DSGVO – Wann Meldepflicht und wie Vorgehen
Bislang war man bei der Datenschutzgrundverordnung DSGVO von einer unternehmensfreundlichen Umsetzung ausgegangen, wo statt Strafen zunächst die Forderung zur Nachbesserung im Vordergrund steht. Nun vermeldet ein einschlägiger Newsletter, dass zahlreiche Bußgeldverfahren angelaufen seien.
Es ist Zeit, den Ernstfall zu proben. Als Richtschnur lässt sich dafür der Fragenkatalog für eine Querschnittprüfung nutzen. Die Fragen lassen sich unter anderem auf Portalen der Bundesländer herunterladen.
Insbesondere KMU-Unternehmen ohne eigene Datenschutzangestellte sollten im Falle einer Querschnittprüfung die Fragen zur Umsetzung der Datenschutzgrundverordnung zuverlässig selbstständig beantworten können.
Lesen Sie hier:
1. Wie hat sich das Unternehmen vorbereitet?
Als Antwort auf die Frage nach der Vorbereitung der Verordnung kommen die geleistete Zusammenarbeit mit einem Anwalt, sowie interne und externe Schulungen zur Einhaltung aller Pflichten in Frage. Internet-Unternehmen können auf den Erwerb neuer Kompetenzen in Bezug auf die verwendeten Technologien verweisen.
2. Wie verarbeiten Sie Personenbezogene Daten?
Hier haben Unternehmen den Artikel 6 DSGVO zu betrachten. Hier werden verschiedene mögliche Rechtsgrundlagen aufgelistet. Sollten besondere Kategorien personenbezogener Daten verarbeitet werden, muss es dafür eine Rechtsgrundlage im Artikel 9 DSGVO geben. Möglichkeiten, die Daten von Arbeitnehmern oder Bewerbern zu verarbeiten, finden sich in Artikel 88 DSGVO in Verbindung mit dem §26 BDSG-neu.
3. „Wie stellen Sie die Einhaltung der Betroffenenrechte (auf Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit) sicher?“
Alle Betroffenenrechte zu wahren und hierfür ein Konzept zu erstellen, nach dem die Anträge der Betroffenen auch fristgemäß beantwortet oder erfüllt werden, stellt die meisten Unternehmen vor große Schwierigkeiten. Zunächst muss hierfür genau bestimmbar sein, welche personenbezogenen Daten der betroffenen Personen überhaupt vorliegen und an welchen verschiedenen Orten diese gespeichert sind beziehungsweise anderweitig verarbeitet werden. Das bedeutet, genau festzuhalten, welche Daten mit welchen Programmen und Arbeitsmitteln verarbeitet werden und wo diese gespeichert sind.
Zusätzlich sollte dargestellt werden können, wie die Daten in das Unternehmen gelangt sind und wohin das Unternehmen diese unter Umständen weitergibt.
4. Wie stellen Sie Ihre TOM Technisch Organisatorischen Maßnahmen bzw. die Ihrer Dienstleister sicher, damit diese ein angemessenes Schutzniveau gewährleisten?
Um das notwendige Schutzniveau bestimmen zu können, müssen die verschiedenen Datenverarbeitungen im Unternehmen genauer betrachtet und das hinter dieser Verarbeitung stehende Risiko bewertet werden. Zudem müssen Kenntnisse über mögliche Maßnahmen bestehen. Es existieren bereits vielfältige und anerkannte organisatorische und auch technische Maßnahmen. Die verschiedenen Datenverarbeitungen des Unternehmens sind aus dem zu führenden Verarbeitungsverzeichnis ersichtlich. Zu jeder Verarbeitungstätigkeit sollte eine Risikobewertung durchgeführt werden. Die technischen und organisatorischen Maßnahmen sind nicht einzeln im Gesetz aufgezählt. Das würde den Rahmen der DSGVO sprengen.
Für die Aufstellung der technischen und organisatorischen Maßnahmen bietet es sich an, eng mit seinem Datenschutzbeauftragten zusammenzuarbeiten, da er die gängigen Maßnahmen kennen sollte. Eine wichtige Maßnahme ist die Verschlüsselung von E-Mails. Die Transportverschlüsselung stellt nach dem derzeitigen Stand der Technik das absolute Mindestmaß dar. Sobald jedoch sensible Daten per E-Mail weitergegeben werden, muss entweder eine Ende-zu-Ende-Verschlüsselung verwendet werden oder die sensiblen Daten sollten sich in einem separat verschlüsselten Anhang der E-Mail befinden. Das Passwort für den Anhang ist auf einem anderen Kommunikationskanal mitzuteilen.
5. Wie stellen Sie die Datenschutz-Folgenabschätzung sicher?
Es ist existieren keine leicht verständlichen Regeln für die Durchführung einer korrekten datenschutzrechtlichen Risikobewertung. Deshalb ist es für viele Unternehmer schwierig, hierfür einen geeigneten Prozess aufzubauen. Aus diesem Grund wird diese Frage häufig schwer zu beantworten sein. Zudem sind die Grenzen der Datenschutz-Folgenabschätzung noch nicht klar abgesteckt.
6. Wurden die bestehenden Verträge mit Auftragsverarbeitern an die neuen Regeln der DSGVO angepasst?
Auftragsdatenverarbeitungsverträge nach dem BDSG-alt waren den Anforderungen der DSGVO bereits sehr nahe. In Art. 28. Abs. 3 Satz 2 Buchstabe a) bis h) DSGVO sind die zwingend zu regelnden Inhalte eines Auftragsverarbeitungsvertrages nun jedoch leicht abgeändert dargestellt. Es sollte daher vor allem darauf geachtet werden, dass der Auftragsverarbeitungsvertrag diese Regelungen des Art. 28 DSGVO enthält. Zudem haben sich mit der DSGVO viele Begrifflichkeiten geändert, sodass diese im Auftragsverarbeitungsvertrag angepasst werden sollten, um Unklarheiten zu vermeiden.
7. Wie ist Ihr Datenschutzbeauftragter in das Unternehmen u. die Organisation eingebunden?
Der Datenschutzbeauftragte hat nach der DSGVO eine beratende, unterstützende und überprüfende Funktion. Diese sollte er natürlich auch in dem Unternehmen haben. Das bedeutet, dass es vor allem ungünstig ist, Mitarbeiter oder Bekannte als Datenschutzbeauftragten „auf dem Papier“ einzusetzen, ohne, dass diese die Funktion tatsächlich ausfüllen oder das notwendige Fachwissen besitzen. Dies kann dazu führen, dass das Unternehmen im Ergebnis auf Datenschutzprüfungen sehr schlecht vorbereitet ist.
8. Wie ist sichergestellt, dass Datenschutzverstöße an die Aufsichtsbehörde gemeldet werden?
Es ist wichtig, Notfallpläne für Datenschutzverletzungen zu erarbeiten. Dabei ist vor allem sicherzustellen, dass die Mitarbeiter entsprechend sensibilisiert sind und die Meldewege im Unternehmen kennen. Es sollte zudem dafür gesorgt werden, dass der Datenschutzbeauftragte schnellstmöglich miteinbezogen wird, um auch seinen Rat bezüglich der Melde- oder Benachrichtigungspflicht berücksichtigen zu können. Nur so kann die Einhaltung der gesetzlichen Fristen für die Meldung und die Benachrichtigung der Betroffenen im Ernstfall eingehalten werden.
9. Wie können Sie die Einhaltung aller Pflichten nachweisen?
Diese Frage stellt die größte Herausforderung dar. Wie ist es zu schaffen, die Einhaltung aller Pflichten aus der DSGVO nachzuweisen? In der DSGVO sind unzählige Pflichten für Unternehmen geregelt. Mit den Nachweisen dieser Pflichten kann jedes Unternehmen ein ganzes Buch füllen. Die wichtigsten Pflichten wurden in den vorangegangenen Fragen dargestellt. Der Arbeitsaufwand ist dabei jedoch nicht zu unterschätzen. Bereits die Dokumentation der TOM Technischen und organisatorischen Maßnahmen und die Dokumentation der regelmäßigen Prüfungen dieser Maßnahmen, machen einen großen Teil dieser Unterlagen aus. Hier bietet es sich an, bei der Behörde nachzufragen, welche Nachweise sie vorliegend erhalten will.
Bevorstehende Überprüfungen
Bereits in diesem Herbst sollen durch das Bayerische Landesamt für Datenschutz (BayLDA) Datenschutzprüfungen zur Cyber-Security durchgeführt werden. Hierbei soll vor allem auch geprüft werden, inwieweit es in den Unternehmen ein Konzept zum Umgang mit Datenschutzverletzungen gibt (Notfallplan) und wie dafür gesorgt wird, dass ein Vorfall rechtzeitig gemeldet wird. Ein interessanter Punkt bei diesen Prüfungen soll auch sein, wie mit Datenschutzverletzungen umgegangen wird, die bei den Auftragsverarbeitern des Verantwortlichen geschehen. Solche Datenschutzverletzungen werden derzeit nach der Aussage der Behörde äußerst selten gemeldet. Es ist jedoch statistisch nicht möglich, dass es bei Auftragsverarbeitern oder Unter-Auftragsverarbeitern keine Vorfälle gibt, sondern nur bei den Verantwortlichen.
Zudem will das BayLDA im kommenden Jahr die generelle Umsetzung der DSGVO in Unternehmen prüfen. Ähnliche Fragen wie die sind zu erwarten.
Hinterlasse einen Kommentar