… und noch immer lassen viele Unternehmen eine Umsetzung der Datenschutz-Grundverordnung (DS-GVO) und eine umfassende Datenschutzdokumentation vermissen.

Nach Studien der bitkom und anderer Organisationen werden wohl nicht einmal 40 Prozent aller Unternehmen zum Stichtag 25.05.2018 ihre „Hausaufgaben“ in Bezug auf den Datenschutz vollumfänglich gemacht haben. Auch wenn die DS-GVO in den Medien zunehmend Aufmerksamkeit und Beachtung findet, bleibt für Unternehmen und öffentliche Einrichtungen noch viel zu tun. Denn wer es bisher mit dem Datenschutz nicht genau genommen hat, dürfte es bis zum Stichtag kaum mehr schaffen, alle erforderlichen Voraussetzungen umzusetzen und zu erfüllen.

Mit Hilfe des Selbsttests des BayLDA, zu finden unter dem Link www.lda.bayern.de/media/dsgvo_fragebogen.pdf, kann herausgefunden werden, wie der aktuelle Stand hinsichtlich des Datenschutzes ist.

Sollte die Beantwortung einiger Fragen negativ ausfallen, ist dringend angeraten, das Unternehmen unverzüglich auf die DS-GVO vorzubereiten. Denn nicht nur die Aufsichtsbehörden könnten sich für Ihren Datenschutz interessieren, auch Betroffene können in Kürze ihre neuen erweiterten Rechte einfordern. Und auch Partner und Auftraggeber können Nachweise zur Umsetzung Ihrer Auftragsdatenverarbeitung und der Sicherungsmaßnahmen anfordern. Ebenso können sich Verbraucherschutzverbände im Rahmen des UKlaG (Unterlassungsklagegesetz) um Ihren Datenschutz kümmern, und Anwälte sind mit Abmahnungen und Unterlassungserklärungen zum Datenschutz, zum Impressum sowie zu fehlenden und unvollständigen Datenschutzerklärungen bereits betraut.

Es lohnt sich, sich folgende Fragen stellen: Wann wurde die Webseite zuletzt geprüft? Sind alle vorgeschriebenen Angaben im Impressum? Sind alle Hinweise zur Datenverwendung, zu eingesetzten Tracking Tools, zu Cookies, Einwilligungen etc. geprüft und angepasst? Wurden alle Vorbereitungen getroffen, dass das online gestellte sogenannte „öffentliche Verfahrensverzeichnis“ zum 25. Mai entfernt wird? Sind eine an die DS-GVO angepasste Datenschutzerklärung und die Angabe der Kontaktdaten Ihres Datenschutzbeauftragten vorbereitet?

Die Unternehmensleitung und Mitarbeiter glauben, der Datenschutzbeauftragte sei für die Umsetzung und Gewährleistung der DS-GVO verantwortlich. Doch muss sich die Geschäftsleitung um die Umsetzung und Einhaltung des Datenschutzes kümmern. Natürlich können Aufgaben wie die Schulung, Unterweisung und Sensibilisierung an den Datenschutzbeauftragten oder vorhandene Datenschutzkoordinatoren übertragen werden, doch kann die Verantwortung nicht delegiert werden. Der Datenschutzbeauftragte berät und unterstützt im Rahmen seiner Aufgabenstellung der DS-GVO.

Die umfassende Information der Geschäftsleitung, die Unterweisung und Abstimmung der Zuständigkeiten sowie die Umsetzung der Aufgaben in den Fachbereichen sind die ersten Schritte zur DS-GVO. Es wird festgelegt, wie Informationen an den Datenschutzbeauftragten künftig bereitgestellt werden sollen. Die nächsten Schritte sind die Dokumentation der eingesetzten Verfahren mit personenbezogenen Daten, die Festlegung der Abläufe zur Gewährleistung von Betroffenenrechten, die Datenschutzfolgeabschätzung sowie die Definition und Erstellung von Leit- und Richtlinien zum Datenschutz. Doch ist die umfassende Dokumentation im Datenschutz nur selten eine beliebte Aufgabe, besonders, was das sogenannte Verfahrensverzeichnis und die Verarbeitungsübersicht anbelangt, denn diese erscheinen vielen Mitarbeitern als unnötig. Allerdings stehen mit der DS-GVO Änderungen beim Verzeichnis der Verarbeitungstätigkeiten an. Auch wenn die DS-GVO keine Meldepflicht für Verfahren bei den Aufsichtsbehörden mehr vorsieht und es kein öffentliches Verfahrensverzeichnis für jedermann gibt, bleibt das Verfahrensverzeichnis ein wichtiges Instrument für den Datenschutzbeauftragten, und es spielt für die Bewertung der IT-Sicherheit eine Rolle.

Die Komplexität der DS-GVO macht es erforderlich, dass sich viele Mitarbeiter eines Unternehmens mit der Datenschutz-Richtlinie und deren Details beschäftigen. In den verschiedenen Abteilungen sind unterschiedlichste Prozesse zu identifizieren und zu dokumentieren. Ist dies seit der letzten Novelle des BDSG 2009/10 nicht erfolgt, muss eine größere Analyse aller Datenflüsse und Datenstrukturen erfolgen. Denn diese müssen identifizieren, wie und wo personenbezogene Daten erfasst, gespeichert und verarbeitet werden. Vollständige Verfahrensdokumentationen können insbesondere bei Datenschutzvorfällen helfen, Risiken zu bewerten und angemessene Maßnahmen zu ergreifen.

Doch bitte nehmen Sie Ihre Mitarbeiter mit in diesen Prozess. Informieren und sensibilisieren Sie hinsichtlich des Datenschutzes durch Präsenzschulungen, E-Learning und Informationsbroschüren. Inzwischen gibt es viele Tools und Materialien, die Ihnen diese Aufgaben erleichtern. Als DSB können Sie Unterstützung in Arbeitskreisen von beruflichen Verbänden bekommen. Auch die Landesdatenschutzbeauftragten bieten vielfach Informationsveranstaltungen an und halten auf ihren Webseiten Informationen und Checklisten bereit. Und es werden derzeit viele Seminare und Veranstaltungen von unterschiedlichsten Anbietern für die Aus- und Weiterbildung zur DS-GVO angeboten.

Andere Gesetze und Vorschriften

Beachten Sie, dass neben der DS-GVO möglicherweise andere Gesetze und Vorschriften für Sie relevant sind. Neben der DS-GVO wird es weiterhin 16 Landesdatenschutzgesetze geben. Arbeiten Sie mit Behörden oder Unternehmen des öffentlichen Rechts zusammen, dann müssen Sie eventuell auch diese Gesetze beachten. Leider wird es auch in Zukunft kein harmonisiertes Landesdatenschutzgesetz geben. Je nachdem, in welchem Bundesland Sie tätig sind oder welche Vorgaben Ihre Kunden machen, gelten für Sie unterschiedliche Vorschriften, wie zum Beispiel die jeweiligen Landeskrankenhausgesetze.

In vielen Fällen lohnt sich der Blick in das neue BDSG und die Landesdatenschutzgesetze. Neben den Grundregeln der DS-GVO ist im BDSG der Mitarbeiterdatenschutz geregelt, so zum Beispiel auch der Umgang mit Bewerberdaten. Haben Sie diese wie auch alle anderen Prozesse, die den Mitarbeiterdatenschutz betreffen, überprüft und bewertet? Werden Bewerberdaten tatsächlich gelöscht, oder vagabundieren auf unterschiedlichsten Systemen Bewerbungsunterlagen und Zeugnisse unerkannt herum? Oder werden Bewerberunterlagen ohne eindeutige Information an Dritte, zum Beispiel Schwesterunternehmen, weitergegeben? Nutzen Sie zur Zeugniserstellung eine Cloud-Software, die personenbezogene Daten auf den Server Ihres Dienstleisters speichert? Stellen Sie also auch den Mitarbeiterdatenschutz und alle damit verbundenen personenbezogenen Daten auf den Prüfstand.

Die DS-GVO und das BDSG müssen auch in Bezug auf Bewerber- und Mitarbeiterdaten ernst genommen werden. Es ist ab sofort nachweisbar zu dokumentieren, welche Daten zu welchem Zweck erhoben und gespeichert werden. Auch bei der Verarbeitung personenbezogener Daten im Arbeitsverhältnis sind alle Vorgaben des Artikels 5 der DS-GVO zu prüfen und nachzuweisen. Nicht mehr benötigte Daten sind zu löschen. Es empfiehlt sich besonders im Bewerbungsverfahren, ausführlich und frühzeitig auf die vorgesehene Datenverarbeitung und Datenspeicherung hinzuweisen.

Wenn Sie bisher nicht mit der Umsetzung der DS-GVO begonnen und auch unter dem BDSG dem Datenschutz nur wenig Aufmerksamkeit geschenkt haben, wird es höchste Zeit dazu. Können Sie nicht ausreichend eigenes qualifiziertes Personal für den Datenschutz einsetzen, nehmen Sie eventuell professionelle Hilfe in Anspruch. Wenden Sie sich zum Beispiel an die Berufsverbände.

www.razlee.de

Dieser Artikel wird Ihnen von der Raz-Lee Security GmbH in Zusammenarbeit mit dem Datenschutzbeauftragten Jürgen Hartz präsentiert.

Jürgen Hartz ist als externer Datenschutzbeauftragter für verschiedene mittelständige Unternehmen bestellt. Er war viele Jahre im Kundendienst in leitenden Funktionen bei internationalen Unternehmen tätig. Zuletzt über 10 Jahre Alleingesellschafter und Geschäftsführer eines Kundendienstunternehmens für Consumerelektronik mit über 120 Mitarbeitern. Seit 2005 berät er Unternehmen in den Fragen des Datenschutzes. Betriebliche Belange und Anforderungen mit den gesetzlichen Vorschriften in Einklang zu bringen, ist die besondere Herausforderung dieser Aufgabe. Dabei kommt ihm die eigene unternehmerische Tätigkeit der vergangen Jahre zugute. Als Referent und Moderator ist er bei zahlreichen Datenschutzveranstaltungen aktiv. Er ist stellv. Vorstandvorsitzender des BvD e.V. (Berufsverband der Datenschutzbeauftragten) und in verschieden Gremien tätig. Jürgen Hartz ist per E-Mail über info@jhartz.de erreichbar.

Raz-Lee Security ist führender internationaler Anbieter von Sicherheits-, Auditing- und Compliance (SOX, PCI, HIPAA etc.)-Lösungen für die IBM i. Zu Raz-Lee-Kunden zählen Unternehmen aller Größen, von KMUs bis zu Unternehmen mit Hunderten von Systemen, in allen vertikalen Märkten und Branchen. Finanzinstitute wie Banken und Versicherungen sind besonders zahlreich unter der Raz-Lee-Klientel vertreten.