Datenschutz in der EU

Seit 2018 ist die Europäische Datenschutzgrundverordnung maßgebend, für jeden, der in der Union personenbezogene Daten verarbeiten möchte. Zwar gibt es auch nationale Gesetzgebungen zum Datenschutz, wie das BDSG in Deutschland, da die DSGVO jedoch unmittelbar in jedem Mitgliedsstaat wirkt und Anwendungsvorrang vor nationalem Recht hat, schließen diese eigentlich nur Lücken.

Die DSGVO legt Unternehmen Auflagen auf, wobei die Anforderungen so streng sind, wie in wohl keinem anderen Binnenmarkt der Welt. Dies nicht zu Unrecht, denn personenbezogene Daten sind enorm schützenswert, da sie unter anderem viel Macht bedeuten. So ist es für viele, besonders kleinere Unternehmen, herausfordernd, die Auflagen des Datenschutz-Rechts umzusetzen.

Wie sollte dies also ablaufen?

Das Datenschutzmanagementsystem

Auf Expertise ist bei so einem anspruchsvollen Thema wie der Umsetzung der DSGVO natürlich nicht zu verzichten. Deswegen sollte immer auf einen externen Datenschutzbeauftragten zurückgegriffen werden.

Aus den vielen Auflagen, die die DSGVO so mit sich bringt, ergibt sich, dass das Management, bezüglich Datenschutzes, System haben muss. So ein Datenschutzmanagementsystem ist jedoch nicht explizit von der DSGVO vorgeschrieben.

Dennoch ist es wichtig, denn ohne eine vernünftige Strukturierung von Abläufen und Maßnahmen, kann die Einhaltung der DSGVO schwer garantiert werden.

Ein solches System soll festlegen, wie der Datenschutz konkret zu funktionieren hat und dabei auch, wer sich darum kümmert.

Wie konkret sollte es aber erstellt werden?

Aufbau mit Microsoft Office

DSMS lassen sich hervorragend mit Microsoft Office konzipieren.

Es ist durchaus sinnvoll, eine einzelne Datei für die Organisation des Datenschutzes innerhalb eines Unternehmens zu haben, die jedoch in unterschiedliche Tabs unterteilt werden. Darin enthalten, sollten alle wesentlichen und relevanten Information, für den Nachweis der Einhaltung der DSGVO, sein. Darunter fallen das Hauptblatt, die Verarbeitungstätigkeiten, die TOM und die Datenschutz-Folgenabschätzung.

Das Hauptblatt

Erster und auch repräsentativer Aspekt des DSMS, ist das sogenannte Hauptblatt.

Dort sollten alle Angaben zu dem Datenschutzbeauftragten und den Verantwortlichen zu finden sein.

Auch können und sollten hier interne Vorgaben durch den Verantwortlichen festgelegt werden, die den Umgang mit der DSGVO für Mitarbeiter erleichtern. Wichtig ist dort ein funktionierendes Grundgerüst für die nachfolgenden Verarbeitungstätigkeiten zu schaffen.

Das Verzeichnis der Verarbeitungen

Nachfolgend sollte das Verarbeitungsverzeichnis in der Datei zu finden sein. Exel ist dabei gut geeignet, um eine strukturierte Übersicht über die Verfahren zu gewährleisten.

Empfehlenswert ist die Bezeichnung einer jeden Verarbeitung, die nummerisch weiterverfolgt werden kann, ähnlich wie bei einer Artikel- oder Bestellnummer in einem Lager.

In der Kopfzeile sollten nun sowohl diese Nummer oder Bezeichnung als auch Datum und Uhrzeit des Beginns der Tätigkeit und der Name des genutzten Tools, vermerkt sein.

In den weiterführenden Zeilen sollten Sie dann die betroffenen Abteilungen, sowie die Mitarbeiter auflisten, die personenbezogene Daten verarbeiten. Es muss auch enthalten sein, welche Daten betroffen sind, welche Personen betroffen sind und welche Rechtsgrundlagen, Löschfristen und Aufbewahrungsfristen zugrunde liegen. Dies einzuhalten und nachzuweisen, ist von enormer Wichtigkeit.

Datenschutzfolgeabschätzung und Risikoanalyse

Um die Datenschutzfolgeabschätzung, beziehungsweise die Risikoanalyse zu den Verarbeitungstätigkeiten, in einem Tab festzuhalten, ist eine Verlinkung zu dem durchgeführten Verfahren notwendig. Für eine DSFA und einer Risikoanalyse bedarf es zweier unterschiedlicher Verfahren. Dabei ist anzumerken, dass die Durchführung einer DSFA wesentlich einfacher ist, wenn alles andere sauber dokumentiert wurde. Bei der Dokumentation der Verfahren und Maßnahmen sollten also keine Lücken oder Fehler zu finden sein.

Die Implementierung in Excel ist jedoch durch eine simple Verlinkung zu dem gegebenen Verfahren leicht zu bewerkstelligen.

TOM

Die TOM, die technischen und organisatorischen Maßnahmen sind auch einer der großen Aspekte, die jedes gesunde DSMS beinhalten muss.

Dies sind, wie der Name schon sagt, alle Maßnahmen, die das Unternehmen intern ergreift, um personenbezogene Daten zu schützen und damit der DSGVO gerecht zu werden.

Die organisatorischen Maßnahmen sind dabei als räumlich zu sehen und beinhalten Aspekte, die beispielsweise verhindern, dass nicht Befugte an Daten gelangen, die sie eigentlich nicht einsehen dürfen. Auch die Einteilung von Personen, die im Notfall auf gewisse Gegebenheiten reagieren, sollte Teil der organisatorischen Maßnahmen sein.

Technische Maßnahmen sind digitale Vorkehrungen, wie Verschlüsselungen oder die Pseudonymisierung. Sie sollten logischerweise funktional sein, also die Integrität und Vertraulichkeit der Verarbeitungen wahren und auch die Reaktion auf Zwischenfälle bestmöglich gewährleisten. Dazu gehören auch regelmäßige Kontrollen.

In der Excel-Datei sollten alle Maßnahmen, den technischen auf der einen Seite und den organisatorischen auf der anderen Seite, zugeordnet werden.

Fazit

Ein DSMS ist also unverzichtbar, um eine möglichst gute Überwachung der Verarbeitung von personenbezogenen Daten zu gewährleisten. Das DSMS sollte in einer Datei zu finden sein und das Hauptblatt, das Verzeichnis für Verarbeitungstätigkeiten, die TOM und Daten zur Risikoanalyse bzw. DSFA enthalten.

Grundsätzlich gilt jedoch, dass bei allen komplizierten und auch komplexen Angelegenheiten, die im Zusammenhang mit der DSGVO stehen, ein externer DSB herangezogen werden sollte, dessen Aktivitäten ebenfalls in der DSMS-Datei zu finden sein müssen. Andernfalls ist es kaum möglich auf all die bestehenden Problematiken der DSGVO zu reagieren und dabei auch ein funktionierendes und nachhaltig erfolgreiches Unternehmen zu führen.

