Handwerkszeug Datenschutz
- Mit der DSGVO hat die Rechenschaftspflicht zu den Maßnahmen und Anstrengungen von Unternehmen Einzug in den Datenschutz und die Informationssicherheit gehalten.
- Der Tenor ist nicht mehr, dass einem Unternehmen ein Fehler nachzuweisen ist. Stattdessen muss mittlerweile jedes Unternehmen in der Lage sein, jederzeit belegen und nachweisen zu können, dass die Forderungen der DSGVO tatsächlich umgesetzt werden.
- Doch was gehört alles dazu? Welche Vorgaben müssen Unternehmen erfüllen und wer trägt die Verantwortung? Datenschutzexperte Stephan Frank erklärt die wichtigsten Regeln, zeigt Beispiele für Fragen von Aufsichtsbehörden und erläutert, wie Unternehmen sich mithilfe von „Feuerwehrübungen“ für den Fall der Fälle vorbereiten können.
Neben den vielfach bekannten und in praktisch allen Verträgen zu Auftragsverarbeitung von Daten vorhandenen sogenannten „TOMs“ – Technische und Organisatorische Maßnahmen – sind noch viele weitere Maßnahmen zu ergreifen. Diese müssen dann auch für die Rechenschaftspflicht in geeigneter Weise dokumentiert und nachgehalten werden.
Datenschutz mit System
Die DSGVO verlangt indirekt, ein strukturiertes System zum Datenschutzmanagement zu betreiben. In diesem gilt es nicht nur, die aktuellen Ereignisse und Vorgänge rund um die Datenverarbeitungen festzuhalten, sondern diese auch kontinuierlich zu protokollieren.
In der Praxis haben sich hier typischerweise professionelle Datenschutzmanagementsysteme als webbasierte Plattform oder Wiki als sehr geeignet erwiesen. Diese Systeme halten Aktualisierungen in der Dokumentation nach, sind im Vergleich zu datei- oder gar papierbasierten System leicht zu handhaben und stehen allen Beteiligten einfach und schnell zur Verfügung.
Der sprichwörtliche Sicherheitsgurt
Die zentrale Aufgabe im Datenschutz ist der Schutz von natürlichen Personen: Es soll verhindert werden, dass diese Menschen durch ihre Daten und die Eigenschaften dieser Daten benachteiligt werden. Unternehmen müssen den Menschen sprichwörtlich einen Sicherheitsgut anlegen, damit diese geschützt sind. Nicht wie im Auto, wo man sich als Fahrer und Insasse selbst durch den Sicherheitsgurt schützen muss.
Unternehmen müssen den Menschen sprichwörtlich einen Sicherheitsgut anlegen, damit diese geschützt sind.
Mitarbeiter und Partner richtig unterweisen
Um die Forderungen unternehmensweit umsetzen zu können, bedarf es entsprechender Weisungen an die eigenen Mitarbeiter und auch an die Partner, denen man vertrauensvoll Daten zur Verarbeitung im Auftrag übergibt. Hier ist zum einen ein Datenschutzhandbuch sehr hilfreich, in dem folgende Aspekte geregelt werden:
- Kernprozesse
- Umgang mit Betroffenenanfragen und Beschwerden
- Umgang mit Prozessen wie dem Löschen von Daten oder dem Einwilligungsmanagement
Darüber hinaus sind vor allem konkrete Anweisungen zum Umgang mit Daten und Systemen wichtig. Diese sind in einer Informationssicherheitsrichtlinie und einer Richtlinie zum Umgang mit IT-Geräten des Unternehmens zu regeln. Alternativ kann auch eine Kombination aus beidem zum Einsatz kommen.
In der Theorie gut, doch was ist mit der Praxis?
Damit die Mitarbeiter die Regeln und Anweisungen wirklich kennen, verinnerlichen und umsetzen, braucht es regelmäßige Schulungen und Auffrischung der „Awareness“. Neben jährlichen Grundlagenschulungen zum Datenschutz und weiterführenden spezifischen Schulungen zu bestimmten Themen bietet es sich vielfach an, auch mit technischen Mitteln zu üben. Besonders im Bereich der Informations- und IT-Sicherheit haben sich Dienstleister etabliert, die das Gelernte automatisch mit Test-Phishing-E-Mails oder sogar Test-Anrufen bei Mitarbeitern der Unternehmen nachhalten und für Betroffenheit sorgen.
Für die Unternehmen gilt, dass diese Aktivitäten und Aufwände gut dokumentiert werden, um Aufsichten für Datenschutz auch konkrete Belege für diese Schulungen und Tests vorlegen zu können.
Diese Fragen sollten Unternehmen kennen
Regelmäßig stellen Aufsichtsbehörden folgende oder ähnliche Fragen:
- Wie stellt das Unternehmen die Wirksamkeit der geeigneten technischen und organisatorischen Maßnahmen sicher?
- Wie wird sichergestellt, dass datenschutzrelevante Änderungen im Unternehmen ankommen?
- Gibt es ein internes Audit des Managements von Betroffenenrechten?
- Gibt es „Feuerwehrübungen“ zu Datenschutzverletzungen, um die Abläufe für den Fall einer tatsächlichen Datenschutzverletzung zu testen?
Um gut vorbereitet zu sein, sollten Unternehmen Nachweise im eigenen Datenschutzmanagementsystem schon nachhalten und ihre Maßnahmen auch auf ihre Dienstleister und Partner (Auftragsverarbeiter) ausgeweitet haben, denn auch diese und deren DSGVO-Konformität als Auswahlkriterium liegen in der Verantwortung des eigenen Unternehmens. In einem Fragebogen einer Aufsichtsbehörde steht es gar, ob bei den oben genannten „Feuerwehrübungen“ auch an die Auftragsverarbeiter gedacht wird und ob diese in die Übungen eingebunden sind.
Fazit
Letztlich gilt stets der Grundsatz, die Verantwortung für den Nachweis der Einhaltung der DSGVO-Forderungen liegt beim Verantwortlichen. Dieser Verantwortliche ist typischerweise die Geschäfts- bzw. Unternehmensleitung, auch wenn Teile dieser Verantwortung an Mitarbeiter und Dienstleister delegiert werden können. Aus diesem Grund muss der Verantwortliche dafür sorgen, dass geeignete Maßnahmen ergriffen und die erforderlichen Anstrengungen unternommen werden, um jederzeit den Nachweis der Einhaltung der DSGVO führen zu können. Wenn diese Maßnahmen und Anstrengungen auch regelmäßig auf ihre Wirksamkeit geprüft, wenn nötig angepasst und vor allem verbessert werden, dann wird eine Aufsichtsbehörde nur wenig anzumerken oder gar zu kritisieren haben.
Zusammengefasst: Die Unternehmensleitung ist in der andauernden Pflicht, den Menschen, deren Daten verwendet werden, einen wirksamen und guten Sicherheitsgurt anzulegen.
Stephan Frank
Stephan Frank entwickelt seit dem Jahr 2000 die IT-Abteilungen verschiedener Personaldienstleister weiter. In das Thema Datenschutz stieg er früh ein und gestaltete ab 2006 den Datenschutz und die Datensicherheit für mehrere Zeitarbeitsfirmen. Inzwischen ist er als selbstständiger Datenschutzbeauftragter (DSB-TÜV) und -auditor (DSA-TÜV) tätig und übernimmt für Unternehmen die Aufgaben des externen Datenschutzbeauftragten oder berät interne Datenschutzbeauftragte. Als Mitglied des zvoove-Partner-Netzwerks bietet er seine Expertise in und für die Personaldienstleistung an. Zudem bildet er Datenschutzbeauftragte aus und schult unabhängig zu Datenschutz und Datensicherheit.