Die Datenschutz-Grundverordnung (DSGVO) schreibt Unternehmen nicht ausdrücklich vor, dass sie ein Datenschutzmanagementsystem (DSMS) einführen müssen. Allerdings lassen sich viele Anforderungen der DSGVO in ihrer Zusammenwirkung nur durch ein effektives DSMS umsetzen. Zudem kann ein effektives DSMS dabei helfen Bußgelder zu senken, wenn es trotz aller Vorsicht zu Verstößen kommt, da die Aufsichtsbehörden das (nachweisbare) Bemühen um eine DSGVO-konforme Datenverarbeitung bei der Verhängung von Bußgeldern berücksichtigen. Eine der wesentlichen Veränderungen der DSGVO sind die Transparenz- und Dokumentationspflichten. In engem Zusammenhang mit diesen Pflichten steht das Verzeichnis der Verarbeitungstätigkeiten (VVT bzw. Verfahrensverzeichnis). Dessen effektive Gestaltung kann weite Teile der Anforderungen an ein effektives Datenschutzmanagementsystem erfüllen. Auf die bestehenden Schnittmengen soll in diesem Artikel eingegangen werden.
Hintergrund: Datenschutzmanagementsystem und das Verfahrensverzeichnis
Die Datenschutz-Grundverordnung definiert nicht, was ein Datenschutzmanagementsystem ist oder umfassen muss. Aus den Anforderungen der DSGVO, v.a. deren Artikel 5, ergibt sich aber, dass ein solches System eine ganzheitliche Perspektive umfassen sollte, die sowohl die Verarbeitung selbst, als auch deren Dokumentation und den Umgang von Mitarbeitern mit Daten und Datenpannen erfasst. Das heißt das System muss gewährleisten, dass die tägliche Verarbeitung von personenbezogenen Daten DSGVO-konform verläuft, dass diese Verarbeitung regelmäßig kontrolliert und dokumentiert und dann wieder überprüft wird, sodass durch Prüfschleifen Verbesserungen gewährleistet werden können.
Ziel ist mithin den gesamten Lebenszyklus der jeweils betroffenen Verarbeitungstätigkeiten zu überprüfen und zu verbessern, um datenschutzrechtlichen Anforderungen gerecht zu werden. Dabei kann der PDCA-Zyklus (Plan, Do, Check, Act) dabei helfen den Anforderungen gerecht zu werden. Danach muss der Verantwortliche v.a. technische und organisatorische Maßnahmen (TOM) ergreifen um ein angemessenes Datenschutzniveau zu gewährleisten. Außerdem muss er sicherstellen, dass die Wirksamkeit dieser Maßnahmen erhalten bleibt sowie Verbesserungen eingeleitet werden können. Dafür bietet sich ein vierschrittiges Verfahren an:
Planen und Spezifizieren
Planung und Spezifikation setzen nicht nur voraus, dass Datenverarbeitungsvorgänge DSGVO-gerecht ausgestaltet werden, sondern auch, dass entsprechende Maßnahmen regelmäßig prüffähig sind. Voraussetzung ist also zunächst zu ermitteln, bei welchen Prozessen personenbezogene Daten verarbeitet werden und damit zu überprüfen sind. Entscheidender Ansatz ist es rechtliche Soll-Werte (also v.a. rechtliche Vorgaben der DSGVO wie den Zweckbindungsgrundsatz, also die Verarbeitung von Daten zu einem genau festgelegten und erkennbaren Zweck) mit funktionalen Soll-Werten (z.B. Trennungs- oder Transparenzmaßnahmen) zu verknüpfen.
Kontrollieren und Prüfen
Zunächst ist zu ermitteln, welche Informationen erforderlich sind um Verarbeitungsvorgänge zu überprüfen. Hierbei ist für jeden funktionalen Soll-Wert ein tatsächlicher Ist-Wert (z.B. mittels anzufertigender Protokolldaten) zu bestimmen und mit dem Soll-Wert zu vergleichen. Die Ergebnisse sind dabei zu dokumentieren und nicht nur der innerbetrieblichen Organisation und dem Datenschutzbeauftragten, sondern ggf. auch externen Prüfern (wie Aufsichtsbehörden) zur Verfügung zu stellen.
Beurteilen
Diese Phase beschreibt v.a. die rechtliche Überprüfung der Ergebnisse und kann erste Anhaltspunkte für mögliche Verbesserungen liefern. Die datenschutzrechtliche Prüfung geht über die Detailprüfung einzelner Systeme hinaus. Hierbei geht es nicht nur darum bereits bestehende Pannen oder Probleme zu ermitteln, sondern v.a. auch bestehende Risiken zu erkennen und in ihren Auswirkungen zu mindern.
Verbessern
Abschließend sind die Ergebnisse der datenschutzrechtlichen Prüfung mit funktionalen Komponenten zu verbinden. So sind etwa Verbesserungsmaßnahmen derart möglich, dass die Intensität von Eingriffen gemindert wird oder die Menge der erhobenen Daten zu reduzieren ist. Dabei ist u.a. auf besonders riskante Datenverarbeitungen im Hinblick auf Betroffenenrechte und ebenso auf Management-Prozesse und technische Anpassungen einzugehen. Außerdem ist darauf zu achten, dass das DSMS sich in weitere Systeme und Prozesse innerhalb des Unternehmens, wie die interne Revision, Kooperation mit dem Betriebsrat und das Projektmanagement einfügt.
Umfang eines effektiven Datenschutzmanagementsystems
Datenschutzbeauftragter und Schulungen
Eine wichtige Funktion zur Umsetzung eines DSMS ist die Installation von Datenschutzbeauftragten, unabhängig davon ob die Bestellung des Datenschutzbeauftragten gesetzlich verpflichtend ist oder nicht. In diesem Zusammenhang ist es vor allem wichtig, dass Mitarbeiter wissen, wann und wie ein Datenschutzbeauftragter kontaktiert werden kann und insbesondere in welchen Fällen sie den Datenschutzbeauftragten konsultieren sollten. Hierfür müssen Mitarbeiter (in der Regel durch den Datenschutzbeauftragten selbst) dafür sensibilisiert werden, in welchen Fällen personenbezogene Daten verarbeitet werden und wann ein besonderes Risiko für die Verletzung der Vorgaben der DSGVO besteht. Dies ist zum Beispiel im Kontext von Werbung ohne Einwilligung der Empfänger oder bei der Weitergabe von Kundendaten an externe Dienstleister der Fall. Auch Tracking- und Scoring-Verfahren sind hier zu nennen.
Für die Sensibilisierung von Beschäftigten bieten sich besonders Schulungen der Mitarbeiter durch den Datenschutzbeauftragten an. Dieser ist für die Einhaltung der Datenschutz-Grundverordnung unter anderem durch Unterrichtung der Beschäftigten über die DSGVO-Vorgaben verantwortlich. Schulungen ermöglichen es in komprimierter Form dieser Pflicht nachzukommen und zudem ebenfalls den Nachweispflichten der DSGVO für eine größtmögliche Sicherheit im Umgang mit personenbezogenen Daten gerecht zu werden. Zudem kann das oben beschriebene PCDA-Verfahren nur mit entsprechend geschulten Mitarbeitern gelingen.
Verzeichnis der Verarbeitungstätigkeiten und das PDCA-Verfahren
Die systematische Erfassung aller Fälle, in denen personenbezogene Daten verarbeitet werden, kann zudem die Grundlage für die Erstellung von Verfahrensverzeichnissen (VVT) darstellen. Nach der DSGVO ist es grundsätzlich die Pflicht von Unternehmen ein solches Verzeichnis der Verarbeitungstätigkeiten zu führen. In diesem Verzeichnis werden Angaben zu Zweck, Kategorie, Empfänger und Umfang der personenbezogenen Daten niedergelegt, die in einem Unternehmen verarbeitet werden. Damit stellt auch das Verfahrensverzeichnis einen weiteren Baustein zur Installierung eines Datenschutzmanagementsystems dar und kann leicht in das o.g. PDCA-Verfahren integriert werden. Dieser Zusammenhang besteht vor allem darin, dass durch das Verfahrensverzeichnis der Nachweis des Zweckbindungsgrundsatzes gelingen kann, also der Nachweis, dass Daten nur für den Zweck, zu dem sie zulässigerweise erhoben wurden, verarbeitet werden. Das Verzeichnis von Verarbeitungstätigkeiten erweist sich zudem im Umgang mit besonders sensiblen Daten, wie Gesundheitsdaten und Mitarbeiter- und Bewerberdaten als hilfreich um die Nachweispflichten der DSGVO zu erfüllen, wenn die Rechtgrundlage der Erhebung solcher Daten und etwa ein Fristen- und Löschsystem mit in das Verzeichnis aufgenommen werden. Damit kann zugleich ein gewichtiger Beitrag zu Schritt 3 (Beurteilen) geleistet werden.
Artikel 30 Abs.1 DSGVO enthält eine Übersicht über den Mindestinhalt eines solchen Verzeichnisses. Demgemäß müssen mindestens Name und Kontaktdaten des Verantwortlichen und seines Vertreters sowie des u.U. vorhandenen Datenschutzbeauftragten benannt werden. Weiterhin müssen Angaben zum Zweck der Datenverarbeitung, zu den Kategorien der verwendeten Daten, sowie zu Empfängern und möglichen Übermittlungen an Drittländer gemacht werden. Erstmals wird im Europäischen Datenschutzrecht in Artikel 30 Abs. 2 DSGVO eine entsprechende Pflicht auch für Auftragsdatenverarbeiter vorgeschrieben.
Das Verzeichnis ist schriftlich oder elektronisch anzufertigen und den Aufsichtsbehörden auf Anfrage zur Verfügung zu stellen. Wichtig ist es hierbei auch ein effektives Vertragsmanagementsystem zu implementieren. Alle Verträge, die die Grundlage für die Verarbeitung von personenbezogenen Daten darstellen, insbesondere für die Übertragung in Drittländer, sollten genau dokumentiert und die damit in Verbindung stehenden Datenverarbeitungen regelmäßig überprüft werden. Im Rahmen der VVT-Erstellung und Aktualisierung kann auch darüber entschieden werden, ob eine Datenschutz-Folgenabschätzung erforderlich ist.
Datenschutz-Folgenabschätzung
Ein weiteres Element zur Implementierung eines Datenschutzmanagementsystems stellt die Datenschutz-Folgenabschätzung dar. Besteht bei der Verarbeitung personenbezogener Daten ein besonders großes Risiko für die Rechte und Interessen Betroffener, haben Unternehmen im Voraus die Verarbeitung und ihre Folgen zu überprüfen. Stellen sie dabei besonders hohe Risiken fest, so ist eine Kooperation mit den Aufsichtsbehörden geboten, um diesen Risiken zu begegnen. Ein solches Risiko kann etwa aus dem Umfang, der Art oder der Aktualität von Daten erwachsen. Auch die Art und Weise der Verarbeitung, bspw. die Verwendung neuartiger Technologien, kann ein solches Risiko begründen.
Betroffenenrechte
Durch die Datenschutz-Grundverordnung haben sich die Betroffenenrechte erweitert. Neben dem Recht auf Auskunft, Löschung und Widerspruch, die bereits unter dem alten Bundesdatenschutzgesetz existierten, ist hierbei vor allem das Recht auf Datenübertragbarkeit zu nennen, das durch die DSGVO neu geschaffen wurde. Ein effektives DSMS muss für die Ausübung aller Betroffenenrechte effektive und leicht umsetzbare Maßnahmen vorsehen. Der Betroffene muss bereits vor der Datenverarbeitung wissen, wie er zu verfahren hat (konkreter Ansprechpartner, übersichtliches Beschwerdeformular etc.) um seine Rechte wahrzunehmen. Unternehmen sollten dabei ein Fristensystem einrichten um den Anfragen von Betroffenen gerecht zu werden. Kernprinzip der DSGVO ist der Transparenzgrundsatz. Betroffene müssen also in jedem Stadium der Datenverarbeitung wissen, was mit ihren Daten geschieht. Sie sind daher in einer leicht verständlichen Sprache darüber zu informieren. Die Datenschutzerklärung bietet einen geeigneten Rahmen um dieser Pflicht nachzukommen. Sie ist als „Aushängeschild“ eines effektiven Datenschutzmanagementsystems besonders genau auf DSGVO-Konformität zu überprüfen.
Fazit
Ein effektives Datenschutzmanagementsystem lässt sich durch ein effektives Verzeichnis der Verarbeitungstätigkeiten besonders gut vorbereiten, wenn dieses in den PDCA-Zyklus integriert wird. Legt man diesen Zyklus den regelmäßigen Überprüfungen der Verarbeitung personenbezogener Daten zugrunde, kann die Effektivität bestehender Maßnahmen in übersichtlicher Form verbessert werden und zugleich den Transparenz- und Informationspflichten der Datenschutz-Grundverordnung genüge getan werden.
Sie benötigen Beratung bei der Implementierung von Datenschutzmanagementsystemen & Verfahrensverzeichnissen? Vertrauen Sie auf die Expertise unserer ISiCO-Berater. Kontaktieren Sie uns.