Gewinnen Sie den Überblick über den Datenschutz in Ihrem Unternehmen. Welche Methode Ihnen am besten hilft, erfahren Sie hier

Datenschutz-Reihe

DS-Reihe #5 | Stand Juni 2020

Alle Unternehmen, die personenbezogene Daten verarbeiten, müssen die Einhaltung datenschutzrechtlicher Vorgaben sicherstellen und dafür entsprechende Dokumentation bereitstellen. Dies ist eindeutig aus Art. 5 Abs. 2 der DSGVO zu entnehmen. Allein das Vorhandensein von Regelungen zum Datenschutz und die Benennung eines Datenschutzbeauftragten stellen nicht sicher, dass die Regelungen funktionsfähig sind und die Vorgaben von allen Mitarbeitern wirksam eingehalten werden. Die Geschäftsführung ist zwar per Gesetz verantwortlich für die Einhaltung der datenschutzrechtlichen Vorgaben, kann aber oftmals selber aufgrund fehlender Nachweise keine messbare Einschätzung zum Einhaltungsgrad abgeben. Gerade wenn ein Unternehmen als Dienstleister im Sinn von Art. 28 DSGVO (Auftragsverarbeiter) tätig ist, muss diese Nachweisbarkeit aber auch gegenüber dem Auftraggeber gewährleistet werden. Viele Unternehmen, welche die Verarbeitung von personenbezogenen Daten als Dienstleistungen anbieten, werden inzwischen von ihren Auftraggebern angehalten, qualifizierte Bestätigungen zur Einhaltung des Datenschutzes abzugeben.

Datenschutz-IKS einführen

In der Praxis kann eine solche Nachweisbarkeit gut herbeigeführt werden, wenn Datenschutzkontrollen in tägliche Abläufe integriert werden. Interne Kontrollen für wesentliche Elemente des Datenschutzes können als Datenschutz-Kontrollsystem (Datenschutz-IKS) wirken. Das Datenschutz-IKS beinhaltet Kontrollen, die in allen datenschutzrelevanten (Teil-)Prozessen des Unternehmens integriert werden. Dokumentationen und Nachweise werden zeitnah in Prozessen mitgeführt und sind dann einfach in ihrer Wirksamkeit beurteilbar. Gut zu verdeutlichen ist dies am Beispiel der Einholung von Verschwiegenheitserklärungen für neue Mitarbeiter:

  • Wird bereits ein Nachweis durch den Personalbereich über die Einholung einer solchen Verschwiegenheitserklärung geführt, kann sehr einfach die Fehlerquote und damit der Wirkungsgrad der Umsetzung der Vorgaben objektiv gemessen werden.

Welches wichtige Kontrollen sind, kann aus dem Prüfungshinweis des Instituts der Wirtschaftsprüfer in Deutschland e.V. „Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz (IDW PH 9.860.1) entnommen werden. Bei Auftragsverarbeitern müssen interne Kontrollen im Hinblick auf die Nachweisbarkeit des Datenschutzes in der Tätigkeit für andere Unternehmen mindestens in Prozessen und Unternehmensbereichen vorhanden sein, die zur Dienstleistungserbringung relevant sind.

Der Mindestumfang des Datenschutz-IKS ist ebenfalls gut aus der Verantwortlichkeitsabgrenzung zwischen Auftraggeber und Auftragnehmer abzuleiten. Regelungen, die typischerweise durch den Auftraggeber umzusetzen sind, sind nicht zwingend Gegenstand des Datenschutz-IKS beim Auftragnehmer. Demnach sind beispielsweise die Umsetzung der Informationspflichten gegenüber den Betroffenen oder die Durchführung von Datenschutz-Folgenabschätzungen direkt beim Auftraggeber anzuordnen und zu beurteilen.

Als Auftragsverarbeiter sollten mindestens die nachfolgenden Kriterien prüfbar als Mindestumfang eines Datenschutz-IKS aufgenommen werden:

  • Benennung eines Datenschutzbeauftragten und Erfüllungsgrad der gesetzlich geforderten Tätigkeiten
  • Beauftragung und vertragliche Regelungen von Unterauftragnehmern in Bezug auf die relevante Dienstleistung, ggf. einschließlich Datenübermittlung in Drittländer
  • Prozesse zum Umgang mit Datenschutzvorfällen und Meldung an den Auftraggeber
  • Schulung bzw. Sensibilisierung der Mitarbeiter zum Datenschutz
  • Technische und organisatorische Datenschutz-Maßnahmen in Bezug auf die relevante Dienstleistung
  • Bei Entwicklungen von Software (als Gegenstand der Dienstleistung): Umsetzung der Prinzipien - Privacy by Design und Privacy by Default
  • Datenschutzgerechte Löschung / Vernichtung personenbezogener Daten der Auftragsverarbeitung
  • Führung eines Verzeichnisses über Verarbeitungstätigkeiten hinsichtlich der relevanten Dienstleistung

Wirksamkeit im laufenden Betrieb beurteilen / Einführung unterstützen

Für die Wirksamkeit sind unterschiedliche Nachweise relevant. Die Einholung von Verschwiegenheitserklärungen wird jeweils im Einstellungsprozess nachweisbar sein, ein ausreichender Kenntnisstand des Datenschutzbeauftragten sollte durch Fortbildungsnachweise belegbar sein.

Effizient kann die Einführung eines Kontrollsystems insbesondere durch einen Berater oder Datenschutzauditor unterstützt werden, der aufgrund seiner Erfahrungen hier angemessene Vorgaben für das spezifische Unternehmen mitbringen wird, so dass Regelungen weder überfrachtend und damit ineffizient sind noch notwendige Regelungen vergessen bzw. missachtet werden. Darüber hinaus kann dieser z.B. einmal jährlich bei der internen Wirksamkeitsprüfung unterstützen oder alternativ die Wirksamkeit und Funktionsfähigkeit des internen Datenschutzkontrollsystems im Rahmen eines Audits bestätigen. Da in den meisten Unternehmen die Mitarbeiter zeitlich im Tagesablauf ausgelastet sein dürften, ist der Einsatz eines Beraters oftmals eine gute Möglichkeit den Aufwand und die Belastung für die Mitarbeiter bei der Einführung eines solchen internen Kontrollsystems überschaubar zu halten.

Vorteile eines Datenschutz-IKS

Vorteile eines Datenschutz-IKS ergeben sich in mehrfacher Hinsicht: Die Geschäftsführung eines Unternehmens kann jederzeit die Wirksamkeit des Datenschutzes mittels objektiver Nachweise bewerten und mit überschaubarem Aufwand durch eine (externe) Prüfung bestätigen lassen. Mit dem Nachweis eines „geprüften Datenschutzes“ kann für die Dienstleistungen geworben werden und den häufig vereinbarten vertraglichen Regelungen mühelos nachgekommen werden. Oftmals wird nämlich vom Auftragnehmer eine qualifizierte Prüfungsbestätigung erwartet, um nicht dem eigenen Prüfrecht vor Ort nachkommen zu müssen. Nachweise werden oftmals schon in der Phase der Auswahl eines Dienstleisters erwartet und danach jährlich angefordert, um ein effektives Auslagerungscontrolling sicherzustellen.

Auch im Rahmen von Jahresabschlussprüfungen beim Auftraggeber kann das Vorliegen von qualifizierten Prüfungsbestätigungen die vereinfachte Nachweisführung zum Datenschutz unterstützen und dadurch Kosten sparen.

Skalierbarkeit einer Prüfung des Datenschutz-IKS

Eine Prüfung zur Bestätigung der Datenschutzeinhaltung im Unternehmen kann bei Bedarf auch skaliert, d.h. nach Prüfungsthemen aufgeteilt werden. Zuerst kann die Angemessenheit der Regelungen und danach ihre Wirksamkeit beurteilt werden. Damit ist die finanzielle und aufwandstechnische Belastung im Unternehmen zeitlich verteilt und besser tragbar. Ähnlich der Vorgehensweise von ISO Zertifizierungen kann im Jahr nach der Erstzertifizierung/Erstprüfung mit relativ geringem Aufwand die weitere Wirksamkeit der Maßnahmen bestätigt werden.

Für Auftragsverarbeiter stellt die Einführung eines Datenschutz-IKS eine empfehlenswerte Möglichkeit dar, vorhandene Datenschutzmaßnahmen besser beurteilbar zu gestalten und somit für mögliche bzw. bestehende Auftraggeber die Qualität und die Risiken einer Beauftragung besser einschätzen zu können. Insbesondere bei der nicht delegierbaren Haftung, die sich durch die Verarbeitung von personenbezogenen Daten für den Auftraggeber (Verantwortlichen) ergibt, ist dies ein entscheidendes Kriterium der Risikobeurteilung.

Als DEKRA zertifizierte Fachkraft für Datenschutz sowie DEKRA zertifizierte Datenschutzauditorin unterstütze ich Sie gerne bei dem Aufbau oder der Prüfung Ihres internen Datenschutzkontrollsystems.

Für Fragen oder Angebote schreiben Sie mir gerne über das Kontaktformular oder rufen mich einfach an.

Ihre Linda Liesum