Ein Beitrag von Hans-Christian Woger, Rechtsanwalt bei CMS Deutschland.
Die jüngsten Vorfälle um Cambridge Analytica und Facebook wirken wie ein Brandbeschleuniger für das Thema Datenschutz. So hat die Bundesjustizministerin Barley in diesem Zusammenhang empfindliche Strafen und mehr Transparenz in der Datenverarbeitung gefordert. Genau dies soll die Datenschutzgrundverordnung (DSGVO) leisten, die ab dem 25.05.2018 anzuwenden ist. Spätestens von da an müssen Unternehmen die strengen Anforderungen des europaweit geltenden Datenschutzrechts erfüllen, ansonsten drohen Schadensersatzklagen von Betroffenen sowie empfindliche Bußgelder von bis zu 20 Millionen Euro beziehungsweise vier Prozent des Jahresumsatzes.
Aber auch wenn die DSGVO seit zwei Jahren in Kraft ist, haben viele Unternehmen bisher kaum Schritte unternommen, um die Regelungen zu erfüllen. Dabei betreffen sie jedes Unternehmen, unabhängig von der Größe oder der Branche. Welche Schritte sind nun in Angriff zu nehmen, um bis zum 25.05.2018 die Anforderungen der DSGVO zumindest im Gröbsten zu erfüllen?
Get a map
Auch wenn das eigene Unternehmen kein „unbekanntes Gebiet“ sein sollte, ist zunächst eine Karte zu erstellen. Es wird eine Orientierung bezüglich der eigenen Datenverarbeitung benötigt, da die Datenflüsse oft nicht im Detail bekannt sind. Es steht also eine Inventur an.
Um die Pflichten aus der DSGVO zu erfüllen, muss ein klares Bild bestehen, wer aus welchem Grund welche Daten erhebt, wie diese verarbeitet und wie lange gespeichert werden. Dies stellt die Grundlage für das Verzeichnis dar, in dem zukünftig alle Prozesse einer Datenverarbeitung dynamisch erfasst und fortgeschrieben werden müssen.
Read the map and stick to it
Dieses Verzeichnis ist nicht nur der Ausgangspunkt der datenschutzrechtlichen Bestandsaufnahme, sondern das Herzstück jedes Datenschutzkonzepts. Es ist notwendig, um den Handlungsbedarf zu erkennen.
Eine der wichtigsten Aufgaben unter der DSGVO ist die Pflicht zur Dokumentation. Es ist notwendig, dass alle Maßnahmen, die ein Unternehmen zum Schutz der Daten trifft, festgehalten werden und der Schutz so gegebenenfalls auch beweisen werden kann. Zu solchen Sicherheitsmaßnahmen gehört zum Beispiel, dass Daten aus unterschiedlichen Quellen so gespeichert werden, dass zumindest eine logische Trennung vorliegt – auch wenn die Daten auf dem gleichem Server gespeichert werden.
Die Schulung der Mitarbeiter ist ein wesentlicher Sicherheitsfaktor. Gemäß der DSGVO gehört es zu den Pflichten des Datenschutzbeauftragten, Mitarbeiter zu schulen. Sofern es relevant wird, ob solche Schulungen stattgefunden haben, muss ein dokumentierter Nachweis abrufbar sein.
Ohne eine Bestandsaufnahme und ein stetig fortgeschriebenes Verzeichnis wird es kaum möglich sein, die korrekte Datenverarbeitung nachzuweisen. Es versteht sich von selbst, dass dieses Verzeichnis der Wahrheit entsprechen muss und die tatsächlichen Prozesse nicht von diesem abweichen dürfen.
Know your way along the forest
Ebenso wichtig wie die korrekte Erfassung der Daten ist es, die Rechtsgrundlagen ihrer Verarbeitung zu ermitteln. Denn jede Datenverarbeitung ist unzulässig, wenn nicht eine Rechtsgrundlage, also eine Erlaubnis, für sie besteht.
Dabei ist die erstellte „Datenkarte“ die Basis, um die Rechtsgrundlage zu bestimmen, denn die Karte muss auch immer den Zweck der Datenverarbeitung erfassen. So ist es zum Beispiel ein Unterschied, ob die Daten eines Kunden für die Vertragsabwicklung verwendet werden oder aber auch, um ihm Werbung eines Partnerunternehmens zu senden. Die erste Tätigkeit ist direkt aus der DSGVO zulässig, für letzte benötigt das jeweilige Unternehmen eine Einwilligung. In die Karte müssen also die Rechtsgrundlagen aufgenommen werden.
Weiterhin sind bei jeder Verarbeitung die Risiken einzuschätzen und angemessene Sicherungsmaßnahmen zu treffen. Hierfür bildet ebenfalls die Datenkarte die Grundlage. Aus den dort ersichtlichen Informationen ist zu bestimmen, welcher Schaden für Betroffene entstehen kann und anhand dessen sind die Daten gegen einen „Leak“ zu sichern.
Ask the user
Wurde festgestellt, dass für eine Verarbeitung eine Einwilligung des Nutzers benötigt wird, ist zu prüfen, ob womöglich bereits eine Zustimmung besteht, die den Vorgaben der DSGVO entspricht. Auch vor der Geltung der DSGVO eingeholte Einwilligungen sind weiterhin eine taugliche Rechtsgrundlage, solange sie nicht gegen die Verodnung verstoßen.
Die Einwilligung muss dabei auf der freien und informierten Entscheidung des jeweiligen Nutzers beruhen. Sie muss durch eindeutige Erklärung erfolgen und widerruflich sein. Sollte das Ergebnis sein, dass keine taugliche Einwilligung vorliegt, ist zwingend eine einzuholen. Der Vorgang muss dokumentiert werden.
Talk to the user
Eine Einwilligung ohne ausreichende Information der Nutzer ist ebenfalls nicht ausreichend. Die DSGVO verpflichtet Unternehmen zu einer verstärkten Transparenz gegenüber den Betroffenen. Sie müssen über die Rechtsgrundlagen, die Zwecke der Verarbeitung und die Dauer der Speicherung informiert werden.
Es ist offensichtlich, dass diese Pflichten erfüllt werden können, wenn eine Klarheit über die Datenströme im eigenen Unternehmen besteht. Ohne eine vernünftige „Karte“ wird dies nicht möglich sein.
Es sind auch die Datenschutzerklärung sowie eventuelle weitere nach außen gerichtete Erklärungen anzupassen. Dieser Punkt darf nicht unterschätzt werden, denn dies sind die Aushängeschilder eines Unternehmens.
Check the party guests
Als letzter Punkt bleibt die Kontrolle aller Verträge mit dritten Unternehmen. Werden Daten an sie übertragen und wenn ja, wer übt die „Herrschaft“ über die Daten aus und bestimmt wie und wofür sie verwendet werden?
Auch ist zu prüfen, ob ein Datenexport stattfindet, also Daten außerhalb des Europäischen Wirtschaftsraums verarbeitet werden. Dann ist es essentiell, die rechtliche Absicherung eines solchen Datentransfers zu gewährleisten.
Here to stay
Bei der DSGVO ist es nicht mit einer neuen Datenschutzerklärung getan. Vielmehr ist das nicht einmal der geeignete Ausgangspunkt. Nur wenn eine Kenntnis über die Datenflüsse im Unternehmen besteht, kann eine fundierte und sachlich richtige Information der Betroffenen erfolgen. Der größte Fehler wäre es, die DSGVO zu ignorieren. Es wäre noch nicht mal eine gute Geschichte auf einer „FuckUp Night“.