Unternehmen sind zukünftig verpflichtet die Einhaltung datenschutzrechtlicher Vorgaben nachweisen zu können. Dies bedeutet, dass die Dokumentationspflichten im Vergleich zur bisherigen Praxis nach dem BDSG deutlich verschärft werden.
Die Dokumentationspflichten nach Art. 30 Abs. 5 DSGVO sehen einer Erleichterung für Unternehmen mit weniger als 250 Mitarbeitern vor. Es ist davon auszugehen, dass diese Erleichterung nur für die wenigsten Unternehmen gelten wird. Die durchgeführte Datenverarbeitung darf kein Risiko für die Rechte und Freiheiten der Betroffenen bedeuten, die Verarbeitung darf nur gelegentlich erfolgen oder nicht die Verarbeitung besonders sensibler Daten einschließen.
Alleine die eigene Lohnbuchhaltung wird diesen Rahmen bereits sprengen, geht es doch um sensible Daten im Personenbezug und zudem um eine regelmäßige Verarbeitung im Unternehmen.
Auch der Kontakt mit personenbezogenen Daten im Rahmen einer Wartung ist für uns als IT-Dienstleister nicht zu vermeiden, analog zur bisherigen Regelung nach §11 Abs. 5 BDSG. Diese Datenverarbeitung erfolgt ebenfalls regelmäßig, ist sie doch eine unserer Kerntätigkeiten.
Brauchen wir einen Datenschutzbeauftragten?
Auch wenn die DSGVO in Verbindung mit dem BDSG-neu eine ähnliche Regelung zum aktuellen BDSG bilden wird, so sieht es die Planung in Berlin vor, halte ich einen Datenschutzbeauftragten fast für unumgänglich.
Selbst wenn keine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht, folgende Punkte müssen zukünftig erfüllt werden:
- Als Auftragsverarbeiter sind wir zukünftig zur Führung von Verarbeitungsübersichten verpflichtet. Dazu gehören die eigenen Verarbeitungen des Unternehmens, sowie die Verarbeitungen, die für den Auftraggeber ausgeführt werden.
- Es wird zukünftig in unserem Verantwortungsbereich liegen, die Weisungen des Auftraggebers auf Zulässigkeit zu überprüfen.
- Die Einhaltung der datenschutzrechtlichen Vorgaben für eigene Verarbeitungen muss gewährleistet sein.
Die Kenntnisse zur Erfüllung dieser Pflicht sowie zur Überprüfung der Einhaltung datenschutzrechtlicher Vorgaben werden regelmäßig kaum im Unternehmen vorhanden sein.
Zudem sehen die Regelungen für die Beauftragung von Auftragsverarbeitern vor, dass bei der Auswahl von Auftragsverarbeitern eine Berücksichtigung hinreichender Garantien erfolgen soll, dass diese die Maßnahmen ergriffen haben, die den Schutz der Rechte der Betroffenen gewährleisten. Hier kann ein externer Datenschutzbeauftragter hilfreich sein, in dem er den Auftragsverarbeiter prüft und die ergriffenen technischen und organisatorischen Maßnahmen bestätigt.
Wie sollte vorgegangen werden?
Egal ob mit oder ohne DSB, die neuen Dokumentationspflichten werden vollständig zu erfüllen sein. Folgende Punkte sollten daher schon jetzt umgehend abgearbeitet werden:
- Ermittlung aller Verarbeitungen im Unternehmen für eigene Zwecke. Zudem können auch jetzt schon die Verarbeitungen erfasst werden, die als Autragsdatenverarbeiter (zukünftig Auftagsverarbeiter) durchgeführt werden.
- Prüfung aller Regelungslücken im Unternehmen. Ist der Umgang mit personenbezogenen Daten im Unternehmen hinreichend geklärt und geregelt? Ist die private Nutzung der IT gestattet oder verboten? Gerade auch in Hinsicht auf mögliche Archivierungsmaßnahmen.
- Ermittlung und Dokumentation der eigenen technischen und organisatorischen Maßnahmen. Meistens gibt es einen grundlegenden Satz an technischen und organisatorischen Maßnahmen, die in den einzelnen Verfahren nur in wenigen Detailpunkten verfeinert oder geändert werden.
- Anlegen eines Dienstleisterverzeichnisses und Dokumentation der vertraglichen Regelungen und Kontrollen. Sofern nachträglich noch Vereinbarungen zur Auftragsdatenverarbeitung angefordert werden müssen, kann vielleicht schon auf eine angepasste Version gemäß DSGVO geachtet werden.
- Erstellung eines IT-Notfallplanes.
- Erstellung einer IT-Sicherheitsstrategie.
- Erstellung eines Datensicherungskonzeptes.
- Schulung der Mitarbeiter im Bereich Datenschutz. Zur Einhaltung der Nachweispflicht auch zukünftig mit Verpflichtung auf das Datengeheimnis, auch wenn in der DSGVO nicht mehr vorgesehen.
Damit sind die wichtigsten Dokumentationen erstellt nach aktuellem Stand erstellt. Im Anschluss sollten die bestehenden Prozesse / Verarbeitungen weiter analysiert werden und die notwendigen Anpassungen an die DSGVO ermittelt werden. Dazu gehört beispielsweise die Einrichtung einer Kontrolle, dass der Datenschutz in der entsprechenden Verarbeitung eingehalten wird. Während bisher lediglich eine Dokumentation des aktuellen Zustandes erfolgt, sind die datenschutzrechtlichen Bestandteile der Verarbeitungen zukünftig regelmäßig zu kontrollieren und dem PDCA-Zyklus zu unterwerfen (Plan/Do/Check/Act).
Mit der erfassten Informationen kann zudem auch die bestehende Vereinbarung zur Auftragsdatenverarbeitung mit den eigenen Kunden überarbeitet und für die DSGVO vorbereitet werden. Mögliche Subunternehmen sind zukünftig im Vorfeld festzulegen, wenn man diese nicht erst später separat freigeben lassen möchte.
