Umsetzung der DSGVO-Vorgaben: Handeln Sie jetzt!
Neues Datenschutzrecht
Es ist höchste Zeit für den Beginn mit der Umsetzung der DSGVO-Vorgaben.
Einführung einer Nachweispflicht
Die DSGVO hebt das Datenschutzrecht durch die Einführung einer Nachweispflicht (sog. „Accountability-Prinzips“) auf eine neue Ebene. Fortan müssen Datenschutzverstöße nicht durch Aufsichtsbehörden oder Betroffene nachgewiesen werden; vielmehr muss der Verantwortliche jederzeit die Einhaltung der gesetzlichen Vorgaben des neuen Datenschutzrechts nachweisen können.
Welche Schritte Sie bis zum 25. Mai 2018 zwingend umsetzen müssen, lesen Sie hier:
Die DSGVO verlangt von allen, die Datenverarbeitung verantworten („Verantwortliche“),
- Rechtskonformität bei allen Datenverarbeitungsprozessen
- den Nachweis der Rechtskonformität von Datenverarbeitungsprozessen und
- eine Unternehmensorganisation, die die Einhaltung der Vorgaben der DSGVO und einen kontinuierlichen Verbesserungsprozess nachhaltig gewährleistet.
DSGVO Prinzipien
Rechtskonformität bedeutet die ständige Einhaltung der in Art. 5 DSGVO geregelten, nachstehend benannten DSGVO-Prinzipien, einschließlich einer Selbstverpflichtung auf diese Prinzipien:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität, Sicherheit und Vertraulichkeit
- Rechenschaftspflicht (accountability)
- Datenschutz durch Technikgestaltung („Privacy by Design“) und
- Datenschutz durch datenschutzfreundliche Voreinstellungen („Privacy by Default“)
Säulen des Datenschutzes
Damit die Vorgaben der DSGVO umgesetzt werden können lassen sich folgende Säulen des Datenschutzes bestimmen:
1. Datenschutzleitlinie (u.a. Art. 5, Art. 32 Abs.1 lit b.und d. DSGVO)
Erforderlich ist eine Selbstverpflichtung auf die DSGVO-Prinzipien in einer Datenschutzleitlinie des Unternehmens. Diese muss jederzeit vorgelegt werden können.
2. Aufbau- und Ablauforganisation: (u.a. Art. 5, Art. 24 Abs.1, Art. 32 Abs.1, Abs. 4 DSGVO)
Die Umsetzung der eigenen Datenschutzleitlinie kann nur durch eine konsequente Aufbau- und Ablauforganisation im Unternehmen sichergestellt werden. Die Aufbauorganisation erfordert die Zuweisung der Verantwortung und die Benennung eines Datenschutzteams oder Datenschutzmanagers, das bzw. der sich zur nachhaltigen Einhaltung der DSGVO-Prinzipien verpflichtet. Unternehmen, deren Kerntätigkeit in der Durchführung von Datenverarbeitungsvorgängen besteht, die eine umfangreiche Verarbeitung besonderer Kategorien von Daten vornehmen (z.B. Gesundheitsdaten) und Unternehmen, in denen sich mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten (wird sehr weit gefasst) beschäftigen, müssen zudem einen Datenschutzbeauftragten benennen.
Die Einhaltung der DSGVO-Prinzipien erfordert weiter eine Ablauforganisation, die sicherstellt, dass die DSGVO-Prinzipien auch auf der Arbeitsebene beachtet und eingehalten werden.
3. Datenschutz- und ein Datensicherheitsmanagementsystem: (u.a. Art. 5, Art. 24 Abs.1, Art. 32 Abs.1, Abs. 4 DSGVO)
Die Umsetzung der Datenschutzleitlinie auf Arbeitsebene erfordert im Rahmen der Ablauforganisation sodann den Aufbau eines Datenschutz- und Datensicherheitsmanagementsystems mit den Kernbereichen
- Risikoanalyse
- Datenschutz- und Datenschutz-/Informationssicherheitsrichtlinien (für die Mitarbeiter) einschließlich Notfallplan
4.Verzeichnis der Verarbeitungstätigkeiten (zugleich Risikoanalyse) (Art. 30 DSGVO)
Die Erstellung einer Risikoanalyse mündet in die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten. Die DSGVO wählt einen risikobasierten Ansatz (u.a. Art. 24, 32 DSGVO) und verlangt an verschiedenen Schaltstellen (Verzeichnis der Verarbeitungstätigkeiten, Zuschnitt der technisch organisatorischen Maßnahmen, Technikgestaltung, Sicherheit der Verarbeitung, Datenschutzfolgeabschätzung) den Nachweis, dass eine Risikoanalyse durchgeführt und dokumentiert worden ist, auf die dann die weiteren Entscheidungen über die Sicherheit der Datenverarbeitung gestützt werden. Ein grundlegender Baustein der Risikoanalyse ist die datenschutzrechtliche Bestandsaufnahme, das sog. Verzeichnis von Verarbeitungstätigkeiten gem. Art 30 DSGVO. Die Vorschrift liest sich zwar so, als ob Unternehmen mit weniger als 250 Mitarbeitern von der Pflicht zur Erstellung eines formalen Verzeichnisses der Verarbeitungstätigkeiten ausgenommen wären. Da aber schon die Verarbeitung von Daten besonderer Kategorien gem. Art 9 Abs. 1 DSGVO, also unter anderem von Daten zur Religionszugehörigkeit (s.o.) die Pflicht zum Führen eines solchen Verzeichnisses auslöst, gehen die Aufsichtsbehörden derzeit davon aus, dass in Deutschland jedes Unternehmen, dass eine Lohnbuchhaltung führt, ein Verarbeitungsverzeichnis gem. Art. 30 DSGVO zu führen hat.
5. TOMs – technische organisatorische Maßnahmen (Art. 5 Abs.1 lit f DSGVO, 24 Abs.1 DSGVO)
Auf der Arbeitsebene muss die Einhaltung der DSGVO-Prinzipien, insbesondere der Datensicherheit, Integrität und Vertraulichkeit gem. Art. 5 Abs. 1 lit. f DSGVO durch geeignete technische und organisatorische Maßnahmen (sog. TOMs, Art. 32 DSGVO) sichergestellt werden; aus der Pflicht zu Einrichtung eines Datenschutzmanagement- und Datensicherheitsmanagementsystems folgt auch in Bezug auf die TOMs die Verpflichtung, ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzurichten und durchzuführen.
6.Datenschutzfolgenabschätzung (DSFA) (Art. 35 DSGVO)
Der risikobasierte Ansatz der DSGVO führt zudem dazu, dass besondere Risiken besondere Maßnahmen erforderlich machen. Ergibt sich im Rahmen einer im der regelmäßig im Voraus vorzunehmenden Risikoabwägung aus der Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen ist eine sog. Datenschutzfolgeabschätzung durchzuführen. Diese Pflicht trifft also nicht alle Verantwortlichen. Die Aufsichtsbehörden werden sog. Positivlisten (gem. Art 35 Abs.4 DSGVO) erstellen und Fälle definieren, in denen immer eine DSFA durchzuführen ist. Diese liegen ebenso, wie gesetzlich genannte Negativlisten noch nicht vor.
7. DSGVO-konforme Verträge, DSGVO-konforme Auftragsverarbeitungsverträge, AGB, Einwilligungen (u.a. Art. 5 DSGVO, Art 12-23 DSGVO, Art 28 DSGVO)
Logische Konsequenz der Pflicht zur Rechtskonformität bei allen Datenverarbeitungsprozessen ist schließlich das Erfordernis der Anpassung aller Vertragsdokumente. Besonders wichtig sind hier die Verträge mit allen Auftragsverarbeitern und Dritten, die Daten für Sie verarbeiten, um hier ein stimmiges Haftungssystem zu schaffen.
8. Umsetzung der Informationspflichten, Gewährleistung der Betroffenenrechte (Art. 12 – 23 DSGVO)
Die DSGVO dient dem Schutz der Rechte der von Datenverarbeitung betroffenen natürlichen Personen. Die DSGVO enthält daher ein sehr umfangreiches Regelwerk betreffend die Betroffenenrechte, vor allem die Informationspflichten gegenüber den Betroffenen. Diese Regelungen schaffen so ausführliche und detaillierte Informationspflichten, dass die Informationspflichten der DSGVO häufig als misslungene Überregulierung kritisiert werden; diese kann im Ergebnis zu neuen „Datenschutzmüdigkeit“ führen. Dennoch sind die Vorschriften zu beachten und bußgeldbewehrt.
9. Datenschutzhandbuch (Art. 5 DSGVO – insbesondere Nachweispflicht Art. 5 Abs. 2 DSGVO)
Damit der Verantwortliche die (jederzeit bestehende) Nachweispflicht sowohl in Bezug auf die Einrichtung der Datenschutzsysteme, als auch auf deren Einhaltung auf allen Ebenen, insbesondere in Form eines Datenschutz- und Datensicherheitsmanagementsystems erfüllen kann, empfiehlt sich die Zusammenfassung aller Datenschutzaktivitäten in einem Datenschutzhandbuch oder -wiki.
Im nächsten Beitrag lesen Sie, mit welchem Konzept Sie die Umsetzung beginnen können.