Verarbeitungen

Datenschutzkonzept

erstellt am 23.04.19 von

Kaum zu glauben – es ist Herbst und die Datenschutz-Grundverordnung (DSGVO) schon seit einigen Monaten verbindlich. Die erste Panik scheint vorüber. Vielleicht nutzt auch Ihr Unternehmen die Gunst der Stunde, um mit Blick auf das letzte Quartal dieses Jahres „noch schnell“ neue Projekte in Angriff zu nehmen. Beispielsweise die Einführung einer neuen Software.

Datenschutzkonformität ist das Gebot

Jede Datenverarbeitung im Unternehmen muss datenschutzkonform sein. Das mag für Sie als Datenschutzexperte ein alter Hut sein – allerdings werden seit Anwendung der DSGVO teilweise höhere Anforderungen an die datenschutzrechtliche Bewertung und Gestaltung von Datenverarbeitungen gestellt. So ist mit der DSGVO der risikobasierte Ansatz zum Schutz der Rechte und Freiheiten der von der Verarbeitung betroffenen Personen in den Fokus gerückt.

Gemäß Art. 32 DSGVO sind nunmehr unter anderem die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen ausschlaggebend dafür, welcher Schutz notwendig ist. Ziel der Beurteilung des Risikos ist, die möglichen Konsequenzen einer Datenverarbeitung detailliert zu analysieren, geeignete Schutzmaßnahmen abzuleiten, Schwachstellen zu identifizieren und zu beseitigen, bevor ein Schaden entstehen kann.

Strukturierte Vorgehensweise zur Risikobewertung von Verarbeitsungsverfahren

Die Folge für Ihr Unternehmen ist, eine strukturierte Vorgehensweise zu etablieren, um bei allen Verarbeitungsverfahren die Risiken bewerten zu können. Das Ergebnis dieser Bewertung führt dann entweder dazu, Maßnahmen nach Art. 32 DSGVO zu ergreifen bzw. anzupassen oder eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchzuführen.

Praxisbeispiel neue Software: Mit diesen 2 Tipps gehen Sie richtig vor

Folgende Tipps geben Ihnen eine Orientierung, wie Sie als Datenschutzbeauftragter bei der Einführung neuer Verarbeitungsverfahren – wie z. B. einer neuen Software – vorgehen können.

Tipp 1: Bringen Sie sich als Datenschutzbeauftragter von Anfang an mit ein

Leider ist folgende Situation keine Ausnahme: Bei neuen Projekten ziehen die Verantwortlichen Sie als Datenschutzbeauftragten erst spät hinzu. Dann ist zumeist schon alles entschieden und „in trockenen Tüchern“, und Sie haben es schwer, Ihr Datenschutz-Know-how noch einfließen zu lassen. Eine datenschutzkonforme Gestaltung wird nun zu einer besonders großen Herausforderung – und nicht selten entstehen sogar zusätzliche Kosten. Ihr Ziel als Datenschutzbeauftragter ist deshalb, sich frühzeitig in Veränderungsprozesse einzubringen.

Dabei hilft Ihnen ein gutes Netzwerk. Je besser Sie im Unternehmen vernetzt sind und je größer Ihr Bekanntheitsgrad ist, desto höher sind die Chancen, dass Sie frühzeitig von geplanten Neuerungen erfahren und Ihre Beratung angefragt wird. Eine frühe Integration führt auch dazu, dass Sie über den Sinn und Zweck des Projektes von Anfang an informiert sind. Aus den Diskussionen, beispielsweise im Rahmen des Kick-off-Termins, erfahren Sie direkt die Zwecke der Datenverarbeitung und damit den Ausgangspunkt Ihrer Bewertung und Beratung.

Tipp 2: Nehmen Sie Einsicht in die Dokumentation

Um sich im zweiten Schritt einen umfassenderen Überblick über die geplante Verarbeitung zu verschaffen, nehmen Sie Einsicht in die Projekt- oder Produktdokumentation. Sichten Sie hier insbesondere:

  • das Pflichtenheft oder ein anderes einer Softwareentwicklung bzw. -einführung dienendes Dokument
  • das Datenmodell, aus dem Ihnen Art und Umfang der zu verarbeitenden personenbezogenen Daten ersichtlich werden
  • das Datenflussmodell, aus dem Sie die Datenströme erkennen können.

Checkliste für Einführung eines neuen Verfahrens zur Verarbeitung personenbezogener Daten

Führen Sie in Ihrem Unternehmen eine neue Software ein, mit der personenbezogene Daten verarbeitet werden, nehmen Sie eine datenschutzrechtliche Prüfung vor. Damit Sie keinen wichtigen Aspekt übersehen, nutzen Sie die folgende Checkliste:

1. Rechtmäßigkeit der Verarbeitung, Treu und Glauben

Verarbeiten wir im Unternehmen die Daten rechtmäßig? 

Personenbezogene Daten müssen gemäß den Grundsätzen aus Art. 5 Abs. 1 DSGVO auf rechtmäßige Weise, nach Treu und Glauben verarbeitet werden. Um die Rechtmäßigkeit der Verarbeitung personenbezogener Daten zu gewährleisten, sind die Anforderungen aus Art. 6 Abs. 1 DSGVO zu erfüllen. Das Stichwort hier: Rechtsgrundlage!

2. Rechte der betroffenen Personen

Können wir die Rechte der von der Verarbeitung betroffenen Personen wahren?

Die Rechte der betroffenen Personen auf Information, Auskunft, Berichtigung, Löschung, Einschränkung sowie Datenübertragbarkeit, Widerspruchs- und Beschwerderecht sind nicht verhandelbar und können weder durch Vertrag oder Einwilligung noch durch Betriebsvereinbarung ausgeschlossen werden.

3. Datenminimierung

Ist das System so konzipiert, dass wir dem Grundsatz entsprechen? 

Der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 Buchst. c DSGVO muss bei allen Aspekten der Verarbeitung personenbezogener Daten berücksichtigt werden, sprich: von der Erhebung über die Verarbeitung bis zur Nutzung personenbezogener Daten.

4. Sicherheit der Verarbeitung gemäß Art. 32 DSGVO

Sind im System erforderliche technische und organisatorische Schutzmaßnahmen umgesetzt und können diese auch nachträglich dem Stand der Technik angepasst werden?

Gemessen an dem Schutzbedarf der verarbeiteten personenbezogenen Daten sind geeignete technische und organisatorische Maßnahmen zu ergreifen, die die Anforderung an die Vertraulichkeit, Integrität und Verfügbarkeit erfüllen. Bedeutsam ist auch, ob die Maßnahmen an den Stand der Technik angepasst werden können, wie etwa bei Verschlüsselungsverfahren. Wie bei jeder Datenverarbeitung sollte man auch hier für den Fall gerüstet sein, dass ein System oder ein Datenspeicher (z. B. Server, Festplatte) ausfällt. Lassen Sie sich erläutern, wie das Sichern und das Rücksichern (Backup) der Daten erfolgt.

5. Berechtigungs- und Rollenkonzept

Können wir das Konzept an die betrieblichen und datenschutzrechtlichen Anforderungen anpassen?

Jedes Unternehmen funktioniert anders. Wichtig ist es daher, dass auch Berechtigungen an die speziellen Bedürfnisse des Unternehmens und die geltenden Rahmenbedingungen (z. B. Betriebsvereinbarungen) angepasst werden können. Hier spielt das Erforderlichkeitsprinzip eine wichtige Rolle.

6. Export-, Auswertungs- und Druckfunktionen

Lassen sich Export-, Auswertungs- und Druckfunktionen anpassen?

Für eine datenschutzkonforme Gestaltung ist maßgeblich zu regeln, wer welche Informationen und Auswertungen für welche Zwecke erhalten darf. Lässt sich eine entsprechende Regelung im System technisch nicht umsetzen, ist von einem Einsatz dieses Systems abzuraten.

7. Wartungsarbeiten

Wie gehen wir bei notwendigen Wartungsarbeiten oder System- und Softwareaktualisierungen vor?

Jedes System benötigt Wartung und regelmäßige Updates. Nicht selten werden die notwendigen Arbeiten von externen Dienstleistern durchgeführt. Können Sie die Kenntnisnahme personenbezogener Daten durch den beauftragten Dienstleister nicht ausschließen, müssen Sie eine Vereinbarung gemäß § 28 DSGVO abschließen. Ist die Kenntnisnahme durch Unbefugte ausgeschlossen, ist keine Vereinbarung erforderlich.

8. Archivierung und Löschung

Wie können wir alte Datensätze für die Dauer bestehender Aufbewahrungspflichten archivieren und datenschutzkonform löschen?

Es gelten gesetzliche Vorgaben zur Berichtigung, Löschung und Sperrung personenbezogener Daten. Ist etwa der Zweck der Verarbeitung personenbezogener Daten erreicht und bestehen keine Aufbewahrungspflichten, müssen entsprechende Daten datenschutzkonform gelöscht werden. Bestehen Aufbewahrungspflichten, müssen die Daten für diesen Zeitraum aufbewahrt (archiviert) und deren Nutzung eingeschränkt werden können.