skip to Main Content

Countdown zur EU-Datenschutz-Grundverordnung (DSGVO) Teil 1

Countdown Zur EU-Datenschutz-Grundverordnung (DSGVO) Teil 1
Beitragsserien: Die EU-Datenschutz-Verordnung

Michael Wiedemann arbeitet als stellvertretender Datenschutzbeauftragter bei der SAP SE in Walldorf. Er kennt die Gefahren und die Details zur neuen Datenschutz-Grundverordung. Heute gibt er Ihnen wertvolle Tipps und Hinweise, die Sie in Ihrem Unternehmen beachten müssen, um hohe Bußgelder zu vermeiden.

Michael Wiedemann sorgt als Verantwortlicher für den Bereich Data Protection Operations für die weltweite Umsetzung und Kontrolle der Datenschutzvorschriften. Die Schwerpunkte seiner datenschutztechnischen Aktivitäten liegen bei der Verfahrensaufzeichnung und –kontrolle, dem Aufbau und Betrieb von Managementsystemen und der Lieferantenkontrolle. Michael Wiedemann referiert regelmäßig im Auftrag von Management Circle, tritt häufig als Redner bei datenschutzrechtlichen Veranstaltungen auf und ist Mitverfasser des Buches „Praxisleitfaden zur Implementierung eines Datenschutzmanagementsystems“ (Springer Verlag).

Nur noch wenige Wochen zum Jahresende und nur noch wenige Monate bis zum Inkrafttreten der neuen Datenschutz-Verordnung. Mit dem Europäischen Gesetz werden ab 25. Mai 2018 ein Fülle neuer Regelungen zum Datenschutz wirksam. Höchste Zeit, sich mit dem Thema näher zu befassen. Unternehmen, die dem neuen Gesetz bislang eher wenig Beachtung geschenkt hatten, sollten nun die wichtigsten Neuerungen in Angriff nehmen. Doch was sind diese Kernpunkte und was sind erste Schritte zur Umsetzung? Im diesem und in folgenden Blogbeiträgen werden einige Punkte zur DSGVO näher beleuchtet. Wir beginnen mit dem Verzeichnis von Verarbeitungstätigkeiten und der Datenschutz-Folgenabschätzung.

Artikel 30: Verzeichnis von Verarbeitungstätigkeiten

Das Führen eines Verfahrensverzeichnisses war bereits unter der alten Europäischen Datenschutzregelung (95/46/EG) und auch durch das Bundesdatenschutzgesetz (BDSG) bekannt. Unter der Bezeichnung „Verzeichnis von Verarbeitungstätigkeiten“ ist es nun in der EU-DSGVO zu finden. Die Inhalte zeigen nur wenige Änderungen auf und sind im Artikel gelistet:

  • den Namen und die Kontaktdaten des Verantwortlichen
  • die Zwecke der Verarbeitung
  • eine Beschreibung der Kategorien betroffener Personen personenbezogener Daten
  • die Kategorien von Empfängern
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland
  • wenn möglich, die vorgesehenen Fristen für die Löschung
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Es drohen hohe Bußgelder bei Verstößen

Data-ScienceAuch wenn der Artikel inhaltlich keine wesentlichen Neuerungen für den Verantwortlichen bringen, so sollte die Umsetzung aus zwei Gründen noch sorgfältiger erfolgen als in der Vergangenheit. Zum einen verlangen die „Grundsätze für die Verarbeitung personenbezogener Daten“ mit den Vorschriften zu Transparenz und der Rechenschaftspflicht von den Unternehmen ein hohes Maß an Dokumentation und Nachvollziehbarkeit. Zum anderen sind Verstöße gegen diese Vorschriften – wie auch gegen alle anderen Verstöße – nun mit extrem hohen Bußgeldern bewehrt (Artikel 83). Die Überprüfung der Führung eines ordnungsgemäßen Verfahrensverzeichnisses ist auf der anderen Seite eine recht einfache Übung und bietet somit einen idealen Einstiegspunkt für eine Anfrage durch die Aufsichtsbehörden.

Was ist im Rahmen des richtigen Datenschutzes zu tun?

Als erstes bedarf es einer formalen Vorgabe, welche beschreibt, in welcher Form Verfahren in einem Unternehmen zu führen sind und wie diese abgelegt werden sollen. Es gibt zahlreiche Softwareprogramme, die zu diesem Zwecke eingesetzt werden können. Für einen ersten Wurf reicht aber sicher auch die Dokumentierung in einer Tabellenkalkulation oder in einem einfachen Textverarbeitungsprogramm. Es gibt dazu auf den Internetseiten der Behörden gute Vorlagen, auf deren Grundlage man seine eigene Inventarisierung aufbauen kann, beispielsweise bei BayLfD.

Wichtiger ist jedoch die Vorschrift, wie die Erfassung einer Verarbeitungstätigkeit zu erfolgen hat, damit diese gewissenhaft und vollständig ausgefüllt werden. Die Vorschrift zum Erstellen eines Eintrages sollte auch Erklärungskomponenten beinhalten, da man davon ausgehen muss, dass vielfach auch datenschutztechnische Laien einzelne Verfahren erfassen.

Datenerfassung hat Datenbewertung zur Folge

Dabei muss stets bedacht werden, dass der eigentliche Zweck der Vorschrift nicht die Erfassung der Verarbeitungstätigkeiten, sondern deren datenschutzrechtliche Konformität ist. Dies bedeutet, dass sich an die Erfassung unmittelbar eine Bewertung anschließen muss. Mit dieser Bewertung wird geprüft, ob das Verfahren den gesetzlichen Anforderungen tatsächlich vollumfänglich genügt. So könnte im Zuge der Bewertung beispielsweise erkannt werden, dass ein Verfahren zwar ein Löschkonzept beinhaltet, die Aufbewahrungsfristen aber unverhältnismäßig hoch sind und somit die personenbezogenen Daten des Verfahrens länger als notwendig gespeichert bleiben. Dies kann als Verstoß der Grundsätze in Artikel 5 der Verordnung gewertet werden (Speicherbegrenzung).

statistikenNeben diesen formalen Kriterien muss grundsätzlich die Vollständigkeit des gesamten Verzeichnisses gesichert werden, d. h. der Verantwortliche muss dafür sorgen, dass alle relevanten Verfahren im Unternehmen erfasst werden. Hat das Unternehmen bereits in der Vergangenheit ein Verfahrensverzeichnis geführt, so ist dies auf Aktualität und auch auf Vollständigkeit zu prüfen. Aus diesem Grund muss ein Prozess erstellt werden, welcher den Datenschützer dabei unterstützt, dass bestehende Verfahren regelmäßig überprüft und neue Verfahren zwingend erfasst werden. In Abhängigkeit der Größe des Unternehmens und der Vielfalt, beispielsweise Anzahl der Verfahren, bieten sich hier auch dezentrale Erfassungsmethoden an. In einem solchen Szenario sind die Verantwortlichen der Verfahren für die Erfassung selbst zuständig (dezentrale Erfassung) und ein zentrales Team führt lediglich die Nachprüfungen durch. Ein derartiges Kooperationsmodell für die Inventarisierung und Bewertung der im Unternehmen eingesetzten Verfahren bietet gleich mehrere Vorteile:

  • Den Geschäftsbereichen wird die Verantwortung für die eingesetzten Verfahren bewusst gemacht
  • Das Wissen und die Aufmerksamkeit für datenschutzrelevante Themen steigen in den Geschäftsbereichen
  • Das zentrale Team kann sich auf Expertenberatung konzentrieren
  • Durch entsprechende regelmäßige und gemeinsame Überprüfungen ist auch in diesem Modell eine hohe Qualität der Verfahrensprüfungen sichergestellt

Artikel 35: Datenschutz-Folgenabschätzung

Die vom Gesetzgeber vorgeschriebene Datenschutz Folgeabschätzung (DSFA) fügt sich sehr gut in den Prozess zur Inventarisierung und Kontrolle von datenschutzrelevanten Verfahren ein. Mit dem Führen des Verfahrensverzeichnisses schaffen wir Transparenz über die im Unternehmen eingesetzten Verfahren und prüfen diese Verfahren gegen die Anforderungen des Gesetzes. An diese Vorabkontrolle lässt sich die Folgeabschätzung gut anknüpfen.

Was ist die DSFA?

Der Gesetzgeber möchte vermeiden, dass Unternehmen Verfahren einsetzen, welche zu besonders hohen Risiken für die betroffenen Individuen führen können. Erkennen lassen sich solche hoch riskanten Verfahren an unterschiedlichen Merkmalen wie beispielsweise die besonderen Kategorien von Daten aus Artikel 9:

  • rassische und ethnische Herkunft
  • politische Meinungen
  • religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • genetischen Daten
  • biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person
  • Gesundheitsdaten
  • Sexualleben oder der sexuelle Orientierung

Ferner nennt der Gesetzgeber noch das Profiling und die automatisierte Entscheidungsfindung als mögliche Ansatzpunkte zur Erstellung einer DSFA.

Was ist zu tun?

Die Auslöser, welche die Erstellung einer DSFA notwendig machen können, sollten in der Regel bereits bei der Erfassung und der Bewertung der Verfahren erkannt werden. Im Unternehmen ist ein entsprechender Zusatzprozess zu etablieren, welcher dafür sorgt, dass bei Verwendung eines der oben erwähnten Merkmale

  • der Datenschutzbeauftragte informiert wird,
  • nach bestehenden Regelungen das Verfahren bezüglich seiner Risiken für die Betroffenen geprüft und bewertet wird,
  • mögliche Strategien zur Verminderung oder gänzlichen Vermeidung der Risiken im Verfahren ergänzt werden,
  • alle Schritte der Risikoprüfung, der Verminderung und der Entscheidungsfindung nachvollziehbar dokumentiert werden

Business Charts und Statistiken vor blauem HintergrundAuch hierfür existieren Formblätter, welche die wesentlichen Schritte der DSFA beschreiben. Eine sehr ausführliche Anleitung zur Durchführung der datenschutzrechtlichen Risikoanalyse bietet beispielsweise der BITKOM: https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-Risk-Assessment-online.pdf

Ausblick

Im nächsten Blogbeitrag behandeln wir das Thema Datenschutz-Managementsysteme (DSMS) und klären unter anderem Fragen wie:

  • Warum werden mit der DSGVO-Einführung Datenschutz-Managementsysteme so bedeutend?
  • Was ist ein Datenschutz-Managementsystem und wie baue ich es auf?
  • Warum ist das Datenschutz-Managementsystem ein erster Schritt zur Zertifizierung?

Die neue Datenschutz-Verordnung: Überlassen Sie nichts dem Zufall

Informieren Sie sich in diesem Seminar mit Michael Wiedemann, wie Sie die Verarbeitung personenbezogener Daten rechtskonform sicherstellen und die notwendigen Prozesse rechtzeitig planen, um Datenschutzverstöße und hohe Bußgelder zu vermeiden.
Datenschutz-Grundverordnung

Datenschutz-Grundverordnung – Was ändert sich für Unternehmen?

Unternehmen müssen jetzt handeln, um datenschutzrechtliche Anforderungen umzusetzen – sonst drohen erhebliche Bußgelder. Wie Sie dem entgehen können, verrät Fachanwalt für IT-Recht Falk W. Müller.
Jetzt kostenlos herunterladen!

Claudia Blum

Bei Management Circle bin ich für die Personal-, Produktions- und Soft Skills-Themen zuständig. Ich betreue außerdem den Blog zu den Iran-Veranstaltungen. In diesen Portalen informiere ich Sie stets über alle Trends und Entwicklungen. Ich freue mich auf Ihre Anregungen und einen guten Wissensaustausch.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Back To Top

Modernes Recruiting

Modernes Personalmarketing und Recruiting ist heute viel umfassender und wichtiger denn je. Bereiten Sie sich mit Hilfe dieses Whitepapers auf alle Trends und Besonderheiten vor.

Jetzt herunterladen!