Wo waren Sie am 25. Mai 2018? Ich war auf der Arbeit und habe mich gefragt, ob es "das" jetzt gewesen ist. Erst Wochen und Monate später habe ich gemerkt, dass sich erst mit dem Tag des Wirksamwerdens der EU-Datenschutz-Grundverordnung (EU-DSGVO) das Bewußtsein zu den neuen datenschutzrechtlichen Anforderungen enorm gesteigert hat. Doch ich möchte nicht zurückschauen (wie der Rest der Republik) und schreiben wie bürokratisch und intransparent alles geworden ist. Ich möchte den Blick nach vorne wagen und aufzeigen wie ein angemessener Umgang mit Datenschutz in Zukunft gelingen kann.
Beim Blick nach vorn erlaube ich mir nicht, an dieser Stelle politische Forderungen aufzustellen. Ich behaupte also nicht, das die DSGVO nicht praxistauglich wäre.
Denn ich nehme die datenschutzrechtlichen Vorgaben genauso wie sie sind. Auf Basis dessen gestalte ich als Datenschutzbeauftragter die Prozesse zur Verarbeitung personenbezogener Daten mit Blick auf die betrieblichen Notwendigkeiten, IT-technischen Möglichkeiten und juristischen Anforderungen.
Und bevor Sie sich diese Fragen stellen, stellen Sie zuerst ein Verzeichnis aller Verarbeitungstätigkeiten auf, bei denen Sie personenbezogene Daten verarbeiten. Mit Hilfe dieses Verzeichnisses sehen Sie auf den ersten Blick, an welchen Stellen im Unternehmen sie datenschutzrechtliche Anforderungen beachten müssen und wo die Einbindung eines Datenschutzbeauftragten sinnvoll ist. Nebenbei erfüllen Sie die gesetzliche Norm des Art. 30 DSGVO zum Führen eines solchen Verzeichnisses.
Haben Sie nun Verarbeitungen, bei denen Sie personenbezogene Daten verarbeiten, beschäftigen Sie sich mit der Rechtsgrundlage der Verarbeitung. Die Rechtsgrundlage der Verarbeitung ist die Grundlage jeder Verarbeitungstätigkeit. Ohne Rechtsgrundlage müssen Sie unverzüglich alle personenbezogenen Daten löschen. Bevor Sie nun aber "format c:" eintippen, fragen Sie ihren Datenschutzbeauftragten. Denn Rechtsgrundlagen gibt es wie Sand am Meer: Vertragliche Rechtsgrundlagen wie einen Dienstleistungsvertrag, Kaufvertrag oder Arbeitsvertrag, gesetzliche Rechtsgrundlagen wie Aufbewahrungspflichten, Einwilligungen (wenn sie richtig gestellt wurden) oder "berechtigte Interessen". Jede Rechtsgrundlage hat ihre Besonderheiten, z. B. was Widerrufe, Widersprüche und ihre Folgen angeht.
Wenn Sie dann die Rechtsgrundlage haben, dokumentieren Sie auch diese in dem genannten Verarbeitungsverzeichnis. Danach wenden Sie sich der eigentlichen Verarbeitung und prüfen Sie, ob Sie geeignete technisch-organisatorische Maßnahmen ergriffen haben, um die Verarbeitung sicher durchzuführen. Dazu gehört der Schutz Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Zu technischen und organisatorischen Maßnahmen (TOM) zählen unter anderem:
- Vergabe und Nutzung von Passwörtern
- Unbeaufsichtigte Geräte angemessen sichern
- Entzug von Berechtigungen
- Beschränkter Zugriff von Benutzern und Wartungspersonal auf Informationen, Applikationen und Dienste
- Schriftlicher Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO
- Backup- und Recoverykonzept
- Regelmäßige Penetrationstest bei webbasierten Anwendungen
- Unterbrechungsfreie Stromversorgung (USV)
Jede dieser TOM sollte ein Datenschutzbeauftragter "runterbeten" können. Vielmehr noch ist es wichtig, dass ihr Datenschutzbeauftragter oder Berater für Datenschutz die Umsetzung der TOM in dem Maße vorgibt, wie es in Bezug auf das Risiko der Datenverarbeitung angemessen ist. Denn ein "zuviel" an TOM ist wieder mit Kosten verbunden, die sich das Unternehmen sparen könnte.
Zu guter Letzt - und dann haben Sie auch die Grundlagen datenschutzrechtlicher Anforderungen einmal durch - beachten Sie bitte die Informationspflichten nach Art. 13 DSGVO. Wie Sie das machen, würde wiederum einen kompletten Beitrag füllen - einige habe ich dazu bereits für unterschiedliche Verarbeitungstätigkeiten geschrieben. Nutzen Sie einfach die "Suchen"-Funktion im Blog, fragen Sie Ihren Datenschutzbeauftragten oder wenden Sie sich gerne an mich.
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Bad Aachen