Die europäische Datenschutzgrundverordnung | Teil 3

Es sind nur noch sieben Monate!

29. Oktober 2017
von Börsenblatt
Ab dem 25. Mai 2018 ist die Europäische Datenschutz-Grundverordnung in Deutschland anzuwenden. Im abschließenden dritten Teil unserer Serie zu diesem Thema informiert Michael Vogelbacher darüber, wie jetzt in den Unternehmen und Verbänden schrittweise vorgegangen werden sollte.

Heute will ich Ihnen mitteilen, was Sie jetzt wie angehen müssen, damit Sie im Mai auf die neuen Datenschutzbestimmungen vorbereitet sind. Natürlich mag Ihnen das alles wie ein unüberwindbarer Berg vorkommen – insbesondere weil Sie doch so viele Prozesse mit personenbezogenen Daten in Ihrem Unternehmen verarbeitet werden. Meistern Sie diesen Berg in kleinen Etappen. Letztlich haben wir ja auch noch etwas Zeit bis Ende Mai 2018.

Zuerst: Bestandsaufnahme

Die Frage, was Sie jetzt angehen müssen richtet sich vor allem danach, was Sie bisher im Datenschutz schon umgesetzt haben. Generell gilt hier einfach und pragmatisch an das Thema heranzugehen. Denn nur wenn Sie das Thema effizient angehen wird der Datenschutz in Ihrem Unternehmen gelebt.

Am Anfang steht natürlich immer eine Bestandsaufnahme: Klären Sie also die Rollen in Ihrem Unternehmen, das heißt, wer kommt mit welchen personenbezogenen Daten in Berührung. Das sind zumeist Mitarbeiterdaten, Kundendaten, Lieferanten und Geschäftspartner.  Tragen Sie alle Ihre Prozesse zusammen, die dem Datenschutz unterliegen. Das machen Sie am besten mit einem dafür ausgebildeten Datenschutzbeauftragten.

Ich mache immer eine virtuelle Führung mit meinen Kunden durch ihr Unternehmen und ihre Abteilungen.  So gewinnen Sie einen Überblick über die einschlägigen Anwendungen und Prozesse, die personenbezogene Daten verarbeiten. Sind die Prozesse aufgenommen, sollten Sie diese Prozesse clustern bzw. klassifizieren. Je nach Unternehmensgröße sollten Sie zwischen 15 und max. 25 Verarbeitungsverzeichnisse bei kleinen Unternehmen zusammentragen.  Beispiele hierfür sind z.B. die  CRM-Datenbank Ihre Internetseite, ein WLAN, Ihre Telefonanlage,  Daten aus Ihrer Personalabteilung und natürlich ihr Fileserver.

Fünf datenschutzrelevante Bereiche

Was sind nun die wichtigsten Themen um die man sich kümmern muss? Nehmen Sie hier schon eine Risikoabschätzung vor. Wo lauern tatsächlich die Gefahren, dass  fehlende datenschutzkonforme Umsetzungen auch zu einem entsprechenden Schaden führen können?
Generell ist das natürlich alles, was mit Kunden zu tun hat. Also Ihre Kundendatenbank und Ihre Webseite und natürlich, wenn Sie als Dienstleister agieren, Ihre Auftraggeber. Denn diese können nun nach Art 28 III h) überprüfen, ob Sie sich bei der Verarbeitung Ihrer Daten auch entsprechend der neuen Datenschutzrichtlinien verhalten. Von daher empfehle ich Ihnen, sich um 5 Bereiche zu kümmern:

1. Die Verarbeitungsverzeichnisse (Art 30 EU DSGVO)
2. Die technisch organisatorischen Maßnahmen (TOM, Art 32 EU DSGVO)
3. Die Auftragverarbeitung (Art 28 EU DSGVO)
4. Die Betroffenenrechte (Art 12 EU DSGVO ff., insbesondere das Löschkonzept Art 17 EU DSGVO)
5. Die Datenschutzrichtlinien auf Ihrer Internetseite inklusive ePrivacy Verordnung.

Die Verarbeitungsverzeichnisse

Fangen wir mit dem Verarbeitungsverzeichnis an. Hier gibt es entsprechende Vorlagen im Internet, die Sie nur auszufüllen brauchen oder Ihr Datenschutzbeauftragter macht das für Sie.  Aber Vorsicht! Machen Sie nicht hunderte von Verarbeitungsverzeichnissen sondern ziehen Sie viele Prozesse und Abläufe in Ihrem Unternehmen in einem Verarbeitungsverzeichnis zusammen. Denn am Ende müssen Sie in iterativen Prozessen (Ich empfehle  einmal jährlich) prüfen, ob Ihre Prozesse auch noch datenschutzkonform sind und bei vielen aufgezeichneten Prozessen ist das dann nicht mehr praktikabel und wird wohl auch von niemandem gelebt werden.

Die technisch organisatorischen Maßnahmen

Bei den technisch organisatorischen Maßnahmen (TOM) nach Artikel 32 EU DSGV sind jetzt die sogenannten Schutzziele zu berücksichtigen. Das heißt bei jeder technischen oder organisatorischen Maßnahme müssen Sie diese auf Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste prüfen. Aber auch hier gibt es Vorlagen, wie Sie damit umgehen müssen. Aufwendiger ist die sogenannte Risikobetrachtung, die Sie in Bezug auf Ihre technischen Maßnahmen vornehmen müssen und natürlich begründet dokumentieren müssen. Denn nach Art 32 müssen Sie zur Beurteilung des angemessenen Schutzniveaus auch die Risiken berücksichtigen. Und selbstverständlich müssen Sie das alles nach Artikel 5 II EU DSGVO dokumentieren, damit Sie Ihrer Rechenschaftspflicht nachkommen. Sollte also Ihr Serverraum unter Wasser stehen und Sie hatten die Server auf den Boden gestellt, wäre es in der Risikoabwägung doch angebracht gewesen, die Server auf eine Europalette zu stellen, um diesem Schaden zu entgehen, der nun Ihr Unternehmen 3 Tage lang lahmlegt und zudem noch Kosten von 20 T € für neue Hardware und die Wiederherstellung der Daten verschlingt.

Haben Sie bereits Erfahrung mit dem Thema ISMS (Informationssicherheitsmanagementsystem) oder sind Sie gar nach ISO 27001 zertifiziert, dann ist das ganze Thema TOM ein Heimspiel für Sie, denn dann kennen Sie schon die wichtigen Elemente der Schutzbedarfsfeststellung. Eigentlich müssen Sie die TOM dann nur noch auf die personenbezogenen Daten anwenden.
Haben Sie keine Erfahrung mit dem ISMS, ist  das aber auch nicht tragisch. Sie können durch eine eigene Risikomatrix die Risiken der technisch organisatorischen Maßnahmen für Ihr Unternehmen selbst erarbeiten und bestimmen. Gleichwohl ist das natürlich etwas Aufwand. Bei der Risikoabschätzung geht es nicht darum, alle Risiken auszuschließen, die da lauern können. Das schaffen Sie sowieso nicht. Nein, es geht um das Bewußtsein, welche Risiken bestehen und dann um eine Einschätzung in Hoch, Mittel und Niedrig, um gegebenenfalls risikomindernde Umsetzungen vorzunehmen. Also Sie brauchen jetzt nicht unbedingt ein zusätzliches biometrische Schließsystem für Ihren Serveraum, aber diesen mit Schlüsselregelung abzuschließen wäre unter Risikoaspekten schon gut.

Die Auftragverarbeitung

Im Bereich der Auftragsverarbeitung tragen Sie zusammen, wer Ihre Dienstleister sind und für welche Unternehmen Sie als Dienstleister tätig sind. Ihre Dienstleister sollten Sie in jedem Fall, sofern Sie auch personenbezogene Daten verarbeiten (z.B. Hostingdienstleister) auf das Thema Datenschutz mit einem AVV-Vertrag (Auftragsverarbeitungsvertrag) gemäß Art 28 verpflichten. Machen Sie das als konzentrierte Aktion, d.h. sammeln Sie erst mal alle Dienstleister und schreiben Sie diese dann in einem Schwung an. Fordern Sie in jedem Fall auch die Beschreibung der Verarbeitung Ihrer personenbezogenen Daten ein und überprüfen Sie, ob die beigefügten TOM, zumeist als Anlage, stimmig sind. Notfalls fahren Sie auch mal hin und lassen sich das zeigen.

Die Betroffenenrechte

Wir sind ja alle Jäger und Sammler. Von daher bestehen die meisten Schwierigkeiten wohl darin, dann auch mal etwas wegzuwerfen oder in Bezug auf die personenbezogenen Daten zu löschen. Das ist Ihre Verpflichtung im neuen Datenschutz. Der Betroffene hat ein Recht auf die Löschung seiner Daten, wenn diese nicht mehr benötigt werden. Das ist eigentlich nichts Neues, wird aber jetzt in der EU DSGVO besonders hervorgehoben. Hier müssen Sie ein Löschkonzept entwickeln, das auf einer Löschregel beruht. Die Formel ist: Löschen = Regellöschfrist plus Startzeitpunkt. Als Beispiel mag dienen: Bewerberdaten haben z.B. eine Löschfrist von 3-6 Monaten, ab Startzeitpunkt (Eingang der Bewerbung).
Wenn Sie das jeweils festgeschrieben haben, müssen Sie nur noch die Einhaltung der Löschregeln dokumentieren und sicherstellen, dass auch wirklich das Löschkonzept umgesetzt wird. Eigentlich ganz einfach.

Die Datenschutzrichtlinien auf Ihrer Internetseite

Nun noch etwas zu den Datenschutzrichtlinien auf Ihrer Webseite. Hier müssen wir noch warten, wie genau die ePrivacy Verordnung nun aussieht, die auch die Cookie-Richtlinie ablösen wird. Eines ist jedenfalls jetzt schon klar, Sie haben umfangreiche Informations- und Transparenzpflichten aus der EU DSGVO und diese müssen Sie den Betroffenen gegenüber einhalten. Umgekehrt dürfen die Betroffenen immer Auskunft von Ihnen verlangen, welche Informationen Sie verarbeiten und an wen Sie diese rausgeben. Von daher nehmen Sie auch in diesem Bereich den Datenschutz ernst. Es gibt viele Beispiele für falsche Datenschutzbestimmungen auf Webseiten, die abgemahnt wurden. Und in Zukunft wird es richtig teuer.
Zum Abschluß verweise ich Sie noch auf meine beiliegende Checkliste, die Ihnen einzuschätzen hilft, wo Sie beim Thema Datenschutz stehen. Sie können sich diese Checkliste am Ende dieses Artikels unter Download runterladen und prüfen, wie weit Sie im Datenschutz schon fit sind.

Vortragsreihe in den Landesverbänden

Ab Mitte November startet meine Vortragsreihe zur betrieblichen Anwendung der Datenschutz-Grundverordnung in den Landesverbänden. Folgende Termine stehen bisher fest:

Berlin: 29. November 2017
Hamburg: 30. November 2017
Göttingen: 19. Januar 2018
Leipzig: 18. Januar 2018
München: 16. November 2017
Stuttgart: 15. November 2017
Wiesbaden: 31. Januar 2018

Sie können sich zu den Veranstaltungen in den Geschäftsstellen der entsprechenden Landesverbände anmelden an und dort genauer erfahren, wie Ihnen der Datenschutz helfen kann Ihre Prozesse im Unternehmen zu optimieren. Natürlich werden dann auch alle Ihre individuellen Fragen beantwortet werden können.

Und hier finden Sie Teil 1 und Teil 2 meiner Serie über die Europäische Datenschutzgrundverordnung auf bookbytes.