Wegweiser zur Einführung eines Datenschutzmanagementsystems nach DSGVO
Wegweiser zur Einführung eines Datenschutzmanagementsystems nach DSGVO
Die DSGVO stellt seit Mai 2018 sicher keine großen Neuerungen in Bezug auf den Schutz von personenbezogenen Daten. Das alte BDSG setzte hier bereits Maßstäbe. Allerdings setzt die DSGVO neue Maßstäbe im Hinblick auf mögliche Bußgelder. Seither werden viele Unternehmen und Kommunen gezwungen sich mit Datenschutz zu befassen. Nachfolgend erhalten Sie einen kleinen Wegweiser, wie das Thema angegangen werden könnte. Der Wegweiser gibt die persönlichen Erfahrungen und Herangehensweisen bei der Einführung von Managementsystemen bei Kunden (u.a. Stadtverwaltung, Verein oder Firmen) wieder.
Das Dokument erhebt keinen Anspruch auf Vollständigkeit!
Grundlegendes / Übersicht
Zunächst sind die Mitarbeiter zu sensibilisieren, da ohne deren Hilfe der Aufbau eines Systems nicht möglich ist. Sie werden niemals brauchbaren Input von der Belegschaft erhalten, wenn diese nicht weiß, was personenbezogene Daten eigentlich sind und was für Bußgeld- oder strafrechtlich relevante Folgen ein Verstoß gegen die DSGVO, BDSG oder die Gesetze auf Länderebene haben können.
Am besten präsentieren Sie den Mitarbeitern alle wichtigen Fakten vor Ort und geben Sie gleich einen Ausblick auf die Vorgehensweise:
Initiale Vorgänge
- Ernennung des Datenschutzbeauftragten
- Prüfung / Absicherung der Webseite auf konforme Verarbeitung
- Erfassung aller Prozesse, die mit personenbezogenen Daten zu tun haben (inkl. Rechtsgrundlage)
- Erstellung Verzeichnisse für Verarbeitungstätigkeiten (nach Art. 30 DSGVO)
- Risikobewertung der Verarbeitungstätigkeiten
- Datenschutzfolgenabschätzung (DSFA) / Schwellenwertanalyse
- Prüfung und Optimierung der vorhanden Technisch/Organisatorischen Maßnahmen (TOM nach Art. 35 DSGVO)
- Festlegung Zuständigkeiten für Informationen bei Datenverlust (nach Art. 33 und Art. 34 DSGVO), z.B. in einer Dienstanweisung
- Prüfung vorhandener Einwilligungen
- Info- / Merkblätter zur „Einhaltung der erweiterten Informationspflichten des Verantwortlichen gegenüber den betroffenen Personen nach den Artikeln 13 und 14“ erstellen
- Verträge mit Lieferanten im Hinblick auf Auftragsdatenverarbeitung prüfen (ADV-Verträge nach Art. 28 und 29 der DSGVO)
Regelmäßige Vorgänge
- Prüfung zu neuen Vorgängen und rechtlichen Anforderungen (laufend)
- Prüfung Verzeichnisse für Verarbeitungstätigkeiten (1x jährlich)
- Prüfung, ob DSFA für Verarbeitungstätigkeiten erforderlich (1x jährlich)
- Prüfung der TOMs (1x jährlich)
- Erstellung Bericht des Datenschutzbeauftragen (1x jährlich)
- Belehrung Mitarbeiter (1x jährlich)
Schritt 1: Infoveranstaltung und Bestellung Datenschutzbeauftragter
In einer ersten Infoveranstaltung vor Ort sollten Sie zunächst eine Präsentation mit der folgenden Agenda durchführen:
- Einführung in die EU-DSGVO
- Absicherung der Webseite
- Ernennung Datenschutzbeauftragter
- Aufklärung der Mitarbeiter
- Implementierung Datenschutzmanagementsystem
Die Ernennung des Datenschutzbeauftragten muss bei der jeweils zuständigen Landesbehörde angezeigt haben. Viele Behörden nehmen die Ernennung mittlerweile über ein Onlineformular entgegen.
Schritt 2: Absicherung Webseite
Schauen Sie sich die Internetseite genauer an. Um herauszufinden, welche Cookies oder ob beispielsweise eingebettete Fonts von Drittwebseiten oder Analysetools eingesetzt werden, lohnt sich der Einsatz von Firefox Inspektor. Hierzu wechseln Sie mit dem Browser Mozilla Firefox auf die jeweilige Webseite und öffnen den Inspektor über UMSCHALT + F9
Im Tab Web-Speicher finden Sie alle eingesetzten Cookies, welche sich auf der aktuell aufgerufenen Seite verbergen.
Unter Netzwerkanalyse sehen Sie, ob Inhalte von Drittseiten dazugeladen werden.
Diese und weitere Informationen gehören in die Datenschutzerklärung der Webseite:
- Name und Anschrift der für die Verarbeitung verantwortlichen Stelle
- Name und Anschrift des Datenschutzbeauftragten
- Was sind Personenbezogene Daten?
Für jede Verarbeitungstätigkeit müssen in der DS-Erklärung dokumentiert sein:
- Umfang der Verarbeitung personenbezogener Daten beim Besuch der Webseite
- Rechtsgrundlage für die Verarbeitung personenbezogener Daten
- Zweck der Datenverarbeitung
- Infos zur Datenlöschung und Speicherdauer
- Widerspruchs- und Beseitigungsmöglichkeit
Weiterhin erforderlich:
- ggf. Cookierichtlinie
- Rechte der betroffenen Person nach EU-DSGVO (Auskunftsrecht, Recht auf Berichtigung, ...)
- Kontakt der Aufsichtsbehörde, bei der sich die betroffene Person beschweren kann
- Datum der Erstellung bzw. Revisionsdatum der DS-Erklärung
Schritt 3: Bestandsaufnahme und Erstellung der Verarbeitungsverzeichnisse
In diesem Schritt sind Sie auf Zuarbeiten aus der Belegschaft angewiesen. Um sich einen Überblick über die Verarbeitungstätigkeiten zu verschaffen, sollten Sie diese zunächst abfragen. Neben der Abfrage der Bezeichnung der Verarbeitungstätigkeit sollten Sie gleich noch weitere wichtige Kenngrößen abfragen, wie z.B.:
- Verantwortliche Fachabteilung
- Zweck der Datenverarbeitung
- Kategorien
- Löschfristen
- Rechtsgrundlagen
Danach können die Verzeichnisse erstellt werden. Entsprechende Vorlagen finden Sie auf den Webseiten der jeweils zuständigen Landesbehörden.
Schritt 4: Risiko- / Schwellwertanalyse und DSFA
Wie hoch ist der Schutzbedarf? Wie sensibel sind die Daten für den Betroffenen?
Wie hoch ist die Eintrittswahrscheinlichkeit? Wie interessant sind die Daten überhaupt für einen Dritten (z.B. Hacker)?
In den meisten Fälle sollte keine DSFA notwendig sein. Trotzdem muss die Entscheidungsfindung dokumentiert werden!
Schritt 5: Technisch-Organisatorische Maßnahmen
Folgende Punkte sind mindestens zu dokumentieren:
- Maßnahmen zur Gewährleistung der Vertraulichkeit
- Maßnahmen zur Gewährleistung der Integrität
- Maßnahmen zur Gewährleistung der Verfügbarkeit und Belastbarkeit
- Pseudonymisierung personenbezogener Daten und Verschlüsselung
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Schritt 6: ADV-Verträge
Der ADV Vertrag ist i.d.R. durch den Dienstleister zu liefern. Bei neuen Verfahren zur Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter ist dieser Vertrag abzuschließen!
Es ist somit bei jeder Verarbeitung zu prüfen, ob diese ggf. mit Unterstützung Externer durchgeführt wird. Mit genau diesen Externen müssen ADV-Verträge geschlossen werden. Beispiele:
- IT-Dienstleister
- Webseitenbetreiber / Hoster
- Clouddiensteanbieter
Anmerkung: Sie werden keinen ADV-Vertrag mit Postdienstleistern (dhl & Co.), Steuerberatern oder Versicherungsmaklern abschließen können! Dies ist seitens des Gesetzgebers nicht erforderlich bzw. ausgeschlossen.
Schritt 7: Informationsblätter
- Verantwortlicher und Datenschutzbeauftragter
- Zwecke und Rechtsgrundlagen der Datenverarbeitung
- Kategorien von Empfängern der personenbezogenen Daten
- Dauer der Speicherung
- Automatisierte Entscheidungsfindung
- Wenn Daten an anderer Stelle erfasst wurden: Kontaktdaten der anderen verarbeitenden Stelle
- Betroffenenrechte
- Stand des Infoschreibens (Datum)
Schritt 8: Leitfaden für Bedienstete / Mitglieder & Co. Dienstanweisung
Inhalte sollten u.a. sein:
- Zuständigkeitsregelungen
- Allgemeine Grundsätze
- Verantwortlicher
- Auftragsverarbeiter
- Datenschutzbeauftragter
- Datenschutzmanagementsystem
- Aufgaben des Vereins
- Melde- und Informationspflichten
- Wiederkehrende Tätigkeiten
- Sonstiges