Leitthema Heft 2018-1

DS-GVO | Fahrplan festlegen

Bei der Umsetzung der DS-GVO führen viele Wege an das Ziel. Entscheidend ist nur, für sich und das eigene Unternehmen den optimalen Weg zu finden, um bis zum Stichtag im Mai ein passendes Datenschutzsystem vorweisen zu können. Keine leichte Aufgabe, da die DS-GVO im Vergleich zu dem bisher gültigen BDSG neue Begrifflichkeiten und veränderte Begriffsbestimmungen einführt. Eine 1zu1-Übernahme der bisherigen Prozesse unter der neuen Bezeichnung nach der DS-GVO ist bei den meisten Anforderungen nicht möglich. Gerade bei vertraglichen Grundlagen ist explizit auf die veränderten Begrifflichkeiten und den gesetzlichen Bezugspunkten einzugehen.



Verträge richtig umstellen

So reicht es beispielsweise bei Vereinbarungen über eine Auftragsdatenverarbeitung nach §11 BDSG nicht aus, den Begriff der Auftragsdatenverarbeitung (BDSG) durch Auftragsverarbeitung (DS-GVO) zu ersetzen. Die inhaltlichen Ansprüche haben sich verändert und müssen rechtskonform in die Neugestaltung von Verträgen einfließen. Unsachgemäße oder unvorteilhafte Formulierungen können schnell zu einer höheren Haftung bis hin zu einer Nichtanerkennung der Verträge durch die Aufsichtsbehörde führen.
Aber auch interne Verträge sind betroffen. Datenschutz ist eine ganzheitliche Angelegenheit und erfasst das gesamte Unternehmen. So sind im Zuge der Umstellung auch die Arbeitsverträge der Beschäftigten anzupassen. Die bisherige Verpflichtung Beschäftigter auf das Datengeheimnis nach §5 BDSG fällt in dieser Form ersatzlos weg. Dennoch gilt nach Maßgabe der Rechenschaftspflicht die Unterweisung und Verpflichtung weiter. Künftige Verpflichtungen sind ohne direkten Bezug auf einen Artikel freier aber nach wie vor detailliert zu verfassen.



Neue Begriffe – alter Inhalt

In der DS-GVO finden sich auch neue Begrifflichkeiten, deren Kerngedanke bereits aus dem BDSG bekannt ist. So werden Auftragsdatenverarbeiter zu Auftragsverarbeiter. Im Kern handelt es sich immer noch um die gleichen, ausgelagerten Tätigkeiten und die gleiche Beziehung zu dem Verantwortlichen. Obgleich der Kerngedanke gleich geblieben ist, haben sich manche Details auf Seiten des Verantwortlichen wie auf der des Auftragsverarbeiters verändert. Die Auswirkungen sind sehr individuell und müssen bei jeder Beziehung eigenständig kontrolliert werden.
Auch das Verzeichnis von Verarbeitungstätigkeiten ist in wesentlichen Zügen aus dem BDSG unter dem Begriff des Verfahrensverzeichnisses bekannt. Dabei handelt es sich um eine Aufstellung der vorhandenen Verarbeitungstätigkeiten mit personenbezogenen Daten. Obwohl die DS-GVO für die neue Übersicht einige Veränderungen und Erweiterungen vorsieht, kann das aktuelle Verzeichnis bestens als Grundlage herangezogen werden.



Neuerungen frühzeitig angehen

Natürlich hält die DS-GVO auch neue Ansätze und Anforderungen bereit. Für die Teildisziplin des Risikomanagements kommt künftig die Datenschutz-Folgenabschätzung (DSFA) ins Spiel. Oftmals als Nachfolger der Vorabkontrolle (BDSG) angesehen, ist die DSFA weitaus umfangreicher und mit einem anderen Ansatz zu verfolgen. Im Mittelpunkt steht die geforderte Nachweispflicht von Verarbeitungsvorgängen mit einem hohen Risiko für die Rechte und Freiheiten der Betroffenen. Um diesem Risiko zu begegnen, ist ein systematischer Ansatz bei dem Prüf- und Beurteilungsprozess notwendig. Dabei sieht die DSFA eine ausführliche Dokumentation der Prüfung vor. Ein deutlich ausgeweiteter Tätigkeitsumfang, als dies von der Vorabkontrolle nach dem BDSG bekannt ist.
Ein interessanter und bisher noch unterschätzter Artikel der DS-GVO ist das „Recht auf Datenübertragbarkeit“. Betroffene Personen können neben dem allgemeinen Auskunftsrecht auch den Anspruch auf Rückgabe ihrer Daten in einem „strukturierten, gängigen und maschinenlesbaren Format“ verlangen, sofern diese Daten in einer automatisierten Form vorliegen. Eine formlose Aufstellung der vorhandenen Daten im Zuge eines Auskunftsschreibens des Betroffenen ist nicht mehr ausreichend. Zudem kann eine betroffene Person die Datenübertragung von einem Verantwortlichen zu einem anderen Verantwortlichen verlangen. Eine Vorgabe, die bei der Wahl von Verarbeitungsanlagen (Applikationen und Software) mit berücksichtig werden sollte.



Zeit für den Fahrplan

Bei all diesen anstehenden Aufgaben sind eine gute Vorbereitung und ein strukturiertes Konzept fast schon obligatorisch um nicht im Chaos zu versinken. Ein guter und effektiver Fahrplan für die Umsetzungstätigkeiten sollte immer individuell auf das Unternehmen abgestimmt und konzeptionell erarbeitet werden um die tatsächlichen Prozesse zu erreichen. Allgemeine Muster und Vorlagen können helfen, bergen aber auch das Risiko sich Themengebieten zu widmen, die für das eigene Unternehmen nicht von Bedeutung sind. Kostbare Ressourcen an Zeit und Personal gehen so vermeidbar verloren.
Nachdem in der Praxis nur selten ein vollständiges und aktuelles Datenschutzmanagement anzutreffen ist, haben wir den 5-Phasen-Kreis entwickelt, die als Überblick die 5 anstehenden Kerntätigkeiten für die Planungen vorgibt.



Phase 1: Bestandsaufnahme

Um überhaupt den konkreten Arbeitsaufwand feststellen zu können, ist erst einmal das Unternehmen zu durchleuchten. Das Fundament der Bestandsaufnahme bilden die personenbezogenen Daten. Dabei gilt es festzustellen, welche Arten und Kategorien an Daten überhaupt vorhanden sind. Zu welchem Zweck wurden diese erhoben und ggf. in welchen Abteilungen sind diese verfügbar. Bei größeren Unternehmen ist es durchaus möglich, dass die unterschiedlichen Abteilungen wie Rechnungswesen oder Marketing auch unterschiedliche Datenbestände vorhalten. Welche Prozesse und welche Verfahren zur Verarbeitung personenbezogener Daten sind überhaupt vorhanden? Werden externe Dienstleister in den Prozess eingebunden und welche Tätigkeit kommt diesen zu? Wie sieht es mit den Datenverarbeitungsanlagen aus: welche Hard- und Softwarelösungen werden genutzt und wie ist die Struktur und das Netzwerk aufgebaut? Auch die vorhandenen Verträge mit datenschutzrelevanten Inhalten sind zu prüfen. Allen voran die Vereinbarungen zur Auftragsdatenverarbeitung nach §11 BDSG. Ein Augenmerk ist auch auf die Beschäftigten zu legen. Arbeitstechnische Vereinbarungen sind zu prüfen und anzupassen. Das Arbeitsverhältnis sowie der Arbeitsort sind zudem von Bedeutung. Findet beispielsweise auch Heimarbeit statt?
Die Bestandsaufnahme bildet das Kernelement für die weiteren Tätigkeiten und Planungen und sollte daher sehr gründlich und gewissenhaft durchgeführt werden.



Phase 2: Planung

Nachdem nun alle Verfahren und Prozesse bekannt und dokumentiert sind, kann die Planung weiterer Schritte erfolgen. Idealerweise ist bereits ein Datenschutzmanagement oder Ansätze vorhanden, worauf aufgebaut werden kann. Die Planungsphase ist so individuell wie die Unternehmen selbst. Zentrale Elemente für die DS-GVO sind vor allem die Frage nach der Bestellpflicht eines Datenschutzbeauftragten, die Risikofestlegung für die Rechte und Freiheiten der Betroffenen, Beschäftigungsverhältnisse, das Einwilligungsmanagement, die IT-Sicherheit sowie die notwendige Dokumentation zur Erfüllung der Nachweispflichten. Die Erfordernisse sowie der jeweilige Arbeitsaufwand sind festzustellen und die notwendigen Ressourcen einzuplanen.



Phase 3: Umsetzung

Planen ist gut – die Umsetzung ist besser. Jetzt, wo alle notwendigen Tätigkeiten erfasst und geplant sind, beginnt die heiße und stressige Phase der Umsetzung. Je nach Umfang und Struktur des Unternehmens, kann die Umsetzung schon einmal mehrere Wochen oder Monate in Anspruch nehmen. Idealerweise sind zeitliche und finanzielle Puffer bereits eingeplant. Die Erfahrung zeigt, dass gerade der Praxisteil immer wieder neue Herausforderungen ans Licht bringt, die bei den Planungsmaßnahmen nicht derart detailliert berücksichtig werden oder berücksichtigt werden können.



Phase 4: Prüfung

Mit der Umsetzung der festgestellten und geplanten Maßnahmen ist das Ziel leider noch nicht erreicht. Die DS-GVO wirft in Fachkreisen nach wie vor zahlreiche Fragen und ungeklärte Details auf. Diese praktischen Auslegungsfragen dürften aller Voraussicht nach ab dem 25.05.2018 noch weiter zunehmen, wenn sich die Verordnung der realen unternehmerischen Praxis stellen muss. So bedarf es einer stetigen Prüfung nach dem aktuellen Stand der Auslegungsentscheidungen der Aufsichtsbehörden sowie der Rechtsprechung. Es ist nicht ausgeschlossen, dass an zahlreichen Stellen nachgebessert oder ein gänzlich anderer Ansatz bei den eigenen Verfahren angewendet werden muss.



Phase 5: Anpassung

Aktuelle Entscheidungen und neue Erkenntnisse aus Phase 4 sind aufzunehmen und in Bezug auf die eigenen Prozesse und Verfahren zu überprüfen. Stellen sich Lücken oder ein veränderter rechtlicher Ansatz heraus, geht es erneut in die Planungs- und Umsetzungsphase. Ein stetiger Kreislauf, der im Prinzip keinen realen Abschluss findet.



Alles auf Anfang

Dem stetigen Wandel sind auch Arbeitsprozesse unterworfen. Updates und Funktionserweiterungen von Applikationen oder die Neuordnung einer Abteilung können einen Ablauf grundlegend verändern. Daher sollte das Phasenmodell regelmäßig, vor allem aber bei Neuerungen, abgearbeitet und Veränderungen in das System eingepflegt werden. Eingetretene Veränderungen sind datenschutzrechtlich zu bewerten und abgeleitete Maßnahmen umzusetzen.