You are here

Home » Wegweiser zur Einführung eines Datenschutzmanagementsystems nach DSGVO

Wegweiser zur Einführung eines Datenschutzmanagementsystems nach DSGVO

Wegweiser zur Einführung eines Datenschutzmanagementsystems nach DSGVO

Die DSGVO stellt seit Mai 2018 sicher keine großen Neuerungen in Bezug auf den Schutz von personenbezogenen Daten. Das alte BDSG setzte hier bereits Maßstäbe. Allerdings setzt die DSGVO neue Maßstäbe im Hinblick auf mögliche Bußgelder. Seither werden viele Unternehmen und Kommunen gezwungen sich mit Datenschutz zu befassen. Nachfolgend erhalten Sie einen kleinen Wegweiser, wie das Thema angegangen werden könnte. Der Wegweiser gibt die persönlichen Erfahrungen und Herangehensweisen bei der Einführung von Managementsystemen bei Kunden (u.a. Stadtverwaltung, Verein oder Firmen) wieder.

Das Dokument erhebt keinen Anspruch auf Vollständigkeit!

Grundlegendes / Übersicht

Zunächst sind die Mitarbeiter zu sensibilisieren, da ohne deren Hilfe der Aufbau eines Systems nicht möglich ist. Sie werden niemals brauchbaren Input von der Belegschaft erhalten, wenn diese nicht weiß, was personenbezogene Daten eigentlich sind und was für Bußgeld- oder strafrechtlich relevante Folgen ein Verstoß gegen die DSGVO, BDSG oder die Gesetze auf Länderebene haben können.

Am besten präsentieren Sie den Mitarbeitern alle wichtigen Fakten vor Ort und geben Sie gleich einen Ausblick auf die Vorgehensweise:

Initiale Vorgänge

  • Ernennung des Datenschutzbeauftragten
  • Prüfung / Absicherung der Webseite auf konforme Verarbeitung
  • Erfassung aller Prozesse, die mit personenbezogenen Daten zu tun haben (inkl. Rechtsgrundlage)
  • Erstellung Verzeichnisse für Verarbeitungstätigkeiten (nach Art. 30 DSGVO)
  • Risikobewertung der Verarbeitungstätigkeiten
  • Datenschutzfolgenabschätzung (DSFA) / Schwellenwertanalyse
  • Prüfung und Optimierung der vorhanden Technisch/Organisatorischen Maßnahmen (TOM nach Art. 35 DSGVO)
  • Festlegung Zuständigkeiten für Informationen bei Datenverlust (nach Art. 33 und Art. 34 DSGVO), z.B. in einer Dienstanweisung
  • Prüfung vorhandener Einwilligungen
  • Info- / Merkblätter zur „Einhaltung der erweiterten Informationspflichten des Verantwortlichen gegenüber den betroffenen Personen nach den Artikeln 13 und 14“ erstellen
  • Verträge mit Lieferanten im Hinblick auf Auftragsdatenverarbeitung prüfen (ADV-Verträge nach Art. 28 und 29 der DSGVO)

Regelmäßige Vorgänge

  • Prüfung zu neuen Vorgängen und rechtlichen Anforderungen (laufend)
  • Prüfung Verzeichnisse für Verarbeitungstätigkeiten (1x jährlich)
  • Prüfung, ob DSFA für Verarbeitungstätigkeiten erforderlich (1x jährlich)
  • Prüfung der TOMs (1x jährlich)
  • Erstellung Bericht des Datenschutzbeauftragen (1x jährlich)
  • Belehrung Mitarbeiter (1x jährlich)

Schritt 1: Infoveranstaltung und Bestellung Datenschutzbeauftragter

In einer ersten Infoveranstaltung vor Ort sollten Sie zunächst eine Präsentation mit der folgenden Agenda durchführen:

  • Einführung in die EU-DSGVO
  • Absicherung der Webseite
  • Ernennung Datenschutzbeauftragter
  • Aufklärung der Mitarbeiter
  • Implementierung Datenschutzmanagementsystem

Die Ernennung des Datenschutzbeauftragten muss bei der jeweils zuständigen Landesbehörde angezeigt haben. Viele Behörden nehmen die Ernennung mittlerweile über ein Onlineformular entgegen.

Schritt 2: Absicherung Webseite

Schauen Sie sich die Internetseite genauer an. Um herauszufinden, welche Cookies oder ob beispielsweise eingebettete Fonts von Drittwebseiten oder Analysetools eingesetzt werden, lohnt sich der Einsatz von Firefox Inspektor. Hierzu wechseln Sie mit dem Browser Mozilla Firefox auf die jeweilige Webseite und öffnen den Inspektor über UMSCHALT + F9

Im Tab Web-Speicher finden Sie alle eingesetzten Cookies, welche sich auf der aktuell aufgerufenen Seite verbergen.
Unter Netzwerkanalyse sehen Sie, ob Inhalte von Drittseiten dazugeladen werden.

Diese und weitere Informationen gehören in die Datenschutzerklärung der Webseite:

  • Name und Anschrift der für die Verarbeitung verantwortlichen Stelle
  • Name und Anschrift des Datenschutzbeauftragten
  • Was sind Personenbezogene Daten?

Für jede Verarbeitungstätigkeit müssen in der DS-Erklärung dokumentiert sein:

  • Umfang der Verarbeitung personenbezogener Daten beim Besuch der Webseite
  • Rechtsgrundlage für die Verarbeitung personenbezogener Daten
  • Zweck der Datenverarbeitung
  • Infos zur Datenlöschung und Speicherdauer
  • Widerspruchs- und Beseitigungsmöglichkeit

Weiterhin erforderlich:

  • ggf. Cookierichtlinie
  • Rechte der betroffenen Person nach EU-DSGVO (Auskunftsrecht, Recht auf Berichtigung, ...)
  • Kontakt der Aufsichtsbehörde, bei der sich die betroffene Person beschweren kann
  • Datum der Erstellung bzw. Revisionsdatum der DS-Erklärung

Schritt 3: Bestandsaufnahme und Erstellung der Verarbeitungsverzeichnisse

In diesem Schritt sind Sie auf Zuarbeiten aus der Belegschaft angewiesen. Um sich einen Überblick über die Verarbeitungstätigkeiten zu verschaffen, sollten Sie diese zunächst abfragen. Neben der Abfrage der Bezeichnung der Verarbeitungstätigkeit sollten Sie gleich noch weitere wichtige Kenngrößen abfragen, wie z.B.:

  • Verantwortliche Fachabteilung
  • Zweck der Datenverarbeitung
  • Kategorien
  • Löschfristen
  • Rechtsgrundlagen

Danach können die Verzeichnisse erstellt werden. Entsprechende Vorlagen finden Sie auf den Webseiten der jeweils zuständigen Landesbehörden.

Vorlage zur Abfrage der Verarbeitungstätigkeiten zur freien Verwendung:
File vorlage_bestandsaufnahme_datenschutz.docx

Schritt 4: Risiko- / Schwellwertanalyse und DSFA

Mit Hilfe der Verzeichnisse für Verarbeitungstätigkeiten und einer Übersicht über die vorhandenen Assets sowie deren Absicherung ist eine Risikoanalyse durchzuführen. Die Eintrittswahrscheinlichkeit (Stufe 1 - 4) einer Datenpanne zu einer Verarbeitung wird mit der abgeschätzten Tragweite / Auswirkung (Stufe 1 - 4) multipliziert. Das Ergebnis ist die sog. "Risikoklasse". Ist die Risikoklasse größer 9, so ist für die Verarbeitung eine Datenschutzfolgenabschätzung (DSFA) durchzuführen. Hier kann das PIA Tool eine wertvolle Hilfe zur Durchführung einer DSFA darstellen und sollte genutzt werden.

Wie hoch ist der Schutzbedarf? Wie sensibel sind die Daten für den Betroffenen?
Wie hoch ist die Eintrittswahrscheinlichkeit? Wie interessant sind die Daten überhaupt für einen Dritten (z.B. Hacker)?

In den meisten Fälle sollte keine DSFA notwendig sein. Trotzdem muss die Entscheidungsfindung dokumentiert werden!

Schritt 5: Technisch-Organisatorische Maßnahmen

Die Technisch Organisatorischen Maßnahmen gem. Art. 32 der EU-DSGVO, welche zum Schutz der personenbezogenen Daten eingerichtet worden sind, sind zu dokumentieren.

Folgende Punkte sind mindestens zu dokumentieren:
  • Maßnahmen zur Gewährleistung der Vertraulichkeit
  • Maßnahmen zur Gewährleistung der Integrität
  • Maßnahmen zur Gewährleistung der Verfügbarkeit und Belastbarkeit
  • Pseudonymisierung personenbezogener Daten und Verschlüsselung
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Schritt 6: ADV-Verträge

Der Auftragsverarbeiter verarbeitet im Auftrag personenbezogene Daten. Dabei hat sich der Auftragsverarbeiter an sämtliche Bestimmungen der EU-DSGVO zu halten. Insbesondere hat der Auftragsverarbeiter Garantien einzuräumen, damit die Verarbeitung im Einklang mit den Anforderungen der EU-DSGVO stehen. Der Auftragsverarbeiter hat dafür geeignete technische und organisatorische Maßnahmen umzusetzen und zu dokumentieren. Für jede Verarbeitung ist daher ein sogenannter Auftragsdatenverarbeitungsvertrag (ADV-Vertrag) abzuschließen. Jegliche Änderungen im Ablauf der Verarbeitung sind vom Auftragsverarbeiter sofort anzuzeigen.

Der ADV Vertrag ist i.d.R. durch den Dienstleister zu liefern. Bei neuen Verfahren zur Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter ist dieser Vertrag abzuschließen!

Es ist somit bei jeder Verarbeitung zu prüfen, ob diese ggf. mit Unterstützung Externer durchgeführt wird. Mit genau diesen Externen müssen ADV-Verträge geschlossen werden. Beispiele:
  • IT-Dienstleister
  • Webseitenbetreiber / Hoster
  • Clouddiensteanbieter

    • Anmerkung: Sie werden keinen ADV-Vertrag mit Postdienstleistern (dhl & Co.), Steuerberatern oder Versicherungsmaklern abschließen können! Dies ist seitens des Gesetzgebers nicht erforderlich bzw. ausgeschlossen.

Schritt 7: Informationsblätter

Als Verarbeitende Stelle haben Sie betroffene Personen vor Erhebung und Verarbeitung der Daten über deren Rechte aufzuklären. Im Idealfall haben Sie für jede Verarbeitungstätigkeit ein Informationblatt nach Art. 13 oder 14 parat. Folgendes muss mindestens enthalten sein:
  • Verantwortlicher und Datenschutzbeauftragter
  • Zwecke und Rechtsgrundlagen der Datenverarbeitung
  • Kategorien von Empfängern der personenbezogenen Daten
  • Dauer der Speicherung
  • Automatisierte Entscheidungsfindung
  • Wenn Daten an anderer Stelle erfasst wurden: Kontaktdaten der anderen verarbeitenden Stelle
  • Betroffenenrechte
  • Stand des Infoschreibens (Datum)

Schritt 8: Leitfaden für Bedienstete / Mitglieder & Co. Dienstanweisung

Mit Hilfe eines Rahmendokuments kann ein verbindlicher Leitfaden für die Belegschaft geschaffen werden, um eine laufende rechtmäßige Verarbeitung personenbezogener Informationen und Daten sicherzustellen.
Inhalte sollten u.a. sein:
  • Zuständigkeitsregelungen
  • Allgemeine Grundsätze
  • Verantwortlicher
  • Auftragsverarbeiter
  • Datenschutzbeauftragter
  • Datenschutzmanagementsystem
  • Aufgaben des Vereins
  • Melde- und Informationspflichten
  • Wiederkehrende Tätigkeiten
  • Sonstiges

Other Questions

Wegweiser zur Einführung eines Datenschutzmanagementsystems nach DSGVO

MS SQL Server Datenbank "Wiederherstellung steht aus" beheben

Nextcloud Howtos

T-SQL Entwicklung: Tabellentransformation - aus Zeileneinträgen Spalten generieren

Zeitgeber NTP vs. ADDS w32tm

Windows: Update schlägt während Download fehl

Manuelles Update pfSense 2.0.2 nach 2.3.2 via Web Console funktioniert nicht

VMware vSphere: VM wechselt regelmäßig in den Pause Zustand

Adobe Reader XI internal Error auf 2012R2 Terminalserver

Windows 10 Lizenzierung