Bußgelder nach der DSGVO

/in , ,

Die DSGVO bietet nach Artikel 83 die Möglichkeit, Bußgelder bis zu 20. 000. 000 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs zu verhängen. Dieses publikumswirksame Schreckensszenario wurde in den letzten zwei Jahren pressewirksam vermarktet.

Insbesondere klein- und mittelständische Unternehmen sahen sich nach den vielen Veröffentlichungen einem existenzgefährdendem Risiko ausgesetzt.

Wie sieht es jetzt in der Praxis aus?

Der folgende Artikel des Heise Verlags, der im Mai veröffentlicht wurde weist auf ca. 75 Bußgeldverfahren in Deutschland hin.Dabei wurden die Aufsichtsbehörden aktiv befragt, zwei Bundesländer wollten hierzu keine Angaben machen. Das Handelsblatt weist auf ca. 70 Bußgelder bis Mai 2019 hin.

Während die Bußgelder in Deutschland vergleichsweise gering ausfallen, werden in anderen Ländern hingegen deutlich höhere Bußgelder verhängt. So wird im folgenden Artikel über das 50 Mio. Euro Bußgeld der französischen Aufsichtsbehörde gegenüber Google vom Januar 2019 berichtet. Und bereits im Oktober 2018 wurde z.B. durch die FAZ von dem gegen ein protugisisches Krankenhaus verhängte hohe Bußgeld berichtet.

Eine weitere Quelle für verhängte Bußgelder, die recht aktuell ist, findet man auf der Seite von Data Agenda. Und der „GDPR Enforcement Tracker“ von CMS versucht, eine Liste aller bekanntgewordenen Bußgelder aktuell zu halten.

Erstaunlicherweise gibt es hierzu kaum konsolidierte Veröffentlichungen von den deutschen Aufsichtsbehörden. Es ist nicht ganz klar, warum die deutschen Aufsichtsbehörden nur so spärlich Informationen zu verhängten Bußgeldern publizieren, denn Abschreckung wäre doch die beste Motivation zur Umsetzung.

Mehr Transparenz ist erforderlich

Stattdessen schwanken Betroffene und Unternehmen weiter zwischen „das muss man doch alles nicht so ernst nehmen“ und wirtschaftlicher Panik. Die deutschen Aufsichtsbehörden würden das Ziel der EU-Richtlinie und insbesondere deren Akzeptanz deutlich erhöhen, wenn sie hier mehr veröffentlichen würden. Dabei geht es nicht um den Namen des Unternehmens, sondern um den Anwendungsfall und die verhängte Bußgeldhöhe durch die jeweilige Aufsichtsbehörde.

Ebenso unbekannt ist, wieviele der Verfahren tatsächlich nach rechtlicher Klärung zum Erfolg geführt haben.

Interessant wäre auch, wieviele Meldungen von Unternehmen durch die verschärften Meldepflichten an die Aufsichtsbehörden eingegangen sind oder in welcher Anzahl Betroffene Meldung bei der Aufsichtsbehörde der Länder zu vermeintlichen Datenschutzverstößen machen.

Die überschaubaren Information suggerieren teilweise den Eindruck, als wäre die lasche Anwendung der DSGVO mit minimalem Aufwand für den Verantwortlichen die günstigere Variante, unter Berücksichtigung des unternehmerischen Risikos.

Wir sind allerdings der Überzeugung, dass mehr passiert als tatsächlich kundgetan wird, so dass wir davon abraten, dass Thema auf die leichte Schulter zu nehmen.

Fotos auf Firmenveranstaltungen und die DSGVO

/in ,

Fotos auf  Firmenveranstaltungen und deren anschließende Verarbeitung und  Nutzung sind ein eine komplexe Angelegenheit mit vielen Fallstricke. Wir ignorieren hier die reinen Privataufnahmen und betrachten nur die Aufnahmen, die aus einem Interesse des Unternehmens (Verantwortlicher) weiterverwendet werden sollen. Anwendungsfälle können Veröffentlichungen auf Facebook, Instagram, der eigenen Webseite aber auch in Firmenbroschüren sein.

Welche Gesetze gelten denn hier überhaupt?

Aus unserer Erfahrung gibt keine einheitliche Vorgehensweise, um das Thema absolut rechtssicher zu gestalten. Hierzu gehören neben der Frage nach den Teilnehmern einer solchen Veranstaltung auch z.B. der Zweck der späteren Verwendung der Fotos. Bitte beachten Sie immer, dass insbesondere bei Aufnahmen von Kindern und Jugendlichen unter 16 Jahren besondere Regeln z.B. nach der DSGVO zu beachten sind. Gesetzesgrundlagen für diesen Anwendungsbereich sind u.a. in der DSGVO und im Kunsturhebergesetz zu finden. Und wenn es sich um Mitarbeiterfotos handelt dann gilt hier auch §26 BDSG neu.

Die schriftliche Einwilligung als Musterweg

Das Ergebnis vieler Veröffentlichungen ist immer wieder, dass bedingt durch Informations- und Nachweispflichten der DSGVO die schriftliche Einwilligung eine der sicheren Alternativen darstellt,

Denken Sie bei einer Einwilligungserklärung immer daran, dass

  • der Zweck der Aufnahmen,
  • die Verwendung / Verarbeitung der Aufnahmen,
  • die Widerspruchsmöglichkeit und der Ansprechpartner hierfür

in der Einwilligung aufgeführt werden.

Alternativen der Einwilligung sind möglich

Ob diese Vorgehensweise der schriftlichen Einwilligung immer praktikabel ist, kann in Frage gestellt werden. So ist nach  Artikel 6. Abs. 1 lit. a DSGVO eine schriftliche Einwilligung nicht vorgeschrieben.

Damit könnte das persönliche und bewusste Zurschaustellen für eine Fotoaufnahme durchaus als aktive Einwilligung betrachtet werden (konkludente Einwilligung). Dies müsste allerdings nach pro Foto bewertet werden.

Ob ein besonderes Interesse nach  Artikel 6, Abs 1 lit. f DSGVO geltend gemacht werden kann, obliegt immer der Einzelfallprüfung und insbesondere der Betrachtung, ob das Recht eines Betroffenen unnötige tangiert wird. Es ist anzunehmen,  dass es nur wenige Fälle gibt, in denen hierauf ein belastbarer Bezug genommen werden kann.

Eher wäre noch denkbar, dass im Rahmen eines Vertragsverhältnisses nach Artikel 6, Abs. 1 lit. b DSGVO eine Bezugnahme zu einer Fotoaufnahme hergestellt werden könnte. Allerdings bezieht sich das nicht auf Mitarbeiter sondern nur auf Vertragsverhältnisses mit z.B. Kunden, Lieferanten, etc.

Informationspflicht und Rechenschaftspflicht

Um den Informationspflichten nach Artikel 7 DSGVO nachzukommen werden an einigen Veranstaltungsorten tatsächlich schriftliche Listen mit der Bitte um Eintragung ausgelegt. Ob die Dokumentation der Kenntnisnahme bei einer größeren Menschenmenge vollständig gelingt ist  in Zweifel zu ziehen. Alternativ kann bei Veranstaltungen beobachtet werden, dass sie mit der Einladung bereits datenschutzrechtliche Informationen zu Fotoaufnahmen verschicken oder bei Eingängen zu Veranstaltungen durch entsprechende Hinweistafeln auf diese hingewiesen wird. Offen bleibt im Einzelfall, ob dies für einen Nachweis ausreicht.

Damit bleibt i.d.R. der Nachweis dieser Vorgehensweise als größte zu erfüllende Hürde, um die Rechenschaftspflicht der DSGVO erfüllen zu können. Auch muss vom Unternehmen entschieden werden, ob Personen, die nicht fotografiert werden wollen, solchen Veranstaltungen optional fernbleiben müssten.

Verschiedene gehaltvolle Links zu diesem Thema

Da das Thema schnell in eine umfangreiche Detailbetrachtung des Anwendungsfalls abdriftet,  haben wir einige interessantes Artikel zusammengesucht, in denen das Thema unterschiedlich betrachtet wird. Hieraus lassen sich für verschiedene Anwendungsfälle Hinweise für eine eigene firmenspezifische Umsetzung herausziehen.

https://www.ra-plutte.de/faq-recht-am-eigenen-bild-beispiele/#personenbezogene-daten

https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/Wirtschaft/Inhalt/Fotografien-ausserhalb-des-Journalismus/Bewertung-Fotografien-ausserhalb-Journalismus.pdf

https://www.baden-wuerttemberg.datenschutz.de/faq-fotografieren-und-datenschutz-wir-sind-im-bild/

https://www.lda.bayern.de/media/FAQ_Bilder_und_Verein.pdf

Informationssicherheit ist Voraussetzung für Datenschutz

/in , ,

Bei der Herstellung der Datenschutzkonformität in einem Unternehmen kommen wir spätestens beim Thema technische und organisatorische Maßnahmen auf das Thema Informationssicherheit zu sprechen.

Und spätestens hier tun sich in den meisten Fällen unterschiedlichste  Abgründe auf. Denn die Rechenschaftspflicht der DSGVO gilt ja auch für den Nachweis der getroffenen Maßnahmen im Bereich Informationssicherheit.

Die Praxis

Erst einmal muss allen erklärt werden, dass es hier ja plötzlich gar nicht mehr nur um die personenbezogenen Daten sondern vielleicht auch die Geschäftsgeheimnisse des Unternehmens geht. Das ist dann manchmal von Vorteil, da aus Unternehmenssicht Geschäftsgeheimnisse doch viel schützenswerter als andere Daten sind?

Naja beim Nachweis wird es dann schwierig. I.d.R. wird bei fast allem Unternehmen sofort auf die IT verwiesen.

Die IT führt dann die im System nach 3 Monaten aufgeführte Pflicht zum Passwortwechsel des 8- stelligen Passwortes auf, dass mindestens aus einem Groß-/Kleinbuchstaben und einem numerischen Zeichen besteht.  Na gut, für wichtige Personen ist diese Zwangswechsel schon mal deaktiviert, weil die sich nicht pausenlos ein neues Passwort ausdenken können.

Natürlich muss sich jeder Benutzer mit Accountnamen und Passwort anmelden. Und der Zugriff ist insbesondere auf Fileservern differenziert. Ok, es gibt auch hier Nutzer, die dürfen auf alles zugreifen. Und darüberhinaus gibt es eine unbekannte Zahl von Systemaccounts mit dem Passwort von vor 5 Jahren, die irgendwo genutzt werden. Und die Admins haben natürlich zwei Accounts, arbeiten aber immer mit dem Sysadmin-Account, weil das viel einfacher ist. Ob man das ein Zugangskonzept nennen und darauf verweisen kann stellen wir in Frage.

Ach ja, die Deaktivierung von Nutzern beim Austritt ist auch geregelt. Aber manchmal erst dann, wenn die Personalabteilung nach zwei Monaten die neue Mitarbeiterliste der IT zur Verfügung gestellt hat.

Und wenn es um vorhandene Richtlinien geht dann wird auch schon mal die in 2006 mit dem Betriebsrat abgeschlossene Betriebsvereinbarung zur privaten Nutzung von Email und Internet ausgepackt. Damals war der Blackberry noch das Statussymbol.

Lange Rede kurzer Sinn, ohne ein sauberes Informationssicherheitskonzept ist vorprogrammiert, dass Datenschutz nicht erreicht werden kann und ein Unternehmen auch sonst einige offene Flanken hat.

Informationssicherheit mit Datenschutz umsetzen

Deswegen lautet meine Empfehlung grundsätzlich: Organisiert auch die Informationssicherheit sofort mit der Umsetzung des Datenschutzes, denn dann spart man Doppelarbeit und reduziert insgesamt die Risiken.

Der erste Schritt ist die Besetzung der Rolle des Informationssicherheitsbeauftragten, anschließend erfolgt die Auswahl einer passenden Norm für das Unternehmen.

Keine Sorge, hier muss nicht immer die ISO 270001 nach Lehrbuch umgesetzt werden. Wichtig ist zu identifizieren, welche Bausteine für das Unternehmen passend sind und wie diese praktikabel eingeführt werden können. Es bieten sich aus unserer Sicht insbesondere die VdS 10000 an (Vorgänge VdS 3473). Auch der BSI Grundschutz ist ganz gut verwendbar, wenn man die Behördensicht etwas verlässt.

Voraussetzung ist aber, dass die IT-Abteilung dieses Thema als ihr Eigenes betrachtet und entsprechenden Aufwand in die ungeliebte Dokumentation von Systemen, Anwendungen, Risiken, etc. im passenden Maße akzeptiert.

Übrigens gibt es in der c‘t 6/2019 einen interessanten Artikel zum Thema „Hacking: Wann haften Admins und Dienstleister“, der die bestehende Gefahr des Nichthandelns aufgreift.

Gerne unterstützen wir Ihr Unternehmen, diese Themen zu erkennen und mit angemessenem Aufwand in eine praktikable Umsetzung zu überführen.

Rechenschaftspflicht auch für Datenschutzbeauftragten

/in , , ,

Bei der ganzen Dokumentation aufgrund der Rechenschaftspflicht nach Artikel 5 Abs. 2 DSGVO wird häufig vergessen, dass auch der Datenschutzbeauftragte der Rechenschaftspflicht unterliegt.

Inhalt der Rechenschaftspflicht

Als Referenz für die Rechenschaftspflicht kann mindestens der in Artikel 39 DSGVO aufgeführte Aufgabenbereich des Datenschutzbeauftragten herangezogen werden.  Dazu gehören (in Kurzform)

  • Die Unterrichtung und Beratung des Verantwortlichen
  • Überwachung der Einhaltung inkl. Sensibilisierung
  • Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung (auf Anfrage)
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde

Tätigkeitsbericht des DSB

Es empfiehlt sich also bei all diesen Punkten zu hinterlegen, wann welcher Fall aufgetreten ist und wie er seitens des DSB behandelt wurde. Dies bekommt insbesondere dann eine Bedeutung, wenn aufgrund von juristischen Unklarheiten Anwälte und Gerichte eingeschaltet werden müssen.

Dazu bietet sich die Archivierung der Email-Kommunikation ebenso an, wie Notizen oder Gesprächsprotokolle z.B. in einem DMS-System mandantenbezogen zu hinterlegen.

Als Einstieg empfiehlt sich, einen Tätigkeitsbericht als DSB jährlich (im ersten Quartal des Folgejahres) zu erstellen, in dem die o.a. Pflichten durch erfolgte Aktivitäten zusammengefasst dokumentiert werden. In diesem kann man dann auch nochmal konkrete Hinweise über besondere Risiken, etc. dem Verantwortlichen gegenüber artikulieren.

Wer braucht einen Datenschutzkoordinator?

/2 Kommentare/in , ,

Die Suche nach externen Datenschutzbeauftragten ist aus meiner Erfahrung immer wieder mit einer falschen Erwartungshaltung bzgl. dessen Aufgaben verbunden. Insbesondere kleinere Unternehmen denken häufig, der externen Datenschutzbeauftragte würde die Compliance zur DSGVO herstellen und pflegen.

Der Datenschutzbeauftragte ist Berater

Dabei hat es mit der Einführung der DSGVO eine klare Abgrenzung der Tätigkeiten des Datenschutzbeauftragten gegeben, die z.B. die bisherige Unterstützung im operativen Bereich zur Pflege des Verarbeitungsverzeichnisses nicht mehr enthält. Die nach Artikel 39 DSGVO aufgeführten Aufgaben sind primär beratender und prüfender Natur.

Der Datenschutzbeauftragte behebt daher die von ihm identifizierten Risiken nicht selber, sondern macht Vorschläge für eine Umsetzung. Die Umsetzung obliegt in allen Punkten dem Verantwortlichen d.h. der Unternehmensleitung.

Würde der Datenschutzbeauftragte tatsächlich die von ihm gefundenen Sachverhalte operativ umsetzen, so würde dies im schlimmsten Fall im Widerspruch zu seinem Beratungs- und Prüfauftrag stehen, denn dann würde er sich ja selber prüfen.

Der Datenschutzkoordinator unterstützt die operative Umsetzung

Um das Thema sorgfältig anzugehen ist es daher sehr empfehlenswert, einen internen Datenschutzkoordinator zu benennen. Diese Rolle beinhaltet keine rechtlichen Hoheiten im Sinne der DSGVO oder des BDSG (neu), dient aber allen Mitarbeitern und dem Datenschutzbeauftragten als zentrales und operatives Bindeglied in der Kommunikation.

Diese Datenschutzkoordinator sollte auf der einen Seite alle Themen, die mit Datenschutz zu tun haben bündeln und bei Bedarf den Datenschutzbeauftragten hinzuziehen. Ebenso ist diese Rolle ideal geeignet, um sämtliche Aktivitäten des Unternehmens im Rahmen der Rechenschaftspflicht zu dokumentieren. Im Gegenzug kann diese Rolle dazu genutzt werden, operative Tätigkeiten, die sich aus einer Analyse und Beratung des Datenschutzbeauftragten ergeben umzusetzen.

Die Erfahrung zeigt, dass eine Umsetzung des Datenschutzes in einem Unternehmen deutlich besser funktioniert, wenn es neben einem externen Datenschutzbeauftragten mindestens auch einen internen Datenschutzkoordinator gibt.

Telearbeitsplatz und Datenschutz

/in , ,

In verschiedenen Unternehmen arbeiten Mitarbeiter Zuhause und erledigen dort die gleichen Tätigkeiten, die Sie sonst im Büro erledigen würden.

Dabei spielt eine wesentliche Rolle, ob es sich um einen offiziellen Telearbeitsplatz bzw. Heimarbeitsplatz handelt oder die ungeregelte Möglichkeit Arbeiten im „Homeoffice“ durch die Nutzung mobiler Zugänge zu erledigen (mobiles Arbeiten).

Warum ist das so entscheidend?

Im Falle einer Regelung und Einführung eines ständigen Telearbeitsplatzes gelten für diesen Arbeitsplatz automatisch alle Regeln wie für den Arbeitsplatz beim Arbeitgeber. Der Telearbeitsplatz wird i.d.R. vertraglich fest geregelt und beinhaltet dann auch häufig die Bereitstellung der Kommunikationsinfrastruktur (z.B. DSL-Anschluss, Telefon), der Hard- und Software sowie der Büroausstattung. Gesetzlich ist das alles in der Arbeitsstättenverordnung geregelt und es gelten beispielsweise dann auch die Vorgaben der Bildschirmarbeitsplatzverordnung. Um das Ganze kontrollieren zu können hat der Arbeitgeber das Recht (oder die Pflicht), den Arbeitsplatz zu besuchen und zu kontrollieren.

Gleichzeitig gelten auch alle Regeln des Betriebes für den Datenschutz und die Informationssicherheit am Arbeitsplatz. Sofern es aus den technisch- und organisatorischen Maßnahmen Anforderungen für den Arbeitsplatz im Unternehmen gibt, gelten diese auch für den Heimarbeitsplatz. So müsste möglicherweise der Arbeitsplatz eines Mitarbeiter der HR-Abteilung so gestaltet werden, dass kein Dritter (z.B. Familie) den Raum ohne Zutrittsberechtigung betreten kann.  Der Raum müsste bei Verlassen grundsätzlich abgeschlossen sein und dürfte nicht zusätzlich privat genutzt werden.

Das Ganze wird spätestens dann unangenehm, wenn ein Unternehmen als Auftragsverarbeiter für ein anderes Unternehmen tätig ist. Im Rahmen eines Auftragsverarbeitungsvertrages kann der Auftraggeber nämlich fordern, die technischen und organisatorischen Maßnahmen zu überprüfen. In diesem Fall könnte auch eine Prüfung bei dem Mitarbeiter mit Telearbeitsplatz möglich sein. Spätestens bei solchen Vereinbarungen sollten Sie als Unternehmen vorsichtig sein, ob Sie diese vertraglichen Verpflichtungen eingehen wollen und können.

Erst beraten lassen, dann Verpflichtungen eingehen!

Aus diesem kurzen Beispiel kann leicht abgeleitet werden, dass die Einrichtung eines festen Telearbeitsplatzes auch unter Gesichtspunkten des Datenschutzes eine Menge Anforderungen mit sich bringen kann, die insbesondere den Mitarbeiter vor einige Herausforderungen stellen könnte. Daher sollte so ein Service genau durchdacht und insbesondere durch eine saubere Aufklärung der Mitarbeiter sowie eine fundierten Vertragsgestaltung sowohl mit dem Mitarbeiter als auch einem Auftraggeber (AV-Vertrag) unterlegt werden.

Datenschutz durch Verschlüsselung

/in , ,

Viele Unternehmen müssen Daten mit ihren Kunden austauschen. Dazu gehören natürlich auch personenbezogene Daten. Je kleiner das Unternehmen ist, umso pragmatischer aber auch unsicherer fällt die Lösung aus. Dabei bietet die Verschlüsselung von Daten eine einfache Lösungsmöglichkeit.

Aus meiner Erfahrung werden die meisten Daten per Email ohne weiteren Schutz versendet. Ist dann eine durch den Server vorgegebene Email-Größe von 5 MB überschritten, wird auf ungeschützte USB-Sticks zurückgegriffen. Diese werden in manchen Fällen sogar per Post über einen günstigen Postdienst an den Empfänger versendet. Die praktizierten Lösungen sind vielfältig, in den meisten Fällen aber weder sicher noch datenschutzkonform. Dabei wird auch nicht zwischen dem Schutz personenbezogener Daten oder dem Schutz von Unternehmensdaten / Geschäftsgeheimnissen unterschieden.

Aufgrund der größer werdenden Datenmengen sind die mobilen Datenträger nach wie eine präferierte Lösung. Aber auch Clouddienste haben einen immer größere werdende Bedeutung beim Datenaustausch. So sind die öffentlichen Ordner von Dropbox in diversen Firmen eine parktizierte Lösung, obwohl die meisten Dropbox-Accounts gar nicht der Firma gehören.

Vermeiden sollte man grundsätzlich den ungeschützten Versand per Email oder die Bereitstellung von Daten über Cloudservices ohne separate Verschlüsselung.

Anbei eine kleine Auflistung von Möglichkeiten, um Daten möglichst sicher und damit auch datenschutzkonform austauschen zu können:

 

Medium Verschlüsselung (Option)
EMail Verschlüsselung der E-Mail durch S/MIME
Verschlüsselung der E-Mail durch PGP
Verpacken der Daten in einem verschlüsselten Archiv mit Dateinamenverschlüsselung (z.B. durch 7Zip)
Mobiler Datenträger (z.B. USB, externe HD) Nutzung einer Hardwareverschlüsselung (gibt es z.B. als Festplatten oder USB-Sticks)
Erstellen verschlüsselter Datenträger z.B. mit Veracrypt
Erstellen verschlüsselter Container z.B. mit Veracrypt
Verschlüsselung mit der MS Windows BitLocker
Cloud-Laufwerke Erstellung verschlüsselter Container z.B. mit Veracrypt
Verschlüsselung von Datenbereichen z.B. mit Boxcryptor
Bereitstellung eines eigenen Cloud-Servers mit Authentifizierung (und Verschlüsselung) zum Laden von Daten (z.B. mit NAS-Systemen von QNap oder Synology möglich).

 

Wann muss ein Datenschutzbeauftragter benannt werden?

/in ,

In jedem Unternehmen ist zu klären, ob ein ein Datenschutzbeauftragter (DSB) benannt  werden muss. Dies ist übrigens kein einmaliger Prüfvorgang, sondern die Feststellung sollte zyklisch durchgeführt werden, da sich die Rahmenbedingungen ändern können.

Nach Artikel 37 DSGVO und §38 BDSG (neu) für nichtöffentliche Stellen ist in folgenden Fällen ein Datenschutzbeauftragter zu benennen:

  1. Es werden in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt
  1. Es werden Verarbeitungsvorgänge durchgeführt, die eine umfangreiche regelmäßige und systematische Überwachung von Personen erforderlich machen.
  1. Es werden umfangreiche Verarbeitungen von besonderer Kategorien von Daten gemäß Artikel 9 DSGVO oder von strafrechtlichen Verurteilungen und Straftaten gemäße Artikel 10 vorgenommen.
  1. Es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen.
  1. Es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder der Meinungsforschung verarbeitet.

I.d.R. ist die Anzahl der Personen, die regelmäßig personenbezogene Daten verarbeiten eines der wesentlichen Kriterien für die Bestimmung eineder DSB-Pflicht. Dabei sollte nicht außer acht gelassen werden, dass alle Personen mit Personalverantwortung hierzu gezählt werden müssen, wie Vertrieb, IT, Marketing udn i.d.R. die Administration.

Ein interessanter Diskussionspunkt ist die Frage, ob die Verarbeitung von Krankmeldungen, die zu den besonderen Kategorien von personenbezogene Daten gehören die Pflicht zur Berufung eines DSB automatisch beinhalten. Ich teile diese Einschätzung noch nicht, da die Verarbeitung ja nicht ständig und umfangreich erfolgen. Außerdem müsste dann jeder, der mindestens einen Mitarbeiter hat einen DSB bestellen. Hier ist abzuwarten, wo die Aufsichtsbehörden die Grenze ziehen bzw. diese Daten betrachten.

Wer braucht ein DSGVO Verarbeitungsverzeichnis?

/in , ,

Viele kleinere Unternehmen fragen sich, brauche ich eigentlich ein Verarbeitungsverzeichnis. Kann ein Unternehmen möglicherweise auch mit Hinweis auf Artikel 30 DSGVO darauf verzichten?

Ich sage hier ganz klar: Nein, jedes Unternehmen braucht das.

Gründe für ein Verarbeitungsverzeichnis

In Artikel 30 DSGVO ist der Inhalt und die Pflicht zum Führen des Verzeichnisses beschrieben. Wer bis zum Absatz 5 liest stellt fest, dass dort der Satz steht „Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, …“. Hieraus leitet manch einer ab, dass damit die Pflicht  zum Führen eines Verarbeitungsverzeichnisses für ihn nicht gelte.

Ich empfehle dringend, weiterzulesen. Es folgen nun Ausnahmen von der Ausnahme:

es sei denn

  • die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
  • die Verarbeitung erfolgt nicht nur gelegentlich
  • oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikel 10

Spätestens hier wird klar, dass schon der erste Punkt auf den überwiegenden Teil der in einem Unternehmen vorliegenden Verarbeitungen zutreffen kann. In den meisten Unternehmen findet ebenfalls eine regelmäßige Verarbeitung statt.  Denkt bitte als erstes immer an die Verarbeitung von Personaldaten, für die beide Punkte zutreffen.

Es gibt aber noch einen weiteren Grund, warum das Führen eines „Verzeichnisses von Verarbeitungen“ (Verarbeitungsverzeichnis) notwendig ist:

Woher soll ein Unternehmen wissen, welche Schutzmaßnahmen ergriffen werden sollen, wenn es nicht weiß, wo und wie welche Daten verarbeitet werden.

Hier verweise ich insbesondere auf die Artikel 5, Abs. 1 und 2, in dem sowohl die Gewährleistung einer angemessener Sicherheit der Verarbeitung personenbezogener Daten, sowie der in Artikel 2 Absatz 5 vermerkten „Rechenschaftspflicht“ bzgl. der getroffenen Maßnahmen zu erfüllen sind. Ohne Verarbeitungsverzeichnis als Startpunkt ist das nur schwer möglich.

Daher empfehle ich grundsätzlich, dieses Verarbeitungsverzeichnis sehr früh anzulegen, um auf dieser Basis viele weitere Schritte zu planen oder auch die TOMs abzustimmen.

Was ist ein Datenschutzmanagementsystem?

/in , ,

Im Rahmen der DSGVO-Einführung taucht immer wieder der Begriff eines Datenschutzmanagementsystems auf. Einige Kunden haben dabei das Gefühl, es handele sich um eine Software, andere nicken nur und sagen „Das kenn ich.“ Den meisten versuche ich das aber zu erklären, denn neu ist so etwas nicht.

Ach ja, interessant wird es schon, wenn man die vielen Schreibvarianten dieses Wortes betrachtet:

  • Datenschutzmanagement-System
  • Datenschutz-Managementsystem
  • Datenschutzmanagementsystem

Hinzu kommen die Abkürzungsvarianten. Bei meiner Recherche in den Tiefen der deutschen Rechtschreibung bin ich dann zu dem Schluß gekommen, dass es sich um eine Aneinanderreihung von zwei Hauptwörtern handelt (Datenschutz und Managementsystem), die lt. Duden immer zusammengeschrieben werden. OK, ich hoffe das stimmt. Um das Ganze zu vereinfachen und zu verkürzen benutze ich für das Wort Datenschutzmanagementsystem häufig auch die Abkürzung DSMS (damit bin ich fein raus).

Was ist ein Managementsystem

Im Kern ist ein Managementsystem die Beschreibung einer Vorgehensweise, deren Messung und Verbesserung zur Erreichung eines i.d.R. unternehmerischen Ziels. Bekannt sind sicher die Systeme ISO 9001 (Qualitätsmanagement) oder ISO 27001 (Informationssicherheit). Im Kern zeichnet diese Systeme dadurch folgende Bestandteile aus:

  • Organsationsbschreibung
  • Richtlinien
  • Verfahren
  • Metriken (zur Messung)
  • Dokumentationspflichten
  • und häufig auch Verbesserungsverfahren bestehen, wobei sich diese fast immer auf einen Deming Cycle (oder auch PDCA-Cycle) beziehen.

Das Managemtsystem ist sozugaben Ihr Steuercockpit, mit dem Sie den Datenschutz zu Ihrem Ziel fliegen.

Wo steht, dass man das für die DSGVO braucht

In der DSGVO steht nicht explizit, dass ein Managementsystem einzuführen ist, aber die DSGVO deutet diesen Bedarf klar an.

Unter Artikel 5 Abs. 2 steht, dass der Verantwortliche die Einhaltung der Kernpflichten der DSGVO (Artikel 5, Abs. 1 ) nachweisen muss. (Rechenschaftspflicht). Wie soll das funktionieren, wenn hier nichts dokumentiert wird. Desweiteren fordert die DSGVO die Etablierung von Prozessen, z.B. zur Information von Aufsichtsbehörden (Artikel 33) oder auch zur Datenschutzfolgenabschätzung (Artikel 35). Es versteht sich von selbst, dass auch die Betroffenenrechte unter Abschnitt 2 der DeSGVO damit gemeint sind.

Und darüber hinaus  fordert die DSGVO unter Artikel 5, Absatz 1 f) geeignete technische und organisatorische Maßnahmen. Insbesondere diese lassen sich am Besten über Richtlinien definieren und verpflichtend umsetzen. Ebenfalls sind mit dem Verantwortlichen (i.d.R. die Geschäftsführung), dem Datenschutzbeauftragten sowie der Aufsichtsbehörde nicht nur Rollen, sondern auch deren Aufgaben spezifiziert und damit klare organisatorische Festlegungen.

Damit ist der Kern eines Managementsystems bereits als Anspruch definiert, so dass es Sinn macht, dieses auch so zu bezeichnen und hierzu Erfahrungen anderer Systeme zu verwenden.

Was braucht man für ein Datenschutzmanagementsystem?

Ich empfehle, grunsätzlich folgende Inforationen zu dokumentieren:

  • Datenschutzorganisation (wer spielt mit und macht hier was = Rollendefinition)
  • Datenschutzrichtlinien (bisher auch Datenschutzhandbuch für Mitarbeiter, in denen Verhaltensweisen und Sanktionen festgelegt sind)
  • Prozesse zum Datenschutz (dazu gehören die internen Prozesse zur Kanalisierung der Anfragen an die verantwortlichen Rollen) sowie die in der DSGVO spezifizierten Pflichten wie Auskunft,-Änderungensrechte, Informationfplichten, Übertragungsrechte, etc.)

Bzgl. der Messbarkeit empfehle ich

  • eine Datenklassifikation für alle Daten zu etablieren,
  • eine Risikoabschätzung für die Daten zu implementieren,
  • die Zahl der Anfragen, Berabeitungen, etc.

als wesentliche KPIs zu verwenden. Und bzgl. Dokumentation sollten alle Anfragen zu diesen Themen systematisch erfasst und abgelegt werden. Dazu gehören die kontinuierliche Verbesserung von Dokumenten,  eine Versionshistorie in Dokumenten sowie Meetings mit Protokollen. Gehen Sie immer davon aus, dass ein Dritter nachlesen möchte, was der Status ist und  wie Sie das erreicht haben.

Und da die Informationssicherheit, auf die in der DSGVO immer wieder verwiesen bzw. deren Schutzziele Teil der DSGVO Schutzziele sind, empfiehlt sich mal einen Blick in ein solches Managementsystem zu werfen.  Hier bietet sich z.B. eine kleine Norm wie die VdS3473 an, die man direkt mit implemntieren kann. Damit kann man dann auch Datenklassifikation und Risikoabschätzung für beides nutzen.

Bzgl. kontinuierlicher Verbesserung kann man sich an die Verfahren einer ISO 9001 Norm anschließen oder man beschreibt das Ganze selber. Dazu muss man zyklisch Meetings vorsehen, in denen über den Status (siehe auch Messbarkeit) berichtet und Maßnahmen abgeleitet weden. Natürlich alles dokumentiert und gemonitored.