Modul 8: Korrekter interner Umgang mit Daten

Die Umsetzung der DSGVO bedeutet vor allem Dokumentationsaufwand. Neben der Datenschutzerklärung und den Verträgen zur Auftragsverarbeitung müssen Sie noch weitere Dokumente vorhalten, die Sie der für sie zuständigen Datenschutz-Aufsichtsbehörde auf Verlangen vorlegen können müssen.

Nachfolgend finden Sie die wichtigsten Dokumente:

• Datenschutzerklärung (Lektion 3)
• Auftragsverarbeitungs-Verträge mit allen Drittanbietern (Lektion 4)
• Einwilligungserklärungen Ihrer Kunden (Lektion 5)
• Datenschutzgerechtes Verfahrensverzeichnis
• Verschwiegenheitserklärungen Ihrer Mitarbeiter
• Schriftliche Bestellung des Datenschutzbeauftragten, soweit notwendig

Wie erstellt man ein DSGVO-konformes Verfahrensverzeichnis?

Dieses Verzeichnis dient der Transparenz, wie personenbezogene Daten verarbeitet werden. Allerdings dient es Ihnen auch als rechtliche Absicherung. Im Verzeichnis der Verarbeitungen halten Sie fest, wie Sie die Daten speichern, erheben, nutzen und auch wie und wann Sie diese löschen.

Die wesentlichen Bestandteile dieses Verzeichnisses sind gemäß der DSGVO folgende:

Nennung des Verantwortlichen

Dies ist Ihr Unternehmen und seine Vertreter. Sollten Sie weitere Verantwortliche, einen Stellvertreter oder auch einen Datenschutzbeauftragten haben, sind diese hier auch aufzuführen – und zwar mit Namen und Kontaktdaten.

Benennung des Zwecks der Verarbeitung

Laut DSGVO ist jedwede Datenverarbeitung zweckgebunden. Wenn Sie Einwilligungen rechtskonform einholen, haben Sie diesen Zweck (Produkt-Newsletter, Analyse von Besucherdaten, etc.) vorab kommuniziert und müssen ihn hier nun angeben.

Betroffene Personengruppe und Kategorie der verarbeiteten Daten

Beispielsweise die Gruppen “Mitarbeiter” oder auch “Kunden” – je nachdem für wen das entsprechende Verfahren gilt.

Empfänger, die Planmäßig Daten erhalten

Egal ob intern oder extern. Aufgeführt werden hier auch die externen Dienstleister mit denen eine Auftragsverarbeitung abgeschlossen wurde.

Fristen für die Löschung von Daten

Je nach konkretem Zweck gibt es unterschiedliche gesetzliche Fristen zur Aufbewahrung und damit zur Löschung der Daten. Geben Sie diese hier an. Weisen Sie aber auch darauf hin, wenn Sie ggf. längere Aufbewahrungszeiträume vorsehen und begründen Sie die Abweichung(en) plausibel.

Drittstaaten, die Daten erhalten

Bei einer Übermittlung der Daten an Drittstaaten, sind die Namen dieser Staaten zu nennen. Als Drittstaaten gelten Nicht-EU-Länder, die Daten aus der EU erhalten.

UNBEDINGT BEACHTEN

Erarbeiten Sie mit Ihrem Datenschutzbeauftragten Ihr Verarbeitungsverzeichnis. Eine Vorlage, die Sie vorab bereits ausfüllen können, finden Sie weiter unten.

Wie können Erklärungen zur Verschwiegenheit korrekt umgesetzt werden?

Die Verschwiegenheitserklärungen Ihrer Mitarbeiter sind Teil der technischen und organisatorischen Maßnahmen. Daher sollten diese eine Verschwiegenheitserklärung unterzeichnen. Sie sollten zudem Ihre Mitarbeiter auch zur Befolgung von Privacy by Design und Privacy by Default anhalten und diese darin schulen (lassen). Wichtig ist nicht zuletzt, Ihre Mitarbeiter darauf zu sensibilisieren, alle relevanten datenschutzrechtlichen Vorgänge zu dokumentieren.

Was bedeuten “Privacy by Design” und “Privacy by Default”?

Privacy by Design bedeutet, dass bereits in der Konzeption eines Produktes oder eines Datenverarbeitungsvorgangs der Datenschutz nach dem neuesten Stand der Technik berücksichtigt und integriert wird. Dies wird Insbesondere umgesetzt durch:

• Datenminimierung (nur die notwendigsten Daten)
• Löschung der Daten, wenn sie nicht mehr unbedingt notwendig sind
• Maßnahmen für Korrektheit und Vollständigkeit der Daten
• Transparente und verständliche Informationen gegenüber den Betroffenen
• Proaktive Konzepte zur IT Sicherheit und organisatorischen Maßnahmen

Privacy by Default bedeutet, dass bereits die Voreinstellungen (Werkseinstellungen) bei Geräten oder auch Online-Plattformen die höchste Datenschutzstufe als Standard haben. So sollen etwa wenig technikaffine Nutzer geschützt werden.

Bei manchen Geräten oder Software hat der User die Möglichkeit, eine Änderung dieser Default-Einstellungen vorzunehmen. Dabei kann es sich um eine Verschärfung oder Abschwächung der Datenschutz-Einstellungen handeln. In beiden Fällen wird der Anwender explizit „gefragt, ob der die Änderungen tatsächlich vornehmen will.

Tipp 1: Je nach Größe Ihres Teams macht es Sinn, eine Schulung zu diesem Thema zu halten und die Teilnahme an der Schulung von den Mitarbeitern unterschreiben zu lassen. So wissen Sie genau, dass all Ihre Mitarbeiter darauf hingewiesen wurden.

Tipp 2: Seit dem 25. Mai kann die Verschwiegenheitserklärung auch elektronisch geschlossen werden, da ab diesem Zeitpunkt keine eigenhändige Unterschrift mehr benötigt wird. Allerdings ist zu beachten, dass die Abgabe der Verschwiegenheitserklärung jederzeit dokumentiert wird und nachweisbar ist. Dies ist technisch umzusetzen.

Technische und organisatorische Maßnahmen

Die DSGVO verpflichtet Verarbeiter von personenbezogenen Daten in Artikel 32 dazu, „geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Eine weitere Konkretisierung erfolgt nicht, die DSGVO führt stattdessen einige Schutzziele auf:

• personenbezogene Daten müssen pseudonymisiert und verschlüsselt werden.
• die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste, die die Daten verarbeiten, müssen auf Dauer sichergestellt sein.
• die Verfügbarkeit der personenbezogenen Daten und den Zugang zu diesen bei einem physischen oder technischen Zwischenfall muss schnell wiederhergestellt werden können.
• ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Um all das zu gewährleisten, müssen Sie einerseits die Datenträger und Computer, auf denen personenbezogene Daten gespeichert und verarbeitet werden, besonders schützen und andererseits auch in Ihrem Unternehmen Prozesse dahingehend so verändern, dass sie den Vorgaben der DSGVO gerecht werden.

Hinweis: Wie Ihre TOMs aussehen werden, hängt sehr individuell davon ab, was genau in Ihrem Unternehmen passiert.