Wann muss ein Datenschutzbeauftragter benannt werden?

In jedem Unternehmen ist zu klären, ob ein ein Datenschutzbeauftragter (DSB) benannt  werden muss. Dies ist übrigens kein einmaliger Prüfvorgang, sondern die Feststellung sollte zyklisch durchgeführt werden, da sich die Rahmenbedingungen ändern können.

Nach Artikel 37 DSGVO und §38 BDSG (neu) für nichtöffentliche Stellen ist in folgenden Fällen ein Datenschutzbeauftragter zu benennen:

  1. Es werden in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt
  1. Es werden Verarbeitungsvorgänge durchgeführt, die eine umfangreiche regelmäßige und systematische Überwachung von Personen erforderlich machen.
  1. Es werden umfangreiche Verarbeitungen von besonderer Kategorien von Daten gemäß Artikel 9 DSGVO oder von strafrechtlichen Verurteilungen und Straftaten gemäße Artikel 10 vorgenommen.
  1. Es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen.
  1. Es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder der Meinungsforschung verarbeitet.

I.d.R. ist die Anzahl der Personen, die regelmäßig personenbezogene Daten verarbeiten eines der wesentlichen Kriterien für die Bestimmung eineder DSB-Pflicht. Dabei sollte nicht außer acht gelassen werden, dass alle Personen mit Personalverantwortung hierzu gezählt werden müssen, wie Vertrieb, IT, Marketing udn i.d.R. die Administration.

Ein interessanter Diskussionspunkt ist die Frage, ob die Verarbeitung von Krankmeldungen, die zu den besonderen Kategorien von personenbezogene Daten gehören die Pflicht zur Berufung eines DSB automatisch beinhalten. Ich teile diese Einschätzung noch nicht, da die Verarbeitung ja nicht ständig und umfangreich erfolgen. Außerdem müsste dann jeder, der mindestens einen Mitarbeiter hat einen DSB bestellen. Hier ist abzuwarten, wo die Aufsichtsbehörden die Grenze ziehen bzw. diese Daten betrachten.

TOMs von BDSG zur DSGVO übertragen

Manche Unternehmen haben bereits TOMs im Rahmen eines Verfahrensverzeichnis erstellt und stehen nun vor der Frage, ob man diese Daten weiterverwenden kann. Denn nach der DSGVO gibt es diese Unterteilung des alten BDSGs für TOM´s nicht mehr.

TOMs nach der DSGVO gliedern

Grundlegend für die TOM-Beschreibung  ist Artikel 32 DSGVO. Hieraus können folgende Gliederungspunkte abgeleitet werden:

  1. Vertraulichkeit der Systeme und Dienste
    • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  2. Integrität der Systeme und Dienste
  3. Verfügbarkeit und Belastbarkeit der Systeme und Dienste
    • Wiederherstellung der Verfügbarkeit der personenbezogenen Daten nach Zwischenfall
  4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Ich habe die Themen so organisiert, dass die Inhalte zueinander passen.Hierbei kann man sich insbesondere an den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit orientieren. Ergänzt werden sollten diese um Informationen zu dem Verfahren (Artikel 32 lit d) zur regelmäßigen Überprüfung, Bewertung, … was letztendlich wieder ein Hinweis auf ein Managementsystem ist.

Alte TOMs den neuen TOMs zuordnen

Die bisherigen Punkte aus den TOMs nach dem BDSG lassen sich nun wunderbar in diese Differenzierung einsortieren:

Vertraulichkeit der Systeme und DiensteZutrittskontrolle (BDSG alt)
Zugangskontrolle (BDSG alt)
Zugriffskontrolle (BDSG alt)
Pseudonymisierung und Verschlüsselung personenbezogener Daten
Integrität der Systeme und DiensteEingabekontrolle (BDSG alt)
Weitergabekontrolle (BDSG alt)
Trennunggebot (BSDG alt)
Verfügbarkeit und Belastbarkeit der Systeme und DiensteVerfügbarkeitskontrolle (BDSG alt)
Wiederherstellung der Verfügbarkeit der personenbezogenen Daten nach Zwischenfall
Verfahren zur regelmäßigen Überprüfung, Bewertung und EvaluierungAuftragskontrolle (BDSG alt)

 

Natürlich sollten diese Punkte anschließend um weitere Maßnahmen ergänzt bzw. Anpassungen vorgenommen werden.

Vom Verfahrensverzeichnis zum Verarbeitungsverzeichnis

Obwohl einige Firmen bereits ein Verfahrensverzeichnis haben, fällt es den Verantwortlichen manchmal schwer, dieses als Grundlage für das Verarbeitungsverzeichnis der DSGVO zu verwenden. Dabei ist ein großer Teil bereits gemacht und kann ohne Einschränkung weiterverwendet werden. Dieser kurze Artikel soll hier in paar Tipps geben, wie ich das Thema angepackt habe.

Deckblatt

Gleich geblieben sind hier die Angaben zu den Verantworlichen. D.h. hier sollten

  • Rechtsform
  • Anschrift und weitere Kontaktdaten (Telefon, eMail)

eingegeben werden.

Für ein Verzeichnis von Auftragsverarbeitungen sollte der Begriff des Auftragsverarbeiters anstelle des Verantwortlichen verwendet werden.

Es folgen die Angaben zu den Geschäftsführern sowie die Angaben zum Datenschutzbeauftragten.

Es entfällt die bisherige Benennung des IT-Leiters.

Einleitung

Es empfielt sich eine kurze Einleitung zu schreiben, in der auf die Rechtsgrundlage f+r das Verzeichnis sowie dem Inhalt des Verzeichnisses verwiesen wird. Hier kann auch auf ein gemeinsames Deckblatt sowie eine gemeinsame Beschreibung von TOMs oder ein Datenschutzmanagement verwiesen werden.

Angaben zu Verarbeitungen

Auch hier sind die ersten Veränderungen marginal, d.h. hier können die bisherigen Texte zu Pflichtangaben wie folgt ersetzt werden:

Bezeichnung im BDSG VerfahrensverzeichnisBezeichnung im DSGVO Verarbeitungsverzeichnis
Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung durch „Zwecke der VerarbeitungZwecke der Verarbeitung
Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder DatenkategorienBeschreibung der Kategorien betroffener Personensowie

sowie

Beschreibung der Kategorien personenbezogener Daten

(Ich habe diese Angabe in zwei Angaben aufgeteilt, da ich so eine bessere Übersicht erreiche)

Empfänger oder Kategorien von Empfängern der DatenKategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
Datenübermittlung in DrittländerÜbermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
Regelfristen für die Löschung der DatenFristen für die Löschung der verschiedenen Datenkategorien
Beschreibung der getroffenen technischen und organisatorischen MaßnahmenAllgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1

Damit sind die Pflichtangaben verwendet.

Zusatzangaben

Ich habe aber auch bereits im Verfahrensverzeichnis häufig folgende Angaben noch ergänzt (da diese das Management des Datenschutz vereinfachen):

  • Rechtsgrundlage der Verarbeitung (hier kommen primär die Artikel 6 Abs. 1 die Punkte a) (Einwilligung), b) (Vertrag), c)(andere gesetzl. Grundlage) und f)(Wahrung berechtigter Interessen) und §26 BDSG-neu (Beschäftigungsverhältnis)
  • Dienstleister, die Daten im Auftrag verarbeiten
  • Eingesetzte Software
  • Schutzbedarfklasse

Als Darstellung habe ich festgestellt, dass eine Tabellenform (in einer Textverarbeitung) die Übersicht und Lesbarkeit erhöht und sich im Rahmen eines kontinuierlichen Verbesserungsprozesses am besten erweitern lässt. Wie man die TOMs umwandelt beschreibe ich in einem gesonderten Artikel.

Wer braucht ein DSGVO Verarbeitungsverzeichnis?

Viele kleinere Unternehmen fragen sich, brauche ich eigentlich ein Verarbeitungsverzeichnis. Kann ein Unternehmen möglicherweise auch mit Hinweis auf Artikel 30 DSGVO darauf verzichten?

Ich sage hier ganz klar: Nein, jedes Unternehmen braucht das.

Gründe für ein Verarbeitungsverzeichnis

In Artikel 30 DSGVO ist der Inhalt und die Pflicht zum Führen des Verzeichnisses beschrieben. Wer bis zum Absatz 5 liest stellt fest, dass dort der Satz steht „Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, …“. Hieraus leitet manch einer ab, dass damit die Pflicht  zum Führen eines Verarbeitungsverzeichnisses für ihn nicht gelte.

Ich empfehle dringend, weiterzulesen. Es folgen nun Ausnahmen von der Ausnahme:

es sei denn

  • die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
  • die Verarbeitung erfolgt nicht nur gelegentlich
  • oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikel 10

Spätestens hier wird klar, dass schon der erste Punkt auf den überwiegenden Teil der in einem Unternehmen vorliegenden Verarbeitungen zutreffen kann. In den meisten Unternehmen findet ebenfalls eine regelmäßige Verarbeitung statt.  Denkt bitte als erstes immer an die Verarbeitung von Personaldaten, für die beide Punkte zutreffen.

Es gibt aber noch einen weiteren Grund, warum das Führen eines „Verzeichnisses von Verarbeitungen“ (Verarbeitungsverzeichnis) notwendig ist:

Woher soll ein Unternehmen wissen, welche Schutzmaßnahmen ergriffen werden sollen, wenn es nicht weiß, wo und wie welche Daten verarbeitet werden.

Hier verweise ich insbesondere auf die Artikel 5, Abs. 1 und 2, in dem sowohl die Gewährleistung einer angemessener Sicherheit der Verarbeitung personenbezogener Daten, sowie der in Artikel 2 Absatz 5 vermerkten „Rechenschaftspflicht“ bzgl. der getroffenen Maßnahmen zu erfüllen sind. Ohne Verarbeitungsverzeichnis als Startpunkt ist das nur schwer möglich.

Daher empfehle ich grundsätzlich, dieses Verarbeitungsverzeichnis sehr früh anzulegen, um auf dieser Basis viele weitere Schritte zu planen oder auch die TOMs abzustimmen.

Was ist ein Datenschutzmanagementsystem?

Im Rahmen der DSGVO-Einführung taucht immer wieder der Begriff eines Datenschutzmanagementsystems auf. Einige Kunden haben dabei das Gefühl, es handele sich um eine Software, andere nicken nur und sagen „Das kenn ich.“ Den meisten versuche ich das aber zu erklären, denn neu ist so etwas nicht.

Ach ja, interessant wird es schon, wenn man die vielen Schreibvarianten dieses Wortes betrachtet:

  • Datenschutzmanagement-System
  • Datenschutz-Managementsystem
  • Datenschutzmanagementsystem

Hinzu kommen die Abkürzungsvarianten. Bei meiner Recherche in den Tiefen der deutschen Rechtschreibung bin ich dann zu dem Schluß gekommen, dass es sich um eine Aneinanderreihung von zwei Hauptwörtern handelt (Datenschutz und Managementsystem), die lt. Duden immer zusammengeschrieben werden. OK, ich hoffe das stimmt. Um das Ganze zu vereinfachen und zu verkürzen benutze ich für das Wort Datenschutzmanagementsystem häufig auch die Abkürzung DSMS (damit bin ich fein raus).

Was ist ein Managementsystem

Im Kern ist ein Managementsystem die Beschreibung einer Vorgehensweise, deren Messung und Verbesserung zur Erreichung eines i.d.R. unternehmerischen Ziels. Bekannt sind sicher die Systeme ISO 9001 (Qualitätsmanagement) oder ISO 27001 (Informationssicherheit). Im Kern zeichnet diese Systeme dadurch folgende Bestandteile aus:

  • Organsationsbschreibung
  • Richtlinien
  • Verfahren
  • Metriken (zur Messung)
  • Dokumentationspflichten
  • und häufig auch Verbesserungsverfahren bestehen, wobei sich diese fast immer auf einen Deming Cycle (oder auch PDCA-Cycle) beziehen.

Das Managemtsystem ist sozugaben Ihr Steuercockpit, mit dem Sie den Datenschutz zu Ihrem Ziel fliegen.

Wo steht, dass man das für die DSGVO braucht

In der DSGVO steht nicht explizit, dass ein Managementsystem einzuführen ist, aber die DSGVO deutet diesen Bedarf klar an.

Unter Artikel 5 Abs. 2 steht, dass der Verantwortliche die Einhaltung der Kernpflichten der DSGVO (Artikel 5, Abs. 1 ) nachweisen muss. (Rechenschaftspflicht). Wie soll das funktionieren, wenn hier nichts dokumentiert wird. Desweiteren fordert die DSGVO die Etablierung von Prozessen, z.B. zur Information von Aufsichtsbehörden (Artikel 33) oder auch zur Datenschutzfolgenabschätzung (Artikel 35). Es versteht sich von selbst, dass auch die Betroffenenrechte unter Abschnitt 2 der DeSGVO damit gemeint sind.

Und darüber hinaus  fordert die DSGVO unter Artikel 5, Absatz 1 f) geeignete technische und organisatorische Maßnahmen. Insbesondere diese lassen sich am Besten über Richtlinien definieren und verpflichtend umsetzen. Ebenfalls sind mit dem Verantwortlichen (i.d.R. die Geschäftsführung), dem Datenschutzbeauftragten sowie der Aufsichtsbehörde nicht nur Rollen, sondern auch deren Aufgaben spezifiziert und damit klare organisatorische Festlegungen.

Damit ist der Kern eines Managementsystems bereits als Anspruch definiert, so dass es Sinn macht, dieses auch so zu bezeichnen und hierzu Erfahrungen anderer Systeme zu verwenden.

Was braucht man für ein Datenschutzmanagementsystem?

Ich empfehle, grunsätzlich folgende Inforationen zu dokumentieren:

  • Datenschutzorganisation (wer spielt mit und macht hier was = Rollendefinition)
  • Datenschutzrichtlinien (bisher auch Datenschutzhandbuch für Mitarbeiter, in denen Verhaltensweisen und Sanktionen festgelegt sind)
  • Prozesse zum Datenschutz (dazu gehören die internen Prozesse zur Kanalisierung der Anfragen an die verantwortlichen Rollen) sowie die in der DSGVO spezifizierten Pflichten wie Auskunft,-Änderungensrechte, Informationfplichten, Übertragungsrechte, etc.)

Bzgl. der Messbarkeit empfehle ich

  • eine Datenklassifikation für alle Daten zu etablieren,
  • eine Risikoabschätzung für die Daten zu implementieren,
  • die Zahl der Anfragen, Berabeitungen, etc.

als wesentliche KPIs zu verwenden. Und bzgl. Dokumentation sollten alle Anfragen zu diesen Themen systematisch erfasst und abgelegt werden. Dazu gehören die kontinuierliche Verbesserung von Dokumenten,  eine Versionshistorie in Dokumenten sowie Meetings mit Protokollen. Gehen Sie immer davon aus, dass ein Dritter nachlesen möchte, was der Status ist und  wie Sie das erreicht haben.

Und da die Informationssicherheit, auf die in der DSGVO immer wieder verwiesen bzw. deren Schutzziele Teil der DSGVO Schutzziele sind, empfiehlt sich mal einen Blick in ein solches Managementsystem zu werfen.  Hier bietet sich z.B. eine kleine Norm wie die VdS3473 an, die man direkt mit implemntieren kann. Damit kann man dann auch Datenklassifikation und Risikoabschätzung für beides nutzen.

Bzgl. kontinuierlicher Verbesserung kann man sich an die Verfahren einer ISO 9001 Norm anschließen oder man beschreibt das Ganze selber. Dazu muss man zyklisch Meetings vorsehen, in denen über den Status (siehe auch Messbarkeit) berichtet und Maßnahmen abgeleitet weden. Natürlich alles dokumentiert und gemonitored.

Datenschutzfallen bei Kooperationen mit Fitnessstudios

Es ist gängige Praxis, dass Firmen zur Motivation der Mitarbeiter Kooperationen mit anderen Firmen eingehen. Damit verbunden sind dann Leistungen, die der Mitarbeiter günstiger, gesponsert oder sogar komplett umsonst wahrnehmen kann.

Eine populäre Kooperation ist z.B. die Zusammenarbeit mit einem Fitness- oder Gesundheitsstudio.

Dabei wird i.d.R. zwischen dem Unternehmen und dem Fitnessstudio ein Vertrag über die Nutzung von Kursen oder Geräten im Studio geschlossen und die finanziellen Konditionen für die Mitarbeiter geregelt.

Meist steht dann in einem solchen Vertrag, dass das Unternehmen die Daten aller Mitarbeiter übermittelt. In manchen Verträgen ist sogar festgelegt, dass der Austritt von Mitarbeitern an das Studio gemeldet werden muss.

Vorsicht Fallen

Und hier liegt schon das erste Problem: Diese Übermittlung ist auf Basis eines solchen geschlossenen Vertrages gar nicht zulässig.

Eine Übermittlung ist nur zulässig, wenn der Mitarbeiter für diesen Fall seine Zustimmung erteilt hat. Da diese Dinge selten in Arbeitsverträgen zu finden sind, kann man auch nicht so ohne weiteres auf diese verweisen.

Darüber hinaus würden auch Mitarbeiter gemeldet werden, die den Service gar nicht nutzen werden, d.h. es existiert in diesen Fällen gar keine Zweckbindung für die Datenübermittlung.

Theoretisch dürften die Daten nur übermittelt werden, wenn jeder Einzelne seine schriftliche Zustimmung erteilt hat. In dieser Zustimmung müsste auch Zweck genau spezifiziert sein.

Und hier beginnt das nächste Problem, denn viele Fitnessstudios legen auf Basis diese Informationen direkt die Mitarbeiter als Kunden in ihren Systemen an.

Unter dem Gesichtspunkt dass bereits die Weitergabe der Daten im Kontext einer Auftragsdatenverarbeitungsvertrages zu sehen ist, würde das Fitnessstudio nun auf Basis der vom Unternehmen initiierten Datenanlage mit der Erfassung von Gesundheitsdaten (Fitness-Tracker, Gesundheitstest, Trainingsfortschritt, etc.) beginnen. Und plötzlich befindet sich das Ganze im Bereich der Regeln für den Schutz besonders sensibler Daten (§3 Abs. 9 BDSG, Artikel 9 DSGVO).

Im Falle eines Widerspruchs der Einwilligung müsste das Unternehmen darüber hinaus sicherstellen, dass sämtliche Daten in diesem Kontext auch im Fitnessstudio gelöscht würden, was in der Praxis kaum verifizierbar ist.

Außer Betracht lassen wir in diesen Fällen die Beteiligung von Betriebsrat oder den Abschluss von Betriebsvereinbarungen.

Daher sollte ein Unternehmen auf keinen Fall nur die „Gute Tat“ für die Mitarbeiter weollen, sondern in der Abwicklung auf jeden Fall den Schutz der personenbezogenen Daten und das Risiko für das Unternehmen im Auge behalten. Sonst kann das Ganze nach hinten losgehen.

Eine mögliche Lösung

Daher empfehlen wir, im Beispiel für die Fitnessstudio-Kooperation auf folgende Punkte zu achten:

  • Eine Verpflichtung zur Weitergabe von personenbezogenen Daten in einer woe oben beschriebenen allgemeinen Form gehört nicht in einen Kooperationsvertrag.
  • Jeder Mitarbeiter sollte sich selbständig im Fitnessstudio melden und dort die üblichen vertraglichen Regelungen abschließen. Die Daten, die das Fitnessstudio erfasst obliegen somit in der Verantwortung des Fitnessstudios und der vertraglichen Vereinbarung mit dem Kunden.
  • Mit dem Mitarbeiter wird eine Vereinbarung abgeschlossen, dass das Unternehmen dem Fitnessstudio Auskunft darüber geben kann, ob der Mitarbeiter im Unternehmen beschäftigt ist. Somit ist klar geregelt, was zu welchem Zweck weitergegeben wird. Damit kann das Fitnessstudio bei positiver Bestätigung den Mitarbeiter in einen günstigeren Firmentariuf einstufen.

Dieser Fall kann ebenso bei anderen Kooperationen auftreten (z.B. Kantinennutzung, Fahrzeugpool, etc.). Gehen Sie als Unternehmen auf Nummer sicher und lassen vor Vertragsabschluss dessen Inhalte und die operative Umsetzung auf jeden Fall durch einen Datenschutzberater oder -beauftragten prüfen.

Account geklaut – Und nun?

Immer wieder kommt es vor,  dass Accountdaten aus Firmen abhanden kommen oder einfach geklaut werden. In großen Firmen gibt es fast immer ein IT-Security Team, das zumindest schnell Hinweisen, die durch die verschiedenen Kanäle kommen, nachgehen können. In kleinen Firmen ist die IT i.d.R. bei so einem Thema auf konkrete Hinweise der Mitarbeiter angewiesen, um Maßnahmen zu ergeifen,

Eine Möglichkeit zu prüfen, ob ein Account betroffen sein könnte ist über die folgenden Links möglich. Diese prüfen in Datenbanken, ob Accountnamen bereits gelaut wurden (und z.B. zum Verkauf angeboten wurden). Hervorzuheben ist hier insbesondere der Identity LeakChecker vom Hasso Plattner Institut. Aber vorsicht: In diesem Datenbanken sind nur Accounts, die bereits entdeckt wurden, eine Vielzahl von geklauten Accounts finden niemals den Weg in diese Datenbanken.

https://sec.hpi.de/ilc/search

https://www.sicherheitstest.bsi.de

https://haveibeenpwned.com

Mit einem geklauten Firmenaccount können IT-Sicherheits- und Datenschutzverletzungen erfolgen und im schlimmsten Fall ein Schaden entstehen.

Wenn nur der einfachen Verdacht besteht, dass Ihr Firmenaccount von einem Dritten genutzt werden könnte, informieren Sie sofort die IT-Abteilung oder falls vorhanden den IT-Sicherheitsbeauftragten. Diese sollten auf der Basis von bestehenden Prozessen für diese Fälle alle weiteren Maßnahmen einleiten.

Es versteht sich von selber, dass der häfuige Passwortwechsel sowie ausreichend komplexe Passwörter eine Voraussetzung sind, um die Fremdnutzung zu erschweren. Hierzu gibt es bereits zahlreiche Tipps im Netz.

Sind In Ihrem Unternahmen noch keine dieser Prozesse implementiert? Dann wird es aber Zeit, denn die bestehenden Security Standards sowie die neue Datenschutzgrundverordnung (DSGVO) fordern solche Maßnahmen. Gern unterstützen wir Ihr Unternehmen bei der Erstellung und Umsetzung.

Datenschutzerklärung für Apps

Immer wieder taucht die Frage auf, ob eine App, in der man nichts Persönliches eingibt, eine Datenschutzerklärung braucht. Die klare Antwort ist „Ja“, man braucht eine Datenschutzerklärung auch für Apps. Denn die meisten Apps holen sich bei der Installation persönliche Daten vom Gerät, z.B. personenbezogene Berechtigungen. Sobald der Zugriff auf Standort, Kamera, Mikrofon, oder Ähnliches erfolgt, wird es zusätzlich kritisch.

Google und Apple verlangen in ihren App-Richtlinien schon lange diese Erklärungen und Google Play hatte im März 2017 bereits angedroht, dass Apps aus dem Store entfernt werden, die diese Forderung nicht erfüllen (siehe z.B. Heise). Mit der neuen DSGVO wird am 25.5.2018 das mögliche Bußgeld auf bis zu 20 Mio Euro erhöht, so dass die Datenschutzmuffel ab dann mit einem echten Risiko spielen, sollten sie diese einfache Erklärung nicht liefern.

Inhalte der Datenschutzerklärung für Apps

Eine App sollte daher grundsätzlich mit einer Datenschutzerklärung versehen werden, die mind. folgende Inhalte beschreiben sollte:
  • Welche Daten vom Nutzer erhoben werden (mind. Berechtigungen)
  • Zu welchem Zweck die Daten erhoben und verarbeitet werden
  • Ob und zu welchem Zweck  Daten an Dritte übermittelt werden
  • Welche Plugins / Tracking-Dienste zu welchem Zweck genutzt werden (z.B. wenn man werbefinanzierte Apps anbietet)
  • Ob Cookies eingesetzt werden
  • Ob und wie lange die Daten gespeichert werden sollen
  • Welches Widerspruchs- und Auskunftsrecht, etc. der Betroffenene hat (bitte neue DSGVO Vorgaben berücksichtigen!)
  • Wie der Anbieters kontaktiert werden kann (analog zur Datenschutzerkläruzng auf der Webseite)

Die Datenschutzerklärung für Apps sollte knapp und umgangssprachlich formuliert sein, da auf dem Display nicht allzu viel Platz ist und der Nutzer unbedingt verstehen sollte, was ihm da mitgeteilt wird. Ausschweifende juristische Formulierungen mit wortgewandten Feinheiten sind auch im Sinne der neuen DSGVO nicht mehr gefragt.

Wichtig ist, dass der Nutzer die Möglichkeit hat, die Datenschutzerklärung für Apps vor dem ersten Aufruf der App zu lesen und anschließend die App wieder zu löschen. Hierzu kann man auch die Informationen im App-Store hinterlegen oder nach einer Installation sofort anzeigen und um Bestätigung bitten.

Ebenfalls sollte wie auf einer „normalen“ Webseite die Datenschutzerklärung schnell auffindbar sein.

Generatoren für Datenschutzerklärungen

Wer Generatoren für solche Erklärungen sucht, wird beispielsweise auf folgenden Seiten fündig:

Bundesministerium für Justiz und Verbraucherschutz

Wer setzt die DSGVO im Unternehmen um?

In verschiedenen Gespräche mit Unternehmen habe ich immer wieder folgendes gehört:

Wir haben einen Datenschutzbeauftragten, der kümmert sich um die DSGVO-Compliance

Hier stelle ich mir das Bild eines in einer riesigen Abstellkammer zurückgelassenen Menschen vor, von dem man erwartet, dass er  die Kammer aufräumt und vorher nicht rauskommt.

Die Annahme, dass ein Datenschutzbeauftragter dafür Sorge trägt, dass ein Unternehmen ab 25.5.2018 die Datenschutzgrundverordnung und des BDSG neu erfüllt  ist dabei nicht nur falsch sondern auch risikoreich – für den Unternehmer.

Auf Handlungsbedarf bzgl. DSGVO hinweisen

Zu den Pflichten des Datenschutzbeauftragten gehört primär die Beratung des Unternehmens und insbesondere der GF in Bezug auf die Verarbeitung personenbezogener Daten. Darüber hinaus pflegt er nach dem aktuellen BDSG das Verfahrensverzeichnis auf Basis der ihm zur Verfügung gestellten Informationen, schult Mitarbeiter und prüft neue oder geänderte Verfahren.

Im Zusammenhang mit der DSGVO ist es daher die Pflicht des Datenschutzbeauftragten, die Geschäftsführung über kommende Änderungen zu informieren und Risiken aufzuzeigen, die sich bei einer Nichtbefolgung ergeben können. Hier gilt auch schon meine erste Empfehlung für Datenschutzbeauftragte:

Informiert den Verantwortlichen über die Neuerungen und Risiken durch die DSGVO unbedingt schriftlich.

Die Einführung der DSGVO definiert den Datenschutzbeauftragten zukünftig primär als Berater des Unternehmens oder wer es böswillig ausdrücken möchte, als verlängerter Arm der Aufsichtsbehörden.

Der DSB sollte im Kontext der kommenden Änderungen daher u.a. auf folgendes hinweisen:

  • Gültigkeit und Neueinholung von Einwilligungserklärungen
  • Neue Informationspflichten bei der Kommunikation mit Kunden (u.a. Webseite, Newsletter, etc.)
  • Anpassung von Verpflichtungserklärungen
  • Anpassung von Schulungsunterlagen
  • usw.

Bzgl. Verfahrensverzeichnis entfällt zwar für einige Unternehmen theoretisch die Pflicht zur Führung eines Verfahrensverzeichnisses. Wenn man aber den Datenschutz entsprechend den Forderungen nach einem Datenschutzmanagement sicherstellen möchte, dann sind hierfür genau diese Verfahren wieder die Grundlage evtl. sogar noch umfangreich als vorher.

Also müssen diese Dokumentationen entsprechend dieser Anforderungen angepasst werden. Hierzu sei auf die Vorlagen z.B. des BSI verwiesen.  Wer noch kein Verfahrensverzeichnis hat, sollte das also jetzt auch noch nachholen (nach dem aktuellen BDSG ist der DSB zum Führen verpflichtet, aber nur auf Basis der Informationen, die er zur Verfügung gestellt bekommt).

Projekt zur DSGVO – Compliance empfehlen

Und damit kommen wir zum größten Thema, das der DSB aussprechen sollte:

Die Einführung eines Datenschutzmanagmentsystems mit allen Richlinien und Prozessen, ein kontinuierlicher Verbesserungsprozesses anlehnend an eine ISO 9001 sowie einer Möglichkeit zur Auditierung.

Hier sind eine Vielzahl von Rollen im Kontext einer entsprechenden Datenschutz- und Informationssicherheitsorganisation zu besetzen und einzubinden. Dazu gehören GF, IT-Leitung, Personalleitung, Abteilungen, etc.

Die Verantwortung für diese ganzen Dinge bleiben beim Verantwortlichen einer Firma, d.h. der Geschäftsführung. Ein vorausschauender DSB empfiehlt nun die Initiierung eines Compliance-Projektes zur Erfüllung der DSGVO und des neuen BDSG. Sofern kein Informationssicherheitsmanagement vorliegt, empfielt er gleichzeitig dieses als Orientierung direkt mit einzuführen und die datenschutzrelevanten Teile (Verfahren, etc.) zu ergänzen. Der DSB ist dabei ein Teil des Projektes und unterstützt den Projektverantwortlichen bei der Beschreibung und Definition der notwendigen Maßnahmen (primär Richtlinien und Verfahren).

Das ganze Thema ist aufwendig und die Zeit bis zum 25.5.2018 sehr knapp, aber wer nicht ein Projekt initiiert, läuft in ein hohes Risiko, dass der Datenschutzbeauftragte bereits heute kommunizieren kann.

VdS 3473 als Basis für Datenschutzmanagement nach DSGVO

Neue Anforderungen der DSGVO

Die ab 25.5.2018 geltende Datenschutz Grundverordnung beinhaltet im Vergleich zum BDSG die Pflicht zur Etablierung eines Datenschutzmanagement Systems, welches wie ein internes Kontrollsystem im Unternehmen etabliert werden soll. Die DSGVO erwartet in diesem Zusammenhang auch die Etablierung eines ständigen Verbesserungsprozesses, um erkannte Schwachstellen / Maßnahmen zu dokumentieren und zu optimieren / fortzuführen.

Schließlich wird eine enge Verbindung zur Datensicherheit und den dem Stand der Technik entsprechenden technischen und organisatorischen Maßnahmen hergestellt.

In Zukunft ist der Unternehmer verpflichtet nachzuweisen, dass Maßnahmen getroffen und ständig verbessert werden.

Für KMUs den VdS 3473 Standard wählen

Im Hinblick auf Nachweise der getroffenen Datenschutzmaßnahmen und insbesondere eines Datenschutzmanagementsystems sollte berücksichtigt werden, dass eine Prüfung i.d.R. auf vorhandene Standards referenziert. Da es für das Datenschutzmanagement bis dato keinen ausreichenden Standard gibt sollte ein Standard aus dem Bereich IT-Sicherheit verwendet, und um Datenschutz erweitert werden. Dieser umfasst dann i.d.R. auch das Qualitätsmanagement nach ISO 9001, welches durch den ständigen Verbesserungsprozess abgebildet wird.

Insbesondere für kleine und mittlere Unternehmen bietet sich die VdS 3473 an, die sowohl zertifizierbar als auch aufwärtskompatibel insbesondere zur ISO 27001 ist.

Alternativ kann mit deutlich größerem Aufwand auch der BSI Grundschutz oder die ISO 27001 als Basis verwendet werden.

Es macht anschließend Sinn, die VdS-Richtlinien um die besonderen Anforderungen des Datenschutzes zu erweitern. Dies kann durch gesonderte Kapitel oder auch durch eigene Dokumente erfolgen, auf die dann verwiesen wird.

Weitere VdS 3473 Informationen

Folgende Informationen zur VdS 3473 können weiterhelfen:

Informationen des VdS inkl. Zertifizierung

https://www.vds.de/cyber/zertifizierung-fuer-kmu/

Dokumentation

https://vds.de/fileadmin/vds_publikationen/vds_3473_web.pdf

Quick-Check zur Statusfeststellung

https://www.vds-quick-check.de/