Unternehmen bleibt bis zur Anwendbarkeit der DSGVO am 25. Mai 2018 noch etwas Zeit, sich mit deren Inhalt und Anforderungen vertraut zu machen und gegebenenfalls entsprechende Maßnahmen zur Erfüllung zu ergreifen. Die nachfolgende Checkliste sollte in jedem Falle dazu gehören.
1. Datenaudit und Projektplanung
Um zu wissen, welche Bereiche der Unternehmenstätigkeiten künftig den erhöhten Compliance-Anforderungen der Datenschutzgrundverordnung (DSGVO) unterliegen, ist eine genaue Analyse sämtlicher Datenverarbeitungsaktivitäten und Sicherheitsprozesse im Unternehmen nötig.
Vergessen werden dürfen dabei vor allem nicht die unternehmensinternen, administrativen Datenverarbeitungen (Personaldatenverarbeitung, Lohnbuchhaltung, Mailingsystem oder die eigene Webseite).
Diese Bestandsaufnahme aller Datenverarbeitungsaktivitäten ist wesentlich für die Vornahme einer genauen Einschätzung bezüglich Budgetierung und weiterer Ressourcenplanung für das Unterfangen. Die grundlegende Strukturierung und Sichtung von Datenverarbeitungsaktivitäten kann aufzeigen, ob ein Unternehmen etwa sensible – besonders geschützte – pDaten verarbeitet.
Darüber hinaus kann der Überprüfungsprozess ergeben, dass eventuell zusätzliche Schutzmaßnahmen vorzusehen sind. Dies ist wichtig, da Verstöße in sensiblen Bereichen wesentlich schwerer sanktioniert werden als in anderen Bereichen.
Es sollte ein verbindlicher Projektleiter benannt - das muss nicht unbedingt der Geschäftsführer sein - und rechtzeitige Arbeitsgruppen für verschiedene Bereiche der Unternehmenstätigkeiten gebildet werden. Diese erste Prozessanalyse sollte idealerweise nicht von externen Rechtsanwälten, Datenschutzbeauftragten (DSB) oder der IT-Abteilung durchgeführt werden. Vielmehr sollten zunächst die direkt verantwortlichen Personen einen Überblick über ihren Tätigkeitsbereich und die Arbeitsprozesse geben.
Mit Fragebögen an Mitarbeiter aus allen Abteilungen – und eventuell an Lieferanten und wichtige Partner – können identifiziert werden, welche Art von Datenverarbeitung in den verschiedenen Bereichen eines Unternehmens stattfindet. Dies ermöglicht herauszufinden, welche Daten zu welchem Zweck überhaupt verarbeitet werden, was später unschätzbares Werkzeug für einen Datenschutzbeauftragten oder Rechtsberater ist.
2. Analyse und Dokumentation
Sämtliche Datenprozesse und Datenverarbeitungsaktivitäten sollten dann individuell überprüft und dokumentiert werden, um das „was, wo, wann und warum“ für jeden Prozess zu identifizieren und eine Risikoanalyse zu machen. Es ist daran zu denken, dass dies auch alle Beschäftigtendaten betrifft, die im Unternehmen verarbeitet werden. Folgende Punkte sind zu berücksichtigen:
- Welche Informationen werden Betroffenen vor der Erhebung und Speicherung personenbezogener Daten gegeben?
- Auf welche Art und Weise werden die Informationen erteilt (Print-AGB, elektronisch per Webseite, Text neben einer Checkbox)?
- Welche Daten werden konkret zu welchem Zweck erhoben und wie werden diese gegebenenfalls weiterverarbeitet? (Dies ist wichtig für die Frage, ob die Datenverarbeitung einer gesetzlichen Erlaubnis unterliegt – z. B. aus vertraglichen Gründen – oder einer Einwilligung bedarf).
- Werden Daten anonymisiert bzw. welche Daten werden pseudonymisiert?
- Wie lange werden Daten gespeichert?
- An wen werden Daten weitergegeben?
- Ist das Unternehmen alleinige verantwortliche Stelle oder besteht eine zusätzliche Verantwortlichkeit eines weiteren Unternehmens (z. B. Auftragsverarbeitung)?
- Wo werden die Daten gespeichert (z. B. Cloud)? Bei Speicherung außerhalb der EU – sind die Voraussetzungen zur Übermittlung in Drittstaaten erfüllt (z.B. EU-US Privacy Shield)?
- Sind gegebenenfalls Vertragsanpassungen notwendig?
- Verantwortlicher und der Auftragsverarbeiter müssen nachweisbar geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten treffen. Daher sollten alle organisatorischen und technischen Schritte dokumentiert werden
3. Verzeichnis von Verarbeitungstätigkeiten
Die Vorab-Analyse ist wichtige Detailarbeit für das vom Unternehmen bereitzuhaltende Verarbeitungsverzeichnis. Schon heute besteht für Unternehmen laut BDSG die Verpflichtung, ein Verzeichnis über die Datenverarbeitungstätigkeit des Unternehmens zu führen. Sollten ein Unternehmen ein solches Verzeichnis nicht haben, sollte es spätestens jetzt erstellt werden. Art. 30 DSGVO bestimmt, dass jeder Verantwortliche ein solches Verzeichnis zu führen hat. Entsprechendes sieht auch § 30 BDSG-neu vor. Folgende Angaben sind Pflicht:
- Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen sowie die Namen und die Kontaktdatender oder des Datenschutzbeauftragten,
- die Zwecke der Verarbeitung,
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden sollen
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
- gegebenenfalls die Verwendung von Profiling,
- gegebenenfalls die Kategorien von Übermittlungen personenbezogener Daten an Stellen in einem Drittstaat oder an eine internationale Organisation,
- Angaben über die Rechtsgrundlage der Verarbeitung,
- die vorgesehenen Fristen für die Löschung oder die Überprüfung der Erforderlichkeit,
- der Speicherung der verschiedenen Kategorien personenbezogener Daten
- eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
4. Datenschutz-Folgenabschätzung
Sowohl bei aktuellen, vor allem aber bei künftig geplanten Datenverarbeitungen
(z. B. unter Verwendung einer neuen Verarbeitungstechnologie), bei
denen ein potenziell hohes Risiko für betroffene Personen besteht, muss die
verantwortliche Stelle vorab eine Datenschutz-Folgenabschätzung zusammen
mit dem Datenschutzbeauftragten durchführen. Ein und dieselbe Folgenabschätzung kann im Übrigen mehrere Verarbeitungsvorgänge abdecken, die ähnliche Risiken bergen. Dies ergibt sich aus Art. 35 DSGVO.
Ein Datenschutzbeauftragter ist nach der DSGVO in jedem Falle zu benennen,
wenn:
- die Kerntätigkeit des Unternehmens oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen,
- die Kerntätigkeit des Unternehmens oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.
5. Datenschutzbeauftragter
Die DSGVO erlaubt darüber hinaus auch weitergehende nationale Regelungen,
von denen Deutschland im BDSG-neu (§ 38) Gebrauch gemacht hat. In Deutschland ist ein Datenschutzbeauftragter immer zu benennen, soweit:
- in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind,
- unabhängig von der Anzahl der Personen bei Verarbeitungen, die einer Datenschutz-Folgenabschätzung unterliegen oder wo die Verarbeitung zum Zwecke der geschäftsmäßigen Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung erfolgt.
- Der Datenschutzbeauftragte sollte über fundierte Kenntnisse des Datenschutzrecht und der Praxis verfügen und in der Lage sein, folgende Funktionen zu erfüllen:
- Beratung und Information der Geschäftsführung und anderer zuständigerPersonen (inkl. alle Mitarbeiter, die pDaten verarbeiten) über die Verplichtungengemäß DSGVO und BDSG-neu
- Überwachung der Einhaltung der Vorgaben
6. Reaktionsprozesse
Im Unterschied zur bisherigen Rechtslage kommt auf die verantwortliche Stelle eine viel stärkere Dokumentationsplicht zu. Betroffenrechte sind durch die DSGVO erheblich erweitert worden. So bestehen beispielsweise umfangreichere Löschplichten, ein Recht auf Vergessen, neue Datenportabilitätsplichten oder Widerspruchsrechte. Um sicherzustellen, dass Anfragen seitens Betroffener nicht untergehen oder nicht vollständig bearbeitet werden, muss eine Prozesskette unter Benennung der jeweils verantwortlichen Person etabliert und den Mitarbeitern bekannt gemacht werden (z. B. in einem Workshop). Es müssen möglichst kurze Entscheidungswege geschaffen und Leitungspersonen mit entsprechenden Kompetenzen ausgestattet werden. Lauf DSGVO müssen Datenschutzverletzungen der Aufsichtsbehörde nun innerhalb von 72 Stunden nach Verletzung gemeldet werden. Soweit hier kein Ablaufplan für die internen Kommunikations- und Meldeprozesse existiert, muss ein solcher am besten in Abstimmung mit dem Datenschutzbeauftragten erstellt werden. Es bietet sich an, eine Mustervorlage für entsprechende Meldungen vorzuhalten, um Zeit zu sparen.
Wichtiger Hinweis: Diese Checkliste ist Teil des BVDW Praxisleitfadens „EU Datenschutzgrundverordnung 2018" , der Unternehmen eine Orientierung und Hilfestellung zur neuen DSVGO geben soll. Unter www.bvdw-datenschutz.de finden Sie zudem einen umfassenden Überblick und weitere Antworten auf die drängendsten Fragen zur Umsetzung.
Michael Neuber ist Rechtsanwalt und berät als Justiziar/Leiter Recht und Regulierung den Bundesverband Digitale Wirtschaft (BVDW) e.V. und dessen Mitglieder in Rechtsfragen vor allem in den Bereichen IT-, Datenschutz-, Urheber- und Medienrecht. Neben dem Ressort Recht unterstützt er außerdem maßgeblich die Arbeit des Ressorts Digitalpolitik. Seit 2009 ist er Lehrbeauftragter an der Hochschule für Wirtschaft und Recht (HWR) sowie an der German open Business School (GoBS) Hochschule für Wirtschaft und Verwaltung.
EVENT-TIPP ADZINE Live - Programmatic oder IO - was ist der bessere Deal für Marketer? am 25. April 2024, 11:00 Uhr - 12:30 Uhr
Eine aktuelle und umfassende Bestandsaufnahme der Vor- und Nachteile der unterschiedlichen Buchungsverfahren für verschiedene Anwendungsfälle und Zielsetzungen. Jetzt anmelden!
