Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft. Falls bislang noch nicht, Warum muss ich tätig werden?
Es hat sich vieles geändert im Vergleich zum bisherigen Bundesdatenschutzgesetz (BDSG). Ein ganz wesentliches Prinzip der DSGVO ist das der Accountability. D.h., Unternehmen müssen in wesentlich größerem Maße ihre Compliance mit Datenschutzregeln dokumentieren und nachweisen. In der Folge müssen interne Prozesse der Datenverarbeitung überarbeitet bzw. ganz neu, weil zuvor nicht erforderlich, implementiert werden. Genannt seien nur Prozesse zur Auskunftserteilung, Löschkonzepte, Zweckfestlegungen etc. Die Bußgeldandrohung und vor allem das tatsächliche Bußgeldniveau wird ganz erheblich erhöht. Auch die Anforderungen an die Datensicherheit sind strenger, die Haftung bei Verstößen verschärft und auch die Eintrittswahrscheinlichkeit für Risiken aus Non-Compliance erhöht sich durch Zulassung von „Verbandsklagen“.
Wen betrifft es? Fast alle, die personenbezogene Daten verarbeiten. Ein Beispiel:
Nehmen wir beispielsweise ein mittelständisches produzierendes Unternehmen mit zahlreichen B2B-Zuliefer- und Vertriebspartnern sowie einem direkten B2C-Webshop. Das Unternehmen verfügt über eine kleine eigene IT-Abteilung, nutzt jedoch zwecks Kostenreduktion großflächig gängige Cloud-Services lokaler sowie der üblichen internationalen Anbieter. Der Betriebsrat beäugt argwöhnisch alle technologischen Neuerungen und ist auf den Schutz der Privatsphäre der Belegschaft bedacht. Es sind also eine Menge personenbezogener Daten in diversen Prozessen sowie mehrere Player im Spiel.
Was sollte dieses Unternehmen jetzt tun, um nach dem neuen Recht datenschutzkonform zu sein?
Folgende Schritte sind sinnvoll sind zur planmäßigen, stufenweise Erarbeitung der erforderlichen Prozesse und Tools:
Am Anfang steht ein Kick-off Meeting zur Projektinitialisierung. Sämtliche Stakeholder sollten an einen Tisch, also neben IT, Datenschutzbeauftragtem und ggf. Personalvertretung insbesondere die Geschäftsführung. Inhalte: Ziel: Eine Bestandsaufnahme, insbes. bzgl. Ergebnis und Start der Umsetzung: Nach dem Kick-off sollten gemäß vereinbartem Fahrplan weitere regelmäßige Meetings folgen, ggf. auch per Telefon- oder Videokonferenz. Die Betroffenen müssen belehrt werden und haben z.B. ein umfassendes (kurzfristiges) Auskunfts- und ein Widerspruchsrecht. Diese Pflichten können realistisch nur dann bewerkstelligt werden, wenn sämtliche betroffene Verarbeitungsprozesse sauber und jederzeit aktuell dokumentiert sind, wenn man also überhaupt weiß, welche Daten wo gespeichert oder an wen übermittelt wurden.Die Grundlage: Bestandsaufnahme
Dreh- und Angelpunkt: Verarbeitungsverzeichnis
Dokumentation ist (fast) alles! Gegenüber denjenigen, deren personenbezogenen Daten verarbeitet werden (die „Betroffenen“), bestehen umfassende Informations- und Auskunftspflichten bezüglich
Weitere ToDos: Aktualisierung bzw. Erarbeitung von Datenschutz-Tools:
- Bestellung eines (ggf. externen) Datenschutzbeauftragten (ggf. jeweils für alle Gesellschaften in der Gruppe)
- Kundendatenschutz, d.h. Anwendbarkeitskontrolle und ggf. Einverständniserklärungen
- Online-Datenschutz, insbes. Prüfung und Aktualisierung von Datenschutzerklärung und etwaig erforderlichen Einwilligungserklärungen, sowie Health Check Website und Prüfung Online-Marketing (ggf. u.U. Adresshandel, etc.)
- Vertragsmanagement aufsetzen, hier vor allem Aktualisierung Muster ADV-Verträge, z.B. für die Nutzung von Cloud-Diensten oder Erstellung Einwilligungserklärungen intern / extern, siehe nachfolgend.
Sind Dritte involviert?
Aktuelle IT- und Software-Leistungen werden vermehrt und teils ausschließlich als Cloud-Dienste angeboten. D.h., Daten bleiben nicht im eigenen Unternehmen, sondern verteilen sich wie im Beispiel auf eine Vielzahl von Dienstleistern. Hier gilt es, den Überblick zu bewahren (Stichwort Verarbeitungsverzeichnis) und vor allem den Datentransfer zu diesem Dritten auf eine sichere Rechtsgrundlage zu stellen. Das geht über Vereinbarungen zur Auftragsdatenverarbeitung (ADV), an die die DSGVO erschwerte Bedingungen stellt, vor allem, wenn Anbieter von außerhalb der EU im Spiel sind.
Mitarbeiter mitnehmen!
Datenschutz und IT-Sicherheit bedeutet nicht nur Implementierung von technische Maßnahmen. Ein wesentlicher Baustein ist das richtige Verhalten der Mitarbeiter. Diese gilt es zu schulen, zu sensibilisieren, auch zu führen und in die Maßnahmen einzubeziehen. Vorschläge:
- Verarbeitungsverzeichnis zusammen mit Mitarbeitern erstellen
- Erstellung einer Unternehmensrichtlinie Datenschutz
- Selbstverpflichtung der Mitarbeiter auf den Datenschutz
- Einwilligungserklärung(en) zum Beschäftigtendatenschutz und Betriebsvereinbarung(en)
- Festlegung eines Konzepts für erforderliche Mitarbeiterschulungen
IT-Security nicht vergessen!
Datensicherheit ist IT-Security, Cyber-Security und DSGVO-Konformität gehen Hand in Hand. Kurz: Die Richtlinie stellt umfassende Anforderungen an die IT-Sicherheit, eine jederzeit aktuelle Risikoeinschätzung und state of the art-Sicherheitsmaßnahmen (sog. Technische und organisatorische Maßnahmen) sind gefordert.
Nicht nachlassen! Fortlaufende Aufgaben:
Mit der Herstellung eines datenschutzkonformen Zustandes ist die Arbeit nicht getan; es ist ein wichtiger Etappensieg, aber nicht mehr. Aufgrund der Nachweispflicht des Unternehmens und der Beweislastumkehr gemäß DSGVO muss zu jederzeit sichergestellt sein, dass oben genannte Anforderungen fortlaufend erfüllt sind. Regelmäßige Aktualisierung von Dokumentation und Maßnahmen ist zwingend, siehe z.B.
- Umsetzung und Aktualisierung von Datenschutzkonzept und technisch-organisatorischer Maßnahmen
- Monitoring aktueller Entwicklungen im Datenschutzrecht und Identifizierung daraus sich ergebenden Handlungsbedarfs
- Monitoring Veränderungen der Verarbeitung im Unternehmen
- Vorhalten eines Ansprechpartners für Notfälle, z.B. um Betroffene bei „Datenpannen“ zu informieren
Empfehlenswert ist die Beibehaltung der Meetings, z.B. als Jour Fixe zum Stand der Umsetzung und zum Monitoring, zunächst in kürzeren, später in längeren Intervallen.
In all diesen Schritten begleite ich Sie, beurteile die Rechtskonformität des Status Quo, berate zum Umfang des Anpassungsbedarfs und unterstütze die Umsetzung. Bewährte und erprobte Checklisten und Vorgehensweisen wie dargestellt gewährleisten Ihren Erfolg.
Das ist viel Arbeit, insbesondere in der kurzen, noch ausstehenden Zeit. Aber dem stehen auch Vorteile gegenüber: die Schaffung oder Verbesserung einer angemessenen IT-Security, eine Risikominimierung insgesamt, oder der Schutz von besonders sensiblen Daten des Unternehmens und der Kunden und Partner. Das ist ein wesentliches Asset und unter Umständen ein unique selling point in Ihrem Wettbewerbsumfeld.