Die Datenschutzaufsichtsbehörde in Sachsen-Anhalt hat einen Leitfaden für kleine und mittlere Unternehmen veröffentlicht („Datenschutz ist Chefsache!“). In diesem Leitfaden werden verschiedene Aspekte des betrieblichen Datenschutzes beleuchtet, die insbesondere auch für kleine und mittlere Unternehmen von enormer Bedeutung sind. Das reicht von eher theoretischen Themen wie „Begriffsbestimmungen“, „Grundsätze der Verarbeitung“, „Rechtsgrundlagen“ bis zu praxisnahen wie „Datenschutzmanagement“, „Videoüberwachung“ sowie die „Unternehmenshomepage“.
Wie gut sind Sie aufgestellt?
Besondere Aufmerksamkeit verdient der letzte Abschnitt des Leitfadens, der einen kurzen Fragenkatalog für Unternehmen enthält, anhand dessen rausgefunden werden soll, wie gut das jeweilige Unternehmen im Datenschutz aufgestellt ist.
„Datenschutz ist Chefsache“
Zunächst wird der Wissensstand der Geschäftsleitung hinsichtlich verschiedener datenschutzrechtlicher Grundsätze erfragt:
„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“ (Art. 5 Abs. 2 DSGVO)
Ein sehr praxisrelevanter Grundsatz, der mit der Datenschutzgrundverordnung eingeführt wurde. Es reicht seither nicht mehr aus lediglich datenschutzkonform zu agieren, man muss dies auch jederzeit nachweisen können.
„Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“ (Art. 12 Abs. 1 DSGVO)
Darüber hinaus kennt die Datenschutzgrundverordnung weitreichende Informationspflichten, die zu berücksichtigen und einzuhalten sind. – Dafür ist es aber notwendig, dass diese unternehmensintern bekannt sind.
„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der […] zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ (Art. 33 Abs. 1 DSGVO)
Außerdem gibt es Pflichten, die innerhalb gewisser Fristen einzuhalten sind. Dafür ist notwendig, dass ein koordinierter Prozess vorgegeben ist, der wiederum ebenfalls bekannt sein sollte.
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“ (Art. 32 Abs. 1 DSGVO)
Wie schon oftmals erwähnt, funktioniert „Datenschutz“ nicht ohne „IT-Sicherheit“. Dass hierfür entsprechende Maßnahmen getroffen werden, ist durch die Datenschutzgrundverordnung verpflichtend.
Betriebsinterne Zuständigkeiten
Zusätzlich wird die Frage gestellt, wer – neben der Geschäftsleitung – unternehmensintern für Datenschutzthemen zuständig ist und ob gegebenenfalls ein Datenschutzbeauftragter benannt wurde.
Es müssten ebenso die Beschäftigten entsprechend informiert werden und auf die Beachtung der datenschutzrechtlichen Anforderungen verpflichtet.
„Bestandsaufnahme“
„Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“ (Art. 30 Abs. 1 DSGVO)
Ein Dauerthema aus Sicht der Aufsicht ist die Erstellung von einem Verzeichnis der Verarbeitungstätigkeiten. Dieses listet sämtliche Unternehmensprozesse auf, im Zuge derer personenbezogene Daten verarbeitet werden. Sollte es zu einem meldepflichtigen Datenschutzverstoß kommen, wird häufig auch nach der dokumentierten Verarbeitungstätigkeit seitens der Aufsichtsbehörde gefragt.
„Zulässigkeit der Verarbeitung“
„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: […]“ (Art. 6 Abs. 1 DSGVO)
Eine Frage, die sich jedem Unternehmen stellen sollte, ist die nach der Rechtmäßigkeit der Verarbeitung. Ist das, was ich tue, überhaupt gesetzeskonform? – Diese Frage sollte im Übrigen beantwortet sein, bevor die Verarbeitung als solche beginnt.
„Verträge prüfen“
„Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrages oder eines anderen Rechtsinstruments“ (Art. 28 Abs. 3 DSGVO)
Es muss sichergestellt sein, dass mit Dienstleistern, die im Auftrag des Unternehmens personenbezogene Daten verarbeiten, entsprechende Datenschutzverträge („Auftragsverarbeitungsvertrag“) abgeschlossen wurden. – Sollte der Dienstleister in einem Drittland seinen Sitz haben, sind darüberhinaus Vorkehrungen zu treffen, um für ein angemessenes Datenschutzniveau zu sorgen.
[Viele weitere hilfreiche Aspekte sind der Leitlinie aus Sachsen-Anhalt zu entnehmen.]
Fazit
Insbesondere der Fragebogen bietet Unternehmen eine praktische Hilfestellung, um selbst einschätzen zu können, inwieweit die Kernthemen des Datenschutzes innerhalb des Unternehmens adressiert wurden und wo noch Handlungsbedarf besteht.
Wer sich für eine tiefergehende Analyse interessiert, dem sei unser webbasiertes Audit-Tool privASSIST ans Herz gelegt. (Entsprechende Informationen finden Sie hier.)
Der Beitrag Fragenkatalog für KMU zur DSGVO: Wie gut sind Sie aufgestellt? erschien zuerst auf Das Datenschutz-Blog.