem Zweck und auf welcher Rechtsgrundlage die Daten verarbeitet werden, wo Sie in welchem Bearbeitungsschritt liegen, an welche und wie viele internen und externen Empfänger die Daten in welcher Phase gehen, usw… 

Das VVZ ist eine sehr zeitaufwändige Fleißarbeit, deren Sinn in der Regel erst erkannt wird, wenn es doch mal ein Vorfall gab. Wenn ein IT-Dienstleister eine Panne hatte, kann sehr schnell erfasst werden, welche Personengruppen informiert werden müssen. Wenn eine betroffene Person ein Auskunftersuchen nach Art. 15 stellt, lässt sich sehr schnell zusammentragen, welche Daten wo liegen. Und wenn die Aufsichtsbehörde fragt, ist der Nachweis der Rechtmäßigkeit leicht erbracht.

Zur Rechtmäßigkeit gehört auch dazu, dass ggf. Einwilligungen oder Interessenabwägungen dokumentiert sind und die Informationen erbracht wurden.

Ernsthaft muss das jeder machen?

Nein. Die Pflicht, ein VVZ zu führen entfällt, für Unternehmen mit weniger als 250 Beschäftigten, außer es werden regelmäßig personenbezogene Daten verarbeitet. Dieser Passus der DSGVO ist mein absoluter Favorit bzgl. der einzelnen unsinnigen Regelungen im Gesetz.

Wer auch immer den Satz rein geschrieben hatte, muss schon ein paar gute Flaschen Rotwein intus gehabt haben. Daher lobe ich hiermit eine Flasche Luberon aus für den ersten oder die erste, die mir ein real existierendes Unternehmen mit 249 Beschäftigten nennen kann, wo keine regelmäßige Verarbeitung personenbezogener Daten erfolgt. 

Technisch-Organisatorische Maßnahmen dokumentieren

Technische und Organisatorische Maßnahmen (TOM) sind mehr als nur IT-Sicherheit. Es macht ja keinen Sinn, eine 3-stufige Firewall zu haben, wenn die Tür zum Hof vom Serverraum immer zum Lüften offen steht, und der Server raus getragen werden kann.

Die 4096-Bit Verschlüsselung bringt wenig, wenn das Passwort dazu auf einem Post-it steht. 

Hier ist u.a. zu regeln, wie mit mobilen Geräten umgegangen wird, ob es erlaubt ist auch mal privat im Netz zu googlen oder Mails auf die privaten Smartphones weitergeleitet werden dürfen. Oft genug sind solche Fragen nur mündlich geklärt oder stehen in einem Protokoll, das per Mail kam wo ein  Teammeeting vor ca. drei Jahren das mal besprochen hatte. Es gibt eine Reihe von Inhalten, die in einer Richtlinie festgehalten werden müssen. 

Nicht zuletzt geht es bei der TOM-Doku geht es hier auch darum einfach mal runter zu schreiben, was man hat. Wie die Backups gesichert sind, wer die Firewall administriert, wer angerufen wird, wenn was ausfällt, wer welche Berechtigungen hat usw. 

Eine hervorragende Checkliste für die Prüfung der TOM findet sich unter www.ds-gvo.gesundheitsdatenschtutz.org.

Datenschutzfolgenabschätzungen durchführen, soweit diese erforderlich sind. 

Eine Datenschutzfolgenabschätzung (DSFA) ist immer dann erforderlich, wenn aus der Verarbeitung potentiell ein Risiko für die Rechte und Freiheiten der betroffenen Person entsteht. Die Aufsichtsbehörden haben mittlerweile Positiv- und Negativlisten herausgegeben, wann eine DSFA erforderlich ist. 

Prozesse etablieren, die es ermöglichen, die Betroffenenrechte zu wahren. 

Die Betroffenenrechte bedeuten, dass die betroffene Person Souverän über die eigenen Daten bleiben kann. Hierzu sind Transparenzpflichten zu erfüllen, indem bei Erhebung oder auf Anfrage informiert wird. Aber auch die Sperrung, Löschung oder Korrekturen kann die betroffene Person einfordern. Für Ihr Unternehmen bedeutet dies, dass die Prozesse vorgehalten werden und Muster-Antwortschreiben in der Schublade liegen sollten. 

Informationspflichten 

Die Informationspflichten sind jeweils bei Erhebung zu erbringen. Gerade in diesem Punkt gab es schon einigen Unfug, den man so gehört hat. Z.B. wie die Infos  bei einem telefonischen Erstkontakt oder bei der Übergabe von Visitenkarten zu erfolgen haben. 

Im Kern muss für Kunden, Webseitenbenutzer, Dienstleister, Lieferanten und Mitarbeiter jeweils eine Information erfolgen, was mit den Daten zu welchen Zwecken erfolgt. (und ein paar Sachen mehr) Bekanntestes Beispiel hierfür ist die Datenschutzerklärung auf den Webseiten. 

Auskunftsersuchen 

Wenn eine betroffenen Person fragt, sollte die Frage nicht untergehen. Häufig kommen solche Fragen von abgelehnten Bewerbern oder unzufriedenen Kunden, die auf der Suche nach einem Fehler sind. 

Löschung, Sperrung und Einschränkung. 

Spätestens wenn die Aufforderung kommt, dass alle Daten gelöscht werden sollen, ist man dankbar, wenn in einem VVZ steht, wo welche Daten gespeichert sind.
Noch besser, wenn dort auch notiert ist, ob für diese Daten eine gesetzliche Aufbewahrungspflicht besteht, die dem Ersuchen der betroffenen Person entgegen stehen. 

Berichtigung und Datenportabilität

Berichtigen und ggf. auch in einem brauchbaren Format raus geben muss man die Daten auch können.

Nicht fertig werden, besser werden. 

Der Spruch, dass aufgehört hat gut zu sein, wer nicht mehr besser werden will steht auf den Datenschutz nun quasi im Gesetz. In Zeiten sich ändernder Bedrohungen für die IT stimmt es ja auch, dass man nicht einmal alles einrichten kann und dann jahrelang ruhe hat. Aber wenn erstmal alles steht, ist der Aufwand für die Pflege und regelmäßige Überprüfung auch geringer. 

Schreibe einen Kommentar