Datenschutz Management

Datenschutz Management nach DS-GVO

Ein wichtiger Bestandteil bei der Umsetzung der Datenschutz Grundverordnung (DS-GVO) ist ein aussagefähiges Datenschutz Management System. Wieso benötigt man eigentlich ein Datenschutz Management System werden jetzt sicherlich viele fragen. Reicht es nicht aus, die Vorschriften einfach einzuhalten ? Warum eigentlich ein Management System ?

Hier hilft ein Blick im Artikel 24 Abs. 1 DS-GVO weiter. Gemäß dieser Vorschrift hat der Verantwortliche „sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“ 

Dies wird einigen sehr bekannt vorkommen, da es sich hier um einen typischen PDCA (Plan-Do-Check-Act) Zyklus handelt. Also um einen Kreislauf, in welchem immer wieder geprüft angepasst und verbessert wird. Jeder der sich schon einmal mit Qualitätssicherung befasst hat, wird diesen Kreislauf kennen. Wie man sieht, hängt der Datenschutz sehr eng mit Qualitätssicherung zusammen.

Datenschutz Management Göttingen

Welches Datenschutz Management-System ?

Hier spätestens werden sich vor allem viele kleine und mittlere Unternehmen (KMU) fragen, wie man jetzt noch den Aufwand für ein Datenschutz Management System bewältigen soll. Woran soll man sich orientieren? Vielleicht ein System nach ISO 27001 ? Doch hier wird man feststellen, dass dies zum einen ein sehr aufwendiges System darstellt und zum anderen der Datenschutz hier nur am Rande berührt wird. Es geht bei ISO 27001 vornehmlich um Informationssicherheit.

Aber hier kommen einem die vagen Formulierungen der DS-GVO sehr entgegen. Es wird nämlich kein bestimmtes System verlangt, sondern es muss nur ein systematisches Vorgehen vorhanden sein.

Datenschutz mit VdS 10010

Viele der verfügbaren Managementsysteme sind sehr techniklastig. Aber eines der Systeme ist für den Datenschutz sehr sinnvoll. Hier handelt es sich um das VdS 10010. Dieses Managementsystem ist speziell für kleine und mittlere Unternehmen geeignet. Es ist bei weitem nicht so umfangreich wie beispielsweise ISO 27001 und es ist sehr gut für den Datenschutz geeignet.

Die Umsetzung ist auch möglich, wenn keine umfangreichen Ressourcen zur Verfügung stehen. Außerdem kann man das System auch einfach als Anregung nehmen und es an die eigenen Bedürfnisse anpassen. Selbst wenn dann keine VdS 10010 Zertifizierung erfolgt, ist ein Datenschutz Management System vorhanden und die Erfordernisse der DS-GVO sind erfüllt.

Es gibt jedoch auch Kritikpunkte an VdS 10010. Hier wird insbesondere der Punkt 4.3 (Datenschutzmanager) genannt. Der Hauptkritikpunkt hierbei ist, dass das System für KMU’s entworfen wurde. Aber gerade in diesem Bereich steht für den Datenschutz oftmals nicht ausreichend Personal zur Verfügung. Wenn dann auch noch ein Datenschutzmanager (neben dem Datenschutzbeauftragten) abgestellt werden muss, kann dies schon zu Problemen führen.

Außerdem kennt die DS-GVO bzw. das BDSG-neu keinen Datenschutzmanager. Lediglich der Datenschutzbeauftragte ist in den meisten Fällen zwingend vorgeschrieben.

Ein erfahrener Datenschutzbeauftragter wird hier sicherlich eine geeignete Lösung finden.

Informationspflichten

Informationspflichten nach der DS-GVO

 

Mit dem Inkrafttreten der DS-GVO am 25.05.2018 sind umfangreiche Informationspflichten gegenüber den Betroffenen zu beachten.

In Artikel 12 der DS-GVO ist geregelt, dass der Verantwortliche geeignete Maßnahmen zu treffen hat, um die Betroffenen über die sich auf die Verarbeitung beziehenden Informationen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu informieren.

 

Datenschutz-informationen Göttingen

Hierbei ist insbesondere darauf zu achten, wie die Daten durch den Verantwortlichen erhoben wurden.

 

Informationspflichten bei Direkterhebung

 

Für den Fall, dass die Daten direkt beim Betroffenen erhoben werden, sind die Vorgaben des Art. 13 DS-GVO zu beachten. Hier ist geregelt, dass folgende Informationen zum Zeitpunkt der Erhebung zu erteilen sind:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Dies sind schon ziemlich viele Informationen, aber es kommt noch mehr. Gemäß Art. 13 Abs. 2 DS-GVO stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung der Daten folgende weitere Informationen zur Verfügung:

  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

 

Praktische Folgen der Informationspflicht

 

Dies hört sich vielleicht nicht sehr kompliziert an, aber es ist zu bedenken, welche Fälle unter die Direkterhebung fallen. Unter anderem ist die Übergabe einer Visitenkarte beispielsweise eine Direkterhebung. Man kann nämlich davon ausgehen, dass diese Daten nicht einfach unbeachtet bleiben, sondern beispielsweise in einem CRM System oder ähnlichen verarbeitet werden. Damit würde Art. 13 DS-GVO Anwendung finden.

Informationspflichten

Viele Autoren vertreten in Fachartikeln die Meinung, dass der Verordnungsgeber hier ein wenig über das Ziel hinausgeschossen ist. Die praktische Umsetzung dieser Vorschrift ist noch unklar. Da ein Verstoß gegen die Vorschrift jedoch gem. Art. 83 Abs.5 lit.b DS-GVO mit einem hohem Bußgeld geahndet werden kann, sind hier kreative Lösungen gefragt. Vielleicht kann man seine eigenen Visitenkarten mit einem QR-Code versehen, welcher auf die geforderten Informationen verweist. Es ist noch unklar, inwieweit diese Lösung rechtskonform ist. Aber vielleicht geben die Aufsichtsbehörden noch rechtzeitig entsprechende Empfehlungen bekannt.

 

Informationspflicht bei Datenerhebung bei Dritten

 

Für den Fall, dass die Daten nicht beim Betroffenen erhoben werden, sondern über andere Quellen, greift die Informationspflicht gem. Art. 14 DS-GVO. Auch hier sind die Informationspflichten ähnlich umfangreich wie bei einer Direkterhebung. Der Verantwortliche hat dem Betroffenen folgende Daten mitzuteilen:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  • zusätzlich die Kontaktdaten des Datenschutzbeauftragten;
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind.

Wie auch bei der Direkterhebung der Daten sind dem Betroffenen außerdem folgende Informationen gem. Art. 14 Abs. 2 DS-GVO zur Verfügung zu stellen:

  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen;
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

DSGVO-Informationen

Fristen für die Informationspflichten

 

Für die oben genannten Informationspflichten bei Direkterhebung und bei der Datenerhebung über Dritte sind festgelegte Fristen zu beachten:

  • unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats,
  • falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder,
  • falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.

 

Ausnahmen für Informationspflichten

 

Die Ausnahmen zu den Informationspflichten sind in Art. 14 Abs. 5 DS-GVO geregelt. Am relevantesten dürften sein:

  • die betroffene Person verfügt bereits über die Informationen,
  • die Erteilung dieser Informationen würde sich als unmöglich erweissen oder einen unverhältnismäßigen Aufwand erfordern

Aber bevor man sich auf diese Ausnahmen bezieht, sollte man die aktuellen Sichtweisen der Aufsichtsbehörden bzw. diesbezügliche Urteile kennen. Andernfalls würde man ein unkalkulierbares Risiko eingehen, da ein Verstoß gegen die Informationspflichten in den Bußgeldbereich bis 20 Millionen Euro fällt. Diese höchstmögliche Summe wird sicherlich nicht sofort verhängt werden, aber die niedrigen Bußgelder aus den BDSG Zeiten werden voraussichtlich auch nicht mehr zum Tragen kommen. Man muss hier ab dem 25.05.2018 die aktuellen Entwicklungen zu diesem Thema verfolgen.

 

DSGVO / Alles klar ?!

Inkrafttreten der Datenschutz-Grundverordnung

 

Ab dem 25.05.2018 beginnt für viele Unternehmen eine neue Zeitrechnung im Bereich des Datenschutzes. Mit dem genannten Datum gilt das europäische Datenschutzrecht, die Datenschutz-Grundverordnung (DSGVO). Die DSGVO gilt als EU-Verordnung unmittelbar in den Mitgliedsstasten und muss nicht wie EU-Richtlinien erst von den jeweiligen Parlamenten umgesetzt werden.

Es werden zwar viele datenschutzrechtliche Änderungen wirksam, aber dies sollte kein Grund zur Panik sein. Wer bisher die  Vorschriften des Bundesdatenschutzgesetzes (BDSG) bzw. bei öffentlichen Stellen, die entsprechenden Landesdatenschutzgesetze beachtet und angewendet hat, hat bereits eine gute Grundlage für die Überleitung zu den Vorschriften der GSDVO.

Datenschutz-informationen-goettingen

DSGVO – Neuigkeiten

 

Bei der Vorbereitung auf die DSGVO sollte man sich als erstes die folgenden beiden Artikel anschauen:

  • Art. 5 Abs. 2 DSGVO: Die Rechenschaftspflicht über die Einhaltung der DSGVO Grundsätze. Genau, Sie haben richtig gelesen: Sie haben eine Rechenschaftspflicht zur Einhaltung der Datenschutz-Vorschriften. Sollte es zu einem Streitfall kommen, müssen Sie als Verantwortlicher die Einhaltung der Vorschriften belegen können.
  • Art. 24 DSGVO: Verantwortung des für die Verarbeitung Verantwortlichen. Der Verantwortliche (die Unternehmensleitung) hat die technischen und organisatorischen Maßnahmen umzusetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.
  • Art. 83 DSGVO: Dieser Artikel kann so mancher Unternehmensleitung Kopfschmerzen bereiten. Die Geldbußen wurden im Zuge der DSGVO massiv erhöht. Im schlimmsten Fall sind Geldbußen bis zu einer Höhe von 20.000.000 Euro bzw. bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs möglich, je nachdem, welcher der Beträge höher ist. Dies wird sicherlich die Ausnahme sein, aber es ist zu erwarten, dass die durchschnittlichen Bußgelder steigen werden.

Hierbei sollte man auch bedenken, dass die Bußgelder europaweit ähnlich sein sollen. In einem Mitgliedsstaat kann das Bußgeld für ein vergleichbares Vergehen nicht vollkommen anders ausfallen als im Nachbarland.

 

Es werden demnächst wahrscheinlich viele sog. „Datenschutzberater“ unterwegs sein, welche mit der Angst aufgrund der hohen Bußgelder schnelles Geld machen wollen. Dies wird sicherlich auch oft funktionieren, aber es ist meiner Ansicht nach der falsche Ansatz.

Die Umsetzung der DSGVO in einem Unternehmen kann nämlich enorme Vorteile mit sich bringen, da viele Prozesse strukturiert werden müssen und viele Abläufe im Unternehmen transparenter werden. Dabei werden unnötige und somit unwirtschaftliche Prozesse identifiziert und der gesamte Betriebsablauf kann oftmals optimiert werden.

Weiterhin ist ein implementiertes Datenschutzmanagement-System oft ein erheblicher Wettbewerbsvorteil, da dies auch öffentlichkeitswirksam Vorteile gegenüber den Mitbewerbern bringen kann.

 

 

 

 

 

 

Image courtesy of Master isolated images/ FreeDigitalPhotos.net