Aktuell stehen Unternehmen vor der Herausforderung, den Handlungsbedarf zu bestimmen, der erforderlich ist, um den Anforderungen der Datenschutz-Grundverordnung ab 25.05.2018 zu genügen. In unserem aktuellen Beitrag stellen wir die Eckpunkte eines Datenschutzmanagementsystems (DSMS) dar, mit dem Unternehmen die Datenschutzkonformität ihrer Geschäftsprozesse sicherstellen und nachweisen können. Der Artikel gibt einen Überblick über Verfahren und wesentliche Dokumente, ersetzt aber keinesfalls eine einzelfallbezogene Beratung.
In weiteren Beiträgen sollen dann konkrete Aspekte der Datenschutzorganisation (z.B. Bestellpflicht eines Datenschutzbeauftragten, Datenschutz-Folgenabschätzung), besondere Einzelvorschriften sowie branchen- und datenspezifische Fragestellungen vertieft werden.
1. Zielstellung eines Datenschutzmanagementsystems (DSMS)
Jedes Unternehmen verarbeitet – unabhängig vom Stand der Digitalisierung und der unternehmensinternen IT-Infrastruktur – eine Vielzahl „fremder“ personenbezogener Daten, etwa von Kunden, Beschäftigten und Geschäftspartnern.
Nach der Datenschutz-Grundverordnung sind Unternehmen verpflichtet, für jedwede Verarbeitung personenbezogener Daten, die durch das Unternehmen selbst oder in seinem Namen erfolgt, geeignete und wirksame Maßnahmen zu treffen, damit die Verarbeitungstätigkeiten im Einklang mit der Datenschutz-Grundverordnung stehen und die Maßnahmen auch wirksam sind. Die Datenschutzkonformität muss durch das Unternehmen jederzeit nachgewiesen werden können („Rechenschaftspflicht“ oder „Accountability“). Die Verantwortung und Haftung des Verantwortlichen muss geregelt werden. Dabei soll die Art, der Umfang, die Umstände, die Zwecke der Verarbeitung sowie das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigt werden.
Der Erkenntnis vom voranschreitenden technischen Fortschritt von IT-Systemen durch zunehmende Digitalisierung, Vernetzung und neue Verarbeitungsmöglichkeiten folgend, fordert die Datenschutz-Grundverordnung, dass auch technische und organisatorische Datenschutzvorkehrungen erforderlichenfalls überprüft und aktualisiert werden.
Dies macht – unabhängig von konkreten Einzelmaßnahmen – ein DSMS als in die unternehmensinternen Geschäftsprozesse integrierte Methode erforderlich, um im Unternehmen die Datenschutzanforderungen umsetzen, kontrollieren und ggf. intervenieren zu können. Dabei muss das Rad nicht neu erfunden werden: Eine Integration in bereits bestehende und eingeführte (Qualitäts-, Informationssicherheits-) Managementsysteme ist durchaus beabsichtigt und empfehlenswert.
2. Datenschutzmanagementsystem als Teil des Risikomanagements im Unternehmen
2.1 PDCA-Zyklus
Ausgehend von Art, Umfang und Zweck der Verarbeitung muss jedes Unternehmen Datenschutzvorkehrungen planen, umsetzen, überprüfen und ggf. optimieren. Dabei soll die Schwere des Risikos und die Eintrittswahrscheinlichkeit für die Rechte und Freiheiten von Personen berücksichtigt werden. Für Risikomanagementsysteme wurde der sog. PDCA-Zyklus (Plan – Do – Check – Act) entwickelt. Im Rahmen des DSMS nach DSGVO kann der für Managementsysteme bewährte PDCA-Zyklus angewandt werden.
In der Planungsphase ist anhand der Regelungen der DSGVO risikobasiert ein Konzept für technische und organisatorische Maßnahmen zu entwickeln, welches nach Art, Umfang und Zweck der Datenverarbeitung die Gefahren für die Rechte und Freiheiten des Einzelnen berücksichtigt. Maßstab geeigneter Maßnahmen ist der Stand der Technik, aber auch Implementierungskosten sind zu berücksichtigen.
In der zweiten Phase gilt es, die als geeignet definierten Maßnahmen umzusetzen, etwa Lösch- und Kontrollkonzepte, Passwortrichtlinien oder Verschlüsselungsverfahren, im Unternehmen durchzusetzen. Der Vollzug ist regelmäßig bzw. anlassbezogen, zu überwachen und zu kontrollieren. Ergeben sich Schwachstellen, sind Maßnahmen gegebenenfalls zu aktualisieren und zu verbessern.
2.2 Schutzbedarfs- und Risiko-Analyse
Der risikobasierte Ansatz der DSGVO setzt eine Bewertung voraus, die das Datenschutzrisiko abhängig vom Schutzbedarf für Rechte und Freiheiten der Betroffenen, die Eintrittswahrscheinlichkeit und Schwere bestimmt. Dabei regelt die Datenschutz-Grundverordnung für Verfahren, die ein hohes Risiko darstellen, die Erforderlichkeit einer sog. Datenschutz-Folgenabschätzung. Diese ist mit der bisherigen Vorabkontrolle nach Bundesdatenschutzgesetz (BDSG) vergleichbar. Die Datenschutz-Folgenabschätzung ist insbesondere bei der umfangreichen Verarbeitung besonderer Kategorien von Daten (z.B. Gesundheitsdaten) erforderlich. Auf dieses Verfahren werden wir in einem der nächsten Artikel vertieft eingehen.
Festzuhalten ist an dieser Stelle, dass jede Verarbeitung personenbezogener Daten das Risiko für Rechte und Freiheiten der Betroffenen in sich birgt. Daher ist in jedem Fall von mindestens einem „normalen Schutzbedarf“ auszugehen, der technische und organisatorische Maßnahmen nach dem Stand der Technik erforderlich macht. Die bisher in der Anlage zu § 9 BDSG aufgeführten technischen und organisatorischen Maßnahmen verlieren nichts an ihrer Wirkungskraft und können Unternehmen auch weiterhin als „Checkliste“ dienen; eine Anpassung ist im Detail zu empfehlen und eine Ausrichtung anhand der Verarbeitungsgrundsätze nach DSGVO durchzuführen. Die DSGVO erwähnt explizit die (i) Pseudonymisierung und Verschlüsselung, (ii) Schutzmaßnahmen um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sicherzustellen, sowie (iii) Maßnahmen, um die die Verfügbarkeit der Systeme und Daten rasch wiederherzustellen. Auch diesen Maßnahmen widmen wir uns in der Folge unserer Reihe noch im Einzelnen.
3. Erlass einer unternehmensinternen Datenschutzrichtlinie
Ausgangspunkt der notwendigen Dokumentation eines DSMS im Unternehmen kann eine Datenschutzrichtlinie („Privacy-Policy“) sein. Unternehmen, in denen bereits eine Datenschutzrichtlinie existiert – die der bisherigen Rechtslage genügt – brauchen ggf. nur eine Anpassung im Detail vornehmen.
Eine Datenschutzrichtlinie dokumentiert den „Soll-Zustand“ und sichert durch ihre Einhaltung die verordnungskonforme Datenverarbeitung. Sie macht sowohl Betroffenen, als auch den datenverarbeitenden Stellen und ihren Mitarbeitern die datenschutzrechtlichen Anforderungen transparent und gibt in Form von Verhaltensregeln Anleitung, wie mit bestimmten Prozessen oder Störungen umzugehen ist.
4. Dokumentationspflicht: Verzeichnis der Verarbeitungstätigkeiten
Ausgehend von der Datenschutzrichtlinie können – abhängig von der Größe und Struktur des Unternehmens – einzelne Datenschutzkonzepte für bestimmte datenschutzrechtliche Anforderungen ausgearbeitet werden, etwa Lösch-, Kontroll- oder Weiterbildungskonzepte.
Ein weiterer wesentlicher Punkt der datenschutzrechtlichen Dokumentation ist die Erstellung und Führung eines Verzeichnisses der Verarbeitungstätigkeiten. Es gibt einige Ausnahmen von der Pflicht zur Führung solcher Verzeichnisse, die in der Praxis aber kaum Bedeutung haben werden. So gilt die Ausnahme für KMU nur dann, wenn eine Verarbeitung nur gelegentlich erfolgt, nicht aber für regelmäßige Verfahren und notwendige Geschäftsprozesse. Bereits nach bisheriger Rechtslage haben Unternehmen – gleich welcher Art und Größe – Verfahrensverzeichnisse zu führen. Zukünftig wird diese Dokumentation als Verzeichnis der Verarbeitungstätigkeiten bezeichnet und um einige wichtige Details ergänzt; etwa die Dokumentation geeigneter Garantien bei der Übermittlung personenbezogener Daten in ein Drittland. Mit Blick auf die gesteigerten Informationspflichten ist es sinnvoll, die Rechtsgrundlagen der Verarbeitung ins Verzeichnis aufzunehmen, ebenso Angaben dazu, ob eine Datenschutz-Folgenabschätzung vorgenommen wurde bzw. nötig ist. Wegfallen wird die Pflicht ein sog. Jedermann-Verzeichnis zu führen. Dieser Wegfall wird für Betroffene aber durch umfangreiche Informationspflichten (über-)kompensiert. Diese Informationspflichten werden ebenfalls Gegenstand gesonderter Befassung im Rahmen dieser Reihe sein.
5. Dokumentationspflicht: Einbindung Externer / Vertragsmanagement
Die Bedeutung von externen Dienstleistern bei der Datenverarbeitung wächst ungebrochen. Unternehmen schließen zwischenzeitlich vermehrt – langfristig oder projektbezogen – mit einer Vielzahl von Dienstleistern Pflege-, Wartungs- und sonstige Dienstleistungsverträge ab. Um den Überblick zu behalten, bietet sich eine Erfassung entsprechender Verträge in einem Verzeichnis an, um ggf. die Rechtskonformität der Dienstleistung durch Auftragsverarbeiter (früher: Auftragsdatenverarbeiter) nachweisen zu können. Auch nach DSGVO bedürfen die Verträge mit Auftragsverarbeitern der Schriftform. Der Verantwortliche hat sich Kontrollrechte vorzubehalten, um sich von den technisch-organisatorischen Maßnahmen des Auftragsverarbeiters überzeugen zu können. Die DSGVO verlangt, dass nur solche Auftragsverarbeiter verpflichtet werden, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden, statuiert eine gemeinsame Verantwortung und einen Unterstützungsappell an die Auftragsverarbeiter gegenüber ihren Auftraggebern, um Datenschutzanforderungen zu erfüllen.
6. Ausblick
Das Fehlen von technisch organisatorischen Maßnahmen zur Gewährleistung der IT-Sicherheit, kann nach DSGVO mit Bußgeldern von bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes eines Unternehmens geahndet werden. Die Bußgelder sollen wirksam, verhältnismäßig und abschreckend sein. Die Aufsichtsbehörden haben bei der Bestimmung von Bußgeldern Vorsatz und Fahrlässigkeit zu berücksichtigen. Mit einem funktionierenden DSMS erhöht das Unternehmen die Chance, sich vom Vorwurf eines vorsätzlichen oder fahrlässigen Verstoßes gegen die Datenschutz-Grundverordnung entlasten zu können. Andererseits steigen die finanziellen Risiken, wenn ein Unternehmen auf ein DSMS gänzlich verzichtet, dieses zur Gewährleistung des Datenschutzes ungeeignet ist oder an wesentlichen Punkten lückenhaft ist.
Die Etablierung eines DSMS ist daher in jedem Fall empfehlenswert, um für die DSGVO gewappnet zu sein.
- BGH-Urteil zum Facebook-Datenleck: Schadensersatz bei Kontrollverlust - 19. November 2024
- Erstes KI-Urteil in Deutschland: LG Hamburg entscheidet im Urheberrechtsstreit um KI-Trainingsdaten - 9. Oktober 2024
- EuGH: Datenschutzbehörden müssen nicht in jedem Fall Bußgelder verhängen - 26. September 2024