Datenschutz-Compliance – Mit uns fit durchs Jahr 2023!
19. Januar 2023 | IT- und Datenschutzrecht
Im Rahmen unserer Beraterpraxis fällt uns immer wieder auf, dass einige Unternehmen vor der Herausforderung stehen, den teils „dichten Urwald“ des Datenschutzrechts zu durchdringen. Das liegt sicherlich auch daran, dass (gutgemeinte) Erklärungsversuche entweder zu abstrakt oder zu kleinteilig sind. Es fehlt schlichtweg der Blick fürs „Wesentliche“. Nur nachvollziehbar, dass dies oftmals einem aufkommenden Tatendrang schadet – obwohl Nachlässigkeiten in diesem Bereich nicht selten sensibel abgestraft werden. Ein „vor sich herschieben“ sollte also vermieden werden.
Wir möchten Sie und Ihr Unternehmen gerne bei anstehenden datenschutzrechtlichen Projekten unterstützen und Ihnen bei der Implementierung eines Datenschutzmanagementsystems (DSMS) zur Seite zu stehen.
Insoweit möchten wir zunächst damit beginnen, Ihnen die grundlegenden Basics des Datenschutzes vorzustellen, welche für die Datenschutz-Compliance in Ihrem Unternehmen von herausragender Bedeutung sind. Ohne dieses Grundverständnis ist es praktisch nicht möglich, eine datenschutzrechtlich sichere Dokumentation zu schaffen und diese aufrechtzuerhalten.
Informations- und Löschpflichten / Betroffenenrechte
Datenschutzrechtlich Verantwortliche haben die Informationspflichten aus Art. 13, 14 DSGVO zu beachten. Typischerweise erfüllt der Verantwortliche diese Informationspflichten in den Datenschutzhinweisen auf der Unternehmenswebsite sowie mit Mitarbeiter- und Kundeninformationsblättern.
Betroffene Personen sind in der Regel bereits bei Erhebung von personenbezogenen Daten über die Umstände der Datenverarbeitung zu informieren. Die Informationspflichten bilden außerdem die Basis für die Ausübung der Betroffenenrechte aus Art. 15 ff. DSGVO (beispielsweise das Auskunftsrecht). Damit geht die wesentliche Pflicht einher, personenbezogene Daten zu löschen, wenn sie für den Zweck der Verarbeitung nicht mehr benötigt werden. Um die fristgerechte Löschung und zugleich eine datenschutzkonforme Sicherung der Daten zu gewährleisten, ist die Implementierung eines Löschkonzepts für Unternehmen unverzichtbar.
Diese vorgenannten Pflichten stellen häufig eine Art „Aushängeschild“ für die Aufsichtsbehörden dar. Insoweit sollten hier keine Fehler passieren.
Verzeichnis von Verarbeitungstätigkeiten (kurz: VVT)
Grundsätzlich ist jedes Unternehmen nach Art. 30 DSGVO dazu verpflichtet, ein VVT zu führen. Ein VVT ist ein wesentlicher und zwingender Bestandteil eines Datenschutzmanagementsystems. Ein VVT dokumentiert die Verarbeitungsvorgänge, eingesetzte Softwaretools und Datenflüsse in einem Unternehmen und ermöglicht diese zu kontrollieren und zu analysieren. Dies ist u.a. erforderlich, um die Zulässigkeit einer Datenverarbeitung zu überprüfen und Risiken zu erkennen. Üblicherweise ist die Kontrolle des Verzeichnisses bei einer datenschutzbehördlichen Prüfung der erste Anknüpfungspunkt. Ein Fehlen wird entsprechend penibel sanktioniert, etwa durch ein Bußgeld.
Vertrag zur Auftragsverarbeitung (kurz: AVV)
Bei einer Auftragsverarbeitung beauftragt ein Unternehmen einen externen Dienstleister, weisungsgebunden personenbezogene Daten zu verarbeiten (Art. 28 DSGVO). Der Abschluss eines AVV ist insbesondere für Cloud-, Wartungs- und sonstige IT-Dienstleistungen von Bedeutung, in denen im Kern personenbezogene Daten verarbeitet, gespeichert oder anderweitig genutzt werden.
Risikoanalyse
Bei einer datenschutzrechtlichen Risikoanalyse geht es darum, falsche oder fehlerhafte Verarbeitungen personenbezogener Daten zu erkennen und zu beurteilen, ob sich hierdurch ein Risiko für die Rechten und Freiheiten betroffener Personen entwickeln kann. Ausgangsprunkt bilden hier die dokumentierten VVT. Ergibt die Analyse, dass ein solches Risiko besteht, muss der Verantwortliche angemessene Schutzmaßnahmen ergreifen. Insbesondere muss ein dem Risiko angemessenes Schutzniveau durch die wirksame Umsetzung technischer und organisatorischer Maßnahmen (sog. „TOMs“) gewährleistet und nachgewiesen werden.
Datenschutzfolgeabschätzung (kurz: DSFA)
Bei der Risikoanalyse ist daher auch die Datenschutzfolgeabschätzung (Art. 35 DSGVO) von besonderer Bedeutung. Ziel ist es, auf der Grundlage einer Risikoanalyse – wie der Name schon sagt – die Folgen und Risiken einer Verarbeitung abzuschätzen, um frühzeitig Schutzmaßnahmen ergreifen zu können. Eine DSFA ist zwingend durchzuführen, wenn eine Verarbeitung erkennbar voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge hat. Ein hohes Risiko kann etwa bei der Verwendung neuer Technologien (z.B. GPS-Tools oder Videoüberwachung) oder aufgrund der Art, des Umfangs, der Umstände oder des Zwecks der Verarbeitung (z.B. bei der Verarbeitung von Gesundheitsdaten) anzunehmen sein.
Drohen Konsequenzen bei Nichteinhaltung?
Die Beachtung und rechtssichere Durchführung der Vorgaben aus der DSGVO ist für Unternehmen von besonderer Bedeutung. Bei einem Verstoß gegen die vorgenannten Pflichten drohen u.a. Geldbußen. Über Sanktionen entscheiden die Aufsichtsbehörden, welche in der Vergangenheit immer häufiger von ihren Befugnissen Gebrauch machten und immer höhere Strafen für vermeintlich geringfügige Verstöße festsetzten. Viele Aufsichtsbehörden gehen nämlich mittlerweile davon aus, dass die verantwortlichen Unternehmen die wesentlichen „Grundsätze“ verstanden haben und sich entsprechend DSGVO-konform verhalten.
Wir sind für Sie da!
Nach unserer Erfahrung ist daher selten der fehlende Wille für die (teils) unzureichende Umsetzung der datenschutzrechtlichen Pflichten verantwortlich, sondern vielmehr die Sorge davor, bestehende Arbeitsabläufe und Organisationen völlig neu aufbauen zu müssen. In der Praxis zeigt sich aber oft, dass solche einschneidenden Änderungen aber gar nicht nötig sind. Vielmehr helfen wir dabei bestehende Möglichkeiten und Gestaltungsspielräume rechtssicher zu nutzen.
Wir stehen Ihnen gerne mit unserer langjährigen Erfahrung im Bereich des Datenschutzes zur Seite.
Sprechen Sie uns gerne an!