Die DSGVO in der Praxis – was genau tun?
Die EU-DSGVO – EU-Datenschutzgrundverordnung – wird ab dem 25. Mai 2018 europaweit angewandt. Wie können Unternehmen die sich daraus ergebenden Anforderungen praxisnah umsetzen? Diese Frage wird, je näher der Termin kommt, immer dringender. Aber der Reihe nach:
Welche Anforderungen an Unternehmen ergeben sich überhaupt?
Zunächst einmal: Vieles bleibt gleich. Beispielsweise wird sich nichts daran ändern dass jedes Unternehmen, egal wie groß es ist, Datenschutz einhalten muss.
Die Verantwortlichkeit für die Einhaltung des Datenschutzes im Unternehmen wird auch weiterhin beim Inhaber, Vorstand, Geschäftsführer oder beim Gründer liegen . Auch die Pflicht bei vorliegen bestimmter Bedingungen einen Datenschutzbeauftragten bestellen zu müssen ändert sich nicht.
Was sich aber ändert ist die Pflicht, die Einhaltung der Datenschutzvorschriften nachweisen zu können. Jedes Unternehmen muss auf Verlangen darüber belegbar Auskunft geben können welche Maßnahmen in technischer und organisatorischer Hinsicht getroffen wurden die Datenschutzbestimmungen einzuhalten.
Dazu kommt eine Stärkung der Rechte der Betroffenen bezüglich Auskunft über gespeicherte Daten, deren Berichtigung und Löschung. Eine der wesentlichen Änderungen betrifft die Anforderungen an technische Schutzmaßnahmen. Diese müssen „dem aktuellen Stand der Technik“ entsprechen.
Konkret bedeutet das, dass Unternehmen ihre Prozesse kennen und die Verarbeitung personenbezogener Daten darin detailliert beschreiben müssen. Bestandteil der Beschreibung sind auch die getroffenen technischen Schutzmaßnahmen. Das Datenschutzrecht sieht dafür die sog. Liste der Verarbeitungstätigkeiten – auch als Verfahrensverzeichnis bekannt – vor.
Wie mach ich das jetzt um der DSGVO gerecht zu werden?
In der Praxis empfiehlt es sich Datenschutz und IT-Sicherheit als Einheit zu betrachten. Zwar beschäftigt sich Datenschutz, anders als IT-Sicherheit, auch mit Daten, die nicht elektronisch verarbeitet werden, jedoch ist dieser Fall, gerade bei neugegründeten Unternehmen, kaum zu erwarten. Was ist also zu tun?
Schritt 1: Erstellen Sie für Ihr Unternehmen eine Leitlinie zu Datenschutz und IT‑Sicherheit. Darin beschreiben Sie auf zwei bis drei Seiten die grundsätzliche Haltung des Unternehmens zu Datenschutz und IT-Sicherheit. Tenor dieses Dokuments ist „wir halten uns an die Vorschriften und stellen sicher, dass unsere Daten nicht in falsche Hände geraten“.
Schritt 2: Aufbauend auf die Leitlinie erstellen Sie Verfahrensanweisungen zu ihren Prozessen. Auch hier eine bis zwei Seiten pro Prozess mit Informationen darüber wer für den Prozess verantwortlich ist, welche Daten erfasst werden, wer Zugriff auf diese Daten hat und im Falle von personenbezogenen Daten, warum (Rechtsgrundlage) diese Daten verarbeitet werden.
Schritt 3: Erstellen Sie IT-Sicherheitsanweisungen mindestens zu folgenden Themenbereichen:
- Datensicherung und Rücksicherung der Daten im Notfall
- Benutzerkonzept (wer legt an, in welchen Systemen werden Benutzer angelegt, wer legt fest auf welche Daten Benutzer zugreifen dürfen, welches Verhalten erwartet das Unternehmen von den Benutzern)
- Systemadministration (wer hat administrativen Zugriff auf Systeme, welches Verhalten erwartet das Unternehmen von den Administratoren)
Schritt 4: Erstellen der Liste der Verarbeitungstätigkeiten (Verfahrensverzeichnis) auf der Basis der im Unternehmen eingeführten Prozesse mit Verweis auf die IT‑Sicherheitsanweisungen.
Schritt 5: Schulen Sie Ihre Mitarbeiter zu Datenschutz und IT-Sicherheit. Verpflichten Sie Ihre Mitarbeiter schriftlich auf die Einhaltung der Datenschutzvorschriften und der von Ihnen erlassenen IT‑Sicherheitsanweisungen. Ich empfehle, diese Schulungen und Verpflichtungen jährlich zu wiederholen.
Sobald diese Minimalanforderungen erfüllt sind, müssen diese Dokumente, ständig auf dem aktuellen Stand gehalten werden und sollten Stück für Stück um weitere und ggf. detailliertere Anweisungen ergänzt werden.
Wenn Sie Dienstleistungen einkaufen, stellen Sie sicher, dass die Verträge Regelungen zum Datenschutz beinhalten. Auch durch den Einkauf externer Dienstleistungen bleiben Sie als Inhaber, Geschäftsführer oder Vorstand die verantwortliche Person zur Einhaltung des Datenschutzes und werden bei Verstößen – auch bei Verstößen durch Ihre Dienstleister Ihre Daten betreffend – zur Verantwortung gezogen.
Und wie geht‘s jetzt in der Praxis weiter?
Dieses Thema DSGVO ist komplex und benötigt Erfahrung in mehreren Gebieten. Konkrete Maßnahmen hängen immer von der jeweiligen Situation im Unternehmen ab. Einflussfaktoren sind z.B. die eingesetzten IT-Systeme, der Geschäftszweck, der Einsatz von Online- bzw. Web-Shop und dergleichen mehr.
Daher ist es nicht möglich Patentrezepte zu geben mit denen durch abarbeiten von Checklisten Datenschutz und IT‑Sicherheit hergestellt werden können. Auch wenn IT ein wesentlicher Bestandteil des Datenschutzes ist, handelt es sich dabei jedoch nicht um ein IT-Thema sondern, ähnlich wie z.B. Steuern und Jahresabschluss um ein sog. „Compliance“ Thema das in der obersten Führungsebene eines Unternehmens angesiedelt ist.
Um die Minimalanforderungen des Datenschutzrechts zu erfüllen, sind die oben aufgezeigten 5 Schritte ein Anfang. Um allerdings den Anforderungen der DSGVO in der Praxis, des Datenschutzes und – auch im Interesse des eigenen Unternehmens – der IT-Sicherheit gerecht zu werden, sollte es mit Spezialisten besprochen werden.
Weitere Informationen, Beratung und Hilfe zum Datenschutz und IT-Sicherheit finden Sie auf https://ds-itsec.de