Fragen zur Umsetzung der EU-DSGVO im Unternehmen

Die europaweit geltende Datenschutzgrundverordnung (EU-DSGVO) hat zum Zweck, die personen­bezogenen Daten zu schützen, die Rechenschaftspflicht bei Verstößen zu erhöhen und zielt darauf ab, einen einheitlichen Datenschutzstandard innerhalb Europas zu gewährleisten. Sie kommt überall dort zum Einsatz, wo personenbezogene Daten automatisch verar­beitet, abgespeichert, genutzt und übermittelt werden. Seit Inkrafttreten der EU-DSGVO am 25. Mai 2018 ist der Umgang mit personenbezogenen Daten im Unternehmen in der Umsetzung weiterhin komplexer geworden, da die Verarbeitung der Daten minutiös protokolliert werden muss.

Auf die sogenannten zwei Rollen – die „Verarbeiter“ und die „Auftragsverarbeiter“ – wird die EU-DSGVO angewandt. Zu den Verarbeitern gehören verantwortliche Personen von Unternehmen und Behörden, die eine Webseite bzw. einen Onlineshop in Deutschland bzw. der EU betreiben oder Mitarbeiter beschäftigen, die personenbezogene Daten digital verarbeiten. Sie werden als Auftragsverar­beiter eingestuft, wenn sie Dienstleistungen im Auftrag von anderen handeln, für deren Ausführung die personenbe­zogenen Daten des Auftraggebers benötigt werden. Klassische Beispiele wären eine PR-Agentur oder ein Steuerberater.

Viele Unternehmen wollen in Sachen EU-DSGVO kein Risiko eingehen und verwenden daher oftmals Musterformu­lare – beispielsweise den Auftragsverarbeitungsvertrag (AV-Vertrag) oder zur Bestellung des Datenschutzbeauftragten. Ob diese Musterformulare wirklich passend sind, ist stets eine Einzelfallentscheidung.

Daten identifizieren, Prozesse definieren

Viele Unternehmen müssen einen Datenschutzbeauftragten bestellen. Bei Unternehmen, die automatisch und sehr häufig personenbezogene Daten verarbeiten, ist er Pflicht. Kleinbetriebe können von der Bestellung eines Datenschutzbeauftragten ausgeschlos­sen werden, wenn sie keine besonderen Daten verarbeiten. Besondere Datenkategorien können Herkunft, sexuelle Ausrichtung, Gesundheitsdaten, Bankdaten und andere sensible Informationen über Personen sein.

Geschützt sind personenbezogene Daten einer natürlichen Person, beispielsweise wie der Name, die Adresse, die ethnische Einstellung und die politische Überzeugung. Daten zur Gesundheit und sexuellen Orien­tierung sind als sensibel einzustufen. Nach Artikel 7 EU-DSGVO dürfen solche Daten ausschließlich mit der (schriftlichen) Einwilligung des Betroffenen genutzt werden.

Bei der Veröffentlichung eines Fotos, das einen Mitarbeiter darstellt, dreht sich der Spieß um. Hier geht es nicht mehr darum, die Grundlagen der Verarbeitung von personenbezogenen Daten zu kennen, denn nach der EU-DSGVO können die Mitarbeiter profitieren und verlangen, dass die Nutzung des Mitarbeiterfotos nur mit Einwilligung erfolgen darf.

Eine wichtige Aufgabe des Datenschutzbeauftragten ist die Erstellung eines Datenschutzberichts. Er kann als Tätigkeitsbericht des Datenschutzbeauftragten gegenüber der Geschäftsführung verstanden werden.

Zur lückenlosen Dokumentation der Verarbeitungsprozesse der personenbezogenen Daten ist das Verzeichnis von Verarbeitungstätigkeiten nach EU-DSGVO zu entwickeln. Dahinter versteckt sich eine tabellarische Datenauflistung, in der Angaben zur Datenverarbeitung erfasst werden. Zu diesen Daten gehören der Name, die Adresse und die Telefonnummer der entsprechen­den Person. Auf Anfrage ist diese Auflistung den Datenschutzbehörden zur Verfügung zu stellen. Hier werden sowohl die Daten unternehmensfremder (beispielsweise Auftragsverarbeiter) und -eigener Personen, erfasst.

Die sozialen Medien sind aus unserem Leben kaum mehr wegzudenken. Mittlerweile sind sie auch für Unternehmen ein integraler Bestandteil des Marketings eines Unternehmens geworden und ermöglicht die direkte Kommunikation mit Kunden und Interessenten. Seit Inkrafttreten der EU-DSGVO sollten Unternehmen eine Social Media Richtlinie bereithalten, die für mehr Transparenz sorgt und nur möglichst wenig personenbezogenen Daten verarbeitet. Diese besondere Neuerung ist die Einführung des „berechtigten Interesses“ eines Unternehmens. Wenn nach einer sorgfältigen Abwägung das unternehmerische Recht der Werbeschaltungen das Recht auf Privatsphäre einzelner Nutzer überwiegt, können personenbezogene Daten verwendet werden.

Datenschutzkonzept entwerfen

Definitionsgemäß ist ein Datenschutzkonzept eine zusammenfassende Dokumentation sämtlicher Aspekte, die den Datenschutz betreffen. In ihm werden die Ziele, Verantwortlichkeiten und Dokumen­tationspflichten nach der EU-DSGVO definiert, Das Datenschutzkonzept ist als ein wichtiges Strategiepapier eines Unternehmens zu verstehen. Sein Hauptzweck ist es, den Rechenschaftspflichten gegenüber den Datenschutzbehör­den zu genügen. Alle, die im Unternehmen personenbezogene Daten verarbeiten und dafür Zugriff auf die Daten erhalten, sollten prüfen, ob eine Verpflichtungs- und Vertraulichkeitserklärung zu unterzeichnen ist, um die Vertraulichkeit im Umgang mit diesen Daten zu gewährleisten.

Die beiden Funktionen Datenschutz und Datensicherheit sind eng miteinander verbunden. Der wichtigste Teil des Datenschutzkonzeptes ist die Sicherung der personenbezogenen Daten, um zu gewährleisten, dass kein Unbefugter auf diese Daten zugreifen kann. Im Kern lassen sich die folgenden Maßnahmen der Datensicherung unterscheiden:

Unter technischen Maßnahmen sind alle Schutzversuche zu verstehen, die im weitesten Sinne physisch umsetzbar sind, wie etwa

  • Umzäunung des Geländes
  • Sicherung von Türen und Fenstern
  • bauliche Maßnahmen allgemein
  • Alarmanlagen jeglicher Art

oder Maßnahmen die in Soft- und Hardware umgesetzt werden, wie zum Beispiel

Benutzerkonto

Passworterzwingung

Logging (Protokolldateien)

biometrische Benutzeridentifikation

  • oder die Sicherung, zusammengefasst Organisatorische Maßnahmen

 

Als organisatorische Maßnahmen sind solche Schutzversuche zu verstehen die durch Handlungsanweisung, Verfahrens- und Vorgehensweisen umgesetzt werden. Beispiele hierfür sind

  • Besucheranmeldung
  • Arbeitsanweisung zum Umgang mit fehlerhaften Druckerzeugnissen
  • Vier-Augen-Prinzip
  • festgelegte Intervalle zur Stichprobenprüfungen

Parallel dazu geht es darum, die Sicherh­eitsmaßnahmen so zu verstärken, dass der Grundsatz der Datenintegrität gewahrt bleibt. Gleichzeitig wird die Sicherheit des Datenzugriffs verbessert, indem geeignete Verschlüsselungstechniken eingesetzt werden, wenn der Bedarf festgestellt wurde. Eine Optimierung der Konzeptentwicklung mithilfe von zielgerichtet entworfenen Softwareprodukten kann bei der Umsetzung eine wirkliche Hilfe sein.

Datenschutz in einer Cloud – ist das möglich und sind Daten im Internet sicher?

Die EU-DSGVO hat auch einen Einfluss auf den Datenschutz in der Cloud. Im Zusammenhang mit der EU-DSGVO wird der kommerzielle Inhaber der Cloud als „Auftragsverarbeiter“ eingestuft. Als Konsequenz fällt eine Cloud-Dienstleistung unter die Verordnung der EU-DSGVO und muss angemessen geschützt werden. Die für den Datenschutz Verantwortlichen in einem Unternehmen müssen hierbei grundsätzlich den Datenschutz bestmöglich befolgen.

Doch nicht alles ist gleich – bei einer Ablage der Daten in der Cloud ist ein passender Schutz der Daten erforderlich. Auch die Verbindung mit der Cloud sollte mit einem Virenscanner oder Sicherheitssoftware abgesichert werden. Hilfreich ist die langfristige Absicherung durch ein kontinuierliches Monitoring, bei der die Verantwortlichen die volle Kontrolle der Daten in der Cloud behalten.

Andere Bereiche, die von der DSGVO betroffen sind

Es ist nicht immer das Viergestirn zwischen dem verantwortlichen Unternehmen, seinen Partnern, Mitarbeitern und Kunden, bei der die EU-DSGVO umgesetzt werden muss. Auch das Home-Office – gerne auch als Telearbeit bezeichnet – nimmt immer weiter zu. Sie erledigen ihre Arbeiten vollständig oder teilweise von zuhause aus, doch auch hier greifen Anforderungen  der EU-DSGVO.

Wie die Einhaltung des Datenschutzes im Home Office ist, zeigt diese Checkliste:

  • Inhalt der Nutzung
  • Sicherheitsmaßnahmen
  • Weisungsgebundenheit bezüglich der Daten
  • Zutritts- und Kontrollrechte
  • Regulierung des Datentransports einschließlich ihrer Übertragung
  • Regelungen beim Ausscheiden des Mitarbeiters

Auch Vereine und Verbände müssen die DSGVO anwenden, da die Mitgliederdaten personenbezogenen Charakter besitzen. Grundsätzlich ist Datenschutz im Verein genauso strukturiert wie der von Unternehmen – mit den gleichen Rechten und Pflichten für die Vereinsführung und die Mitglieder. Bei Vereinen spielen vor allem Informationspflichten gegenüber seinen Mitgliedern eine Rolle. Hierdurch wird die Transparenz gegenüber den Mitgliedern deutlich erhöht.

Inhalte eines Löschungskonzepts für personenbezogene Daten

Daten, darunter auch personenbezogene Daten, sollen nicht dauerhaft in Unternehmen verbleiben, wenn sie nicht mehr genutzt werden. Im Artikel 17 EU-DSGVO wird das „Recht auf Löschung“ geregelt, das auch gerne als „Recht auf Vergessen werden“ bezeichnet wird. Danach kann eine Person verlangen, dass seine personenbezogenen Daten durch das verantwortliche Unternehmen unverzüglich gelöscht werden muss. Dieses Unternehmen hat demzufolge die Pflicht, die personenbezogene Daten ebendieser Person zu löschen, sofern keine Aufbewahrungspflichten oder anderen Gesetze eine Regelung zur Speicherungsfrist vorschreiben.

DIN-Norm 66398: Vorgaben zur Entwicklung eines Löschkonzepts

In der EU-DSGVO werden die Anforderung an die Löschung der Daten klar formuliert. Um jederzeit handlungsfähig zu bleiben und eine Datenlöschung kurzfristig und vollständig erfolgen kann, sollten Unternehmen ein Löschkonzept entwickeln. Dies beginnt bereits bei der richtigen Abspeicherung der personenbezogenen Daten, denn laut Artikel 5 der EU-DSGVO sind die Daten so abzuspeichern, dass eine Identifizierung nur so lange möglich wird, wie es für den Verarbeitungszweck erforderlich ist. Darüber hinaus müssen Daten gelöscht werden, wenn sie den Zweck der Erhebung erfüllt haben.

Eine „Löschpflicht“ tritt ein, wenn die betroffene Person ihre Einwilligung zur Verarbeitung zurückzieht, Widerspruch gegen die Verarbeitung einlegt oder die personenbezogenen Daten unrechtmäßig erworben wurden. Für die Löschung muss entweder nach EU-Recht oder dem jeweils geltenden nationalen Recht, beispielsweise Bundesdatenschutzgesetz (neu), erfolgen. Diese „Löschpflicht“ greift nicht, wenn die personenbezogenen Daten weiterhin genutzt werden, hier spielt der Zweck der Nutzung eine Rolle. Werden die personenbezogenen Daten zur Ausübung der freien Meinungsäußerung, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen öffentlichen Interesses und zur Geltendmachung von Rechtsansprüchen benötigt, kommt die Löschpflicht nicht zur Geltung.

Die Norm DIN 66398 legt die grundlegenden Schritte zur Entwicklung des eigenen Löschkonzepts eines Unternehmens dar. Grundsätzlich sollten die folgenden Faktoren umgesetzt werden:

  1. Bestimmung der Datenarten, die in den Datenbeständen des Unternehmens vorhanden sind
  2. Zuweisung der Datenarten in eine jeweilige Löschklasse
  3. Festlegung der Regeln für die Löschung der einzelnen Datenarten
  4. Definition konkreter Umsetzungsmaßgaben
  5. Fortlaufende Dokumentation der ergriffenen Schritte

Für die Entwicklung eines gesetzeskonformen Löschkonzepts sollten die relevanten Fachbegriffe eindeutig definiert und den für die Daten Verantwortlichen bekannt sein. So bezeichnet die „Datenart“ alle Daten, die zu einem ge­meinsamen Zweck verarbeitet werden. Die „Löschfrist“ wiederum bezeichnet den Zeitraum, nach dessen Ablauf die Daten gelöscht sein sollten. Der „Startzeitpunkt“ legt fest, wann diese Löschfrist beginnt. In „Löschklassen“ werden die Daten erfasst – sortiert nach Löschfrist und .

Mitarbeiterschulungen für einen bewussteren Datenumgang

Die besten Maßnahmen zum Schutz der personenbezogenen Daten im Unternehmen können ihr Ziel nicht erreichen, wenn nicht alle Mitarbeiter für den Umgang der Daten sensibilisiert sind. Aus diesem Grund ist es notwendig, den Mitarbeitern, die mit den Unternehmensdaten umgehen, zu erklären, welche Dinge zu beachten sind oder was bei fehlender Sensibilisierung passieren kann.

Typische Schwachstellen im Datenschutz sind die Mitarbeiter im Unternehmen selbst. Mitarbeitern fällt der bewusste Umgang mit Daten schwer.