Verhaltenskodex und Qualitäts-Zertifizierungen im Datenschutz

Sobald du die Datenschutzprozesse in deinem Betrieb eingeführt und umgesetzt hast, musst du sie auch regelmäßig durch geeignete technische und organisatorische Maßnahmen überwachen. Denn wenn dein Unternehmen wächst oder sich verändert oder technische Neuerungen es notwendig machen, musst du sofort reagieren und deine Prozesse entsprechend optimieren. Wei können dir Verhaltenskodex und Qualitäts-Zertifizierungen dabei helfen?

Foto: Pixabay.com, copyright by geralt, 4015001, CC0 1.0

Der Verantwortliche für den Datenschutz ist in einem Unternehmen in der Regel der Geschäftsführer. Das ändert sich auch nicht durch die Bestellung eines Datenschutzbeauftragten, denn dieser muss hauptsächlich die korrekte Umsetzung der Vorschriften kontrollieren und ob die Geschäftsführung die Ziele durch geeignete Konzepte und Strategien verfolgt.

Doch wie kommen der Geschäftsführer und der Datenschutzbeauftragte ihrer Verpflichtung richtig nach?

Die wichtigsten Vorschriften dazu in der DSGVO

Die DSGVO liefert dir dafür einige Anhaltspunkte. Zum einen beschreibt sie in Artikel 24 die genaue Verantwortung und verweisen dort konkret auf Artikel 40 und Artikel 42. Schauen wir uns diese Vorschriften nun genauer an, um herauszufinden, was das für dich konkret bedeutet.

Artikel 24 DSGVO – Die Verantwortung des für die Verarbeitung Verantwortlichen

Hier erklärt der Gesetzgeber, dass der Verantwortliche durch eine Risikoabwägung und geeignete technische und organisatorische Maßnahmen sicherstellen muss, dass die Verarbeitung DSGVO-konform erfolgt. Dafür wird außerdem ein Nachweis gefordert. Als Nachweis dient die Einhaltung der vorgeschriebenen Verhaltensregeln nach Artikel 40 sowie das genehmigte Zertifizierungsverfahren nach Artikel 42.

Genaue Maßnahmen werden nicht genannt, aber du findest einige weitere Hinweise in den zugehörigen sogenannten Erwägungsgründen, in denen es hauptsächlich um die Risikobewertung geht (Erwägungsgründe 74 bis 77).

Artikel 40 DSGVO – Verhaltensregeln

Hier sind 11 Punkte ausformuliert, die dir erklären, welche Verhaltensregeln durch die Mitgliedsstaaten im Einzelnen näher ausgearbeitet werden sollen. Diese sind unter Nr. 2 aufgeführt und lauten:

  1. faire und transparente Verarbeitung;
  2. die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen;
  3. Erhebung personenbezogener Daten;
  4. Pseudonymisierung personenbezogener Daten;
  5. Unterrichtung der Öffentlichkeit und der betroffenen Personen;
  6. Ausübung der Rechte betroffener Personen;
  7. Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist;
  8. die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 und die Maßnahmen für die Sicherheit der Verarbeitung gemäß Artikel 32;
  9. die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten;
  10. die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder
  11. außergerichtliche Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung, unbeschadet der Rechte betroffener Personen gemäß den Artikel 77 und 79.

Diese Regeln sind wichtig, weil sie dabei helfen, die Nachweispflicht, die in Artikel 24 und 32 vorgeschrieben sind, zu erfüllen. Die Regeln sind außerdem im Rahmen der Datenschutz-Folgenabschätzung nach Artikel 35 wichtig. 

Wer darf diese Regeln festlegen?

Diese Verhaltensregeln werden auch „Code of Conduct“ oder „Datenschutzkodex“ genannt. Sie werden gemäß Artikel 40 von „Verbänden und anderen Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeiter vertreten“ ausgearbeitet, beispielsweise von Berufsverbänden wie der Ärzte- oder Rechtsanwaltskammer, aber auch von der IHK oder Gewerkschaften sowie Arbeitgeberverbänden.

Die ausgearbeiteten Regelungen müssen von den Verbänden erst noch nach Artikel 55 DSGVO der zuständigen Aufsichtsbehörde zur Prüfung und Genehmigung vorgelegt werden. Nationale Regeln kann die Behörde selbst genehmigen und veröffentlichen. Bei internationalen Regeln kommt das Kohärenzverfahren nach Artikel 63 DSGVO zum Tragen und die EU-Kommission muss sie für gültig erklären.

Wer überwacht die Einhaltung der Regeln?

Die Überwachung ist in Artikel 41 geregelt. Dort ist festgelegt, dass nicht nur die zuständige Aufsichtsbehörde (nach Artikel 57 und 58), sondern auch eine sogenannte „akkreditierte Stelle“ die Einhaltung kontrolliert. Sie überprüft regelmäßig die Einhaltung und informiert bei Verstößen die Aufsichtsbehörde.

Artikel 42 – DSGVO Zertifizierung

In diesem Artikel wird festgelegt, dass die Mitgliedstaaten und Aufsichtsbehörden ein spezifisches Zertifizierungsverfahren benötigen, das mithilfe von Datenschutzsiegeln und Datenschutzprüfzeichen dabei hilft, nachzuweisen, dass die DSGVO auch wirklich eingehalten wird. Im Erwägungsgrund 100 wird zusätzlich erwähnt, dass diese Siegel und Prüfzeichen dabei helfen sollen, „den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen.“

Dazu kommt, dass die Zertifizierung freiwillig und über ein transparentes Verfahren zugänglich sein muss. Nur weil du zertifiziert bist, bedeutet das nicht, dass du als Verantwortlicher nun weniger auf die Einhaltung achten musst, die Zertifizierung mindert nicht deine Verantwortung und nicht die Befugnisse der Aufsichtsbehörde.

Die Zertifizierung wird nach den Vorschriften von Artikel 43, 58 oder 63 durch die Aufsichtsbehörden oder die Zertifizierungsstellen vorgenommen. Dafür muss der Verantwortliche der Zertifizierungsstelle alle dafür notwendigen Informationen zur Verfügung stellen. Die Zertifizierung wird nur auf drei Jahre befristet erteilt und kann dann verlängert werden, wenn nach einer erneuten Prüfung festgestellt wird, dass die notwendigen Kriterien immer noch erfüllt sind. Andernfalls kann die Zertifizierung auch widerrufen werden.

Artikel 43 DSGVO Zertifizierungsstellen

In diesem Artikel ist festgelegt, welche Stellen als Zertifizierungsstellen akkreditiert werden können. Sie müssen vor allem:

  • unabhängig sein,
  • der Aufsichtsbehörde ein spezielles Fachwissen auf diesem Gebiet nachweisen können,
  • sich verpflichten, die Kriterien nach Artikel 42, 55, 56 und 63 einzuhalten
  • die notwendigen Verfahren für die Erteilung, regelmäßige Überprüfung und den Widerruf der Zertifizierung und der Siegel und Prüfzeichen festgelegt haben,
  • Verfahren und Strukturen festgelegt haben, mit denen sie Beschwerden bezüglich der Zertifizierung überprüfen können
  • und der Aufsichtsbehörde nachgewiesen haben, dass die Aufgaben und Pflichten nicht zu einem Interessenskonflikt führen.
Foto: Pixabay.com, copyright by 422737, 445157, CC0 1.0

Was tun, wenn du nicht weiterweißt?

Die Fülle von Informationen und Vorschriften, die hier zu beachten sind, das richtige Verhalten und die Vorbereitung und Durchführung von Zertifizierungen können wirklich schwierig sein. Da kann man schnell den Überblick verlieren. Weil von einer erfolgreichen Zertifizierung aber sehr viel für dich abhängt, ist es gut, wenn du dich damit an jemanden wendest, der sich damit auskennt. Da die Einführung der DSGVO noch nicht lange zurückliegt, wirst du vielleicht sogar jetzt erst mit der ersten Zertifizierung konfrontiert?  Kein Grund zur Beunruhigung.

Denn wir von WBTrade-IT können dir helfen. Als Dienstleistungsunternehmen mit langjähriger Erfahrung kennen wir uns bestens mit den verschiedensten Zertifizierungen und Prozessen aus. Gerne unterstützen wir dich mit unserem freundlichen und kompetenten Expertenteam. Wir freuen uns auf deine Nachricht.

Dopo il GDPR arriva il regolamento e-Privacy

Nach der DSGVO kommt jetzt die ePrivacy-Verordnung

Falls du dich schon gefreut hast, dass du dich ausruhen kannst, weil dein Datenschutzkonzept erfolgreich eingeführt wurde, dann war das leider verfrüht. Denn es wartet schon die nächste Überraschung auf dich: Die ePrivacy Verordnung steht nämlich bereits in den Startlöchern.

Foto: Pixabay.com, copyright by TBIT, 1203603, CC0 1.0

Warum eine weitere Verordnung?

Die geplante ePrivacy Verordnung ist keine ganz neue Idee, sie rückt aber aufgrund der zunehmenden Digitalisierung wieder stärker in den Vordergrund. Diese Verordnung ist nämlich mehr oder weniger eine Spezialverordnung zu einem bestimmten Bereich der DSGVO, nämlich der elektronischen Kommunikation. Daher hätten eigentlich beide Regelungen ursprünglich gleichzeitig in Kraft treten sollen. Nur leider hinken die Entwürfe und der Zeitplan ein wenig hinterher. Dieser Bereich war bisher im Rahmen der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) vom 12. Juli 2002 schon geregelt und sollte jetzt durch die e-Privacy-Verordnung neu geregelt werden.

Worum geht es in der ePrivacy-Verordnung?

Grundsätzlich soll mit dieser Verordnung europaweit auf EU-Ebene ein spezieller Schutz der Kommunikationsdaten von öffentlich zugänglichen Kommunikationsdiensten erreicht werden. Sie soll viele Regelungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) ablösen.

Die Verordnung soll dann, genau wie die DSGVO, in allen Mitgliedstaaten der EU unmittelbar gelten, aber ebenfalls über Öffnungsklauseln individuell ausgestaltet werden können. E-Privacy soll sich auch nicht nur auf die Verarbeitung personenbezogener, sondern auch auf die nicht personenbezogenen Daten beziehen und sowohl natürliche als auch juristische Personen schützen.

Welche elektronischen Kommunikationsformen zählen dazu?

Dabei geht es vor allem um Tracking und Targeting, Messaging-Dienste, Freemail-Dienste, Cookies oder andere Kommunikationen via Internet. Betroffen sind also zunächst der Internetzugang samt Internettelefonie und vor allem die Sozialen Medien. Außerdem Personal Messaging, Instant-Messaging-Dienste und webgestützte E-Mail-Dienste.

Inwiefern sind die Unternehmen davon betroffen?

Dein Unternehmen ist in besonders hohem Maße von der neuen Regelung betroffen, wenn du mit Online-Marketing oder Direktwerbung arbeitest. Denn sobald die neue Regelung in Kraft getreten ist, musst du verstärkt auf eine regelkonforme Umsetzung deiner Werbung in den Nachrichtendiensten achten. Es ist wichtig, dass deine Cookies und dein Tracking legal und korrekt ausgeführt werden, um Strafen zu vermeiden. Zudem ist natürlich deine komplette E-Mail-Kommunikation davon betroffen.

Die wichtigsten Inhalte

Bisher ist noch keine endgültige Regelung verabschiedet und es liegen unterschiedliche Entwürfe vor. Dennoch werden einige Punkte ganz besonders wichtig werden. Darunter das Recht auf Vergessenwerden, sodass die Nutzer ihre Einwilligung zur Datennutzung jederzeit widerrufen und aus der Datenbank der Unternehmen entfernt werden können.

Dazu kommt, dass das Kopplungsverbot weiter ausformuliert werden wird. Denn bereits jetzt dürfen Unternehmen auf ihren Webseiten nicht die Sichtbarkeit der Inhalte davon abhängig machen, ob der Besucher einwilligt oder nicht. Vor allem für Direktwerbungen der Unternehmen wird die Situation schwieriger. Privatpersonen dürfen nicht mehr mit Werbung belästigt werden, da diese als „unerbetene Kommunikation“ gilt. Auch Kunden müssen die Möglichkeit haben, der Werbung zu widersprechen.

Auch die Privatsphären-Einstellungen müssen optimiert werden. Der Browser muss aber trotzdem leicht zugänglich sein. Dafür ist ein verstärkter Schutz gegen unbefugte Zugriffe notwendig. Im Bereich der Telefonie wird die Rufnummernunterdrückung eingeführt. Sie wird nur noch angezeigt und im Telefonbuch eingetragen, wenn der Anschlussinhaber ausdrücklich zustimmt.

Spezialfall: Cookies

Die Verarbeitung und Speicherung von Nutzerdaten beim Tracking und Targeting sowie bei Cookies, also beispielsweise mit dem beliebten Google Analytics, ist für Firmen verboten, wenn der Nutzer nicht ausdrücklich einwilligt. Das ist ein großes Problem für die Marketing-Abteilungen jeder Firma, die auf die Internetwerbung angewiesen ist.

Es werden aber Ausnahmen erlaubt. Denn die Seitenbetreiber dürfen noch solche Cookies erfassen, die sie dringend benötigen, damit die wesentlichen Funktionen der Webseite ordnungsgemäß funktionieren. Schon jetzt gibt es dafür die bekannte Opt-out-Lösung, bei der der Nutzer darüber informiert wird, dass der Seitenbetreiber einige Daten sammeln möchte. An dieser Stelle kann dann der Nutzer entscheiden, ob er den Cookies zustimmt oder sie ablehnt.

Doch in der verschärften Vorschrift der e-Privacy-Verordnung (Artikel 8) sieht der momentane Vorschlag so aus, dass jede Datenerhebung vom Gerät des Endnutzer und jegliche Verarbeitung und Speicherung verboten ist. Dazu kommt, dass auch die Informationserhebung über das genutzte Endgerät unzulässig ist.

Kritik am Konzept

Für die Nutzer ist der verstärkte Datenschutz zu begrüßen. Da von diesem Thema besonders das Marketing der Firmen in Gefahr ist, ist die geplante Verordnung den Großkonzernen ein Dorn im Auge. Sie will nämlich unter anderem erreichen, dass die Nutzer ihre Zustimmung zu dieser werblichen Verwendung geben müssen, damit sie legal ist. Und wer möchte sich schon pausenlos mit Werbung verfolgen lassen?

Verständlicherweise sind die großen Konzerne daher nicht besonders erfreut über geplante Einschränkungen. Datenschützer und Verbraucherschützer freuen sich jedoch und setzen sich für einen hohen Schutz sowie strenge Regelungen ein.

Verzögerung bei der Umsetzung

Mittlerweile liegen in Brüssel daher bereits viele unterschiedliche Entwürfe für die e-Privacy-Verordnung vor, von denen sich jedoch noch keiner durchgesetzt hat. Nach aktuellem Stand ist auch vor Ende des Jahres 2019 noch nicht damit zu rechnen, dass ein endgültiger Entwurf vorliegen wird.

E-Privacy nicht auf die leichte Schulter nehmen

Die Verordnung wird unweigerlich kommen und mit ihr eine verschärfte Umsetzung des Datenschutzes, der gut geplant werden sollte. Denn bei der Nichteinhaltung der Vorschriften droht hier ein ebenso hoher Schadensersatz und ein Bußgeld wie bei der DSGVO. Das kann teuer werden, denn für die Bußgelder werden ebenfalls bis zu 20 Millionen Euro vorgesehen sein.

Vorbereitung mit professioneller Unterstützung

Noch ist unklar, ab wann die ePrivacy-Verordnung kommt. Doch genau wie bei der DSGVO ist eine gut geplante und vorbereitete Umsetzung wichtig. Und da dies erfahrungsgemäß längere Zeit in Anspruch nimmt und für jeden Betrieb eine völlig neue Herausforderung darstellt, ist es hilfreich, einen Experten zu Rate zu ziehen. Und das vor allem rechtzeitig, um später nicht unter Druck die Umsetzung vorzunehmen.

Foto: Pixabay.com, copyright by geralt, 571157, CC0 1.0

Besonders Händler oder Online-Shops sollten sich jetzt schon Gedanken machen, wie sie die verschärften Regelungen umsetzen wollen. Aber auch Firmen, die bereits mit Tracking-Methoden und Online-Marketing arbeiten, sollten bereits jetzt aktiv werden.

WB Trade-IT steht dir hierfür mit seinem Expertenteam gerne zur Verfügung. Aufgrund langjähriger Erfahrung in unterschiedlichen Firmenbereichen und vor allem mit der DSGVO stehen wir dir gerne mit Rat und Tat zur Seite und begleiten dich bei der Vorbereitung, Umsetzung und später bei der notwendigen regelmäßigen Anpassung und Aktualisierung.

DSGVO – einmal umgesetzt, alles erledigt?

Wenn du dein Unternehmen mehr oder weniger pünktlich den Erfordernissen der DSGVO angepasst hast, dann ist jetzt alles in Ordnung – oder nicht? Das ist leider ein Trugschluss. Selbstverständlich waren die umfassenden Änderungen ungewohnt, anstrengend oder für einige Unternehmen schwierig, zeitaufwendig oder lästig.

Foto: Pixabay.com, copyright by geralt, 283233, CCO 1.0

Dennoch handelt es sich um eine gesetzliche Vorschrift, die nicht umgangen werden kann. Doch nach erfolgreicher Umstellung kann man sich leider nicht auf den Lorbeeren ausruhen, sondern muss weiter am Ball bleiben. Warum das so ist und was du beachten musst, erklären wir dir hier.

Datenschutz muss laufend angepasst werden

Wenn du die ersten Umsetzungen und Anpassungen hinter dir hast, dann bist du zunächst eine Zeitlang auf der sicheren Seite. Doch deine Firma wächst und mit zunehmender Größe werden auch die Anforderungen an den Datenschutz anspruchsvoller. Es sind mehr Daten und mehr Kunden und Lieferanten mit einzubeziehen, eventuell brauchst du neue Prozesse oder mehr Mitarbeiter, die sich um alles kümmern.

Dazu kommt, dass die Technik sich laufend weiterentwickelt. Deine IT-Systeme und Software müssen daher ebenfalls ständig angepasst werden. Dazu kommen eventuell neue Computer oder Server und natürlich stets aktuelle Virenprogramme und Schutzmaßnahmen, um Sicherheitslücken abzudecken.

Das alles musst du bereits bei der ersten Anpassung an die DSGVO mit berücksichtigen oder wenigstens ab sofort organisieren. Daher bist du gut beraten, wenn du von Anfang an mit einer professionellen Dienstleistungsfirma zusammenarbeitest, die darauf spezialisiert ist. Sie kann dich laufend beraten und notwendige Anpassungen rechtzeitig empfehlen und mit dir gemeinsam umsetzen.

Hintergrund der Anpassung: Artikel 25 DSGVO

Der Grund dafür, dass du stets auf dem neusten Stand sein musst, ist eigentlich selbsterklärend, weil du nur so effektiv arbeiten kannst. Zudem wird es aber explizit in der DSGVO vorgeschrieben und zwar in Artikel 25. Dort geht es um den „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“.

Dort wird unter anderem vorgeschrieben, dass „unter Berücksichtigung des Stands der Technik“ die DSGVO wirksam umzusetzen ist, um die betroffenen Personen zu schützen und den Anforderungen der DSGVO zu genügen.

Der Stand der Technik verändert sich natürlich im Laufe der Zeit und somit muss auch die Technik in deiner Firma sich laufend dem aktuellen Stand anpassen und durch geeignete neue Systeme oder neue Software und Updates angepasst werden.

Auch die Organisation muss angepasst werden

Der Punkt sieht aber auch vor, dass nicht nur die Technik, sondern auch die „sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“ ergriffen werden müssen.

Das ist der Grund dafür, dass du auch notfalls deine Prozesse verändern und anpassen oder die Mitarbeiter neu schulen musst. Denn nicht nur die Erneuerung deines EDV-Systems, sondern auch der Ablauf der Verarbeitung sowie die Kenntnisse der Mitarbeiter spielen eine Rolle dabei, ob der Datenschutz regelmäßig berücksichtig wird.

Artikel 25 DSGVO verpflichtet dich also, laufend die geeigneten technischen und organisatorischen Maßnahmen zu treffen, damit die Verarbeitung der Vorschrift entspricht. 

Welche Anpassungsmaßnahmen werden vorgeschrieben?

Leider erwähnt das Gesetz nicht, welche Maßnahmen du treffen musst. Im „Erwägungsgrund 78 – Geeignete technische und organisatorische Maßnahmen“ bekommst du zumindest Beispiele dafür. Konkret erwähnt wird die Pseudonymisierung, die auch in Artikel 4 der DSGVO näher bestimmt wird.

Im Erwägungsgrund 78 wird erwähnt, dass die Verantwortlichen dabei ganz besonders auf die Grundsätze des „Datenschutzes durch Technik (data protection by design)“ und „datenschutzfreundliche Voreinstellungen (data protection by default)“ achten müssen. Was ist das genau?

Data protection by design and by default

Data Protection by design – Datenschutz durch Technikgestaltung

Der Datenschutz durch Technikgestaltung bedeutet, dass er am besten eingehalten werden kann, wenn er von Anfang an bereits technisch integriert ist. Das heißt, dass du bei bereits bei der Umsetzung der DSGVO oder bei der Auswahl deiner Systeme, Software und Hardware, Anwendungen und so weiter auf die Erfüllung der Datenschutzziele achtest.

Du musst also schon während der Entwicklung deines Datenschutzkonzepts die Maßnahmen berücksichtigen und einplanen. Auch dabei kann dir ein professioneller Dienstleister wie WB Trade-IT tatkräftig zur Seite stehen, denn er hat die notwendige Erfahrung in diesem Bereich, die dir bei der ersten Erstellung möglicherweise noch fehlt.

Data Protection by default

Der Datenschutz durch datenschutzfreundliche Voreinstellungen bedeutet, dass deine Grundeinstellungen (oder in der IT auch Werkseinstellungen) schon im Moment der Entwicklung, Gestaltung, Auswahl und Nutzung der Produkte, Dienste oder Anwendungen das Recht auf Datenschutz berücksichtigen und sicherstellen. Dies soll die Verarbeitung der Daten im Sinne der DSGVO erleichtern und somit auch weniger technisch versierten Nutzern eine nutzerfreundliche und leicht verständliche Anwendung ermöglichen.

Welche Maßnahmen kannst du also ergreifen?

Da der Gesetzgeber dich im Unklaren darüber lässt, was du genau zu tun hast, bist du auf Tipps und Erfahrungen anderer Firmen angewiesen. Dass der Gesetzgeber dir aber einen Spielraum zur Ausführung der Maßnahmen lässt, ist auch ein Vorteil. Denn jede Firma hat einen individuellen Hintergrund. Und als Kleinunternehmen musst du beispielsweise andere Maßnahmen ergreifen als ein weit verzweigter Großkonzern.

Erwägungsgrund 78 schlägt beispielsweise vor:

  • Pseudonymisierung personenbezogener Daten
  • Transparenz in Bezug auf Funktionen und Verarbeitung personenbezogener Daten
  • Dass die Entwickler von Produkten, die bei der Verarbeitung personenbezogener Daten zum Einsatz kommen, bereits den Stand der Technik berücksichtigen, damit die späteren Anwender ihren Datenschutzpflichten nachkommen können.
  • Bei öffentlichen Ausschreibungen soll bereits auf die Grundsätze des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen geachtet werden.

Weitere mögliche Maßnahmen

Die weiteren Möglichkeiten können von deiner individuellen Situation abhängen, du kannst aber über folgende nachdenken:

  • Neben der vorgeschlagenen Pseudonymisierung noch eine zusätzliche Anonymisierung der Daten vornehmen.
  • Bei gekaufter Software darauf achten, ob der Hersteller und Entwickler deine Erfordernisse schon berücksichtigt hat, wie es Erwägungsgrund 78 vorschlägt.
  • Eine Nutzerauthentifizierung einführen.
  • Das Widerspruchsrecht nach Art. 21 DSGVO technisch umsetzen und ausgestalten.
  • Zusätzliche Anregungen aus anderen Standards heranziehen, beispielsweise dem IT-Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnologie (BSI) oder aus verschiedenen ISO-Normen.
Pixabay.com, copyright by TheDigitalArtist, 3443620, CCO 1.0

Bei all den vorgeschlagenen Maßnahmen musst du zudem berücksichtigen, dass Art. 25 DSGVO auch möchte, dass du die Implementierungskosten, Art, Umfang, Umstände und Zweck der Verarbeitung berücksichtigst. Diese musst du in Relation setzen zu den möglichen Risiken und deren Schwere und Eintrittswahrscheinlichkeit und danach die passenden Maßnahmen festlegen.

Die Risikoabschätzung ist ein sehr wichtiger Teil des Datenschutzkonzeptes, vor allem weil eine falsche Einschätzung in falschen Maßnahmen resultieren könnte, die letztlich keinen richtigen Schutz bieten können.

Daher stehen wir dir gerne mit unserem langjährigen Wissen und unserer Kompetenz beratend zur Seite. Melde dich gerne zur Vereinbarung eines Beratungstermins.

Sommer-Sonne-Datenschutz: Der Datenschutz macht keine Ferien

Jede Firma, die nach den Vorschriften der DSGVO dazu verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, muss auch daran denken, was passiert, wenn dieser krank ist oder Urlaub hat. Denn der Datenschutz macht keine Ferien. Doch was ist in diesen Fällen zu tun? Und warum ist es so wichtig, dass jemand erreichbar sein muss?

Regelung der Urlaubsvertretung

Bei jedem Arbeitsplatz wird grundsätzlich darauf geachtet, dass während des Urlaubs eine Vertretung rechtzeitig über die aktuell offenen Fälle oder wichtigen Termine informiert wird. Dann erfolgt eine offizielle Übergabe. Diese kann in jedem Betrieb, abhängig von der Größe anders aussehen. Normalerweise können sich zwei Sachbearbeiter in derselben Abteilung leicht vertreten. Sie bekommen meist die laufenden Fälle des jeweiligen Gegenübers ohnehin mit und sind im Team über Schwierigkeiten informiert. Viele Firmen handhaben es so, dass jeder Sachbearbeiter im Urlaub- und Krankheitsfall eine feste Vertretung hat, sodass der Betrieb flüssig weiterlaufen kann. Dies ist auch im Fall des Datenschutzbeauftragten ratsam.

Vertretung des Datenschutzbeauftragten

Der Datenschutzbeauftragte kann leider nicht so leicht durch einen beliebigen Kollegen ersetzt werden, denn für diesen Posten dürfen nur Personen mit dem notwendigen Fachwissen bestellt werden.

Laut Art. 37 Abs. 5 DSGVO muss der Datenschutzbeauftragte einige wichtige Eigenschaften besitzen, damit er für die Aufgabe bestellt werden kann. Er braucht die berufliche Qualifikation, das notwendige Fachwissen im Datenschutzrecht sowie in der Datenschutzpraxis und er muss die notwendigen Fähigkeiten zur Erfüllung aller ihm zugedachten Aufgaben mitbringen.

Der Stellvertreter muss also über exakt dasselbe Profil verfügen. In vielen Firmen, besonders in kleinen Firmen, ist es schwer, bei nur wenigen Mitarbeitern gleich zwei zu finden, die über ein derartiges Fachwissen verfügen, daher greifen diese Firmen häufig darauf zurück, einen externen Datenschutzbeauftragten einzustellen. Diese professionellen Unternehmen verfügen über eine Vielzahl kompetenter Mitarbeiter und können einen solchen Urlaubs- oder Krankheitsausfall schnell abfangen.

Warum nicht das Problem erst nach dem Urlaub regeln?

Im Falle einer Beschwerde, weil ein Betroffener erkennt, dass mit seinen Daten etwas nicht stimmt, steht ihm das Recht auf eine unverzügliche Abhilfe durch den Verantwortlichen zu. Jeder Betroffene muss also den Datenschutzbeauftragten sofort erreichen können, um sein Problem vorzutragen und es regeln zu lassen. Dazu gehören beispielsweise:

  • Artikel 16 – Recht auf Berichtigung von unrichtigen personenbezogenen Daten
  • Artikel 17 – Recht auf Löschung personenbezogener Daten

Außerdem haben die Betroffenen nach Artikel 77 auch das Recht auf Beschwerde bei einer Aufsichtsbehörde. Viele werden aber nicht mit Kanonen auf Spatzen schießen und zunächst versuchen, das Problem direkt zu klären. Es wäre daher ungünstig, wenn in der Firma niemand erreichbar ist und die Betroffenen direkt über die Behörden vorgehen. Die Beschwerde kann nämlich problemlos über die zuständigen Behörden des jeweiligen Bundeslandes online veranlasst werden.

Was ist zu tun, wenn es zu einer Beschwerde kommt?

Da Beschwerden sofort bearbeitet werden müssen und die Daten unverzüglich zu berichtigen oder zu löschen sind, wenn sich die betroffene Person meldet, ist ein Stellvertreter unumgänglich. Nach Eingang der Beschwerde zeigt sich die Kompetenz in der Abwicklung und die ist unter Umständen während der Urlaubszeit erschwert. Denn wenn eine Firma nur halb besetzt ist oder möglicherweise sogar während der Betriebsferien komplett geschlossen ist, sind andere relevante Stellen, beispielsweise in der IT, auch nicht wie gewohnt erreichbar. Für solche Fälle muss im Betrieb daher ein Ablaufplan vorliegen, aus dem der Prozess ersichtlich ist, nach dem die Firma vorgehen muss. Für die Urlaubszeit muss in den Prozessablauf der Vertretungsplan integriert sein. So ist klar, wer zu kontaktieren ist, wenn Daten auf dem Server gelöscht oder berichtigt werden müssen oder in welchem Archiv welche Backups geprüft und gelöscht werden sollen.

Mangels gesetzlicher Vorschrift: Handlungstipps für die Praxis

In der DSGVO ist kein genauer Ablauf vorgeschrieben und es ist nicht geregelt, wie ein Unternehmen den Urlaubs- oder Krankenausfall zu regeln hat. Doch in der Praxis haben sich hierfür verschiedene hilfreiche Vorgehensweisen herauskristallisiert. Auch wenn ein Stellvertreter nicht im Gesetz vorgeschrieben ist, ist er die einfachste und naheliegendste Lösung. Entweder muss die Firma den Datenschutzbeauftragten und den Stellvertreter gleichermaßen schulen oder beide extern von einem qualifizierten Dienstleistungsunternehmen oder den eines Zweigwerkes rekrutieren. Ein Stellvertreter aus einem Zweigwerk hat den Vorteil, dass er sich im Unternehmen und dem verwendeten Computersystem sowie in vielen Abläufen bereits auskennt. Dadurch lassen sich Kosten bei der Einarbeitung reduzieren. Außerdem werden interne und vertrauliche Infos viel lieber an eigene Konzernangehörige weitergegeben als an Fremde. Andererseits kann nicht einfach ausgerechnet in der Urlaubszeit ein Datenschutzbeauftragter aus einem anderen Werk abgezogen werden. Zudem könnte dieses Zweigwerk auch weit entfernt sein und dieser Stellvertreter hat gar nicht die Möglichkeit, flexibel an mehreren Orten gleichzeitig nach dem Rechten zu sehen.

Wie gehst du am besten bei einer Beschwerde vor?

Der wichtigste Punkt für dich ist, dass du auf eine Beschwerde umgehend antworten musst. Wenn also eine Beschwerde eingeht, dann gibt dem Beschwerdeführer bitte sofort Bescheid, dass du seine Nachricht erhalten hast und du oder eine zuständige Person sich sofort um sein Anliegen kümmern wird. Weitere Informationen brauchst du zu diesem Zeitpunkt noch nicht übermitteln. Wenn die Beschwerde bei einer Urlaubsvertretung eingeht, die sich nicht gut mit dem Thema auskennt, dann ist es wichtig, dass sie zumindest verantwortungsbewusst und vertrauenswürdig ist und sich mit den Unterlagen des Datenschutzbeauftragten auskennt. Das bedeutet, dass sie regelmäßig seine Post und E-Mails prüft und weiß, wie sie im Notfall schnell an alle relevanten Informationen kommt und wo sich beispielsweise eine Liste für die wichtigen Ansprechpartner befindet.

Bearbeitungszeit

Gemäß Art. 12 Abs. 3 DSGVO hast du einen ganzen Monat Zeit, um den Betroffenen zu benachrichtigen. Das hört sich recht lange an. Aber da die Beschwerde einen ordentlichen Ablauf erfordert und viele Informationen bereitgestellt oder überprüft werden müssen sowie Löschungen oder Korrekturen vorzunehmen sind, ist sie durchaus angemessen. Und wenn eine Vertretungskraft es erledigen muss, die sich eigentlich nicht oder nicht gut auskennt, dann ist diese Zeitspanne genaugenommen zu kurz bemessen.

Öffentliche Information der Betroffenen

Wenn die Beschwerde nicht einen Einzelfall betrifft, sondern einen massiven Datenverlust, der mit großen Risiken verbunden ist – also beispielsweise einen unbefugten Zugang oder unbefugte Veröffentlichungen – dann musst du die Betroffenen sogar öffentlich über die Presse oder auf andere geeignete Weise informieren.

Die Aufsichtsbehörde einschalten

Außerdem musst du dann sofort der Aufsichtsbehörde Bescheid geben. Da kannst du aber nicht nur sagen, dass es einen Vorfall gegeben hat, sondern du musst die Behörde ausführlich über den Fall informieren. Dazu gehört auch, dass du die Hintergründe erläuterst und die Gegenmaßnahmen erklärst. Auch dafür benötigst du im Normalfall wegen der Vielzahl der notwendigen Daten Zeit. Und die wenigsten Unternehmen sind auf einen solchen massiven Problemfall vorbereitet, schon gar nicht eine Urlaubsvertretung, die ansonsten wenig mit dem Thema zu tun hat.

Auch deshalb ist es ein großer Vorteil, wenn du dich von einem externen Dienstleister unterstützen lässt, der große Erfahrung in diesem Bereich mitbringt und genau weiß, was zu tun ist. Diese Vorteile erklären wir dir im nächsten Abschnitt ausführlicher.

Vorteile externer Unterstützung

Damit gewährleistet ist, dass das ganze Jahr über ein kompetenter Ansprechpartner zur Verfügung steht, der Beschwerden umgehend korrekt bearbeitet, hat sich ein externer Dienstleister als beste Lösung herauskristallisiert. Besonders während der Urlaubszeit zeigt diese Lösung ihre Stärken. Und Urlaubszeit ist nicht nur im Sommer, sondern auch an Feiertagen wie Ostern oder natürlich an Weihnachten.

Spezialisten vertreten Spezialisten

Gerade wir bei WB Trade-IT haben Spezialisten auf jedem Gebiet, die in allen Unternehmensbereichen eingesetzt werden können. Eine vertrauensvolle und langfristig angelegte Zusammenarbeit ergibt das notwendige Fachwissen auf dem Gebiet und wichtige Kenntnisse der Strukturen innerhalb der zu betreuenden Firma.

DSGVO ist Routine

Während in einem Industriebetrieb die neuen Anforderungen der DSGVO noch ungewohnt sind und eventuell Schwierigkeiten bei der Umsetzung auftreten können, ist es für WB Trade-IT tägliche Routine.

Ständige Erreichbarkeit

Auch wir und unsere Experten brauchen einmal Urlaub. Doch während der Urlaubszeit kommt es zu keinerlei Einschränkungen oder Verzögerungen, da alle Experten auf demselben Stand sind und durch routinierte Prozesse und durchdachte Vertretungspläne jederzeit erreichbar sind.

Detaillierte Absprache mit dem Kunden

Unsere Leistungen und Vertretungsmöglichkeiten sowie die notwendige Bestellung legen wir im Einzelfall nach den individuellen Bedürfnissen des Kunden fest. Denn je nach Firmengröße und Branche oder eventuellen Sonderwünschen sollten unterschiedliche Punkte auch im Sinne der Endkunden besprochen werden.

Individuelle Beratung

Gerne erklären wir dir in einem persönlichen Gespräch alle unsere Möglichkeiten. Und selbstverständlich unterstützen wir unsere Kunden nicht nur bei allen Fragen rund um die Einführung der DSGVO, sondern auch in allen anderen Unternehmensbereichen.