Datenschutzmanagement nach der DSGVO – Leitfaden für die Praxis

daten 48
Fachbeitrag

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen ein Datenschutzmanagement einzuführen, das den Schutz der personenbezogenen Daten in Unternehmen sicherstellen soll. Unser Leitfaden unterstützt Sie bei der Einführung eines Datenschutzmanagementsystems nach der DSGVO. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Inhaltsverzeichnis

Regelungen zum Datenschutzmanagement in der DSGVO

In Deutschland ist das Datenschutzrecht bislang im Bundesdatenschutzgesetz (BDSG) und in vielen speziellen Gesetzen geregelt. Ab dem 25. Mai 2018 wird das BDSG durch die EU-Datenschutz-Grundverordnung (DSGVO) abgelöst.

Die für das Datenschutzmanagement relevanten Normen finden sich in der Verordnung an vielen unterschiedlichen Stellen, beispielsweise:

  • Art. 5 DSGVO stellt die Grundsätze für die Verarbeitung personenbezogener Daten dar,
  • Art. 30 DSGVO legt dem Verantwortlichen auf, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen,
  • Art. 32 DSGVO regelt, dass der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umzusetzen haben, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung von personenbezogenen Daten gemäß der Datenschutz-Grundverordnung erfolgt,
  • Art. 35 DSGVO verpflichtet den Verantwortlichen bei Verarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz der personenbezogenen Daten durchzuführen.

Alles schön und gut. Die große Frage ist aber: Wie soll in der Praxis ein Datenschutzmanagementsystem in einem Unternehmen aussehen, um in der Lage zu sein, alle Vorgaben der Datenschutz-Grundverordnung zu erfüllen?

Im Folgenden werden die einzelnen Dokumente kurz dargestellt, jedoch ohne einen Anspruch auf Vollständigkeit. Es handelt sich lediglich um eine erste Empfehlung, wie an das Thema Datenschutzmanagement in einem Unternehmen herangegangen werden kann.

Datenschutzrichtlinie

Die Datenschutz-Grundverordnung bringt für Unternehmen umfassende Nachweispflichten mit sich (sog. „accountability”). Die Unternehmen müssen nicht nur sicherstellen, dass sie die Vorgaben der Datenschutz-Grundverordnung erfüllen, sondern dies zudem auch nachweisen können, vgl. Art. 5 Abs. 2 DSGVO. Das heißt, die Unternehmen müssen beweisen können, dass sie geeignete Datenschutzrichtlinien und geeignete Datenschutzvorkehrungen umsetzen. Andernfalls drohen Bußgelder, Schadensersatzansprüche und weitere Nachteile. Die Datenschutzrichtlinie sollte daher folgende, zu regelnden Punkte umfassen:

Datenschutzorganisation und Verantwortlichkeiten

Auch die beste Datenschutzrichtlinie macht keinen Sinn, wenn sie nicht gelebt wird. Die Datenschutzrichtlinie muss also von den Mitarbeitern im Unternehmen umgesetzt werden. Je nach Größe des Unternehmens kann es sich empfehlen – zusätzlich zu dem Datenschutzbeauftragten des Unternehmens – in den verschiedenen Abteilungen einen Verantwortlichen für den Datenschutz/Datenschutz-Koordinator zu benennen, der als Koordinierungsstelle zwischen dem Datenschutzbeauftragten und den Mitarbeitern in seiner Abteilung dient. Dieser Verantwortliche (beispielsweise der Abteilungsleiter) hat dafür zu sorgen, dass alle datenschutzrechtlich relevanten Sachverhalte aus seiner Abteilung an den Datenschutzbeauftragten weitergeleitet werden. Die Schulung und Sensibilisierung der Mitarbeiter sollte aber der Datenschutzbeauftragte selbst übernehmen.

Einbindung des Datenschutzbeauftragten

In der Datenschutzrichtlinie sind die Fälle zu definieren, in denen die Mitarbeiter den Datenschutzbeauftragten anzusprechen und einzubinden haben. Hat das Unternehmen sich dafür entschieden, dass die Mitarbeiter sich zunächst an den Datenschutz-Koordinator wenden sollen, dann gelten diese Fälle auch für diesen (ausgenommen sind vertrauliche Anfragen, in denen die Rechte des Mitarbeiters selbst betroffen sind). Als solche „meldepflichtige“ Fälle gelten insbesondere (aber nicht ausschließlich):

  • Beschwerden von Betroffenen (Mitarbeitern, Kunden)
  • Einführung eines neuen Systems/Tools
  • Einsatz eines neuen Dienstleisters
  • Werbemaßnahmen (z.B. Versand von Newsletter)
  • Onlinemarketing-Maßnahmen (Google AdWords, Conversion Tracking, etc.)
  • Verkauf von Teilen des Unternehmens

In jedem Unternehmen hat der Datenschutzbeauftragte die datenschutzrechtlich relevanten Sachverhalte zu definieren und in die Datenschutzrichtlinie aufzunehmen. Diese Liste kann und muss nicht abschließend sein, sondern sollte vor allem als Handlungshilfe für die Mitarbeiter dienen und nachträglich ergänzt werden können.

Verzeichnis von Verarbeitungstätigkeiten

Um personenbezogenen Daten nach Maßgaben der Datenschutz-Grundverordnung schützen zu können, muss das verantwortliche Unternehmen zunächst ermitteln, in welchen Fällen personenbezogene Daten – z.B. von Kunden, Lieferanten oder Beschäftigten – erhoben und verarbeitet werden. Als erster Anhaltspunkt bietet es sich an, alle Systeme bzw. Tools im Unternehmen aufzulisten, in welchen personenbezogenen Daten gespeichert werden.

Eine solche Vorgehensweise ist aus zwei Gründen sinnvoll: Einerseits können dadurch die Datenflüsse im Unternehmen ermittelt und definiert werden. Zusätzlich wird ein erster Grundstein für das Verzeichnis von Verarbeitungstätigkeiten gelegt.

Eine Unterscheidung zwischen dem öffentlichen und internen Verfahrensverzeichnis wird es nach der Datenschutz-Grundverordnung nicht mehr geben. Nach Art. 30 DSGVO ist der Verantwortliche verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. In diesem Verzeichnis sind die wesentlichen Informationen zu Datenverarbeitungstätigkeiten zusammenzufassen, insbesondere also Angaben zum Zweck der Verarbeitung und eine Beschreibung der Kategorien der personenbezogenen Daten, der betroffenen Personen und der Empfänger. Da eine Übersicht über alle Datenverarbeitungsvorgänge in einem Dokument schnell unübersichtlich wird, wird das Verzeichnis in der Praxis in der Regel aus vielen verschiedenen Einzelverzeichnissen bestehen. So sollte für jedes Tool bzw. System (z.B. Zeiterfassungssystem, CRM-System, Bewerbertool, HR-Managementtool, etc.) ein eigenes Verzeichnis der Verarbeitungstätigkeiten erstellt werden.

Die neuen Verzeichnisse von Verarbeitungstätigkeiten ähneln inhaltlich den bisherigen internen Verfahrensverzeichnissen nach dem BDSG. Daher dürften für Unternehmen, die bereits jetzt über strukturierte Verfahrensübersichten verfügen, die Vorgaben des Art. 30 DSGVO keine größeren Probleme bereiten.

Weitere Hinweise finden Sie in unserem Beitrag: Verzeichnis von Verarbeitungstätigkeiten – Infos & Tipps zur Umsetzung

Datenschutz-Folgenabschätzung

Daneben sind Unternehmen in bestimmten Fällen verpflichtet, eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen. Diese sind durchzuführen, wenn eine Form der Verarbeitung wahrscheinlich ein hohes Risiko für personenbezogenen Daten verursacht, insbesondere bei neuen Technologien oder aufgrund ihres Wesens, ihres Umfangs, ihres Kontexts oder ihrer Zwecke.

Die Aufsichtsbehörden für den Datenschutz sind gehalten, Listen von Verarbeitungsvorgängen zu erstellen, bei denen typischerweise Folgenabschätzungen nach Art. 35 DSGVO vorgeschrieben sind (sog. Positivlisten). Ebenso erstellen die Datenschutz-Aufsichtsbehörden Listen von Vorgängen, bei denen Folgenabschätzungen entbehrlich sind (sog. Negativlisten).

Mehr zum Thema Datenschutz-Folgenabschätzung können Sie hier nachlesen.

Vertragsmanagement

Im Rahmen des Vertragsmanagements empfiehlt es sich, alle von einem Unternehmen eingesetzten Dienstleister in einer Liste zusammenzufassen – dies zunächst unabhängig davon, ob sie personenbezogenen Daten verarbeiten oder nicht. Im nächsten Schritt hat der Datenschutzbeauftragte zu prüfen,

  • ob durch den Dienstleister personenbezogenen Daten erhoben, genutzt, übermittelt oder verarbeitet werden,
  • ob eine Vereinbarung zur Auftragsdatenverarbeitung nach § 11 BDSG erforderlich ist und
  • ob diese bereits abgeschlossen wurde.

Im Anschluss kann der Datenschutzbeauftragte prüfen, welche Verträge nach den Vorgaben der Datenschutz-Grundverordnung angepasst bzw. geändert werden müssen.

Ein solches Vertragsmanagement könnte beispielsweise wie folgt aussehen:

datenschutzmanagement

Verpflichtung auf das Datengeheimnis

Die Mitarbeiter sollten auch weiterhin auf das Datengeheimnis verpflichtet werden, auch wenn dies in der Datenschutz-Grundverordnung nicht mehr ausdrücklich geregelt ist. Eine solche Verpflichtung kann als erste Maßnahme zur Sensibilisierung der Mitarbeiter angesehen werden.

Datenschutz-Schulung

Im Rahmen der Datenschutzschulungen hat der Datenschutzbeauftragte die Mitarbeiter auf die konkreten datenschutzrechtlichen Regelungen und Prozesse im Unternehmen hinzuweisen. Dies gehört zu seinen Tätigkeitsaufgaben gem. Art. 39 Abs. 1 DSGVO. Die Datenschutz-Schulung und die Verpflichtung auf das Datengeheimnis sind beide als Teil der organisatorischen Maßnahmen anzusehen, die dem Schutz der personenbezogenen Daten dienen.

Prozess zur Wahrnehmung von Betroffenenrechten

Bevor ein Prozess zur Wahrnehmung von Betroffenenrechten implementiert werden kann, muss der Verantwortliche sich klar machen, welche Rechte die Betroffenen überhaupt haben.

Die Betroffenen einer Datenverarbeitung haben folgende Rechte:

  • Informationsrecht
  • Auskunfts- und Widerspruchsrecht
  • Recht auf Berichtigung, Löschung und Einschränkung
  • Recht auf Datenübertragbarkeit

Mit der Datenschutz-Grundverordnung vervielfachen sich die von Verantwortlichen zu berücksichtigenden Pflichten in Bezug auf die Information von Betroffenen. Die Betroffenen sollen wissen, wer welche Daten zu welchem Zweck über sie erhebt und in die Lage versetzt werden, die Datenerhebung, -verarbeitung bzw. –nutzung zu prüfen.

Diese Anforderung kann nur dann erfüllt werden, wenn das verantwortliche Unternehmen die Betroffenen ausreichend über die Datenverarbeitungsvorgänge informiert. Um die Betroffenen informieren zu können, müssen im Unternehmen wiederum die Sachverhalte ermittelt werden, in welchen Informationspflichten bestehen (beispielsweise Anmeldung zum Newsletter, Abschluss eines Kaufvertrages im Onlineshop, etc.). Den Inhalt der Informationspflichten haben wir in unserem Blog bereits dargestellt.

Des Weiteren sollte definiert werden, wie zu reagieren ist, falls ein Betroffener (Kunde, Interessent oder Mitarbeiter) von seinen Rechten Gebrauch macht: An wen und in welcher Frist soll die E-Mail, der Brief oder das Telefonat des Betroffenen weitergeleitet werden und wer ist für die Bearbeitung des Anliegens zuständig? Was ist dabei zu beachten (Stichwort: „Vertraulichkeit“)? Wer sind die Ansprechpartner für verschiedene Systeme, um beispielsweise die Löschung von Kundendaten überall im Unternehmen gewährleisten zu können (falls der Löschungsanspruch begründet ist)?

Die ausführlichere Darstellung der Betroffenenrechte können Sie aus unserem Artikel Neues EU-Datenschutzgesetz: Das sind Ihre Rechte entnehmen.

Meldung von Datenschutzverstößen

Nach Art. 33 Abs. 1 DSGVO müssen Unternehmen im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich – möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde – die Verletzung bei der zuständigen Aufsichtsbehörde melden. Von einer Meldung kann abgesehen werden, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen führt.

Nach Art. 34 DSGVO sind bei einem hohen Risiko für die persönlichen Rechte und Freiheiten zusätzlich die Betroffenen zu informieren.

Um diesen Melde- bzw. Informationspflichten nachkommen zu können, muss im Unternehmen ein Prozess implementiert werden, dass die Verletzung des Schutzes personenbezogenen Daten erkannt, der Sachverhalt an den Datenschutzbeauftragten weitergeleitet und anschließend von diesem bewertet wird. Der Datenschutzbeauftragte hat dabei zu prüfen, ob ein normales oder ein hohes Risiko für die Rechte und Freiheiten von Betroffenen vorliegt (bzw. ob überhaupt ein Risiko vorliegt).

Nachweis der Datensicherheit

Die neuen Vorgaben für die „Sicherheit der Verarbeitung“ finden sich hauptsächlich in Art. 5 Abs. 1 f) DSGVO sowie in Art. 32 DSGVO. Zudem normieren weitere Bestimmungen wie z.B. Art. 24, 25, 36 DSGVO die Datensicherheit.

§ 9 BDSG inklusive Anlage wird durch Art. 32 DSGVO ersetzt. In dieser Bestimmung finden sich lediglich abstrakte Anhaltspunkte zur Umsetzung technischer und organisatorischer Maßnahmen. Konkrete Maßnahmen, wie in der Anlage zu § 9 BDSG aufgezählt, werden in Art. 32 Abs. 1 DSGVO (abgesehen von der Pseudonymisierung und Verschlüsselung) nicht genannt. Die Datensicherheitsgebote (von der Zutritts- bis zur Trennungskontrolle) werden durch Begriffe und Beschreibungen ersetzt, die auf den ersten Blick interpretationsbedürftig erscheinen und die vermutlich noch von den Aufsichtsbehörden bzw. der Praxis konkretisiert werden.

Welche Aspekte bei den technischen und organisatorischen Maßnahmen nach der Datenschutz-Grundverordnung zu beachten sind, können Sie in unserem Artikel Datenschutz-Grundverordnung und Datensicherheit nachlesen.

Es empfiehlt sich aktuell, die Maßnahmen der Datensicherheit in einem Konzept – ähnlich wie bisher nach § 9 BDSG inkl. Anlage – zu dokumentieren und fortlaufend zu aktualisieren.

Drohen Bußgelder trotz Datenschutzmanagement?

Ein Datenschutzmanagementsystem kann zwar bei unbeabsichtigten Datenschutzverstößen nicht mit Sicherheit den Vorwurf der Fahrlässigkeit entfallen lassen, ist jedoch nach Art. 83 Abs. 2 d) zumindest bußgeldmindernd zu berücksichtigen. Zudem ermöglicht ein effizientes System eine schnelle Reaktion des Unternehmens, falls es tatsächlich zu Datenschutzverstößen kommt.

Wie sind Ihre Erfahrungen?

Die Umsetzung der Datenschutz-Grundverordnung wird fast alle Unternehmen vor große Herausforderungen stellen, für welche es in absehbarer Zeit keine Patentlösung geben wird. Daher freuen wir uns, wenn Sie ihre eigenen Erfahrungen mit uns teilen. Wie sieht die Implementierung des Datenschutzmanagement bei Ihnen aus? Wie ist der aktuelle Stand und wo sehen Sie besondere Probleme?

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

8 Kommentare zu diesem Beitrag

  1. Ich finde diesen Newsletter ausgesprochen gut. Zu den hier beschriebenen Themen befinden wir uns bereits in der Umsetzungphase und von daher dienen diese Informationen als eine sehr gute „Checkliste“.

  2. Ich als DSB frage mich was gemacht werden soll.
    Es steht ja noch nicht mal fest ob es den DSB in der Form noch geben wird. Das „nachgebesserte BDSG“ wird es zeigen, wenn es pünktlich kommt. Ich habe da meine Zweifel. Hoffe jedoch, dass die Bundesregierung sich dessen bewusst ist, was ein DSB so macht und das er gebraucht wird.
    Ja, abwarten ist keine Lösung aber keine weis wo die Reise hingeht. Die DSGVO ist für Deutschland und ich spreche für den nicht öffentlichen Bereich (also Wirtschaftsunternehmen) keine Verbesserung!! Oder glaubt man wirklich es werden Datenschutzmanagements in einer so kurzen Zeit eingeführt? Hier geht alles etwas an der Realität vorbei.

    • Nach den uns vorliegenden Informationen sollte es in Deutschland bezüglich der Bestellpflicht eines Datenschutzbeauftragten bei der bisherigen Regelung bleiben. Des Weiteren sind wir sehr zuversichtlich, dass viele Unternehmen in Deutschland weiterhin einen Datenschutzbeauftragten haben werden, auch wenn dies nach dem Gesetz nicht mehr verpflichtend sein sollte.

      Dieser Link könnte für Sie auch interessant sein:
      http://www.cedpo.eu/wp-content/uploads/2015/01/CEDPO-Letter-and-position-on-DPO-to-WP-19-10-07-2016.pdf

      Wir geben Ihnen Recht – eine Frist von 2 Jahren für die Einführung eines Datenschutzmanagementsystems ist sehr knapp bemessen. Aber wie Sie auch sagen, abwarten ist keine Lösung. Daher sollten bereits jetzt einige Themen, wie sie beispielsweise in dem Artikel genannt sind, angegangen werden.

  3. Soweit eine nette Zusammenfassung. Vielen Dank dafür!

    Ein Rückfrage habe ich jedoch: Sie sagen, dass man weiterhin auf das Datengeheimnis verpflichten sollte, obwohl es hierzu kein Äquivalent in der DSGVO gibt. Ich frage mich, wie man das praktisch umsetzen soll. Zurzeit verpflichtet man ja auch nicht einfach nur auf „das Datengeheimnis“, sonder auf „das Datengeheimnis im Sinne des § 5 BDSG“, da der Begriff ansonsten doch sehr unbestimmt ist. Woran soll man in Zukunft die Bedeutung des Begriffs „Datengeheimnis“ herleiten?

    Ich freue mich auf Ihre Antwort.

    • Die Regelung, dass die Mitarbeiter die personenbezogenen Daten nicht unbefugt erheben, verarbeiten oder nutzen dürfen, hat auch weiterhin Geltung. Wann eine Datenerhebung, -verarbeitung oder -nutzung unbefugt ist, gibt auch die DSGVO vor. Beispielsweise ist in Art. 5 DSGVO geregelt, nach welchen Grundsätzen die Verarbeitung personenbezogener Daten zulässig ist. In der neuen Verpflichtungserklärung auf das Datengeheimnis müssen aus meiner Sicht nicht unbedingt die Normen genannt werden (es sei denn, die persönliche Haftung der Mitarbeiter wird in dem Allgemeinen Datenschutzgesetz in Deutschland explizit geregelt, siehe Entwurf konkretisiert persönliche Haftung bei Datenschutzverstößen, oder falls die Datenschutzaufsichtsbehörden eine anderweitige Empfehlung geben). Vielmehr soll die Verpflichtungserklärung die Grundregeln des Datenschutzes, an die sich jeder Mitarbeiter halten sollte, beinhalten.

      • Vielen Dank für Ihre Antwort.
        Ideal wäre in der Tat eine Empfehlung der Aufsichtsbehörden, da gebe ich Ihnen Recht. Ein Herleitung (u.a.) aus Art. 5 DSGVO erscheint mir bis dahin tatsächlich sinnvoll.

  4. Hallo. Ich bin neu im Datenschutzbereich und finde daher den Newsletter und vor allem diese Seite sehr hilfreich. Was mich jedoch verwirrt ist die Frage, ob für alle Unternehmen in Deutschland das DSGVO gültig ist oder nur für solche, die auch außerhalb von Deutschlang agieren. Wir sind im Sozial- und Gesundheitswesen und arbeiten nur innerhalb Deutschland, bisher gelten neben dem BDSG auch andere Gesetze für uns die datenschutzrechtlich relevant sind

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.