Neu als DSB – Auftakt und erste Schritte

Im Datenschutz geschieht stets Unerwartetes und nur manchmal auch Erwartetes.

Rechnen Sie auf alle Fälle mit eher wenig Routine, gleich ob Sie als interner Datenschutzbeauftragter (DSB) ganz neu anfangen oder als externer einen weiteren Kunden übernehmen.

Die allerersten Schritte

Die Benennung ist erfolgt, die Meldung an die zuständige Aufsichtsbehörde ergangen, die Bestätigung, dass die Meldung eingegangen ist, liegt vor, und auf der Homepage sind die Kontaktdaten des DSB – Ihre Kontaktdaten – veröffentlicht. Das kann allerdings in Form einer Funktions-E-Mailadresse erfolgen (datenschutz@abc-GmbH).

Am Schwarzen Brett hängt eine Information des Verantwortlichen, dass Sie der oder die neue Datenschutzbeauftragte sind, im Idealfall mit Ihrem Bild, damit die betroffenen Personen Sie leichter erkennen können. Der Aushang enthält auch Ihre Kontaktdaten. So kann Sie jeder erreichen.

Risiken und bestehende Datenschutzmaßnahmen analysieren

Gleich, ob Sie das Unternehmen oder die Organisation kennen, für die Sie nun diese Funktion mit vielen Pflichten, aber auch vielen Freiheiten übernommen haben, oder ob Sie zunächst vor einem eher unbeschriebenen Blatt stehen – eine Risiko- und Bestandsanalyse zum Datenschutz und zu den dazugehörigen Themen der Informationssicherheit verschafft Ihnen einen guten Überblick über den vorhandenen Datenschutz, aber auch über die Lücken.

Diese Lücken gilt es, sofort – bei hohem Risiko – oder mittelfristig – bei überschaubarem Risiko – zu schließen. Das ist erst einmal ein großer Brocken an Arbeit, der unüberschaubar erscheint.

Die Praxis zeigt, dass Ihre Risikoanalyse erfahrungsgemäß mindestens die folgenden Themen umfassen sollte. So wird das Ganze schon etwas greifbarer:

• Sicherheit und Gebäudesicherheit
• IT-Sicherheit – Software/Hardware und Prozesse
• DSB und Aufgaben
• Datenschutzmanagement und Erstellen der Dokumentationen
• Verzeichnis und Beschreibungen der Verarbeitungstätigkeiten
• Rechte der betroffenen Personen
• Datenschutzleitlinie und -richtlinien
• Schulung und Information der Mitarbeiter
• Auftragsverarbeitung
• Customer Relationship Management (CRM) und Marketing, Homepage
• Datenschutz-Folgenabschätzung
• Datenschutzschnittstellen

Ergebnis der Analyse ist neben einem Management-Review mit einem schnellen Überblick eine ausführliche Analyse der erforderlichen Maßnahmen.

Priorisieren Sie die Aufgaben, die in den folgenden Wochen der Reihe nach abgearbeitet werden müssen.

Keine Panik! Für die praktische Umsetzung sind nicht direkt Sie selbst zuständig.

Sie beraten und überwachen – und damit sind wir bei einem Überblick über Ihre ureigensten Aufgaben.

Aufgaben sortieren

Die Aufgaben des DSB definiert die Datenschutz-Grundverordnung (DSGVO) in Art. 39. Danach haben Sie „insbesondere“ die folgenden fünf Aufgaben zu erfüllen.

Das Wörtchen „insbesondere“ bedeutet, dass noch weitere dazukommen können.

• „Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO und sonstigen Datenschutzvorschriften“
• „Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen“. Insbesondere diese Aufgabe hat es in sich.
• Beratung des Verantwortlichen auf dessen Anfrage bei Datenschutz-Folgenabschätzungen und Überwachung ihrer Durchführung
• Zusammenarbeit mit der Aufsichtsbehörde
• Anlaufstelle für die Aufsichtsbehörde und andere Personen bei Anfragen

Kontrollieren Sie sich nicht selbst!

Die DSGVO nennt eine ganze Reihe von Aufgaben, die nicht der DSB, sondern der Verantwortliche umzusetzen hat. Erledigt auch diese Aufgaben der DSB, müsste er, möchte er seine Pflichten nach Art. 39 DSGVO korrekt erfüllen, sich selbst kontrollieren. Daher liegen diese Aufgaben bei anderen Beteiligten.

Diese unterstützenden Kräfte sind in manchen Unternehmen, v.a. in größeren, die Datenschutzmanager bzw. -koordinatoren.

Zu ihren Aufgaben gehören im Rahmen eines Datenschutzmanagements mindestens die folgenden. Sie entstammen der VdS 10010 – VdS-Richtlinie zur Umsetzung der DSGVO.

Diese Richtlinie ist lediglich ein Leitfaden, keine offiziell anerkannte Norm.

• Datenschutzmanagementsystem initiieren, planen und umsetzen
• konkrete Verbesserungsvorschläge erarbeiten
• Topmanagement dabei unterstützen, eine jährliche Überprüfung zu erarbeiten sowie die Datenschutz-Leitlinie anzupassen
• Topmanagement in zentralen Datenschutzfragen unterstützen
• alle Datenschutz-Richtlinien erarbeiten, regelmäßig überprüfen und anpassen
• datenschutzrelevante Ereignisse untersuchen
• Sensibilisierungs- und Schulungsmaßnahmen einleiten und steuern
• bei Projekten mit Auswirkungen auf den Datenschutz sowie bei der Einführung neuer Software und IT-Systeme als Ansprechpartner dienen, um sicherzustellen, dass datenschutzrelevante Aspekte ausreichend beachtet werden
• an den DSB jährlich über den aktuellen Stand des Datenschutzes im Unternehmen berichten, insbesondere über Risiken und datenschutzrelevante Vorfälle

Wer diese weiteren Aufgaben wahrnimmt, unterliegt der Überprüfung durch den Datenschutzbeauftragten.

Kick-off Datenschutz

Wie bei jedem Projekt ist ein Kick-off eine gute Idee. Holen Sie hier alle zusammen, die beim Datenschutz Verantwortung tragen, also auch die „Eigentümer“ der Verarbeitungstätigkeiten.

Folgende Agenda bietet sich für einen Kick-off-Termin an:

• Begrüßung durch das Topmanagement/Verantwortlichen – das zeigt, dass Sie und das Thema „Datenschutz“ Unterstützung von ganz oben haben.
• Machen Sie deutlich, warum Datenschutz so wichtig ist. Stellen Sie die Grundsätze der Datenverarbeitung vor (Art. 5 DSGVO), gehen Sie auf die Rechtmäßigkeit der Datenverarbeitung ein (Art. 6 DSGVO) und auf die Anforderung an den Schutz personenbezogener Daten (Art. 4 und 12 DSGVO).
• Besonderheiten:
  • Ist der Verantwortliche Auftragsverarbeiter, erklären Sie das Wesen der Auftragsverarbeitung.
  • Verarbeitet das Unternehmen oder die Behörde Gesundheitsdaten, betonen Sie die ärztliche Schweigeverpflichtung und die zusätzlichen Pflichten aus Art. 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten).
  • Handelt es sich um eine kirchliche Einrichtung, gehen Sie auf das entsprechende Kirchenrecht ein und auf Besonderheiten wie z.B. die Einhaltung des Seelsorgegeheimnisses.
• Stellen Sie die Projektschritte vor (die Sie nicht allein angehen, sondern gemeinsam im Team):
  • Verarbeitungsverzeichnis und Beschreibung der Verarbeitungstätigkeiten erstellen
  • technische und organisatorische Maßnahmen dokumentieren
  • Maßnahmen für das Risikomanagement erarbeiten
  • Ortsbegehungen durchführen
  • Mitarbeiter sensibilisieren, Konzept für Schulungen erarbeiten und umsetzen
  • Richtlinien zum Datenschutz erstellen
  • Auftragsverarbeitungsverträge und Auftragsverarbeiter prüfen
• Weitere Tagesordnungspunkte nach Bedarf

Nächste Schritte und Ausblick

Im nächsten Schritt empfiehlt es sich, mit allen Beteiligten das Verzeichnis der Verarbeitungstätigkeiten zu erstellen. Mehr dazu lesen Sie in der folgenden Ausgabe.

Eberhard Häcker