Am 25.05.2018 tritt die DS-GVO in Kraft. Jeder verarbeitende Stelle wird ein Datenschutzkonzept bereithalten müssen, d.h. sie wird ein Gesamtkonzept zur Einhaltung des Datenschutzes vorhalten müssen, „Rechenschaftspflicht“. Dieses Datenschutzkonzept muss die Stelle im Rahmen ihrer Ablaufprozesse regelmäßig kontrollieren und ggf. weiterentwickeln.
Die DS-GVO normiert in vielen Regelungen, dass ein Verfahren aufgestellt werden muss, das die Wirksamkeit der Maßnahmen zu Datenschutz und Datensicherheit aufstellt und sodann überprüft, bewertet und evaluiert wird.
Beispielsweise seien nur folgende Normen und notwendige Regelungen genannt:
Art. 5 DS-GVO Grundsätze für die Verarbeitung personenbezogener Daten
Art. 30 DS-GVO Verzeichnis von Verarbeitungstätigkeiten
Art. 32 DS-GVO Sicherheit der Verarbeitung
Art. 35 DS-GVO Datenschutz-Folgenabschätzung
Ablaufprozess Betroffenenrechte
Art. 33 DS-GVO Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (also der Datenschutzverstoß)
In besonderes Licht soll gier Art. 5 DS-GVO gerückt werden: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“. Damit ist die Nachweispflicht konkret aufgestellt.
Praxishinweis: Das Datenschutzkonzept hat sämtliche Ablaufprozesse im Datenverarbeitungsprozess zu erfassen, da anderenfalls Bußgelder und Strafen drohen.
Der vorgenannte Artikel (Art. 5 DS-GVO ) zeigt gleichzeitig die gesetzlich gewollte Perpetuierung auf: die Einhaltung muss fortlaufend nachgewiesen werden – das Gesetz kreiert also eine echte „Rechenschaftspflicht“.
Praxishinweis: Der Ablaufprozess im Unternehmen muss die fortlaufende Prüfung des Datenschutzkonzeptes beinhalten und nachweisbar dokumentieren.
Das Datenschutzkonzeptes sollte chronologisch an die gesetzlich Vorgabe angepasst werden und sich an dieser Vorgabe „entlang hangeln“. Erfahrungsgemäß sollte das interne Beschwerdemanagemant und die Neueinführung von neuen Abläufen (Software, tools etc.) inkludiert werden.
Praxishinweis: Bereits im Vorfeld den Datenschutzbeauftragten (DSB) hinzuziehen und bereits diese Maßnahme protokollieren
Neben den genannten Punkten werden – viele DSB´te werden dies meistens bereits in der Vergangenheit umgesetzt haben – einige spezielle Problemkreise abgehandelt werden müssen:
– Spezialfall Verzeichnis Dienstleister
Es gilt zu prüfen, ob Dienstleister oder andere Vertragsparteien des Unternehmens mit personenbezogenen Daten in Berührung kommen bzw. in die Verarbeitung involviert werden.
Praxishinweis: Dienstleister erstellen und mit dem DSB überprüfen
– Spezialfall: Vertragsübersicht
Das Konzept sollte eine Vertragsübersicht mit Musterverträgen führen, die mit dem DSB dahin überprüft werden, ob personenbezogenen Daten verarbeitet werden. Die Geheimhaltungsvereinbarungen sollten hier ebenfalls hinterlegt und geprüft werden.
Praxishinweis: Dies wird regelmäßig die HR- Abteilung betreffen. Es gilt daher ein besonderes Augenmerk darauf zu legen!
– Spezialfall: Art. 32 DS-GVO Sicherheit der Verarbeitung
Entgegen den Regelungen in dem (noch geltenden) § 9 BDSG , werden in Art. 32 Abs. 1 DS-GVO keine konkreten Maßnahmen aufgezählt. Fest steht jedoch: es sind technische und organisatorische Maßnahmen zur Datensicherheit zu treffen.
Praxishinweis: M.E. sollten durchaus mindestens die Punkte des § 9 BDSG (derzeitige Fassung) nebst Anlagen herangezogen und „checkpunktmäßig“ abgehandelt werden. Zudem sind die technischen Aspekte zunehmend und hinreichend zu berücksichtigen
- 9 BDSG: Technische und organisatorische Maßnahmen
Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten….“,
und Anlage zu § 9 BDSG:
„….,
- Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
- zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
- zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
- zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
- zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
- zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
- zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
8.zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.“
Praxishinweis: M.E. sollte das Datenschutzkonzept die Ablaufprozesse Organisation Backup, Virenschutz: die Auftragsverarbeitung, die Datenschutz-Unterweisung beinhalten.
Wie eingangs aufgezeigt, muss die Perpetuierung sichergestellt werden. Das bedeutet für Unternehmen, das regelmäßige Datenschutz-Kontrollen und die damit einhergehende Anpassung des Datenschutzkonzepte erfolgt.
Gerne berate ich Sie sofort, wenn Sie Ihre Ablaufprozesse anpassen oder Fragen zu Ihren Rechten haben.
Rechtsanwalt Dr. Stephan Schmelzer, Fachanwalt IT-Recht, Fachanwalt Arbeitsrecht, zertifizierter Datenschutzbeauftragter, http://www.dr-schmelzer.com, Ostberg 3, 59229 Ahlen, Tel.: 02382.6646
Alle Beiträge sind nach bestem Wissen zusammengestellt. Eine Haftung für deren Inhalt kann jedoch nicht übernommen werden.