Gratis
5. Dezember 2019 - Datenschutz-Grundverordnung umsetzen

Datenschutz-Management nach DSGVO: Wo beginnen?

Drucken

Um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden, ist ein Datenschutz-Management nötig. Wie bauen Verantwortliche ein solches Management auf? Was können Datenschutzbeauftragte (DSB) raten?

Ohne Datenschutz-Management geht es nicht! Um den Ansprüchen aus der DSGVO gerecht zu werden, müssen Datenschutzbeauftragte mehr denn je bei der Planung und Umsetzung neuer Produkte und Prozesse mitwirken (Bild: Duncan_Andison / iStock / Thinkstock)

Ein Datenschutz-Management muss sich konsequent an der Datenschutz-Grundverordnung (DSGVO) ausrichten. Es gilt, bestehende Abläufe unter Beteiligung des Datenschutzes neu zu planen und sie in die Aufbau- und Ablauforganisation der verantwortlichen Stelle einzubetten.

Zentrale Prinzipien sind dabei das Verbot mit Erlaubnisvorbehalt, der restriktive Umgang mit Daten (Datenminimierung) und die Wahrung der Betroffenenrechte (Transparenzprinzip).

Darüber hinaus sind unter anderem wesentlich der Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO), die Anforderung, Schutzmaßnahmen auf Grundlage einer Risikoanalyse auszuwählen (Art. 32 DSGVO), und die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).

1. Mit einer Datenschutz-Strategie anfangen

Der perfekte Ausgangspunkt, um ein Datenschutz-Management aufzubauen oder auf die DSGVO anzupassen, ist Datenschutz-Strategie. Sie muss von der Leitungsebene verabschiedet sein.

Mit der Datenschutz-Strategie

  • formuliert die Leitungsebene die Bedeutung des Datenschutzes für die verantwortliche Stelle und
  • legt Ziele sowie wesentliche Aufgaben des Datenschutz-Managements fest.

Ein häufiges Ziel ist, die datenschutzrechtlichen Anforderungen mit minimalen Mitteln zu erfüllen. Es ist aber auch möglich, den Datenschutz als Wettbewerbsvorteil und Mittel, um Kunden langfristig zu binden und den Geschäftserfolg zu sichern, zu beschreiben.

Eine gute Orientierung bietet zudem das IT-Grundschutz-Kompendium des BSI sowie der Abschnitt A5.1.1 des Standards ISO 27002 zur Informationssicherheit.

Über diese Zielsetzung hinaus sollte die Datenschutz-Strategie den konkreten Auftrag umfassen, eine Datenschutz-Organisation (so klein sie auch sein mag) aufzustellen sowie Richtlinien und Handlungsanweisungen auszugestalten.

2. Auftragsverarbeitungen auf den Prüfstand stellen

Laut DSGVO ist eine Beauftragung von Auftragsverarbeitern nur zulässig, wenn der Auftragsverarbeiter hinreichende Garantien zu den technischen und organisatorischen Maßnahmen bietet und die Verarbeitung im Einklang mit der DSGVO erfolgt (Art. 28 Abs. 1 DSVGO).

Auch darf ein Auftragsverarbeiter keine Dienste weiterer (Unter-)Auftragnehmer in Anspruch nehmen, ohne vorher eine gesonderte oder allgemeine schriftliche Genehmigung des Auftraggebers einzuholen.

Auftragsverarbeiter haften für Verfehlungen ihrer Unterauftragnehmer. Das sollte so auch in den Verträgen festgehalten sein. Eine Mithaftung des Auftragnehmers im Innenverhältnis ist optional möglich. Prinzipiell haftet der Auftraggeber gesamtschuldnerisch (Art. 82 Abs. 4 DSGVO).

Die Verantwortung für den ordnungsgemäßen Betrieb liegt nicht zwingend allein beim Auftraggeber. Vielmehr muss sich der Auftragsverarbeiter aktiv am Nachweis für den ordnungsgemäßen Betrieb beteiligen. Das muss er auch, zumindest rudimentär, eigenständig dokumentieren (Art. 30 Abs. 2 und Art. 82 Abs. 3 DSGVO).

PRAXIS-TIPP: Alle bestehenden und neuen Verträge sind v.a. auf Einhaltung der Anforderungen aus Art. 28 Abs. 3 Buchst. a–h DSGVO zu überprüfen.

Muster für Verträge zur Auftragsverarbeitung bieten etwa die Datenschutzaufsicht Baden-Württemberg oder die bayerische Datenschutzaufsicht für den nicht öffentlichen Bereich (BayLDA).

Prüfliste für Verträge zur Auftragsverarbeitung

  • Eine Beschränkung der Datenverarbeitung auf die Europäische Union genügt wegen des EU-weit einheitlichen Datenschutzniveaus.
  • Auftragnehmer in Drittländern müssen einen „Vertreter in der Union“ benennen. Unterauftragnehmer in Drittländern sind kritisch, da schlecht zu kontrollieren!
  • Der Auftragsverarbeiter kann dem Auftraggeber Unterstützungs-Leistungen in Rechnung stellen, insbesondere bei der Wahrung der Betroffenenrechte und der Meldepflicht von Datenschutzverstößen. Regelungen zur Reaktionszeit und den Kosten sind ratsam.
  • Die Vereinbarung einer Meldefrist eventueller Unterauftragsverhältnisse (beispielsweise 2 Wochen) ist zu empfehlen.
  • Der Umgang mit Verstößen ist vertraglich zu regeln. Neben der Meldepflicht (innerhalb von 72 Stunden!) besteht die Notwendigkeit, zusätzliche Schutzmaßnahmen zu ergreifen und zu dokumentieren, die einen Wiederholungsfall weitestgehend ausschließen.
  • Die technisch-organisatorischen Maßnahmen werden mit der DSGVO grundüberholt. Es ist zu prüfen, ob die vereinbarten Schutzmaßnahmen detailliert genug und als klare Weisung formuliert sind.
  • Alle zu treffenden Maßnahmen sind vertraglich konkret zu bestimmen – pauschale Aussagen und Wiederholungen der gesetzlichen Vorschriften genügen hierfür nicht. (Die Bayerische Aufsichtsbehörde hat hierzu im Jahr 2015 in einem Fall ein Bußgeld in fünfstelliger Höhe festgesetzt.)
  • Es muss ein Verfahren festgeschrieben sein, um regelmäßig die Wirksamkeit der technischen und organisatorischen Maßnahmen zu überprüfen und zu bewerten (siehe Art. 32 Abs. 1 Buchst. d DSGVO). Der Auftragnehmer ist vertraglich zur Mitwirkung zu verpflichten.

3. Datenschutz-Dokumentation

Ein weiterer wichtiger Arbeitsschwerpunkt ist das Verzeichnis der datenschutzrechtlich relevanten Verarbeitungstätigkeiten.

Wichtig ist insbesondere die Notwendigkeit, Schutzmaßnahmen risikobasiert auszuwählen anhand einer systematischen Risikoanalyse (Artt. 24, 32 DSGVO, Erwägungsgrund 74–77, 83). Dabei sind Eintrittswahrscheinlichkeit und Schwere des Risikos für die Persönlichkeitsrechte der betroffenen Personen zu betrachten.

Die früher übliche checklistenorientierte Auflistung typischer Schutzmaßnahmen anhand von Datenschutzkontrollen (Zutritt, Zugang, Zugriff usw.) genügt ausdrücklich nicht mehr.

Zu groß ist die Gefahr, wesentliche Risiken zu unterschätzen, ganz nach dem Motto „Ich habe eine Firewall, ich fürchte keinen Hacker!“

Smartes Verfahrensverzeichnis

Ein effektives Verzeichnis der Verarbeitungstätigkeiten kombiniert verfahrensübergreifende Angaben mit verfahrensspezifischen.

Zu den übergreifenden gehört ein allgemeines Datensicherheitskonzept, das unabhängig von einzelnen Verarbeitungstätigkeiten ist.

So lässt sich eine Vielzahl einfachster Verarbeitungstätigkeiten, in denen eine eingehende Untersuchung und ein individuelles Datenschutzkonzept zu aufwendig wären, pauschal behandeln, z.B. Excel-Dateien, Access-Anwendungen oder manuell mit Word erstellte Listen.

Des Weiteren sieht Art. 35 DSGVO vor, Verarbeitungsvorgänge mit vergleichbar hohen Risiken gemeinsam zu dokumentieren. So lassen sich verfahrensübergreifend Maßnahmenpakete für Risikoklassen schnüren.

4. Datenschutz-Folgenabschätzung durchführen

Erkennt die Risikoanalyse erhebliche Risiken für die Rechte und Freiheiten betroffener Personen, so muss die verantwortliche Stelle vorab eine Datenschutz-Folgenabschätzung durchführen.

Die Datenschutz-Folgenabschätzung lässt sich effizient auf der Grundlage der vorhandenen Risikoanalyse durchführen. Denn ein hoher Schutzbedarf, kombiniert mit konkret ausgearbeiteten Schadensszenarien, beschreibt die Gefährdungen für die Persönlichkeitsrechte der betroffenen Personen sehr genau.

Des Weiteren lassen sich mit wenig Aufwand aus den Szenarien konkrete geeignete Schutzmaßnahmen ableiten.

Sind keine risikomindernden Schutzmaßnahmen darstellbar oder entscheidet die Leitungsebene, keine solchen zu ergreifen, so ist die verantwortliche Stelle – nicht jedoch der DSB! – verpflichtet, die zuständige Aufsichtsbehörde umgehend zu konsultieren (Art. 36 Abs. 1 DSGVO).

Ein ausgewogenes Datenschutz-Management sollte jedoch in der Lage sein, die Risiken aus eigenem Antrieb auf ein akzeptables Maß zu beschränken.

Markus Schäffter und Torsten Lanwehr
Markus Schäffter ist Inhaber des Lehrstuhls für Datenschutz und Informationssicherheit an der Hochschule Ulm. Torsten Lanwehr koordiniert die Siemens-GDPR-Implementierung in Europa.