Gratis
5. Dezember 2017 - Erste Hilfe Datenschutz-Grundverordnung

Datenschutz-Management nach DSGVO: Wo beginnen?

Der 25. Mai 2018 rückt immer näher. Auf welche Punkte müssen sich Verantwortliche konzentrieren, wenn sie sich bisher wenig bis gar nicht auf die Datenschutz-Grundverordnung (DSGVO) vorbereitet haben?

Ohne Datenschutz-Management geht es nicht! Um den Ansprüchen aus der DSGVO gerecht zu werden, müssen Datenschutzbeauftragte mehr denn je bei der Planung und Umsetzung neuer Produkte und Prozesse mitwirken (Bild: Duncan_Andison / iStock / Thinkstock)

Die Neuerungen, die die DSGVO in Deutschland bringt, halten sich auf den ersten Blick eher in Grenzen. Die grundlegenden Prinzipien wie das Verbot mit Erlaubnisvorbehalt (Lizenzierungsprinzip), der restriktive Umgang mit Daten (Datenminimierung) und die Wahrung der Betroffenenrechte (Transparenzprinzip) bleiben erhalten.

Neu sind u.a. der Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO), die Anforderung, Schutzmaßnahmen auf Grundlage einer Risikoanalyse auszuwählen (Art. 32 DSGVO), und die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).

Doch selbst in Deutschland, das traditionell über ein hohes Datenschutzniveau verfügt, ist es in der Regel dann doch nicht mit kleineren Anpassungen getan.

Es gilt, das Datenschutzmanagement konsequent neu an der DSGVO auszurichten, bestehende Abläufe unter Beteiligung des Datenschutzes neu zu planen und sie in die Aufbau- und Ablauforganisation der verantwortlichen Stelle einzubetten.

1. Mit einer Datenschutzstrategie anfangen

Der perfekte Ausgangspunkt für die Umgestaltung des Datenschutzmanagements ist eine von der Leitungsebene verabschiedete Datenschutzstrategie. In ihr formuliert die Leitungsebene die Bedeutung des Datenschutzes für die verantwortliche Stelle und legt Ziele sowie wesentliche Aufgaben des Datenschutzmanagements fest.

Ein häufiges Ziel ist die Erfüllung der datenschutzrechtlichen Anforderungen mit minimalen Mitteln. Es ist aber auch möglich, den Datenschutz als Wettbewerbsvorteil und Mittel zur langfristigen Kundenbindung sowie zur Sicherung des Geschäftserfolgs zu beschreiben.

Eine gute Orientierung bietet zudem Maßnahme 2.501 der BSI-IT-Grundschutzkataloge sowie der Abschnitt A5.1.1 des Standards ISO 27002 zur Informationssicherheit.

Über diese Zielsetzung hinaus sollte die Datenschutzstrategie den konkreten Auftrag zum Aufbau einer Datenschutzorganisation (so klein sie auch sein mag) sowie zur Ausgestaltung von Richtlinien und Handlungsanweisungen umfassen.

2. Auftragsverarbeitungen auf den Prüfstand stellen

Ein zeitkritisches Ziel bis Mai 2018 ist es, die Outsourcing-Verträge zur externen Verarbeitung personenbezogener Daten auf den Prüfstand zu stellen.

Da dies eine Abstimmung mit – eventuell einer Vielzahl an – Auftragsverarbeitern erfordert, sollten Verantwortliche dieses Thema sehr zeitnah angehen.

Laut DSGVO ist eine Beauftragung nur zulässig, wenn der Auftragsverarbeiter hinreichende Garantien bzgl. technischer und organisatorischer Maßnahmen bietet und die Verarbeitung im Einklang mit der DSGVO erfolgt (Art. 28 Abs. 1 DSVGO). Auch darf ein Auftragsverarbeiter keine Dienste weiterer (Unter-)Auftragnehmer ohne vorherige (gesonderte oder allgemeine) schriftliche Genehmigung des Auftraggebers in Anspruch nehmen.

Auftragsverarbeiter haften für Verfehlungen der durch sie beauftragten Unterauftragnehmer. Das sollte so auch in den Verträgen festgehalten sein. Eine Mithaftung des Auftragnehmers im Innenverhältnis ist optional möglich; prinzipiell haftet der Auftraggeber gesamtschuldnerisch (Art. 82 Abs. 4 DSGVO).

Die Verantwortung für den ordnungsgemäßen Betrieb liegt nicht mehr zwingend allein beim Auftraggeber als Data Controller. Vielmehr muss sich der Auftragsverarbeiter als Data Processor aktiv am Nachweis für den ordnungsgemäßen Betrieb beteiligen und dies, zumindest rudimentär, eigenständig dokumentieren (Art. 30 Abs. 2 und Art. 82 Abs. 3 DSGVO).

Die bislang erforderlichen regelmäßigen Kontrollen durch den Auftraggeber werden durch die Kontrolle der vom Auftragnehmer abgegebenen Garantien ersetzt.

Dabei darf sich die verantwortliche Stelle nicht blind auf die abgegebenen Zusicherungen verlassen: Gemäß Art. 5 Abs. 2 DSGVO muss sie deren Einhaltung im Sinne der Rechenschaftspflicht nachweisen können, d.h. auf Plausibilität und Glaubwürdigkeit hin überprüfen. Das gilt auch für genehmigte Zertifizierungsverfahren!

PRAXIS-TIPP: Bestehende Verträge lassen sich prinzipiell weiterführen. Jedoch sind sie v.a. auf Einhaltung der Anforderungen aus Art. 28 Abs. 3 Buchst. a–h DSGVO zu überprüfen.

Der Arbeitskreis der Datenschutzbeauftragten der Hochschulen in Baden-Württemberg hat hierzu konkrete Textvorschläge für eine Zusatzvereinbarung zu Altverträgen ausgearbeitet.

Die Gesellschaft für Datenschutz und Datensicherheit (GDD) stellt zudem ein Vertragsmuster zur Auftragsverarbeitung nach DSGVO zur Verfügung.

Der Vergleich mit der früheren Vorlage nach dem Bundesdatenschutzgesetz (alt) eignet sich gut als Prüfliste für bestehende Verträge:

Prüfliste für bestehende Verträge zur Auftrags(daten)verarbeitung

  • Eine Beschränkung der Datenverarbeitung auf die Europäische Union genügt wegen des nunmehr EU-weit einheitlichen Datenschutzniveaus.
  • Auftragnehmer in Drittländern müssen einen „Vertreter in der Union“ benennen. Unterauftragnehmer in Drittländern sind kritisch, da schlecht zu kontrollieren!
  • Der Auftragsverarbeiter kann dem Auftraggeber Unterstützungsleistungen in Rechnung stellen, insbesondere bei der Wahrung der Betroffenenrechte und der Meldepflicht von Datenschutzverstößen. Regelungen zur Reaktionszeit und den Kosten sind ratsam.
  • Die Vereinbarung einer Meldefrist eventueller Unterauftragsverhältnisse (bspw. 2 Wochen) ist zu empfehlen.
  • Der Umgang mit Verstößen ist vertraglich zu regeln. Neben der Meldepflicht (innerhalb von 72 Stunden!) besteht die Notwendigkeit, zusätzliche Schutzmaßnahmen zu ergreifen und zu dokumentieren, die einen Wiederholungsfall weitestgehend ausschließen.
  • Die technisch-organisatorischen Maßnahmen werden mit der DSGVO grundüberholt. Es ist zu prüfen, ob die altvertraglich vereinbarten Schutzmaßnahmen detailliert genug und als klare Weisung formuliert sind.
  • Alle zu treffenden Maßnahmen sind vertraglich konkret zu bestimmen – pauschale Aussagen und Wiederholungen der gesetzlichen Vorschriften genügen hierfür nicht. (Die Bayerische Aufsichtsbehörde hat hierzu im Jahr 2015 in einem Fall ein Bußgeld in fünfstelliger Höhe festgesetzt.)
  • Neu hinzu tritt die obligatorische Einführung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung gemäß 32 I d DSGVO. Der Auftragnehmer ist vertraglich zur Mitwirkung zu verpflichten.

3. Datenschutzdokumentation erweitern

Ein weiterer wichtiger Arbeitsschwerpunkt bis Mai 2018 ist die Erweiterung des bestehenden Verzeichnisses der datenschutzrechtlich relevanten Verarbeitungstätigkeiten (Verfahrensverzeichnis).

Ist bereits ein Verfahrensverzeichnis vorhanden, so können Verantwortliche dieses erweitern oder verfahrensübergreifend ergänzen. Es gibt eine Vielzahl an Dokumentvorlagen und Softwarewerkzeugen zur korrekten Dokumentation.

Neu ist insbesondere die Notwendigkeit, Schutzmaßnahmen risikobasiert auszuwählen anhand einer systematischen Risikoanalyse (Artt. 24, 32 DSGVO, EG 74–77, 83). Dabei sind Eintrittswahrscheinlichkeit und Schwere des Risikos für die Persönlichkeitsrechte der Betroffenen zu betrachten.

Die bisher übliche checklistenorientierte Auflistung typischer Schutzmaßnahmen anhand von Datenschutzkontrollen (Zutritt, Zugang, Zugriff usw.) genügt ausdrücklich nicht mehr. Zu groß ist die Gefahr, wesentliche Risiken zu unterschätzen, ganz nach dem Motto „Ich habe eine Firewall, ich fürchte keinen Hacker!“

Smartes Verfahrensverzeichnis

Ein effektives Verfahrensverzeichnis kombiniert verfahrensübergreifende Angaben mit verfahrensspezifischen. Zu den übergreifenden gehört ein allgemeines Datensicherheitskonzept, das unabhängig von einzelnen Verarbeitungstätigkeiten ist.

So lässt sich eine Vielzahl einfachster Verarbeitungstätigkeiten, in denen eine eingehende Untersuchung und ein individuelles Datenschutzkonzept zu aufwendig wären, pauschal behandeln, z.B. Excel-Dateien, Access-Anwendungen oder manuell mit Word erstellte Listen.

Des Weiteren sieht Art. 35 DSGVO vor, Verarbeitungsvorgänge mit vergleichbar hohen Risiken gemeinsam zu dokumentieren. So lassen sich verfahrensübergreifend Maßnahmenpakete für Risikoklassen schnüren.

4. Datenschutz-Folgenabschätzung durchführen

Erkennt die Risikoanalyse erhebliche Risiken für die Rechte und Freiheiten betroffener Personen, so muss die verantwortliche Stelle vorab eine Datenschutz-Folgenabschätzung durchführen.

Die Datenschutz-Folgenabschätzung lässt sich effizient auf der Grundlage der vorhandenen Risikoanalyse durchführen. Denn ein hoher Schutzbedarf, kombiniert mit konkret ausgearbeiteten Schadensszenarien, beschreibt die Gefährdungen für die Persönlichkeitsrechte der betroffenen Personen sehr genau.

Des Weiteren lassen sich mit wenig Aufwand aus den Szenarien konkrete geeignete Schutzmaßnahmen ableiten. Sind keine risikomindernden Schutzmaßnahmen darstellbar oder entscheidet die Leitungsebene, keine solchen zu ergreifen, so ist die verantwortliche Stelle – nicht jedoch der DSB! – verpflichtet, die zuständige Aufsichtsbehörde umgehend zu konsultieren (Art. 36 Abs. 1 DSGVO).

Ein ausgewogenes Datenschutzmanagement sollte jedoch in der Lage sein, die Risiken aus eigenem Antrieb auf ein akzeptables Maß zu beschränken.

Markus Schäffter und Torsten Lanwehr
Markus Schäffter ist Inhaber des Lehrstuhls für Datenschutz und Informationssicherheit an der Hochschule Ulm. Torsten Lanwehr koordiniert die Siemens-GDPR-Implementierung in Europa.