Datenschutz in 10 Schritten – Welche Grundlagen werden im Rahmen eines Datenschutzmanagementsystems benötigt?

Die gesetzliche Verpflichtung zum Datenschutz trifft jedes Unternehmen. Werden mehr als 9 Personen beschäftigt, muss sogar ein Datenschutzbeauftragter bestellt werden. Doch welche Schritte müssen genau vollzogen werden, um ein Mindestmaß an Rechtssicherheit zu erlangen?

Anhand der folgenden 10 Schritte können Sie einen ersten Grundstein für den betrieblichen Datenschutz legen.

Die Grundlagen des Datenschutzmanagements

 

1. Der Datenschutzbeauftragte: Klären Sie zunächst, ob Sie aufgefordert sind einen Datenschutzbeauftragten zu bestellen (dies ist der Fall, wenn Sie mehr als 9 Personen beschäftigen). Sind Sie verpflichtet, so gilt es zu klären welche Person diese Stelle ausführen kann.

Bei einer internen Besetzung muss diese Person Fachkenntnis zu IT-Fragestellungen besitzen, unabhängig und weisungsfrei arbeiten können, Fachkenntnisse zu datenschutzrechtlichen Themen vorhalten, in keine Interessenskonflikte verbunden sein und zuverlässig arbeiten können. Dies bedeutet, dass z.B. Führungskräfte sowie Fachkräfte aus den Bereichen IT und Personal diese Position nicht ausführen können. Diesen Personen kann keine Unabhängigkeit testiert werden, sobald diese ihre eigenen Vorgänge und Arbeitsweisen überwachen und auditieren sollen.

Als Alternative kann die relevante Person von seinen eigentlichen Aufgaben freigestellt werden, um die nötig Unabhängigkeit zu gewährleisten. Können und wollen Sie diese Ressourcen nicht vorhalten (z.B. weil ein intern bestellter Datenschutzbeauftragte speziellen Kündigungsschutz genießt), so bietet sich die Beauftragung eines externen Datenschutzbeauftragten an.

2. Bestandsaufnahme: Dokumentieren Sie, wo personenbezogene Daten im Unternehmen erfasst und gespeichert werden. Erfassen Sie, welche personenbezogenen Daten bspw. in den Personalakten oder in Ihren IT-Systemen erfasst werden. Gehen Sie dabei schrittweise vor, um auch die Informationsflüsse zu dokumentieren. Welche Daten übermittelt bspw. das Abrechnungsmodul an das ERP-System? Wie wird der Zugriff auf die Daten geschützt? Werden personenbezogene Daten nach „außen“ gegeben? Wenn ja, wer arbeitet zu welchem Zweck mit diesen Daten?

3. Verfahrensverzeichnis: Die DS-GVO schreibt im Art. 30 vor, das ein Verzeichnis von Verarbeitungstätigkeiten anzulegen ist. Dieses Verfahrensverzeichnis bringt Transparenz in den Verarbeitungsprozess personenbezogener Daten. Hier wird detailliert beschrieben, welche Daten in den Prozessen zwischen Ihren Systemen verarbeitet, gespeichert oder übermittelt werden. Die zuvor durchgeführte Bestandsaufnahme fließt hier mit hinein.

Das Verfahrensverzeichnis dient auch dazu, Ihren Mitarbeiter darüber Auskunft zu geben, an welcher Stelle im Unternehmen die relevanten personenbezogenen Daten verarbeitet werden.

4. Risikoabschätzung: Stellen Sie sicher, dass die Sicherheit der Verarbeitung gewährleistet ist. Dies können Sie über eine strukturierte Risikoabschätzung realisieren. Es gilt zu ermitteln, wie die Datenschutzziele Verfügbarkeit, Vertraulichkeit und Integrität sichergestellt werden können. Idealerweise wird im Rahmen dieser Betrachtung geklärt, welche Auswirkungen ein Verlust bestimmter personenbezogener Daten für die Betroffenen haben kann, und welche Maßnahmen ergriffen werden können, um dies zu vermeiden. Dieses Bewertungsverfahren muss in regelmäßigen Abständen aktualisiert werden, um immer die aktuellsten Risiken zu betrachten.

5. Folgeabschätzung: Die Pflicht zur Datenschutz-Folgeabschätzung liegt immer dann vor, wenn ein besonders hohes Risiko für die jeweiligen Betroffenen vorliegt, oder eine neue Technologie verwendet wird. Im Rahmen dieser Betrachtung werden u.a. die Notwendigkeiten und Risiken bewertet und die geplanten Verarbeitungsvorgänge beschrieben und ggf. Abhilfemaßnahmen zum Schutz der personenbezogenen Daten ergriffen (siehe auch Art. 35 Abs. 7 DS-GVO). Im Rahmen der sogenannten White- und Blacklists gibt der Gesetzgeber künftig exakt vor, bei welchen Systemen eine solche Abschätzung generell durchgeführt werden muss.

6. Vertraulichkeit der Mitarbeiter: Im normalen Geschäftsleben arbeiten Mitarbeiter regelmäßig mit personenbezogenen Daten, sei es im Bereich IT, Personal oder in der Auftragsabwicklung. Ist dies auch bei Ihnen der Fall, müssen Sie Ihre Mitarbeiter in dokumentierter Form zur Vertraulichkeit verpflichten. Diese Verpflichtung -auch nach Beendigung des Beschäftigungsverhältnisses- mit personenbezogenen Daten vertraulich umzugehen, ist auch in der neuen DS-GVO noch immer eine Pflichtanforderung.

7. Auftragsdatenverarbeitung: Sie übermitteln personenbezogene Daten auch an Unternehmen außerhalb Ihres Unternehmens (z.B. bei ausgelagerter Lohnbuchhaltung)? Ist dies der Fall, so muss mit dem Unternehmen, welches die Daten verarbeitet, ein Vertrag zur Auftragsdatenverarbeitung geschlossen werden. Dieser Vertrag definiert, wie mit den bereitgestellten Daten umgegangen werden muss. Eine solche Regelung muss bspw. mit externen Lohnbüros oder auch mit Tochtergesellschaften abgeschlossen werden, welche Ihre personenbezogenen Daten verarbeiten.

8. Technische und organisatorische Maßnahmen (TOM): Der Art. 32 der DS-GVO gibt vor, dass u.a. unter Berücksichtigung des Stands der Technik ein angemessenes Schutzniveau für die personenbezogenen Daten zu gewährleisten ist. Dieses Schutzniveau soll wirtschaftlich vertretbar und zweckmäßig sein. Die TOMs gliedern sich in unterschiedliche Element auf, welche gerade in ihrer Kombination ein nicht unwesentliches Schutzniveau gewährleisten können. Wie solche Maßnahmen aussehen können, werden wir Ihnen in einem nachfolgenden Beitrag genauer darlegen.

9. Privacy by design: Bereits im Rahmen der Entwicklung oder Auswahl von Verarbeitungssystemen soll der Datenschutz betrachtet werden. Der Art. 25 der DS-GVO spricht hier von Datenschutz durch Technikgestaltung. So sollen schon frühzeitig personenbezogene Daten anonymisiert werden, oder nur die minimalst notwendige Menge an Daten erfasst werden.

10. Privacy by default: Mittels datenschutzfreundlichen Voreinstellungen sollen gerade weniger technikaffine Personen im Umgang mit personenbezogenen Daten geschützt werden. So gilt es, die Systeme so auszulegen, dass der Schutz der Privatsphäre des Betroffenen im Fokus steht.

Summary

Wenn Sie diese 10 Schritte in Ihrem Unternehmen umsetzen und aktiv pflegen, könne Sie ein solides Grundfundament nachweisen, um auch Ihr Unternehmen rechtssicher aufzustellen.

 

 

Wie können wir Sie unterstützen?

Ihnen fehlen die notwendigen Ressourcen um die Umsetzung selbst voranzutreiben? Wir unterstützen Sie hier ganzheitlich. Angefangen von der Stellung des externen Datenschutzbeauftragten bis hin zur Implementierung eine Datenschutzmanagementsystems.

Steffen Homringhaus

Steffen Homringhaus

Partner

02736/50937-0
02736/50937-25 s.homringhaus@sysscon.de
X