IM-Expertenpool: DSGVO : Datenschutz nach neuer EU-DSGVO schon im Griff?

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) konkretisiert und erweitert die bisherigen Forderungen der Datenschutzrichtlinie 95/46/EG. Unternehmen und Organisationen, die personenbezogene Daten erheben oder verarbeiten, müssen ihre verordnungskonformen Aktivitäten durch ein nachvollziehbares Datenschutzkonzept belegen. Die EU-DSGVO bringt Veränderungen in den Bereichen Rechtsgrundlagen, Umgang mit Betroffenenrechten, Nachweis-Dokumentationspflichten, IT-Sicherheit, Outsourcing, Beschäftigtendaten und Haftung mit sich. Bei Verstößen drohen empfindliche Bußgelder, die im Extremfall bis zu 20 Millionen Euro bzw. bis zu vier Prozent des weltweiten Jahresumsatzes betragen können.

Mit der neuen EU-DSGVO ist ein umfassendes Datenschutzkonzept unabdingbar, denn die damit verbundenen Auflagen sind vielfältig. Auch wenn der Begriff ‚Managementsystem’ in der Verordnung nicht explizit fällt, so ist aufgrund der Sanktions- und Haftungsrisiken für die konkrete Umsetzung ein umfassendes und systematisches Datenschutz-Managementsystem notwendig. Denn nur auf diese Weise lässt sich die in der Verordnung geforderte Rechenschaftspflicht bzw. Accountability umsetzen. Es unterstützt außerdem dabei, mögliche Verstöße bereits im Vorfeld zu erkennen und zu vermeiden.

Wie also sollte ein Unternehmen vorgehen, um die Anforderungen der neuen EU-DSGVO zu erfüllen? Am Anfang steht die Bestandsaufnahme. Dabei sind unter anderem folgende Fragen zu klären:

In welchen Prozessen werden personenbezogene Daten verarbeitet? Gibt es hierzu bestehende Dokumentationen?

Welche sind die jeweiligen zugrundeliegenden Rechtsgrundlagen (Gesetz, Rechtsvorschrift oder Einwilligung)?

Wie ist der Schutz personenbezogener Daten aktuell organisiert? Gibt es Vorkehrungen oder Maßnahmen?

Gibt es Auftragsverarbeitungsverträge mit Dienstleistern?

Welche Dokumentation besteht bisher? Gibt es Verfahrensverzeichnisse, Vorabkontrollen, IT-Sicherheitskonzepte etc.?

Gibt es in den Betriebsvereinbarungen Regelungen zum Umgang mit den Daten der Beschäftigten?

Um den Handlungsbedarf zu ermitteln, müssen Aspekte wie Rechtsgrundlagen, Betroffenenrechte, Dokumentationspflichten, Meldepflichten und Datensicherheit einbezogen werden. Für die Umsetzung der Forderungen ist dann u. a. die Anpassung von Prozessen, die Implementierung von Informationspflichten, die Erstellung von Löschkonzepten und einiges mehr erforderlich – eine umfangreiche Aufgabe. Um hier die Übersicht zu behalten, sollten alle datenschutzrelevanten Aktivitäten zunächst in eine transparente Struktur gebracht werden. Dies ist ohne eine geeignete Softwarelösung zur Abbildung von elektronischen Managementsystemen kaum zu leisten.

Um den Aufwand zu minimieren und die Umsetzung schnellstmöglich zu erreichen sollten Unternehmen auf Bestehendem aufbauen und bereits im Unternehmen vorhandene Ressourcen, Strukturen, Inhalte und Methoden nutzen. Bei der Bestandsaufnahme stellt sich häufig heraus, dass Unternehmen unbewusst schon viel aktiver in Sachen Datenschutz sind, als sie selbst annehmen. Insbesondere das Qualitätsmanagement nach DIN EN ISO 9001 ist ein geeignetes Werkzeug, um die Umsetzung der neuen EU-DSGVO entscheidend zu erleichtern. Denn die DSGVO weist viele Parallelen in Vorgehensweisen und Strukturen mit der QM-Norm ISO 9001 auf. Wer bereits über ein bestehendes QM-System verfügt, hat es also erheblich leichter, den neuen Forderungen nachzukommen. Wir haben einige Beispiele identifiziert, die verdeutlichen, warum sich eine integrierte Lösung aus QM und Datenschutz in jedem Fall lohnt:

Vorgabedokumentation inklusive Revisionierung: Der Aufbau der Vorgabedokumentation für den Datenschutz profitiert von Parallelen zum QM, das vor allem für die Rechenschaftspflicht nutzbare standardisierte Prozesse entwickelt hat. Im QM-System sind Prozesse und Abläufe bereits dokumentiert und Verantwortlichkeiten klar definiert. Bestehende Prozesse müssen systematisch auf datenschutzrechtliche Aspekte geprüft werden. Alle datenschutzrechtlichen Vorgaben sollen dabei nach bewährter QM-Vorgehensweise nachvollziehbar gehandhabt, also revisioniert werden.

Datenschutzfolgenabschätzung und Maßnahmen: Zur Aufstellung der geforderten Datenschutzfolgenabschätzung können bestehende Mechanismen des Risikomanagements angewendet werden. Wie die QM-Norm, so fordert auch die EU-DSGVO im Falle von Abweichungen das Ergreifen geeigneter Lenkungsprozesse bzw. Maßnahmen. Diese lassen sich im Idealfall direkt in der Managementsoftware hinterlegen.

Verzeichnis der Verarbeitungstätigkeiten: Viele Informationen für das von der EU-DSGVO geforderte Verzeichnis können aus der QM-Dokumentation generiert werden. Zudem können Relationen zwischen den Prozessen und den zugehörigen Verarbeitungstätigkeiten hergestellt werden und daraus das Verzeichnis der Verarbeitungstätigkeiten abgeleitet werden.

Verantwortlichkeiten und Kenntnisnahmen: Wie im QM müssen auch im Datenschutzmanagement Verantwortlichkeiten und Kenntnisnahmen nachvollziehbar geregelt sein. Im QM ist ein „Ja“ oder „Nein“ beim Nachweis der Kenntnisnahmen ausreichend, im Datenschutz ist zusätzlich dazu Datum und Uhrzeit notwendig. Eine geeignete Software erfasst die Kenntnisnahmen von neuen Inhalten, Anweisungen und Änderungen elektronisch und somit jederzeit nachweisbar.

Schulungen/Unterweisungen: Nach EU-DSGVO sind Unterweisungen der Mitarbeiter im Umgang mit vertraulichen Daten durchzuführen. Hier lassen sich bestehende Schulungs- und Qualifikationskonzepte aus dem Qualitätsmanagement anwenden. Ein softwaregestütztes System bietet die Möglichkeit, eine Qualifikationsstruktur anzulegen und Fachqualifikationen der Mitarbeitet mit Gültigkeitsdauer zu versehen. Nützliche Extras wie eLearning und Tutorials ermöglichen orts- und zeitunabhängige Unterweisungen.

Die Beispiele, die nur ein Ausschnitt sind, belegen: Besonders effizient und einfach lässt sich die EU-DSGVO mit einer integrierten Lösung aus Datenschutzmanagement und Qualitätsmanagement umsetzen. Für viele Unternehmen sind QM und Datenschutz noch Parallelwelten. Doch wer zwei getrennte Systeme betreibt, läuft Gefahr, Wesentliches zu übersehen. Insgesamt gilt: Datenschutz ist, ebenso wie Qualitätsmanagement, ein lebendiger Prozess, der ständig angepasst werden muss. Das Engagement lohnt sich nicht nur im Hinblick auf die Vermeidung der empfindlichen Bußgelder. Bestehende Prozesse, die auch datenschutzrechtlich abgesichert sind, erhöhen das Vertrauen von Kunden und Kooperationspartnern.“

Stephan Killich ist Geschäftsführer von ConSense.