Ich werde immer wieder gefragt in welcher Reihenfolge die Anforderungen des Datenschutzes und besonders der DSGVO umgesetzt werden sollten. Was ist sinnvoll, wenn man noch nichts (oder kaum etwas) in Sachen Datenschutz vorzuweisen hat? Wie erreiche ich die DSGVO-Compliance?
DSGVO-Compliance – ist das nicht schon ums Eck?!
Wer jetzt denkt, dass über ein Jahr nach Geltung der DSGVO kein Unternehmen mehr am Anfang stehen sollte, der hat natürlich Recht. Seit dem 25.05.2018 müsste jeder Verantwortliche die DSGVO-Compliance schon erreicht haben. Die Realität aber zeigt, dass noch ganz viele Unternehmen die Reise vor sich haben. Auf jeden Fall aber sind nach meiner Wahrnehmung über 2/3 der Verantwortlichen noch nicht am Ziel der DSGVO-Reise angekommen. Wenn man davon ausgeht, dass es ein Ziel gibt. Denn am Ende ist man eigentlich nie. Ist einmal das ganze Programm abgearbeitet, dann geht es an die ständige Evaluierung, Aktualisierung, Pflege und Ergänzung der Datenschutzmaßnahmen.
Jede Reise beginnt mit dem ersten Schritt. Und der ist nie zu spät. Fangen Sie besser jetzt an, als gar nicht.
Wie erreiche ich die DSGVO-Compliance?
Wie also kann der Weg zur DSGVO-Compliance aus meiner Sicht am besten erreicht werden? Das kann schwer pauschal beantwortet werden. Denn letztlich ist dies von verschiedenen Komponenten abhängig, die nie absolut identisch sind. Insbesondere ist die konkrete Ausgangssituation eben immer unterschiedlich. Nicht alle starten vom selben Punkt. Abhängig vom Status quo kann nur die Anpassung des Vorhandenen nötig sein oder aber es muss mehr oder weniger bei null begonnen werden.
Ich will dennoch versuchen, Ihnen eine aus meiner Sicht sinnvolle Reihenfolge der erforderlichen Maßnahmen für die DSGVO-Compliance an die Hand zu geben. es ist natürlich nur mein Vorschlag. Die Schritte haben sich in meiner Beratung als eine Art best practice bewährt:
Schritt 1:
Sensibilisierung
Im ersten Schritt ist es wichtig alle Mitarbeiter mit dem Thema Datenschutz vertraut zu machen und auf die Änderungen vorzubereiten. Die groben Inhalte und Folgen der DSGVO (was bedeutet DSGVO-Compliance überhaupt, erhöhte Informationspflichten, erhöhte Betroffenenrechte, Anpassungsbedarf aller den Datenschutz betreffender Dokumente, umfangreiche Dokumentationspflichten, hohe Bußgelder, Abmahngefahr etc.) sollten möglichst frühzeitig bekanntgegeben und die Mitarbeiter „mitgenommen” werden. Datenschutz muss von den Mitarbeitern (und der Geschäftsführung) verstanden und gelebt werden.
Meine Erfahrung zeigt: Wenn nicht alle mitmachen, wenn nicht alle den Stellenwert von Datenschutz verstehen, dann funktioniert es nicht.
Hier kann auch mit Workshops und Vorträgen gearbeitet werden, die ich gerne für Sie individuell zusammenstelle.
Schritt 2:
TOMs erstellen, aktualisieren
Es gilt die technischen & organisatorischen Maßnahmen zu erheben und zu dokumentieren, die Sie konkret bei sich zur IT- und Datensicherheit einsetzen (von der Anti-Virensoftware über die Rechteverwaltung bis hin zum Zugang zum Server).
Wenn Sie schon TOMs haben: Sind diese noch aktuell? Haben Sie auch an die nach DSGVO erforderlichen Anpassungen und Ergänzungen gedacht?
Und denken Sie auch daran die Maßnahmen stichprobenartig auf Einhaltung und Umsetzung zu prüfen und das alles zu dokumentieren.
Ich unterstütze Sie dabei gerne mit Formularen und Checkliste und prüfe, ob die Maßnahmen ausreichend sind.
Schritt 3:
Datenverarbeitungen erfassen & Verarbeitungsverzeichnis erstellen
Die Umsetzung beginnt mit dem konsequenten Erfassen aller Datenverarbeitungen bei Ihnen im Unternehmen.
Damit sind sowohl die externen (bspw. Trackingmaßnahmen auf der Website), als auch die rein internen (bspw. Lohnbuchhaltung) Datenverarbeitungen gemeint.
Mit einem Erfassungsdatenblatt (das ich Ihnen zur Verfügung stellen kann) sollten alle Mitarbeiter bzw. Abteilungen mit der Prüfung und Erfassung von datenschutzrelevanten Vorgängen beauftragt werden.
Dabei sollten die Mitarbeiter vorab – bspw. in einem Workshop – darüber informiert werden, dass jede eigenständige und wiederkehrende Erhebung, Nutzung, Speicherung, Änderung, Übertragung, Löschung etc. von personenbezogenen Daten jeweils als eigener Datenverarbeitungsvorgang anzusehen und gesondert zu erfassen ist.
So ist bspw. ein E-Mail-Newsletter ein eigener Datenverarbeitungsvorgang, der mit Briefmailing nichts zu tun hat und gesondert zu erfassen und im Verarbeitungsverzeichnis darzulegen ist. Die Erfassungsbögen sind zentral zu sammeln und die Vorgänge in das Verzeichnis einzutragen.
Ich kann Ihnen auf Wunsch ein Musterverzeichnis zur Verfügung stellen oder auch gleich die Erfassungsbögen auswerten und selbst für Sie das Verarbeitungsverzeichnis auf dieser Basis erstellen.
Schritt 4:
Prüfung Datenverarbeitungsvorgänge auf Rechtmäßigkeit
Sie müssen dann natürlich die Einträge im Verarbeitungsverzeichnis prüfen und die Verarbeitungsvorgänge um eine rechtliche Bewertung ergänzen. Denn oft ist es so, dass nicht alles, was geschieht auch zulässig ist. Zumindest ist oft eine Anpassung des Vorgehens nötig.
Immer jedenfalls muss das Vorliegen einer Rechtsgrundlage geprüft werden.
Das ist eine der zentralen juristischen Aufgaben, die ich Ihnen abnehmen kann. Ich informiere Sie dann, falls bestimmte Vorgänge unzulässig sind oder sein könnten. Erforderliche Anpassungen sind vorzunehmen, die internen Prozesse entsprechend zu ändern. Auf bestimmte Verarbeitungsvorgänge ist vielleicht auch im Ergebnis zu verzichten.
Schritt 5:
Dienstleister, Tools, Apps, Cloud-Services prüfen
Alle sich aus den erfassten und eingetragenen Verarbeitungsvorgängen ergebenden Beziehungen zu Dritten sind zu überprüfen. Dabei sind alle Verträge, AGB, Vereinbarungen datenschutzrechtlich zu bewerten.
Finden Datenübermittlungen ins EU-Ausland statt, wie bei vielen Cloud-Diensten (denken Sie auch an Tools, wie Dropbox, Slack, Office 365 etc.), muss die Zulässigkeit der Datenübermittlung geprüft werden. Dabei ist auch zu prüfen, ob eine Auftragsverarbeitung, eine gemeinsame Verantwortlichkeit oder getrennte Verantwortlichkeiten vorliegen.
Dann müssen wir zusammen schauen, ob die richtigen Verträge bestehen oder zu schließen sind. Ist also ein Auftragsverarbeitungsvertrag erforderlich? Oder ein Vertrag nach Artikel 26 DSGVO? Und Sie müssen schauen, welche weiteren Maßnahmen ggf. ergriffen werden müssen, wie bspw. die Anpassung der Einstellungen von Tools oder Plugins.
Und bitte denken Sie auch daran: Kommt der Brexit, ist UK erst einmal EU-Ausland. Mit allen Konsequenzen.
Schritt 6:
Minderjährigenschutz
Falls Personen unter 16 Jahren von Ihrer Datenverarbeitung betroffen sind, müssen wir prüfen, wie der Minderjährigenschutz der DSGVO bei Ihnen umzusetzen ist. Es dürften dann gesonderte Maßnahmen für die Einhaltung des Schutzes zu treffen sein.
Schritt 7:
Privacy by Design & by Default
Für jeden Datenverarbeitungsvorgang ist zu prüfen, ob die neuen Vorgaben einer möglichst datenschutzfreundlichen Technikgestaltung umgesetzt sind.
Das fängt schon im Entwicklungsprozess an. Aber auch danach bei den werkseitigen Voreinstellungen von Software, Tools etc. muss geprüft werden. Ggf. sind Maßnahmen umzusetzen, die die Einhaltung der Vorgaben sicherstellen
Schritt 8:
Brauche ich einen Datenschutzbeauftragten?
Wenn Sie keinen Datenschutzbeauftragten haben, dann muss geprüft werden, ob Sie nicht verpflichtet sind einen solchen zu bestellen.
Ich stelle die erforderlichen Fragen und bewerte die Antworten, so dass das Erfordernis festgestellt werden kann.
Neuerdings sind 20 Personen aufwärts erforderlich, die sich mit Datenverarbeitung befassen, um verpflichtet zu sein einen Datenschutzbeauftragten zu bestellen.
Besteht die Pflicht zur Bestellung, dann denken Sie bitte daran den Datenschutzbeauftragten aktiv bei Ihrer Aufsichtsbehörde zu melden. Diese Pflicht ist neu und gab es früher nicht. Daher wird es oft vergessen.
Wichtig: Auch, wenn man keinen Datenschutzbeauftragten bestellen muss, sind doch alle Maßnahmen der DSGVO umzusetzen!
Schritt 9:
Datenschutzfolgenabschätzung nötig?
Die DSGVO verlangt bei einigen Datenverarbeitungen eine Vorabprüfung samt schriftlicher Abwägung im Hinblick auf die Zulässigkeit der Verarbeitung im Verhältnis zum Risiko der Verarbeitung für die Betroffenen.
Sie müssen also prüfen, ob Sie solche Vorgänge haben und dann ggf. eine Folgenabschätzung schriftlich zur Erfüllung Ihrer Dokumentationspflichten durchführen.
Bei der Einschätzung helfen die von den Aufsichtsbehörden veröffentlichten Whitepaper (bspw. das Whitepaper des LfDI Baden-Württemberg).
Natürlich unterstütze ich Sie dabei sehr gerne.
Schritt 10:
Löschung, Auskunft & Datenübertragbarkeit möglich?
Sie müssen ein vernünftiges Löschkonzept erstellen. Welche Daten werden warum wie lange gespeichert und wann wie gelöscht? Stellen Sie vor allem auch sicher, dass alle Mitarbeiter wissen was wann wie zu löschen ist. Und können Sie technisch alles so sauber löschen, wie es erforderlich ist?
Dann müssen Sie prüfen, ob und wie Sie auf Wunsch des Betroffenen Auskunft über alle bei Ihnen zu dem Betroffenen gespeicherten Daten erteilen und, ob Sie seine Kundenstammdaten in ein Standard-Dateiformat exportieren und aushändigen können.
Schritt 11:
Ran an die Texte! Informationspflichten umsetzen, Einwilligungen überarbeiten etc.
Die Pflicht zur Information der Betroffenen bei jeder (!) Erhebung ihrer Daten ist wesentlich umfangreicher geworden. Daher müssen alle (!) Ihre Texte entsprechend geprüft und angepasst werden (bspw. die Datenschutzhinweise auf der Website, aber auch gesonderte Infotexte, bspw. für Ihre Beschäftigten. für Bewerber o.ä.).
Wenn Sie mit Einwilligungserklärungen arbeiten, dann sind auch diese zu prüfen und anzupassen. Zu prüfen ist dabei auch, ob Sie sich künftig ggf. stattdessen auf das Vorliegen eines berechtigten Interesses an der Datenverarbeitung berufen können.
Schritt 12:
Verantwortlichkeiten & Aufgaben verteilen / Weisungen erteilen
Schließlich sind intern Verantwortlichkeiten zu verteilen, bspw. im Hinblick auf die Dokumentationspflichten, aber auch die zu ändernden Prozesse, wie bspw. die Umsetzung der Löschpflichten, der Meldepflichten etc.
Ggf. sind arbeitsrechtliche Weisungen zu erteilen und zu dokumentieren, um eine Haftung der Geschäftsleitung wegen Organisationsverschuldens zu vermeiden.
Im besten Fall mündet alles das am Ende in ein umfassendes Datenschutzkonzept des Unternehmens, das alle Maßnahmen, Anweisungen, Texte etc. beinhaltet.
Und dann?
Tja, dann fängt alles irgendwie von vorne an, denn letztlich müssen alle so erstellten Texte, alle Prüfungen, alle Abwägungen und Maßnahmen immer wieder neu in Frage gestellt, überprüft, angepasst, erneuert, aktualisiert werden.
Dann ist die DSGVO-Compliance auch für die Zukunft sichergestellt.
Dafür bietet sich die Einführung eines Datenschutzmanagementsystems an, über das ich in einem anderen Beitrag noch ausführlicher berichten werde.
Timo Schutt
Datenschutzberater
Fachanwalt für IT-Recht
DSGVO-Man