Wer setzt die DSGVO im Unternehmen um?
In verschiedenen Gespräche mit Unternehmen habe ich immer wieder folgendes gehört:
Wir haben einen Datenschutzbeauftragten, der kümmert sich um die DSGVO-Compliance
Hier stelle ich mir das Bild eines in einer riesigen Abstellkammer zurückgelassenen Menschen vor, von dem man erwartet, dass er die Kammer aufräumt und vorher nicht rauskommt.
Die Annahme, dass ein Datenschutzbeauftragter dafür Sorge trägt, dass ein Unternehmen ab 25.5.2018 die Datenschutzgrundverordnung und des BDSG neu erfüllt ist dabei nicht nur falsch sondern auch risikoreich – für den Unternehmer.
Auf Handlungsbedarf bzgl. DSGVO hinweisen
Zu den Pflichten des Datenschutzbeauftragten gehört primär die Beratung des Unternehmens und insbesondere der GF in Bezug auf die Verarbeitung personenbezogener Daten. Darüber hinaus pflegt er nach dem aktuellen BDSG das Verfahrensverzeichnis auf Basis der ihm zur Verfügung gestellten Informationen, schult Mitarbeiter und prüft neue oder geänderte Verfahren.
Im Zusammenhang mit der DSGVO ist es daher die Pflicht des Datenschutzbeauftragten, die Geschäftsführung über kommende Änderungen zu informieren und Risiken aufzuzeigen, die sich bei einer Nichtbefolgung ergeben können. Hier gilt auch schon meine erste Empfehlung für Datenschutzbeauftragte:
Informiert den Verantwortlichen über die Neuerungen und Risiken durch die DSGVO unbedingt schriftlich.
Die Einführung der DSGVO definiert den Datenschutzbeauftragten zukünftig primär als Berater des Unternehmens oder wer es böswillig ausdrücken möchte, als verlängerter Arm der Aufsichtsbehörden.
Der DSB sollte im Kontext der kommenden Änderungen daher u.a. auf folgendes hinweisen:
- Gültigkeit und Neueinholung von Einwilligungserklärungen
- Neue Informationspflichten bei der Kommunikation mit Kunden (u.a. Webseite, Newsletter, etc.)
- Anpassung von Verpflichtungserklärungen
- Anpassung von Schulungsunterlagen
- usw.
Bzgl. Verfahrensverzeichnis entfällt zwar für einige Unternehmen theoretisch die Pflicht zur Führung eines Verfahrensverzeichnisses. Wenn man aber den Datenschutz entsprechend den Forderungen nach einem Datenschutzmanagement sicherstellen möchte, dann sind hierfür genau diese Verfahren wieder die Grundlage evtl. sogar noch umfangreich als vorher.
Also müssen diese Dokumentationen entsprechend dieser Anforderungen angepasst werden. Hierzu sei auf die Vorlagen z.B. des BSI verwiesen. Wer noch kein Verfahrensverzeichnis hat, sollte das also jetzt auch noch nachholen (nach dem aktuellen BDSG ist der DSB zum Führen verpflichtet, aber nur auf Basis der Informationen, die er zur Verfügung gestellt bekommt).
Projekt zur DSGVO – Compliance empfehlen
Und damit kommen wir zum größten Thema, das der DSB aussprechen sollte:
Die Einführung eines Datenschutzmanagmentsystems mit allen Richlinien und Prozessen, ein kontinuierlicher Verbesserungsprozesses anlehnend an eine ISO 9001 sowie einer Möglichkeit zur Auditierung.
Hier sind eine Vielzahl von Rollen im Kontext einer entsprechenden Datenschutz- und Informationssicherheitsorganisation zu besetzen und einzubinden. Dazu gehören GF, IT-Leitung, Personalleitung, Abteilungen, etc.
Die Verantwortung für diese ganzen Dinge bleiben beim Verantwortlichen einer Firma, d.h. der Geschäftsführung. Ein vorausschauender DSB empfiehlt nun die Initiierung eines Compliance-Projektes zur Erfüllung der DSGVO und des neuen BDSG. Sofern kein Informationssicherheitsmanagement vorliegt, empfielt er gleichzeitig dieses als Orientierung direkt mit einzuführen und die datenschutzrelevanten Teile (Verfahren, etc.) zu ergänzen. Der DSB ist dabei ein Teil des Projektes und unterstützt den Projektverantwortlichen bei der Beschreibung und Definition der notwendigen Maßnahmen (primär Richtlinien und Verfahren).
Das ganze Thema ist aufwendig und die Zeit bis zum 25.5.2018 sehr knapp, aber wer nicht ein Projekt initiiert, läuft in ein hohes Risiko, dass der Datenschutzbeauftragte bereits heute kommunizieren kann.