DSGVO – das wichtigste und notwendigste umsetzen

Worum geht es beim Verzeichnis von Verarbeitungstätigkeiten?

Sie benötigen Nachweise darüber, wie Sie die Anforderungen der DSGVO umsetzen. Genau darum geht es bei der sogenannten Rechenschaftspflicht und Risikobeurteilung (aus Sicht der Betroffenen).

Vor allem geht es dabei um das Einhalten und Umsetzen der Datenschutzgrundsätze:

  • nach dem Grundsatz der Rechtmäßigkeit dürfen personenbezogene Daten dürfen nur mit einer Rechtsgrundlage verarbeitet werden
  • die Verarbeitung muss nach „Treu und Glauben“ stattfinden, d.h. „fair“, oder im Rahmen des erwartbaren liegen
  • zudem Transparent, also für die Betroffenen nachvollziehbar
  • nur unter Zweckbindung, also im Rahmen eines VOR der Verarbeitung festgelegten Zwecks (nicht mehr)
  • durch Datenminimierung auf den notwendigsten Umfang reduziert, um die festgelegten Zwecke erfüllen zu können
  • dabei muss die Richtigkeit der personenbezogenen Daten sichergestellt sein
  • und im Sinne einer Speicherbegrenzung nur so lange vorgehalten werden, wie das zur Zweckerfüllung notwendig ist
  • während Integrität und Vertraulichkeit, aber auch Verfügbarkeit durch technische und organisatorische Maßnahmen sichergestellt sein müssen

Das müssen Sie tun

Sie dokumentieren die Verarbeitungen von personenbezogenen in Ihrem Verzeichnis von Verarbeitungstätigkeiten.

Sie überprüfen sich selbst, ob Sie die DSGVO Vorgaben erfüllen und erfassen, wo die personenbezogenen Daten sind, wer darauf Zugriff hat (auch externe) und weshalb.

Dazu benötigen Sie für neue Verarbeitungstätigkeiten einen internen Meldeprozess.

Legen Sie vorab fest, wer für die Meldung, die Dokumentation, und die Überprüfung zuständig /verantwortlich ist.

Beurteilen Sie auch die Risiken für die Betroffenen – daraus ergeben sich möglicherweise Maßnahmen, die Sie ergreifen müssen, um das geforderte Sicherheitsniveau zu erreichen.

Sind die Risiken voraussichtlich hoch, müssen Sie eine sogenannte Datenschutz-Folgenabschätzung durchführen.

Das Verzeichnisses von Verarbeitungstätigkeiten bietet dafür die Basis – die Inhalte ergeben sich aus Art. 30 DSGVO.

Worum geht es bei den Betroffenenrechten?

Die Datenschutz-Grundverordnung dreht sich in großen Teilen um die Betroffenen, also diejenigen, deren personenbezogene Daten verarbeitet werden.

Es ist also kein Wunder, dass die Rechte der Betroffenen in Kapitel III der DSGVO ganze zwölf Artikel enthalten. (Art. 12 ff. DSGVO)

Im wesentlichen können Sie die Betroffenenrechte erfüllen, indem Sie

  • Transparent über die Verarbeitungen informieren
  • den Betroffenen ihre Rechte in Bezug auf die Verarbeitung mitteilen
  • auch wenn Sie die personenbezogenen Daten von jemand anderem als dem Betroffenen erhalten
  • dem Auskunftsrecht innerhalb der vorgegebenen Fristen nachkommen
  • der Berichtigung personenbezogener Daten nachkommen
  • die Löschung von personenbezogene Daten durchführen („Recht auf Vergessenwerden“)
  • eine Einschränkung der Verarbeitung berücksichtigen
  • die Mitteilungspflicht (bei Berichtigung, Löschung oder Einschränkung, aber auch Einschränkung der Verarbeitung) erfüllen
  • dem Recht auf Datenübertragbarkeit nachkommen
  • das Widerspruchsrecht beachten
  • Schadensersatz leisten

Das müssen Sie tun

Sie stellen den betroffenen Personen Details über die Verarbeitungen zur Verfügung – auch bekannt als Datenschutzhinweise oder Datenschutzerklärungen.

In Ihrer internen Organisation sorgen Sie für funktionierende Abläufe der notwendigen Vorgänge – Sie legen die Zuständigkeiten (Personen) und Prozesse (Abläufe) fest.

Dazu gehört beispielsweise, wie Sie mit Auskunfts- oder Löschanfragen, Widersprüchen, oder Widerruf von Einwilligungen von Betroffenen umgehen. Erstellen Sie dafür Antwortvorlagen und legen Sie Routinen zur Abfrage (Suchen der Daten) fest – vergessen Sie auch hier nicht die Zuständigkeiten und Prioritäten mit Blick auf die Monatsfristen.

Legen Sie fest, wer, wann was zu tun hat.

Worum geht es bei der Zusammenarbeit mit externen?

In Ihren Verantwortungsbereich fällt auch die Zusammenarbeit mit Dienstleistern oder Dritten bei der Weitergabe / Übertragung oder Offenlegung von personenbezogenen Daten.

Es existieren Vorgaben zum Abschluss von

Die (Mindest)Inhalte dieser Verträge sind vorgegeben. Daraus resultieren wiederum Rechte und Pflichten.

Als verantwortliche Stelle sind Sie verantwortlich.

Das müssen Sie tun

Erstellen Sie eine Liste ALLER  Dienstleister, insbesondere der Auftragsverarbeiter. Sie benötigen einen vollständigen Überblick.

Bestandteile dieses Überblicks sollten auch Details zu den verarbeiteten personenbezogenen Daten sein – Sie können hierfür evtl. auf die Daten aus Ihrem Verzeichnis von Verarbeitungstätigkeiten zurückgreifen.

Richten Sie ein Vorgehen zur Vorabkontrolle neuer Dienstleister bezogen auf deren datenschutzrechtlichen Eignung ein. Kontrollieren Sie neue Dienstleister BEVOR Sie mit neuen Verarbeitungen beginnen.

Da Sie gegenüber den Betroffenen für die Verarbeitung der personenbezogenen Daten verantwortlich sind, kontrollieren Sie die technischen und organisatorischen Maßnahmen (TOM) Ihres Dienstleisters vorab und auch regelmäßig – denn eigentlich sind es auch Ihre Maßnahmen. Das gleiche gilt auch für die Beauftragung von Unterauftragnehmern. Auch die müssen Sie kennen und kontrollieren (lassen – diese Aufgaben können Sie dem Auftragnehmer übertragen, wenn Sie das möchten).

Entweder überzeugen Sie sich (vor Ort) selbst von den Maßnahmen, oder Sie lassen sich diese in geeigneter Form nachweisen, beispielsweise durch Zertifikate unabhängiger Stellen.

Worum geht es bei der Sicherheit der Verarbeitung?

Personenbezogene Daten haben immer einen Schutzbedarf.

Die sogenannten Schutzziele sind

Den Schutzbedarf der einzelnen Schutzziele können Sie beispielsweise in normal, hoch oder sehr hoch einteilen.

Letztendlich hängt die Einteilung vom Risiko ab, das aus der Verarbeitung der personenbezogenen Daten für die betroffene Person entsteht.

Das müssen Sie tun

Sorgen Sie dafür, den Schutzbedarf zu erfüllen und führen Sie Risikoanalysen mit Bezug zu einzelnen Verarbeitungen der personenbezogenen Daten durch.

Anhand des analysierten Risikos ergreifen Sie als Verantwortlicher geeignete technische und organisatorische Maßnahmen um die „Sicherheit der Verarbeitung“ nach Art. 32 DSGVO zu erfüllen.

Einen Überblick über technische und organisatorische Maßnahmen finden Sie in unserem Beitrag.

Erstellen Sie passende Maßnahmenpläne in Ihrer Organisation zur Umsetzung und dokumentieren Sie diese.

Besonders berücksichtigen sollten Sie dabei Datenschutz durch Technikgestaltung sobald Sie festlegen, welche personenbezogenen Daten wie verarbeitet werden sollen. Passen Sie Ihre Systeme den Anforderungen an und treffen Sie  datenschutzfreundliche Voreinstellungen nach dem Prinzip der Datensparsamkeit (= so wenig personenbezogene Daten wie nötig).

Die Begriffe sind auch unter Privacy by Design und Privacy by Default bekannt. Sie finden diese in Art. 25 DSGVO.

Sie erfüllen durch dieses Vorgehen die DSGVO Grundsätze – die erforderlichen Nachweise schaffen Sie mit den dazugehörigen Dokumentationen.

Worum geht es im Datenschutzmanagement?

Im Datenschutzmanagement geht es darum die Datenschutz Vorgänge und Abläufe in Ihrem Unternehmen zu organisieren.

Dabei liegt der Fokus auf zwei wesentlichen Themen:

  • Aufbauorganisation
  • Ablauforganisation
Aus dem strukturierten Aufbau eines Unternehmens ergeben sich Zuständigkeiten und Verantwortlichkeiten – in diesem Fall für Datenschutz und Informationssicherheit.

Im weiteren geht es dann um die Gestaltung der Prozesse die aus den Vorgaben der DSGVO entstehen.

Details dazu lesen Sie in unserem Beitrag über Datenschutzmanagmentsysteme.

Das müssen Sie tun

Erstellen Sie Vorgaben zu den Abläufen innerhalb Ihres Unternehmens –  geben Sie sich, Ihren Mitarbeitern und Kollegen eine Art Anleitung an die Hand.

Leitlinien und Richtlinien eignen sich als arbeitsrechtliche Anweisungen besonders gut.

Legen Sie vor allem Zuständigkeiten und Ansprechpartner für Datenschutz und Informationssicherheit fest, und wie Sie die formalen Anforderungen umsetzen werden – z.B. interne Datenschutzprüfungen durchführen, bzw. sich selbst als Unternehmen kontrollieren und verbessern können.

Treffen Sie Vorgaben zur Lieferantenauswahl (z.B. Auftragsverarbeitung und Kontrolle von Dienstleistern), den Umgang mit Sicherheits- oder Datenschutzvorfällen inklusive interner / externer Meldeprozesse, sowie unter welchen Voraussetzungen Sie die Verarbeitung von personenbezogenen Daten überhaupt durchführen.

Gehen Sie auf die Abläufe zu den Rechten Betroffener ein und vergessen Sie nicht wie Sie die Sicherheit der Verarbeitung von personenbezogenen Daten sicherstellen.

Legen Sie vor allem formale Anforderungen wie die Pflege des Verzeichnisses von Verarbeitungstätigkeiten fest, oder wie Sie mit Anfragen von Aufsichtsbehörden für den Datenschutz umgehen werden.

Worum geht es bei Schulung und Sensibilisierung?

Durch den gezielten Aufbau von Wissen als Teil organisatorischer Maßnahmen können Schäden für Unternehmen und / oder Betroffene vermieden werden.

Geschulte Mitarbeiter sind das Fundament der Sicherheits- und Compliancestrategie eines Unternehmens.

Gängige Schulungsformen sind

  • Präsenzveranstaltungen
  • Onlineveranstaltungen
  • eLearning Kurse
  • regelmäßige Informationen (z.B. E-Mails, Intranet, usw.)

Ziel sind kompetente Mitarbeiter, die sich der Verantwortung und Risiken im Umgang mit personenbezogenen Daten, aber auch Informationen im allgemeinen, bewusst sind.

Schulungen müssen

  • praxisnah (mit Aufgaben- und Stellenbezug der Mitarbeiter)
  • anlassbezogen (unter Beachtung aktueller Entwicklungen und Gefahren)
  • nachhaltig (anwendbares Wissen)

sein.

Das müssen Sie tun

Legen Sie die Ziele von Schulungen und dem Wissensaufbau Ihrer Mitarbeiter fest.

Erstellen Sie dafür ein Schulungskonzept für die relevanten Teilnehmer mit Terminen samt den dazugehörigen Schulungsunterlagen.

Worum geht es bei der Auftragsverarbeitung für Kunden?

Verarbeiten Sie als Auftragsverarbeiter personenbezogene Daten für Ihre Auftraggeber, sieht die DSGVO für Sie einige spezielle Anforderungen vor.

Darunter

  • Zusammenarbeit mit Unterauftragnehmern
  • spezielles Verzeichnis von Verarbeitungstätigkeiten
  • Nachweise zur Sicherheit der Verarbeitung
  • Auftragsverarbeitungsverträgen (Art. 28 DSGVO)

Das müssen Sie tun

Arbeiten Sie nur auf (An)Weisung – schließen Sie einen Auftragsverarbeitungsvertrag ab.

Lassen Sie sich Unterauftragnehmer durch Ihren Auftraggeber genehmigen (falls gestattet) und kontrollieren Sie Ihre Dienstleister genau mit dem Maßstab, den der Auftraggeber vorgibt – schließen Sie Auftragsverarbeitungsverträge mit den gleichen Bedingungen.

Informieren Sie Ihren Auftraggeber über Veränderungen in Bezug auf die technischen und organisatorischen Maßnahmen mit denen Sie die Sicherheit der Verarbeitung garantieren.

Sorgen Sie für geeignete Nachweise Ihrer technischen und organisatorischen Maßnahmen – überprüfen Sie diese regelmäßig auf Wirksamkeit und passen Sie diese an.

Dokumentieren Sie die Verarbeitungstätigkeit der Auftragsverarbeitung.

Stellen Sie sicher, dass Sie Ihren Auftraggeber bei den vereinbarten (vorgegebenen) Pflichten ausreichen unterstützen können – z.B. Auskunftsanfragen, Datenschutz-Folgenabschätzung