Abberufung und Wechsel des externen Datenschutzbeauftragten

Es gibt vielfältige Gründe, die Zusammenarbeit mit einem externen Datenschutzbeauftragten zu beenden. Da die Position einerseits gesetzlich vorgeschrieben sein kann und andererseits der bestellte Beauftragte einen gewissen Schutz genießt, müssen Sie bei der Abberufung und der Neubestellung eines externen Datenschutzbeauftragten einige wichtige Schritte beachten (Achtung: Für die Abbestellung eines internen bzw. betrieblichen Datenschutzbeauftragten gelten einige Besonderheiten, auf die hier nicht eingegangen wird).

Gründe für die Abberufung eines externen Datenschutzbeauftragten

Gründe, den externen Datenschutzbeauftragten abzuberufen, gibt es ggf. etliche. Hauptsächlich dürften es die folgenden sein:

1. Die Beratung ist unzureichend

Die Bezeichnung Datenschutzbeauftragter ist nicht geschützt. Jeder darf diese Dienstleistung anbieten. Sehr oft stellt sich für Unternehmen erst einige Zeit nach der Bestellung des externen Datenschutzbeauftragten heraus, dass der Anbieter tatsächlich nicht ausreichend qualifiziert ist und ein grob unterschätztes Haftungsrisiko darstellt. Probleme werden nicht erkannt, rechtlich und technisch nicht überblickt und keiner zulässigen und praktikablen Lösung zugeführt. Hierbei sind „Verhinderer“ ebenso wie blauäugige „Alles-kein-Problem“-Sager zu nennen.

Sicher – auch der Datenschutzbeauftragte kann nicht hexen. Manches lässt sich nicht so umsetzen, wie es vom Management oder beispielsweise auch Vertrieb gewünscht ist. Die Kunst besteht darin, den Rahmen zu kennen und die Anpassungen vorzuschlagen, die es ermöglichen, dem gewünschten Ziel im Ergebnis so nah wie möglich zu kommen, ohne gegen das Datenschutzrecht zu verstoßen. Dies ist aber ohne eine allgemeinjuristische, also nicht allein auf den Datenschutz beschränkte, Ausbildung sowie vertiefte Kenntnisse in der Technik nicht möglich.

2. Der Berater steht nicht ausreichend zur Verfügung

Durch den Hype um die Datenschutz-Grundverordnung (DSGVO) sind viele Anbieter als One-Mann-Show auf den Markt getreten oder haben sonst nicht ausreichenden Personalbestand. Sie nehmen unbegrenzt Beratungsaufträge an, versprechen Kunden mit Kampfpreisen pauschal zu viel und gehen dann schnell unter. Die Folge ist ausbleibende oder aber jedenfalls dem Einzelfall nicht angepasste oder falsche Beratung.

3. Der Berater erzeugt nicht vorgesehene Kosten

Es gibt etliche Modelle, bei denen sich erst in Nachhinein herausstellt, was die Unterstützung tatsächlich kostet. Etwa, wenn die angebotene Leistung des externen Datenschutzbeauftragten nicht klar beschrieben oder nicht transparent abgerechnet wird. Auch Fälle, in denen ein pauschal abgerechnetes Kontingent „völlig unvorhergesehen“ nie oder nur selten ausreicht, sind nicht ungewöhnlich.

4. Die Beratung erfolgt durch wechselnde Personen

Einige Anbieter bieten Unterstützung lediglich per Callcenter. Dem Kunden wird kein fester Ansprechpartner geboten, sondern Anfragen erreichen den nächsten freien Mitarbeiter, der im Zweifel weder den Kunden kennt noch sonderlich qualifiziert ist. Die Folge sind pauschalisierte Antworten und Lösungen von der Stange, die weder auf die konkrete Situation noch auf den konkreten Bedarf des Unternehmens eingehen. Die Folge sind wiederum unzureichende Beratung und Unzufriedenheit.

5. Der Beauftragte hätte nie bestellt werden dürfen

Ob intern oder extern: Der Datenschutzbeauftragte muss unabhängig sein. So verlockend es für ein Unternehmen sein kann, beispielsweise IT-Unterstützung und Datenschutz aus einer Hand zu bestellen – wer als Datenschutzbeauftragter die Güte seiner eigenen Bemühungen als IT-Dienstleister kontrollieren müsste, darf nicht bestellt werden!

Anleitung zum Wechsel des externen Datenschutzbeauftragten

Einer der Vorteile des externen Datenschutzbeauftragten ist es, dass Sie sich relativ einfach von ihm trennen können (im Gegensatz zum internen bzw. betrieblichen Datenschutzbeauftragten). Die folgende Anleitung zeigt Ihnen auf, wie Sie dabei vorgehen sollten, so dass bis zur Bestellung eines neuen externen Datenschutzbeauftragten keine Datenschutzverstöße erfolgen:

1. Suche des Nachfolgers

Soweit Ihr Unternehmen verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, darf keine Lücke entstehen. Suchen Sie sich daher einen neuen Anbieter, der die Aufgaben zeitlich passend übernehmen kann. Achten Sie bei der Auswahl darauf, dass Gründe für den entstandenen Wechselwillen nicht erneut entstehen.

2. Kündigung des Dienstleistungsvertrages

Der Datenschutzbeauftragte kann gegen seinen Willen nicht abberufen werden. Nicht geschützt ist aber der Bestand des Dienstleistungsvertrages, auf dessen Basis der externe Datenschutzbeauftragte regelmäßig tätig wird. Diesen können und müssen Sie kündigen. Achten Sie hierbei auf Laufzeiten und Kündigungsfristen, um den korrekten Zeitpunkt für die Nachfolge zu bestimmen.

Die Beendigung der Dienstleistung hat zwar keine Auswirkung auf die Bestellung des Datenschutzbeauftragten. Dieser dürfte aber mit Sicherheit sein Amt von sich aus niederlegen, sobald die Bezahlung ausbleibt.

3. Bestellung des neuen Datenschutzbeauftragten

Wenn die Punkte 1 und 2 erledigt sind, bestellen Sie den neuen externen Datenschutzbeauftragten mit Wirkung zum ersten Tag, der auf die Beendigung der Kooperation mit dem bisherigen Beauftragten folgt. Achtung: Es kann immer nur einen Beauftragten geben! Eine Neubestellung in eine noch bestehende Bestellung hinein ist zweifelhaft. Achten Sie auf ein passendes zeitliches Nacheinander.

4. Meldung an die Aufsichtsbehörde

Melden Sie die Änderung rechtzeitig der für Sie zuständigen Aufsichtsbehörde.

5. Anpassung von Angaben zum Datenschutzbeauftragten

Nehmen Sie rechtzeitig alle erforderlichen Anpassungen an Informationen vor, in denen auf den Datenschutzbeauftragten verwiesen wird oder dessen Kontaktdaten angegeben sind. Denken Sie genauso an Datenschutzhinweise auf der Website, Informationen für Betroffene, Regelungen und Konzepte, wie an Auftraggeber und Partner, die über den Wechsel des Ansprechpartners informiert werden müssen.

6. Übergabe an den neuen Datenschutzbeauftragten

Wird die Unterstützung im Datenschutz durch den neuen Datenschutzbeauftragten so beauftragt, dass sie – ungeachtet der erst später wirksamen Bestellung – sich mit der noch laufenden Kooperation des bisherigen Beauftragten überschneidet, besteht die Chance für eine geregelte Übergabe zwischen den Beauftragten. Aus den eingangs genannten Gründen, die zum Trennungswunsch geführt haben, sind die Erwartungen hieran allerdings möglicherweise zurecht eher gering.

7. Herausgabe von Unterlagen

Fordern Sie die Ihnen zustehenden Unterlagen vom bisherigen Beauftragten heraus. Wichtig: Auch diesen treffen vielfältige Pflichten, Daten aufzubewahren. Sie können daher nicht pauschal die Löschung von Daten verlangen. Fragen Sie aber nach dem, was Ihnen vereinbarungsgemäß zusteht.

8. Entzug von Berechtigungen

Soweit eingerichtet, entziehen Sie dem ehemaligen Datenschutzbeauftragten rechtzeitig Zugangsmittel und Rechte. Denken Sie insbesondere an sämtliche Remote-Zugriffsmöglichkeiten. Deaktivieren oder ändern Sie für den Datenschutzbeauftragten eingerichtete E-Mailadressen. Weisen Sie ggf. Pförtner und anderes Personal auf den Wechsel und die erloschene Zutrittsberechtigung hin.

Soweit dem ehemaligen Datenschutzbeauftragten Schlüssel oder Arbeitsmaterial ausgehändigt wurde, achten Sie auf vollständige Rückgabe.

Sie sind mit Ihrem Anbieter unzufrieden? Hier finden Sie konkrete Informationen, was wir als externe Datenschutzbeauftragte leisten.

14 Kriterien für die Auswahl eines externen Datenschutzbeauftragten

Seit Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) sind unzählige Anbieter als externe Datenschutzbeauftragte auf den Markt gedrängt. Die Berufsbezeichnung „Datenschutzbeauftragter“ ist aber leider bislang nicht geschützt. Jeder darf sich so nennen, völlig unabhängig von Ausbildung oder sonstiger Qualifikation. Selbst nach dem Besuch eines einzigen Kurses von wenigen Tagen treten „zertifizierte Datenschutzbeauftragte“ als Anbieter auf den Markt!

Die Verantwortung, eine tatsächlich geeignete Person als Datenschutzbeauftragten auszuwählen, trägt das bestellende Unternehmen. Irrtümer und Fehler bei der Auswahl gehen zu Lasten des Entscheiders im Unternehmen und können eine persönliche Haftung auslösen! Bitte bedenken Sie, dass der Datenschutzbeauftragte die notwendigen Befähigungen in seiner Person vereinen muss. Andernfalls darf er nicht bestellt werden.

Die folgenden Kriterien helfen Ihnen beim Vergleich mehrerer Anbieter

Eine Kernbedingung für jede Verarbeitung personenbezogener Daten ist ihre Rechtmäßigkeit (Art. 5 Abs. 1 a) DSGVO). Die Datenverarbeitung muss in Übereinstimmung mit der gesamten (!) Rechtsordnung erfolgen, also nicht nur datenschutzkonform sein. So sind im Marketing etwa Anforderungen des Wettbewerbsrechts zu beachten und beim Abschluss von Datenschutzverträgen warten auch typisch zivilrechtliche Fragen auf Antwort, seien es Haftungsvereinbarungen, Kündigungsklauseln oder Vertragsstrafen. Wie soll ein Berater ohne irgendeine juristische Ausbildung diese Fragen korrekt beantworten?

Bei der activeMind AG haben alle Berater ein juristisches Studium absolviert!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Besitzt der für mich vorgesehene Datenschutzbeauftragter persönlich eine ausreichende juristische Qualifikation, um die „Rechtmäßigkeit“ einer Verarbeitung zu beurteilen?

Unsere Consultants sind nachweislich selbst in der Lage, technische Sachverhalte eigenständig zu beurteilen. Neben weiteren technischen Qualifikationen im Einzelfall, sind unsere Consultants geprüfte ISO 27001 Auditoren! Ihr Ansprechpartner kann Sie damit nicht nur datenschutzrechtlich, sondern auch praktisch/technisch beraten. Dies ist zwingend, da Datenschutz ohne Informationssicherheit nicht funktioniert. Unsichere Verarbeitungen sind verboten!

Unsere Consultants sind geprüfte ISO 27001 Auditoren und besitzen weitere technische Qualifikationen!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Besitzt der für mich vorgesehene Datenschutzbeauftragter persönlich ausreichende technische Qualifikation?

Der Datenschutz ist nicht erst mit Einführung der Datenschutz-Grundverordnung international. Wir decken durch eigene Mitarbeiter derzeit bereits über zehn Sprachen ab (u.a. Dänisch, Deutsch, Englisch, Französisch, Italienisch, Polnisch, Russisch, Spanisch, Schwedisch). Selbst wenn der für Sie bestellte Beauftragte eine bestimmte Sprache nicht beherrscht, ist der Weg in unserem Team nicht weit.

Prüffrage für Ihren Vergleich mehrerer Anbieter: Welche Sprachen können unterstützt werden?

Das Datenschutzrecht ist nur eine von vielen rechtlichen Disziplinen, die ein Unternehmen beachten muss. Der Datenschutzbeauftragte ist aber auf den Bereich des Datenschutzes beschränkt. Er muss sich an die Grenzen des Datenschutzes halten und darf nicht links oder rechts davon beraten. Die gewerbliche rechtliche Beratung im Einzelfall ist nämlich gesetzlich den Rechtsanwälten vorbehalten!

Bei uns stellt dies kein Problem dar, da wir in solchen Fällen auf unsere Rechtsanwälte der activeMind.legal Rechtsanwaltsgesellschaft zurückgreifen. Sollten also Beratungsleistungen nur durch einen Rechtsanwalt erbracht werden dürfen, haben wir diese selbst im Haus.

Wir dürfen auch außerhalb der engen datenschutzrechtlichen Grenzen beraten!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Kann und darf auch in anderen rechtlich verwandten Bereichen beraten werden?

Unsere Mitarbeiter sind selbständig in der Lage, Ihr konkretes Problem aus allen genannten Richtungen umfassend zu beleuchten und einer individuellen Lösung zuzuführen. Die vorgenannten Qualifikationen liegen bei Ihrem Datenschutzbeauftragten gesammelt vor. Ihre Fragegestellung wird nicht lediglich durch einen Agenten angenommen und an einen der wenigen „Spezialisten“ im Unternehmen weitergegeben. Auch erhalten Sie keine allgemein vorformulierte Pseudoantwort, sondern eine für Ihre Problemstellung tatsächlich passende. Der für Sie formal bestellte Datenschutzbeauftragte ist bei uns auch Ihr regelmäßiger Ansprechpartner.

Sie sprechen bei uns nicht mit einem Datenschutz-Callcenter! Wir bestellen keinen Strohmann.

Prüffrage für Ihren Vergleich mehrerer Anbieter: Besitzt mein Datenschutzbeauftragter persönlich alle notwendigen Qualifikationen oder liegen diese nur verteilt in einem Team vor? Ist der formal bestellte Datenschutzbeauftragte auch tatsächlich mein Regelansprechpartner?

Mit Einführung der Datenschutz-Grundverordnung strömten unkontrolliert neue Anbieter auf den Markt.

Wir beraten und prüfen seit dem Jahr 2000 in den Bereichen Datenschutz und Informationssicherheit, bundesweit und ohne Beschränkung auf eine bestimmte Branche oder eine Unternehmensgröße. Wir betreuen kleine Startups mit nur einer Handvoll Mitarbeiter genauso wie internationale Konzerne mit Tausenden Beschäftigten. Krankenhäuser und Behörden beraten wir ebenso wie SaaS-Anbieter oder Hotels. Wir zählen Luxuslabel und Industrie zu unseren Kunden, genauso wie den regionalen Mittelständler oder IT-Dienstleister. Hierdurch haben wir sehr viel Erfahrung und Überblick gesammelt und können unser Wissen transferieren. Wir können daher pragmatische und tatsächlich praktikable Lösungen regelmäßig schnell anbieten.

Wir haben jahrelange Erfahrung. Unser Unternehmen wurde nicht „pünktlich“ zur DSGVO gegründet!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Wie lange besteht der Anbieter schon? Erfolgte der Markteintritt gezielt zur DSGVO? Wie viel Erfahrung besteht in der größenunabhängigen und branchenübergreifenden Beratung?

Qualität hat ihren Preis. Wir bezahlen unsere Berater angemessen. Oder andersherum: Wir bezahlen die Gehälter, die für wirklich qualifizierte Mitarbeiter notwendig sind. Unsere Kalkulation richtet sich individuell nach Ihrem Unternehmen, Ihrer Branche, Ihrer Aufstellung und Ihrer Verflechtung mit anderen Unternehmen. Wir haben keine Fixpreise, die völlig am konkreten Bedarf eines Unternehmens vorbeigehen. Durch die umfassende Expertise unserer Mitarbeiter ist sichergestellt, dass wir den notwendigen Aufwand geringhalten können. Wir finden Ihre Lösung im Zweifel schnell und damit kostengünstig.

Unsere Preise sind realistisch und erlauben tatsächlich den Einsatz von Experten!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Gehen Sie vorsichtig von zwei bis drei Stunden Aufwand pro Monat aus. Würde ein „Experte“ zu dem realistisch berechneten Stundenlohn arbeiten? Vergessen Sie in der Berechnung nicht, jährlich versprochene Leistungen mit hohem Aufwand einzubeziehen.

Immer wieder treten Anbieter mit dem unspezifischen Versprechen auf, die „Erledigung des Datenschutzes zu übernehmen“. Dies ist zum einen rechtlich gar nicht möglich, da der Datenschutzbeauftragte bestimmte Aufgaben nicht übernehmen darf. Zum anderen ist ein solches Versprechen nicht realistisch kalkulierbar. Entweder ist der Preis mit einem deutlich zu hohen Sicherheitszuschlag versehen oder er ist so niedrig, dass sich dies auf den wirtschaftlich vertretbaren Aufwand und natürlich auch das gelieferte Ergebnis auswirken muss.

Wir bieten einen klaren Katalog der wesentlichen Datenschutzleistungen zu einem monatlichen Festpreis an. Wir kommunizieren sofort, wenn eine Anfrage nicht in diesem Rahmen erledigt werden kann und warnen vor. Ohne Ihre Freigabe entstehen keine Zusatzkosten.

Es gibt bei uns weder versteckte Kosten noch Überraschungen in der Rechnung!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Ist klar bestimmt, welche Leistung zu welchem Preis erbracht wird?

Jeder Mensch wird krank, jeder Mensch hat Urlaub, jeder Mensch hat manchmal kollidierende Verpflichtungen. Auch Ihr Datenschutzbeauftragter. Bei uns erhalten Sie mit jeder Bestellung automatisch auch einen Vertreter aus unserem Beraterteam. Da alle Mitarbeiter eigenständig in der Lage sind, in den Bereichen Datenschutz und Datensicherheit zu beraten, ist die zeitnahe Bearbeitung Ihrer Anliegen jederzeit gesichert.

Wir sorgen mit jeder übernommenen Bestellung für eine laufende Stellvertretung durch einen bestimmten und kompetenten Mitarbeiter!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Ist die Stellvertretung des DSB durch einen konkreten Mitarbeiter sichergestellt, der auch persönlich ausreichend qualifiziert ist?

Viele Anbieter gehen mit neuen Kunden einen einfachen Standardfragebogen durch, um eine Statusbestimmung durchzuführen. Diese Fragebögen gehen weder auf Besonderheiten Ihres Unternehmens oder Ihrer Branche ein, noch berücksichtigen sie Ihre technischen Details, da sich diese in einem vorgefertigten Bogen nicht abbilden lassen. Zugleich bieten diese Fragebögen keine Gewähr der Vollständigkeit und übersehen ggf. wichtige Aspekte. Durch den vorgegebenen Ablauf können diese Prüfung auch Mitarbeiter durchführen, die lediglich die möglichen Antworten abhaken. Eine Hinterfragung oder Verifizierung der Antworten erfolgt nicht.

Die von uns durchgeführten Kontrollen sind echte, auf Ihr Unternehmen abgestimmte Prüfungen durch Mitarbeiter, die zu einer Analyse und Bewertung rechtlich und technisch in der Lage sind. Auch wir orientieren uns zwar an Standards (etwa der ISO 27002), wir setzten aber keine Multiple-Choice-Fragebögen ein.

Wir ermitteln den Status bei Ihnen vor Ort, im direkten Gespräch mit den Verantwortlichen bei Ihnen im Haus. Wir gehen angepasst an Ihre besondere Situation vor. Wir stellen situationsabhängig die wirklich relevanten Fragen und hinterfragen auch die uns gegebenen Antworten. Wir beziehen die vorhandene Dokumentation in die Prüfung ein. Sie erhalten einen für Sie passenden, individuellen Bericht.

Wir versprechen Ihnen, dass Sie nicht von einem Callcenter-Agenten angerufen werden, der telefonisch einen allgemeinen Standardfragebogen mit Ihnen durchgeht!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Wird ein tatsächlich bedarfs- und anforderungsgerechtes, individuelles Audit durch einen rechtlichen und technischen Experten durchgeführt?

Der Datenschutzbeauftragte muss gesetzlich die Verschwiegenheit wahren. Dazu gehört selbstverständlich, dass bereits die Kontaktaufnahme zum Datenschutzbeauftragten vertraulich erfolgen kann. Wir stellen sicher, dass ausschließlich der Datenschutzbeauftragte und ggf. sein Vertreter Anfragen erhalten. Sie werden nicht mit einer allgemeinen E-Mailadresse abgespeist, die nicht speziell für Sie eingerichtet wurde.

Bei uns wird für jede einzelne Bestellung eine gesonderte E-Mailadresse eingerichtet!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Wird eine individuelle E-Mailadresse des Datenschutzbeauftragten für Ihr Unternehmen eingerichtet? Ist sichergestellt, dass vertrauliche Anfragen direkt und ausschließlich Ihren Datenschutzbeauftragten erreichen?

Die Aufgaben des Datenschutzbeauftragten sind gesetzlich bestimmt. Die des Unternehmens allerdings auch. Der Datenschutzbeauftragte kann und darf dem Unternehmen die Verantwortung für den Datenschutz nicht abnehmen. Er darf und muss unterstützen, aber nicht mehr. Übernimmt er die Verantwortung oder verspricht die vollständige Umsetzung, schuldet er einen Erfolg und bringt sich dadurch automatisch in einen Interessenskonflikt. Er darf dann nicht mehr für Sie als Datenschutzbeauftragter tätig sein!

Soweit vereinbart, unterstützen wir Sie nach Kräften bei der Erfüllung von Anforderungen für eine geeignete Zertifizierung. Wir erfinden aber keine aussagelosen Siegel, bei denen für den Markt nicht erkennbar ist, was die Anforderungen zur Erteilung waren. Und wir bestätigen nicht den Erfolg unserer eigenen Bemühungen. Auch dies steht der gesetzlich zwingend geforderten Unabhängigkeit und Zuverlässigkeit des Datenschutzbeauftragten entgegen und stellt seine Bestellung in Frage.

Wir versprechen nur, was wir versprechen dürfen! Das halten wir dann aber auch.

Prüffrage für Ihren Vergleich mehrerer Anbieter: Verspricht der Datenschutzbeauftragte einen Erfolg, der unzulässig zugleich seiner Kontrolle unterliegt?

Falsche Beratung kann sehr teuer werden. Die Haftung bei Datenpannen und Datenschutzverstößen trifft in allererster Linie das Unternehmen selbst. Unter bestimmten Voraussetzungen kann ein Rückgriff auf den Datenschutzbeauftragten möglich sein.

Wir sind ausreichend versichert! Die Versicherung deckt materielle und immaterielle Schäden ab.

Prüffrage für Ihren Vergleich mehrerer Anbieter: Besteht beim Anbieter eine angemessene Versicherung, auch für immaterielle Schäden?

Wir beraten nicht nur nach anerkannten Regeln, wir leben diese auch selbst.

Unser Managementsystem ist nach ISO 9001 (Qualität) und ISO 27001 (Informationssicherheit) zertifiziert!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Erfolgt die Beratung nach allgemein anerkannten Regeln, die der Berater auch nachweislich selbst befolgt?

Haben Sie den passenden Anbieter gefunden, empfehlen wir Ihnen dieses Vorgehen für die Bestellung des externen Datenschutzbeauftragten.

Profitieren Sie von unserer langjährigen Erfahrung und bestellen Sie einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen!

Aufsichtsbehörden verstärken Kontrollen

Während die Datenschutz-Aufsichtsbehörden früher vor allem beratend tätig waren, widmen sie sich nun verstärkt Kontrollaufgaben. Diese Veränderung ist der EU-Datenschutz-Grundverordnung (DSGVO) geschuldet. Das Bayerische Landesamt für Datenschutzaufsicht bekräftigt in seinem aktuellen Tätigkeitsbericht diese neue Ausrichtung ebenso wie der Landesdatenschutzbeauftragte in Baden-Württemberg in einem Zeitungsbeitrag.

Gründe für die verstärkten Kontrollen der Aufsichtsbehörden

Sieht man sich die jüngsten Tätigkeitsberichte der Aufsichtsbehörden an, ergibt sich ein übergreifend erkennbares Bild. Es gibt gleich mehrere Gründe für den Kurswechsel:

Beschwerden

Das Bewusstsein für die eigenen Datenschutzrechte ist in der Bevölkerung stark angestiegen. Dementsprechend nahm auch die Zahl der Beschwerden durch Betroffene massiv zu. Die Aufsichtsbehörden mussten sich seit Inkrafttreten der DSGVO mit wesentlich mehr Beschwerden beschäftigen als früher in vergleichbaren Zeiträumen. So gingen allein in Bayern im vergangenen Jahr 3.643 Beschwerden ein; das sind mehr als zehn pro Kalendertag! In Baden-Württemberg waren es sogar über 3.900 Beschwerden. Auch in Hamburg gehen derzeit knapp zehn Beschwerden pro Tag ein.

Prüfungen

Die eigenen Feststellungen der Aufsichtsbehörden zeigen oft noch Defizite in der Umsetzung der Anforderungen. Zu viele Unternehmen haben Anforderungen der DSGVO nicht oder nicht ausreichend umgesetzt.

Meldung von Datenpannen

Auch die Pflicht zur Meldung von Datenpannen zeitigt Folgen. So verzehnfachten sich z. B. in Baden-Württemberg im Berichtszeitraum die Meldungen.

Personalknappheit

Ein weiterer Grund für die Verlagerung ist politischer Natur: Die Behörden sind unterbesetzt. Die vorhandene Personalstärke lässt die bisher oft geübte Praxis der Beratung nicht mehr zu. So äußert sich etwa der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht sehr deutlich in seinem letzten Bericht.

Was bedeutet die neue Ausrichtung der Aufsichtsbehörden für Unternehmen?

Auch wenn die Berichterstattung zur DSGVO stark nachgelassen hat, ist der Druck auf Unternehmen nicht geringer geworden. Im Gegenteil ist festzuhalten, dass die Schonfrist vorbei ist:

  • Mit einer Kontrolle ist jederzeit zu rechnen. Ob nun veranlasst durch eine Beschwerde oder aus eigenem Antrieb – die zuständige Behörde kann jederzeit „anklopfen“.
  • Der eigene Umsetzungsgrad des Datenschutzes (Stichwort: Datenschutzmanagementsystem) sollte daher dringend überprüft und ggf. korrigiert werden. Immer noch unterschätzen viele Unternehmen den Bereich Datenschutz und geben ihm nicht das notwendige Gewicht. Teils liegt dies an Unkenntnis oder fehlendem Bewusstsein, teils an unvollständiger oder gänzlich ungeeigneter Beratung. Auch fehlerhafte Priorisierung von Aufgaben trägt ihren Teil bei.
  • Die Rechenschaftspflicht nicht vergessen! Es ist nicht mehr damit getan, einen bestimmten Zustand zu erreichen. Es muss vielmehr laufend gemessen und belegt werden, dass der Datenschutz korrekt umgesetzt wird. Wie diese Rechenschaftspflicht zu erfüllen ist, überfordert immer noch viele Unternehmen. Viel zu oft mangelt es an den geforderten „Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“, gemäß 32 Abs. 1 d) DSGVO.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Verantwortung, Haftung und Delegierbarkeit des Datenschutzes im Unternehmen

Die Verantwortung für die Einhaltung des Datenschutzes trägt der „Verantwortliche“. Handelt es sich um ein Unternehmen, also eine juristische Person, kann diese natürlich nicht selbst handeln. Die Verantwortung für den Datenschutz im Unternehmen trägt daher der für das Unternehmen bzw. die juristische Person Vertretungsberechtigte, in der Regel also der Geschäftsführer, Vorstand oder allgemein Manager.

In der Praxis wird oft versucht, das Thema Datenschutz abzugeben. Vielfach erhofft sich die Geschäftsführung dadurch auch eine Übertragung der Verantwortung und im Ergebnis eine Befreiung von der eigenen Haftung. Jedoch kann durch die bloße Delegation einer Aufgabe keine Befreiung von der Verantwortung erreicht werden. Unter welchen Bedingungen zumindest eine anteilige „Enthaftung“ möglich ist, erläutert dieser Artikel.

Inwieweit kann der Datenschutz delegiert werden?

Selbst wenn Unternehmen einen Datenschutzbeauftragten bestellt haben, verringert sich nicht automatisch die Verantwortung der Unternehmensleitung für den Datenschutz. Denn die Pflichten des Datenschutzbeauftragten bestehen im Wesentlichen darin, zu kontrollieren, ob der Datenschutz im Unternehmen korrekt umgesetzt wird und insbesondere, ob die Unternehmensleitung eine hierfür geeignete Strategie verfolgt. Zusätzlich hat der Datenschutzbeauftragte Beratungs- und Hinweispflichten in Bezug auf datenschutzrechtliche Belange.

Für die korrekte Umsetzung des Datenschutzes ist und bleibt das Unternehmen selbst verantwortlich; in letzter Linie also die Geschäftsführung. Diese kann nun zwar Aufgaben zur Erledigung an Mitarbeiter oder Externe übertragen. Mit der Delegation einer Aufgabe geht die Verantwortung aber keinesfalls verloren, sondern sie wandelt sich lediglich um.

Kriterien zur Delegation des Datenschutzes im Unternehmen

Bei der Delegation des unternehmerischen Datenschutzes muss die eigentlich verantwortliche Geschäftsführung besondere Kriterien erfüllen, um ihrer Sorgfaltspflicht nachzukommen:

Die Geschäftsführung hat sich bereits im Rahmen der Auswahl des Aufgabenempfängers zu vergewissern, dass dieser über ausreichende persönliche und fachliche Kompetenzen verfügt, um die Aufgabe fachgerecht durchzuführen (siehe auch der Beschluss des Düsseldorfer Kreis vom November 2010).

Wann ein Mitarbeiter für eine bestimmte Position geeignet ist, bestimmt sich jeweils nach dem Einzelfall. Als Richtwert gilt: Je verantwortungsvoller die Aufgabe ist, desto größer sollte die Fachkunde und Praxiserfahrung im künftigen Tätigkeitsbereich sein. Bei leitenden Angestellten sollte zudem darauf geachtet werden, dass diese über genügend Führungskompetenzen verfügen und auch in der Lage sind, größerem Druck standzuhalten. Zusätzlich sind Interessenskonflikte zu vermeiden: Niemand sollte einen Prozess überwachen, für den er selbst verantwortlich ist.

Der Aufgabenempfänger sollte, soweit notwendig, vor der Aufnahme der Tätigkeit in sein neues Aufgabenfeld eingewiesen werden. Dabei sind ihm insbesondere die mit der neuen Tätigkeit verbundenen Aufgaben und Pflichten zu erklären sowie die gängigen Arbeitsabläufe zu erläutern. Auch der korrekte Umgang mit benötigten Betriebsmitteln, beispielsweise der Einsatz von Verschlüsselungs- und Datenübertragungstechnologien spielt hierbei ggf. eine wichtige Rolle.

Im Hinblick auf den Datenschutzbeauftragten ist hier insbesondere die Beschreibung der Verarbeitungstätigkeiten zu nennen, die den Beauftragten auf seine Aufgaben vorbereiten und bei ihrer Erledigung unterstützen sollen.

Ein besonderes Augenmerk verdient die Organisation bzw. die Position oder Rolle des mit dem Datenschutz Beauftragten im Unternehmen. Die Geschäftsführung sollte stets darauf achten, dass dem Aufgabenempfänger sämtliche Ressourcen zur Verfügung stehen, die zur Erfüllung der Aufgaben und Pflichten nötig sind. Auch müssen dem Beauftragten die nötigen Kompetenzen und Berechtigungen eingeräumt und die entsprechenden Aufgabengebiete klar definiert werden.

Aus Gründen der Transparenz und Nachweisbarkeit sollten Gegenstand und Umfang der Delegation jeweils konkret festgelegt und festgehalten werden. Denn genau diese Dokumentation kann unter Umständen im Streitfall darüber entscheiden, wer die tatsächliche Verantwortung für ein (ausgebliebenes) Handeln trägt. Mit der durch die Datenschutz-Grundverordnung eingeführten Rechenschaftspflicht sind Aufzeichnungen zum Beweis, dass man dieser Pflicht nachgekommen ist, ohnehin unabdingbar.

Der Aufgabenempfänger sollte mit den einschlägigen gesetzlichen Bestimmungen vertraut gemacht werden. Je nach Reichweite der Tätigkeit kann eine allgemeine Belehrung unter Umständen nicht mehr ausreichend sein; stattdessen sind spezifische Fortbildungen zu Datenschutzthemen angemessen.

Zudem muss bei jedem Angestellten zu jeder Zeit Klarheit darüber herrschen, für welchen Teil des Betriebsablaufes der jeweilige Mitarbeiter verantwortlich ist und welche gesetzlichen Regelungen und anderweitigen Rahmenbedingungen bei der Ausübung der Tätigkeit einzuhalten sind.

Die Aufklärungs- und Schulungspflicht besteht übrigens grundsätzlich auch dann, wenn die Geschäftsführung davon ausgehen kann, dass der Mitarbeiter bereits über einschlägige Kenntnisse verfügt. Auf die Besonderheiten des jeweiligen Einsatzes muss immer hingewiesen werden.

Die Geschäftsführung muss sich grundsätzlich von der korrekten Erledigung der übertragenen Aufgabe überzeugen. Eine umfassende Pflicht zur Kontrolle einzelner Umsetzungsschritte besteht jedoch grundsätzlich nicht. Auch hier bestimmt sich der Umfang der Kontrolle entsprechend den Umständen des jeweiligen Einzelfalls. Was verlangt die eigene Sorgfalt?

Wichtige Kriterien dabei sind insbesondere die Zumutbarkeit von Überwachungsmaßnahmen, die Unternehmensgröße, die Qualifikation des Mitarbeiters, die Bedeutung oder Komplexität der Aufgabe sowie der Aufbau der innerbetrieblichen Organisation. So kann im Regelfall die Durchführung von Stichprobenprüfungen für eine Erfüllung der Kontrollpflichten genügen. Ebenso ist zu erwarten, dass sich das Management regelmäßig durch die Beauftragten berichten lässt, um ggf. steuernd einzugreifen.

Fazit: Datenschutz ist delegierbar, die Haftung bleibt

Erst wenn alle oben genannten Kriterien bei der Delegation des Datenschutzes erfüllt sind, ist kein Zweifel an der Sorgfaltspflicht der Geschäftsführung mehr gegeben. Verantwortliche Manager müssen sich aber letztendlich von dem Traum verabschieden, den Datenschutz durch Delegation oder Bestellung eines Beauftragten vollständig ad acta legen zu können.

Dieser aktualisierte Artikel erschien zuerst am 23. Februar 2016.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Datenschutz bei Mitarbeiterscreenings für das AEO-Zertifikat

Die zunehmende Globalisierung einerseits und die Wirtschaftskriminalität andererseits erfordern immer häufiger ein länderübergreifendes Risikomanagement. Für international tätige Spediteure, Hersteller, Händler und Lieferanten hat sich dafür das AEO-Zertifikat (Authorized Economic Operator) etabliert. Das Problem: Zur Erlangung des AEO-Zertifikats sind Sicherheitsüberprüfungen der Mitarbeiter nötig. Doch lassen diese sich mit der EU-Datenschutz-Grundverordnung (DSGVO) und dem Beschäftigtendatenschutz im Bundesdatenschutzgesetz (BDSG) überhaupt vereinbaren?

Datenschutzrechtliche Probleme beim Mitarbeiterscreening

Der Düsseldorfer Kreis hat sich bereits mehrfach mit dem Problem des Mitarbeiterscreenings befasst, zuletzt durch Beschluss vom 23./24. April 2009. Die Anwendbarkeit der DSGVO gibt Anlass, die Problematik erneut aufzugreifen.

In den letzten Jahren ist insbesondere die Zollverwaltung im Rahmen der Bewilligung des zollrechtlichen Status eines „zugelassenen Wirtschaftsbeteiligten“ (AEO-Zertifizierungen) dazu übergegangen, von den Unternehmen umfangreiche Screenings von Mitarbeitern – und gegebenenfalls Daten Dritter – zu verlangen. Diese Screenings werden zum Teil in Abständen von wenigen Wochen ohne konkreten Anlass und undifferenziert durchgeführt.

In diesem Geschäftsfeld betätigen sich bereits spezialisierte Dienstleister, die sich die bestehende Unsicherheit bei den Unternehmen zunutze machen. Dies ist auch der Grund, warum diese Screenings immer häufiger durchgeführt werden. Nach den praktischen Erfahrungen der Aufsichtsbehörden mangelt es an klaren Regelungen, wie mit den Ergebnissen von Datenscreenings umzugehen ist (Treffermanagement). Das Bundesministerium der Finanzen hat zwar am 14. Juni 2010 anlässlich dieser Praxis einschränkende Vorgaben erlassen, diese werden jedoch von den zuständigen Zollbehörden nicht einheitlich umgesetzt.

Der Düsseldorfer Kreis hält in seinem vorgenannten Beschluss derartige Screenings nur aufgrund einer speziellen Rechtsgrundlage für zulässig. Denn sowohl der damals geltende § 32 BDSG (alter Fassung) als auch der aktuell gültige § 26 BDSG erlauben keine verdachtsunabhängige Überprüfung

Welche Rechtsgrundlagen greifen bei Screening von Beschäftigten?

Möglich ist die Anwendung von Art. 6 Abs. 1 f) DGSVO. Danach ist eine Datenverarbeitung zulässig, sofern sie als Mittel für die Erfüllung eigener Geschäftszwecke zur Wahrung berechtigter Interessen erforderlich ist. Allerdings dürfen schutzwürdige Interessen der betroffenen Mitarbeiter nicht überwiegen.

Da es sich beim Wunsch eines Unternehmens, den AEO-Status zu erreichen, um wirtschaftlich international erfolgreich zu bleiben, durchaus sowohl um einen eigenen Geschäftszweck als auch um ein berechtigtes Interesse des Unternehmens handelt, wären die ersten Voraussetzungen zunächst einmal erfüllt.

Je nach Einzelfall könnte möglicherweise auch das Überwiegen der Interessen des Unternehmens auf Wettbewerbsfähigkeit am internationalen Markt gegenüber den Interessen der betroffenen Mitarbeiter auf Schutz ihres allgemeinen Persönlichkeitsrechts bejaht werden.

Möglich ist ebenfalls die Berufung auf Art. 6 Abs. 1 c) DSGVO. Geschäftskontakte mit Terroristen sollen ja immerhin aufgrund EU-Verordnungen unterbunden werden. Diese Bestimmungen sehen die Führung von Terrorlisten und den Abgleich damit vor (siehe unser Ratgeber zum datenschutzkonformen Terrorlistenscreening).

Verdrängt § 26 BDSG als Spezialvorschrift die allgemeine Rechtsnorm?

Probleme bereitet im Moment jedoch die Anwendbarkeit des Art. 6 DSGVO neben § 26 BDSG. Hintergrund ist, dass normalerweise Spezialvorschriften die allgemeinen Rechtsnormen verdrängen.

Es gilt jedoch zu bedenken, dass sich § 26 BDSG auf die Regelung von Beschäftigungsverhältnissen beschränkt. Er regelt aber gerade nicht andere Situationen – wie hier die Beantragung eines AEO-Zertifikats. Es gibt daher durchaus Argumente, die für die Anwendbarkeit des Art. 6 Abs. 1 c) bzw. f) DSGVO sprechen.

Mögliche Zusatzlösungen: Betriebsverein­barung oder Einwilligung

Wem als Unternehmer die derzeitige Situation rechtlich zu unsicher ist, hat noch die Möglichkeit, für die AEO-Screenings eine Betriebsvereinbarung abzuschließen oder die Einwilligungen der betroffenen Mitarbeiter einzuholen. Bedenken Sie aber, dass auch diese Schritte aus rechtlicher Sicht problematisch sein können.

Auch die Bundesregierung ist der Auffassung, dass die Terrorismusverordnungen keinen systematischen, anlassunabhängigen Abgleich von Mitarbeiterdateien mit den Sanktionslisten verlangen. Allenfalls nach Maßgabe von Sorgfaltspflichten und differenzierend nach verschiedenen Verkehrskreisen und Risikolagen seien solche Abgleiche zulässig. Es bleibe den Unternehmen überlassen, wie sie die Einhaltung der Terrorismusverordnungen sicherstellen (Bundestags-Drucksache 17/4136 vom 03. Dezember 2010).

Vor diesem Hintergrund empfiehlt und fordert der Düsseldorfer Kreis:

  • Unternehmen sollten Datenscreenings nicht pauschal und anlasslos durchführen. Da die Lohnzahlung nur unbar erfolgt, die Kreditinstitute nach § 25c Kreditwesengesetz (KWG) ohnehin Abgleiche mit den Terrorlisten vornehmen, ist ein Datenabgleichverfahren innerhalb des Unternehmens mit Mitarbeiterdaten nicht geboten.
  • Die Zollbehörden werden aufgefordert, die rechtsstaatlichen Vorgaben im Rahmen der AEO-Zertifizierung zu beachten. Eine einheitliche Praxis nach diesen Vorgaben gibt den Unternehmen Rechtssicherheit.
  • Die Bundesregierung wird gebeten, die derzeitige AEO-Zertifizierungspraxis einer baldigen und umfassenden Evaluation zu unterziehen.

Dieser aktualisierte Artikel wurde zuerst am 22. Februar 2012 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Blacklist der DSK für Datenschutz-Folgenabschätzungen

Mit der Datenschutz-Folgenabschätzung (DSFA) prüfen Unternehmen mögliche Risiken bei der Verarbeitung personenbezogener Daten. Zur Unterstützung veröffentlichen die Datenschutzaufsichtsbehörden Positiv- bzw. Negativlisten für die Fälle, in denen die DSFA zwingend bzw. entbehrlich ist. Die von der Datenschutzkonferenz (DSK) veröffentlichte gemeinsame Version der deutschen Aufsichtsbehörden liegt mittlerweile in der Version 1.1 vor.

Verarbeitungen, für die eine DSFA erfolgen muss

Die „DSFA Liste Deutschland“ der DSK (PDF, Version 1.1 vom 17. Oktober 2018) wurde im Vergleich zur ersten Version vom Juli 2018 teilweise erweitert (Punkte 1 und 2) und ansonsten präzisiert bzw. eingeschränkt. So kam bei einigen Punkten der Liste hinzu, dass die Verarbeitung geeignet sein muss, Betroffene rechtlich oder sonst erheblich zu betreffen. Achtung: Diese Formulierung legt nahe, dass es auf die tatsächliche Absicht des Verarbeitenden nicht ankommen soll. Die abstrakte Eignung an sich reicht aus. Im Ergebnis wurde der Anwendungsbereich der Liste eingeschränkt.

Folgende Verarbeitungstätigkeiten unterliegen der Pflicht einer vorherigen Datenschutz-Folgenabschätzung:

  1. Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung von Personen, soweit diese Verarbeitung (die Erfüllung eines der folgenden Merkmale genügt):
    • besonders schutzwürdige Personen betrifft
    • der systematischen Überwachung dient
    • unter innovativer Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen erfolgt
    • der Bewertung oder Einstufung (Scoring) dient
    • bei gleichzeitiger Abgleichung oder Zusammenführung von Datensätzen erfolgt
    • im Rahmen einer automatisierten Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung erfolgt
    • Betroffene an der Ausübung ihrer Rechte, der Nutzung einer Dienstleistung oder der Durchführung eines Vertrags hindert
  2. Verarbeitung von genetischen Daten, soweit diese Verarbeitung (die Erfüllung eines der folgenden Merkmale genügt):
    • besonders schutzwürdige Personen betrifft
    • der systematischen Überwachung dient
    • unter innovativer Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen erfolgt
    • der Bewertung oder Einstufung (Scoring) dient
    • bei gleichzeitiger Abgleichung oder Zusammenführung von Datensätzen erfolgt
    • im Rahmen einer automatisierten Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung erfolgt
    • Betroffene an der Ausübung ihrer Rechte, der Nutzung einer Dienstleistung oder der Durchführung eines Vertrags hindert
  3. Umfangreiche Verarbeitung von Daten, die einem Sozial-, Berufs- oder Amtsgeheimnis unterliegen
  4. Umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von Menschen
  5. Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der Daten, soweit dies entweder in großem Umfang vorgenommen wird oder für Zwecke erfolgt, für die auch nicht direkt bei der betroffenen Person erhobene Daten verarbeitet werden, oder unter Anwendung von Algorithmen erfolgt, welche für die betroffenen Personen nicht nachvollziehbar sind, und die Zusammenführung eine Grundlage dafür bieten kann, Entscheidungen zu treffen, die Rechtswirkung gegenüber den betroffenen Personen haben oder diese Personen ähnlich erheblich beeinträchtigen können
  6. Optisch-elektronische Erfassung personenbezogener Daten in öffentlichen Bereichen, die in großem Umfang zentral zusammengeführt werden
  7. Umfangreiche Erhebung, Veröffentlichung oder Übermittlung von personenbezogenen Daten zur Bewertung von Verhalten oder anderer persönlicher Aspekte von Menschen, soweit diese von Dritten dazu genutzt werden können, Rechtswirkung gegenüber der bewerteten Person zu entfalten oder diese in ähnlich erheblicher Weise zu beeinträchtigen
  8. Verarbeitung von personenbezogenen Daten über das Verhalten von Beschäftigten, die zur Bewertung der Arbeitstätigkeit eingesetzt werden können, so dass sich Rechtsfolgen für den Betroffenen ergeben oder ihn in anderer erheblicher Weise beeinträchtigen
  9. Erstellung umfassender Profile über Interessen, das Netz ihrer persönlichen Beziehungen sowie die Persönlichkeit von Menschen
  10. Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung dieser Daten, sofern dies in großem Umfang erfolgt oder für Zwecke, für die nicht alle Daten bei der betroffenen Person direkt erhoben wurden, oder  wenn dies unter Einsatz von Algorithmen geschieht, die für die betroffenen Personen nicht nachvollziehbar sind, oder die Verarbeitung erfolgt um bislang unbekannte Zusammenhänge zwischen den Daten zu bislang nicht festgelegten Zwecken zu entdecken (Datamining)
  11. Verarbeitung unter Einsatz von künstlicher Intelligenz zur Steuerung einer Interaktion mit dem Betroffenen oder zur Bewertung persönlicher Aspekte
  12. Nicht bestimmungsgemäße Nutzung von Sensoren eines Mobilfunkgeräts oder von Funksignalen, die von solchen Geräten versendet werden, zur Ermittlung von Aufenthaltsorten oder Bewegungen von Personen über einen substanziellen Zeitraum
  13. Automatisierte Auswertung von Video- oder Audioaufnahmen zur Bewertung von Persönlichkeiten
  14. Erstellung umfassender Profile über Bewegung und Kaufverhalten von Personen
  15. Anonymisierung besonderer personenbezogener Daten zum Zwecke der Übermittlung an Dritte, soweit dies in Bezug auf die Zahl der betroffenen Personen als auch den Angaben je Person nicht nur in Einzelfällen erfolgt
  16. Die auch nicht umfangreiche Verarbeitung von besonderen personenbezogenen Daten sowie von Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten unter Verwendung neuer Technologien zur Bestimmung der Leistungsfähigkeit von Personen

Wie sollte mit der DSFA-Liste umgegangen werden?

In der DSFA-Negativliste der DSK sind einzelne Beispiele mit Erläuterungen enthalten. Sie ist nicht abschließend!

Völlige Klarheit bringt diese Blacklist leider nicht, da ein gewisser Interpretationsspielraum besteht. Insbesondere der in der Liste häufig gebrauchte Begriff der „umfangreichen Verarbeitung“ ist in der Datenschutzpraxis bislang nicht wirklich greifbar. Hier wird man abwarten müssen, ob sich in der Anwendung verlässliche Grenzwerte herausbilden.

Auch andere Begriffe müssen ausgelegt werden und haben keine eindeutige Bedeutung. Im Ergebnis besitzt diese DSFA-Liste aber eine sehr starke Indizwirkung. Mit anderen Worten: Bei Verarbeitungen, die grundsätzlich in die beschriebenen Kategorien passen, auf eine DSFA zu verzichten, muss sehr gut begründet werden. Im Zweifel sollte die Datenschutz-Folgenabschätzung erfolgen.

Ergänzend anzumerken bleibt, dass man sich bei etlichen der genannten Verarbeitungszwecke grundsätzlich fragt, welche Rechtsgrundlage für diese zugrunde gelegt werden kann. Zur Erinnerung: Lässt sich die Verarbeitung nicht auf eine Rechtsgrundlage stützen, erübrigt sich die Frage nach der Datenschutz-Folgenabschätzung. Denn dann ist die Verarbeitung schlicht und einfach verboten und muss unterbleiben. Es darf also keinesfalls der Fehler gemacht werden, Verarbeitungen allein deshalb für grundsätzlich zulässig zu halten, weil sie in dieser Liste enthalten sind!

Dieser aktualisierte Artikel wurde zuerst am 30. Juli 2018 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Müssen Passwörter regelmäßig geändert werden, um sicher zu sein?

Immer wieder veröffentlichen Hacker Listen mit Unmengen von Onlinezugangsdaten verschiedenster Natur. Ein Hauptproblem sind dabei schwache Passwörter. Unternehmen sollten also ein verstärktes Augenmerk auf sichere Passwörter legen. Eine der häufigsten Empfehlungen ist das regelmäßige (erzwungene) Ändern von Passwörtern. Doch es gibt auch Alternativen zu dieser lästigen Pflicht.

Aktuelle Empfehlungen einer Aufsichtsbehörde

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat kürzlich „Hinweise zum sicheren Umgang mit Passwörtern“ herausgegeben. Eine bemerkenswerte Aussage darin ist, dass Passwörter nicht mehr regelmäßig geändert werden sollen, sondern nur noch bei Kompromittierung. Was ist davon zu halten?

Immer wieder hört man Ansätze, lieber dauerhaft wirklich sichere Passworte zu verwenden, anstatt Benutzer mit dem erzwungenen Wechsel von Passworten zu gängeln. Dieser Ansatz hat sicher einen richtigen Kern. Aus praktischen Gründen ist er aber regelmäßig kaum umzusetzen, ohne die Sicherheit im Unternehmen zu gefährden!

Das Problem in der Praxis ist, dass ein Absehen von Passwortwechseln voraussetzt, dass alle anderen Vorgaben an die Sicherheit von Passwörtern erfüllt sind. Nur unter dieser Voraussetzung wäre der Ansatz diskutabel.

Empfehlungen der Aufsichtsbehörde für Passwortsicherheit (die ein regelmäßiges Wechseln von Passwörtern erübrigen würden)

Hierbei handelt es sich zweifellos um die primäre Voraussetzung, um über dauerhaft eingesetzte Passwörter nachzudenken. Neben der Komplexität ist hierbei vor allem auch die Länge entscheidend. Die Hinweise der baden-württembergischen Aufsichtsbehörde sehen zwölf und mehr Stellen vor. Bereits dies wird in der Praxis auf wenig bis gar keine Gegenliebe stoßen und im Zweifel nicht umgesetzt.

Zudem werden  Tipps gegeben, mit denen Mitarbeiter sich ein solch sicheres Passwort wählen und auch merken können sollen. Das Problem ist, findige Mitarbeiter werden immer Wege entdecken, zwar alle technischen Vorgaben zu erfüllen, im Ergebnis aber ein nicht sicheres Passwort oder einen nicht sicheren Satz zu verwenden. Das Unternehmen kennt aber das gewählte geheime Passwort nicht und kann dementsprechend nicht reagieren. Sollte es sich um ein tatsächlich sicheres Passwort handeln, wird dieses im Zweifel dann doch „sicherheitshalber“ irgendwo notiert.

Die Vorgabe ist sinnvoll, aber vom Unternehmen nicht wirksam zu kontrollieren. Die einzige Methode, um zu verhindern, dass das im Unternehmen eingesetzte Passwort nicht das gleiche ist, wie das möglicherweise jahrelang auch im privaten Bereich großflächig eingesetzte (das per Post-it am privaten Monitor klebt), ist die erzwungene Änderung.

Auch dieser Hinweis ist grundsätzlich sinnvoll. Aber er stellt Unternehmen vor weitere Schwierigkeiten. Welche Lösung soll eingesetzt werden? Ist diese sicher? Wer ist der Anbieter? Wo sitzt der Anbieter? Wer administriert die Lösung? Wer bezahlt sie? Wer sorgt für die Datensicherung?

Der Tipp ist richtig – er kann aber durch das Unternehmen kaum sichergestellt werden. Das Unternehmen kann zwar technisch Vorgaben machen, diese lassen sich aber sehr leicht durch minimale Veränderungen des Wortes oder Zusätze dazu erfüllen bzw. umgehen.

Auch das ist grundsätzlich richtig, lässt sich aber weder unterbinden noch wirksam kontrollieren.

Ein völlig richtiger Hinweis. Spätestens jetzt ist das Passwort zu ändern. Auch hier aber besteht das Problem wie beim zweiten Punkt: Das Unternehmen bekommt von einer Kompromittierung im privaten Umfeld des Mitarbeiters möglicherweise gar nichts mit. Im Zweifel merkt es der Mitarbeiter selbst nicht.

Richtig – aber mit allen Problemen verbunden, die entstehen, wenn mobile Geräte nicht wirksam der technischen Verwaltung des Unternehmens unterworfen sind.

Der Hinweis ist uneingeschränkt richtig. Die Umsetzung sollte aber ohnehin dem zuständigen IT-Personal und nicht dem „normalen“ Mitarbeiter obliegen.

Korrekt. Hat aber mit der eigentlichen Thematik nichts zu tun.

Diese wäre – bei korrekter und lückenloser Implementierung (!) — tatsächlich ein wirklich belastbares Argument, Passworte nicht mehr regelmäßig zu ändern.

Fazit: Wechsel von Passwörtern ist in der Praxis kaum zu ersetzen

Der Gedanke, Passwortwechsel nicht mehr zu erzwingen, ist nachvollziehbar und wäre wohl diskutabel, wenn tatsächlich alle genannten Anforderungen erfüllt sind. Viele der Anforderungen wird das Unternehmen aber faktisch nicht kontrollieren können – oder erst gar nicht umsetzen. Es steht zu befürchten, dass IT-Verantwortliche und Benutzer sich nun selektiv merken, dass hier eine Aufsichtsbehörde aussagt, Passwörter müssten nicht mehr geändert werden und die übrigen Voraussetzungen „übersehen“.

In dieser Hinsicht gilt zudem: Vertrauen in den Umgang mit sicheren Passwörtern durch Mitarbeiter ist gut; technische Kontrolle ist besser. Solange Verantwortliche nicht mit guter Begründung sicher sein können, dass sich alle Mitarbeiter tatsächlich an alle Vorgaben halten, sollten doch-nicht-so-sichere Passworte regelmäßig getauscht werden.

Zur Erinnerung: Es besteht Rechenschaftspflicht! Wer behauptet, dass alle Voraussetzungen für den Verzicht auf Passwortwechsel vorliegen, muss dies auch messen und belegen!

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Zunehmende Sanktionen und steigende DSGVO-Bußgelder in Deutschland

Die gewährte Schonzeit nach (!) Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) scheint vorbei zu sein. Die deutschen Aufsichtsbehörden sanktionieren Datenschutzverstöße immer häufiger und verhängen höhere Bußgelder nach DSGVO.

Aktuelle Bußgeldverfahren

Ende 2018 berichteten wir über das erste in Deutschland verhängte Bußgeld nach DSGVO. Während diese Sanktion noch eine größere Pressemitteilung durch die Aufsichtsbehörde wert war, scheint nun der Alltag eingetreten zu sein. Ohne großen Rummel sind mittlerweile deutschlandweit zahlreiche Bußgelder für Verstöße gegen die DSGVO und/oder das Bundesdatenschutzgesetz (BDSG) verhängt worden. Viele entsprechende Verfahren laufen noch. Wie einem Bericht des Handelsblatts zu entnehmen ist, sind Kontrollen und Sanktionen durch Datenschutz-Aufsichtsbehörden nun (wieder) gängig. Die Zeit der ersten Zurückhaltung ist damit offenbar vorbei. Allein in Bayern laufen aktuell deutlich über 80 Bußgeldverfahren. Der Großteil wird durch Beschwerden Betroffener ausgelöst, so gingen z. B. in Thüringen offenbar bereits 22.000 Eingaben ein.

Auch die Bußgeldhöhe steigt. Nachdem das erste Bußgeld mit 20.000 Euro überraschend mild ausfiel, werden nun auch Größenordnungen von 80.000 Euro erreicht. Die bekannten Zahlen deuten aber immer noch auf eine gewisse Zurückhaltung der Aufsichtsbehörden hin, den möglichen Rahmen an Bußgeldern wirklich auszureizen.

Was Unternehmen tun sollten

Das Risiko infolge rechtswidriger Datenverarbeitung oder mangelhafter Datensicherheit empfindlich herangezogen zu werden, ist damit wie erwartet deutlich gestiegen. Unternehmen sind gut beraten, sich durch professionellen Rat im rechtlichen und technischen Bereich abzusichern und die entsprechende Mehrfachkompetenz des gewählten Beraters ggf. zu hinterfragen. Die zu stellenden Anforderungen an die juristischen und technisch-praktischen Kenntnisse sind hoch.

Dabei gilt es immer zu bedenken: Die Verantwortung für die korrekte Umsetzung des Datenschutzes liegt ausschließlich beim Unternehmen. Es muss im Zweifel bewiesen werden, dass der Datenschutz korrekt beachtet wurde. Mangelhafte Beratung ist kein Entschuldigungsgrund!

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Erstes DSGVO-Bußgeld in Deutschland verhängt

Wie der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg mitteilte, wurde am 21. November 2018 das erste Mal in Deutschland ein Bußgeld nach den Regelungen der Datenschutz-Grundverordnung (DSGVO) verhängt. Der Fall ist gleich in mehrfacher Hinsicht interessant.

Der DSGVO-Verstoß und das Bußgeld

Auslöser für das Bußgeld war offenbar, dass das betroffene Unternehmen seiner Pflicht nachkam, eine Datenschutzpanne an die Aufsichtsbehörde zu melden. Das Unternehmen teilte Anfang September der baden-württembergischen Aufsichtsbehörde mit, dass es einen erfolgreichen Hackerangriff gegeben hatte und Nutzerdaten abgezogen wurden, unter denen sich auch die Passwörter der Nutzer im Klartext befanden.

Der Fall verdeutlicht, dass es sich bei der Meldepflicht nach Art. 33 DSGVO nicht nur um eine lästige Formalität handelt sondern um einen Vorgang, der durchaus wirtschaftlich relevante Konsequenzen haben kann.

Allerdings fiel das Bußgeld überraschend günstig aus. Im Vergleich zu den in diesem Fall möglichen Beträgen (der Bußgeldrahmen bis zu 20 Millionen Euro wäre eröffnet gewesen), wirken die verhängten 20.000 Euro doch etwas seltsam. Dementsprechend ausführlich fällt auch die Begründung durch den Landesbeauftragten aus. Entscheidend für die bemerkenswerte Milde waren folgende Punkte:

  1. Das Unternehmen hat sich in jeder Hinsicht bestmöglich und nach Kräften um transparente Aufklärung und Kooperation mit der Behörde bemüht.
  2. Es wurden nach dem Zwischenfall große Anstrengungen zur Verbesserung der IT-Sicherheit unternommen, die das Niveau auch deutlich erhöhten.
  3. Diese Anstrengungen haben für das Unternehmen zusätzlich Kosten in beträchtlicher Höhe verursacht und die Strafe damit „indirekt“ erhöht.

Konsequenzen aus dem Bußgeldverfahren

Die transparente Bußgeldbegründung der Datenschutzaufsichtsbehörde ermöglicht es anderen Unternehmen, viel über die zukünftige Ahndung von Verstößen gegen die DSGVO in Deutschland zu lernen:

  • Die Speicherung von Passwörtern im Klartext ist ein klarer Datenschutzverstoß. Das ist aber nicht wirklich neu.
  • Die Aufsichtsbehörden reagieren auf Datenschutzverstöße und verhängen wie vorgesehen Bußgelder (siehe unser Grundlagenartikel zu Bußgeldern unter der DSGVO).
  • Zumindest in diesem Fall war die Behörde bereit, die Bemühungen des Unternehmens sehr deutlich zu berücksichtigen.

Kann man sich nun darauf verlassen, dass Bußgelder gering ausfallen, wenn man nur artig meldet und dann mitwirkt? Wohl kaum.

  • Bußgelder sollen laut Art. 83 DSGVO abschreckend und verhältnismäßig sein. Über die Verhältnismäßigkeit mag man hier diskutieren können. Von einer Abschreckung kann aber bei dieser niedrigen Bußgeldhöhe kaum gesprochen werden.
  • Außerdem sollen eigentlich die wirtschaftlichen Vorteile, die ein Unternehmen aus dem Datenschutzverstoß zog, durch das Bußgeld mindestens abgezogen werden. Hier wurde dem Unternehmen nun „strafmildernd“ angerechnet, die – zweifellos – hohen Investitionen jetzt nachgeholt zu haben, die ohnehin nötig gewesen wären. Für das betroffene Unternehmen ist das ein sehr angenehmes Ergebnis: Die eigentlich von vornherein geforderte Investition wurde mit behördlichem Segen gestundet, bis sie nicht mehr zu vermeiden war und ihre Höhe verringerte dann auch noch das Bußgeld. Aus Unternehmenssicht könnte sich dieses Vorgehen damit sogar gelohnt haben. Das unterstützt die Zielrichtung der mit der DSGVO beabsichtigten Rechtsänderung sicher nicht und es dürfte zweifelhaft sein, ob andere Fälle ähnlich glimpflich ausgehen.
  • Auch dem allgemeinen Gebot, das EU-Recht im nationalen Bereich durch taugliche Maßnahmen angemessen durchzusetzen, dürfte nicht zweifelsfrei nachgekommen sein. Die klar gewünschte Erhöhung der Bußgelder erfolgt soweit nicht, sondern bewegt sich vielmehr in dem bisher üblichen Bereich. Ob ein solches Vorgehen von der EU langfristig toleriert werden wird, ist sehr fraglich.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Das Standard-Datenschutzmodell

Das Standard-Datenschutzmodell (SDM) liegt mittlerweile in Version 1.1 vor, die auf die europäische Datenschutz-Grundverordnung (DSGVO) angepasst wurde. Das SDM soll Unternehmen bei der konkreten Umsetzung der Datenschutzvorschriften helfen. Als Orientierungshilfe bietet es standardisierte Empfehlungen der Aufsichtsbehörden sowie eine vordefinierte Umsetzungssystematik. Für Unternehmen lohnt es sich also, sich mit dem „Konzept zur Datenschutzberatung und -prüfung auf Basis einheitlicher Gewährleistungsziele“ auseinandersetzen.

Für wen gilt das Standard-Datenschutzmodell?

Das SDM stellt lediglich ein Konzept dar und beansprucht damit keine absolute Verbindlichkeit, wie beispielsweise ein Gesetz oder eine Verordnung.

Allerdings entspringt das Modell der Feder der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (Datenschutzkonferenz, DSK). Zumindest aufgrund der Autorschaft muss man also davon ausgehen, dass das Modell gewisse Grunderwartungen der Aufsichtsbehörden enthält.

Welchen Zweck verfolgt das Standard-Datenschutzmodell?

Ein großes Problem bei der praktischen Umsetzung des Datenschutzes und besonders beim Aufbau eines Datenschutzmanagementsystems sind die Vielfältigkeit und Komplexität der Regelungen und Anforderungen, die an die Verarbeitung personenbezogener Daten gestellt werden, seien sie rechtlicher, technischer oder organisatorischer Art. Zudem sind die datenschutzrechtlichen Vorgaben im Regelfall recht allgemein gehalten und bedürfen einer manchmal intensiven Auslegung.

Das Standard-Datenschutzmodell knüpft hier an: Es versucht die relevanten Anforderungen und Maßnahmen zu systematisieren, mit deren Hilfe Unternehmen ihre Verfahren und Prozesse auf Rechtskonformität trimmen können.

Welche Methodik liegt dem Standard-Datenschutzmodell zugrunde?

Wenn man sich die Inhalte des Standard-Datenschutzmodells genauer ansieht, wird man gewisse Parallelen zu der Methodik des IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) feststellen. So werden im Rahmen des SDM zunächst alle datenschutzrechtlichen Anforderungen in sogenannte Gewährleistungsziele überführt, deren Einhaltung bei der Durchführung der verwendeten Verfahren zu beachten ist (im Einzelnen siehe unten).

Unternehmen wird durch diesen Katalog von Gewährleistungszielen ein zumindest teilweise vorgefertigtes Gesamtpaket an die Hand gegeben, so dass eine eigene Anforderungsrecherche entfallen kann.

Des Weiteren werden Verarbeitungen in ihre einzelnen Komponenten zerteilt, namentlich in Daten, IT-Systeme und Prozesse. Mittels dieser einheitlichen Strukturierung soll eine gewisse Klarheit über den Ablauf der Datenverarbeitung erreicht werden. Denn erst wenn die Prozesse der Datenverarbeitung geklärt sind, kann eine weitere Beurteilung stattfinden.

Zudem definiert das Standard-Datenschutzmodell abgestufte Schutzbedarfskategorien, mittels derer die einzelnen Verarbeitungsstufen kategorisiert und bewertet werden können. Auf diesem Wege soll Wichtiges von Unwichtigem getrennt und so ein angemessenes Level an zu treffenden Schutzmaßnahmen für jede einzelne Verarbeitung festgelegt werden.

Die 7 wichtigsten Gewährleistungsziele im Standard-Datenschutzmodell

Der Begriff der Gewährleistungsziele wurde gewählt, um eine klare Abgrenzung zu dem Begriff der „Schutzziele“ in der IT-Sicherheit herzustellen. Insbesondere soll so eine datenschutzrechtliche Terminologie aufgebaut werden.

Jedes zu erreichende Gewährleistungsziel soll durch Umsetzung geeigneter Maßnahmen erreicht werden. Die Vorschläge zur Umsetzung werden im Standard Datenschutzmodell „generische Maßnahmen“ genannt.

Das nach dem Standard-Datenschutzmodell grundlegendste Gewährleistungsziel ist die Datenminimierung. Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten hat sich grundsätzlich auf das unvermeidliche / erforderliche Maß zu beschränkten. Dies bezieht sich auf die vollständige Verarbeitungskette; von der Erhebung der Daten bis hin zu deren Löschung sollten alle Prozesse so ausgerichtet sein, dass ausschließlich die tatsächlich benötigten Daten verarbeitet bzw. verfügbar gehalten werden. Letztlich stellt sich hier stets die gleiche Frage: „Brauche ich die Daten für die Verarbeitung wirklich unbedingt?“

Um eine optimale Datensparsamkeit zu erreichen, sollte z. B. über folgende generische Maßnahmen nachgedacht werden:

  • Reduzierung von erfassten Attributen
  • Reduzierung der Verarbeitungsoptionen
  • Reduzierung von Möglichkeiten der Kenntnisnahme
  • Verarbeitungsprozesse, die eine Kenntnisnahme verarbeiteter Daten entbehrlich machen
  • automatische Sperr- und Löschroutinen, Pseudonymisierungs- und Anonymisierungsverfahren,
  • Kontrolle der Änderung von Verarbeitungstätigkeiten

Der Grundsatz der Verfügbarkeit fordert, dass vorhandene Daten einerseits vor mutwilliger Zerstörung oder auch fahrlässigem Verlust geschützt werden müssen, andererseits aber auch im Falle des Bedarfs jederzeit abrufbar sein sollen. Die Verfügbarkeit muss dabei nicht nur die jederzeitige Nutzung der Daten für den eigentlichen Zweck sicherstellen, sondern auch mögliche Auskunftsverlangen an Betroffene, über die Daten gespeichert sind.

In der Praxis wird die Verfügbarkeit meist über entsprechende Datensicherungen, Schutzvorrichtungen und Redundanzen von Hard- und Software sowie IT-Infrastrukturen gewährleistet. Bei Auslagerungen sollte stets auf entsprechende Service-Level-Agreements (SLAs) geachtet werden, z. B. Auftragsverarbeitungs-Verträge. Aber auch alltägliche organisatorische Maßnahmen, wie Vertretungsregelungen für abwesende Mitarbeiter, stellen die Verfügbarkeit der Daten sicher.

Beispiele für geeignete Maßnahmen:

  • Anfertigung von Sicherheitskopien,
  • Schutz vor äußeren Einflüssen (Schadsoftware, Sabotage, höhere Gewalt),
  • Dokumentation der Syntax der Daten,
  • Redundanzen,
  • Reparaturstrategien und Ausweichprozesse,
  • Vertretungsregelungen

Als Integrität wird der Schutz vor ungewollter bzw. unautorisierter Veränderung von Daten verstanden. Sie besagt, dass einmal erstellte Daten auch zu einem späteren Zeitpunkt noch denselben – unveränderten – Inhalt besitzen müssen, sofern sie nicht in legitimer Weise verändert worden sind. Die anfängliche inhaltliche Richtigkeit der Daten ist hiervon allerdings nicht umfasst.

Unternehmen müssen folglich (generische) Maßnahmen ergreifen, die eine ungewünschte nachträgliche Veränderung von Daten verhindern. Dies kann beispielsweise gewährleitet werden durch:

  • Begrenzung von Schreib- und Änderungsrechten,
  • Einsatz von Prüfsummen, elektronischen Siegeln und Signaturen,
  • dokumentierte Zuweisung von Berechtigungen und Rollen,
  • Aufrechterhaltung der Aktualität von Daten,
  • Festlegung des Soll-Verhaltens von Prozessen und regelmäßiges Durchführen von Tests zur Feststellung und Dokumentation der Funktionalität, von Risiken sowie Sicherheitslücken und Nebenwirkungen von Prozessen,
  • Festlegung des Soll-Verhaltens von Abläufen bzw. Prozessen und regelmäßiges Durchführen von Tests zur Feststellbarkeit bzw. Feststellung der Ist-Zustände von Prozessen.

Als Vertraulichkeit wird der Schutz der Daten vor unbefugtem Zugriff oder unbefugter Kenntnisnahme verstanden.

Generische Maßnahmen um die Vertraulichkeit zu gewährleisten wären beispielsweise:

  • Festlegung eines Rechte- und Rollen-Konzeptes,
  • sichere Authentisierungsverfahren,
  • Personalkonzept,
  • Festlegung und Kontrolle zugelassener Ressourcen,
  • für die Verarbeitungstätigkeit geeignete Umgebungen,
  • Festlegung und Kontrolle organisatorischer Abläufe, interner Regelungen und vertraglicher Verpflichtungen ,
  • Kryptokonzept,
  • Schutz vor äußeren Einflüssen (Spionage, Hacking).

Das Gewährleistungsziel der Nichtverkettbarkeit hat seinen Ausgangspunkt im Zweckbindungsgrundsatz und soll sicherstellen, dass für alle Daten der legitime Zweck für die Bearbeitung feststeht und erhalten bleibt. Dementsprechend darf im Laufe der Verarbeitungsprozesse stets nur der ursprünglich festgelegte Zweck verfolgt werden. Die in der Praxis oft vorgefundene Situation, dass Daten, die einmal im Unternehmen angekommen sind, dort frei umherirren und so auch für verschiedene Zwecke verarbeitet werden, ist daher gesetzeswidrig.

Um die Nichtverkettbarkeit zu gewährleisten, kommen etwa folgende Maßnahmen in Betracht:

  • Einschränkung von Verarbeitungs-, Nutzungs- und Übermittlungsrechten,
  • Schließung von Schnittstellen,
  • Compliance bei der Softwareentwicklung,
  • Trennung nach Organisations-/Abteilungsgrenzen,
  • Trennung mittels Rollenkonzepten,
  • Identitätsmanagement,
  • Pseudonyme, Anonymisierung,
  • geregelte Zweckänderungsverfahren.

Die Verarbeitung personenbezogener Daten hat grundsätzlich transparent zu erfolgen. Es muss also nachvollziehbar sein, wo und zu welchem Zweck personenbezogene Daten verarbeitet und genutzt werden. Dieser Grundsatz findet seinen Ausfluss unter anderem in der Verpflichtung zur Führung eines internen und externen Verfahrensverzeichnisses. Zudem kann nur mittels einer transparenten Datenverarbeitung dem Recht des Betroffenen auf Auskunft sowie den Rechten der Aufsichtsbehörden auf Auskunft und Einsicht entsprochen werden.

Typische Maßnahmen wären in diesem Zusammenhang vor allem die Dokumentationen über Verfahren, Prozesse, Anwendungen, Verträge, Systemtests, Freigaben, Vorabkontrollen, Verträge (sowohl interne z. B. mit Mitarbeitern als auch externe mit Dienstleistern). Außerdem sollten Zugriffe auf und Änderungen in Anwendungen dokumentiert sowie Dokumente versioniert werden.

Beispiele:

  • Dokumentation der Geschäftsprozesse, Datenbestände, Datenflüsse, IT-Systeme, Betriebsabläufe, Beschreibungen von Verarbeitungstätigkeiten,
  • Tests der Freigabe und ggf. Datenschutz-Folgenabschätzung von neuen oder geänderten Verarbeitungstätigkeiten,
  • Dokumentation der Verträge mit den internen Mitarbeitenden, Dienstleistern und Dritten,
  • Dokumentation von Einwilligungen und Widersprüchen,
  • Protokollierung von Zugriffen und Änderungen,
  • Nachweis der Quellen von Daten (Authentizität),
  • Versionierung,
  • Dokumentation der Verarbeitungsprozesse,
  • Berücksichtigung der Auskunftsrechte von Betroffenen im Protokollierungs- und Auswertungskonzept.

Unter das Gewährleistungsziel der Intervenierbarkeit werden im Wesentlichen die Betroffenenrechte auf Auskunft, Berichtigung und Sperrung bzw. Löschung der eigenen Daten gefasst. Sofern also ein Betroffener zurecht die Löschung seiner Daten verlangt, so muss dies konsequenterweise auch technisch umsetzbar sein.

Dies ist es beispielsweise nicht, wenn gar nicht klar ist, auf welchen Datensicherungsbändern dessen Daten überhaupt gespeichert sind bzw. in welchen Systemen dessen Daten abgelegt wurden. In diesem Fall wäre erst eine umfangreiche Suche erforderlich. Derartige technische Erschwernisse können die Pflicht der Unternehmen, dem Verlangen des Betroffenen nachzukommen, jedoch nicht entgegengehalten werden. Vielmehr muss Unternehmen bereits bei Speicherung der Daten klar sein, dass auch einzelne Datensätze gegebenenfalls wieder gelöscht werden müssen.

Infrage kommende Maßnahmen sind hier u. a. standardisierte Dialog- und Abfragestellen über vorhandene Datensätze von Betroffenen sowie ein konkret benannter Ansprechpartner, Deaktivierungsmöglichkeiten von einzelnen Systemkomponenten, ohne das gesamte System außer Betrieb zu setzen, Möglichkeiten der Einsichtnahme in das System durch den Datenschutzbeauftragten oder aber auch Aufsichtsbehörden.

Beispiele:

  • differenzierte Einwilligungs-, Rücknahme- sowie Widerspruchsmöglichkeiten,
  • Schaffung notwendiger Datenfelder z. B. für Sperrkennzeichen,
  • dokumentierte Bearbeitung von Störungen, Problembearbeitungen und Änderungen am Verarbeitungstätigkeiten sowie an den Schutzmaßnahmen der IT-Sicherheit und des Datenschutzes,
  • Deaktivierungsmöglichkeit von Funktionalitäten,
  • Abfrage- und Dialogschnittstellen für Betroffene zur Geltendmachung und/oder Durchsetzung von Ansprüchen,
  • Nachverfolgbarkeit der Aktivitäten,
  • Einrichtung eines Single Point of Contact (SPoC) für Betroffene,
  • operative Möglichkeit zur Zusammenstellung, konsistenten Berichtigung, Sperrung und Löschung aller zu einer Person gespeicherten Daten.

Fazit: Das Standard-Datenschutzmodell hilft beim strukturellen Vorgehen

Insgesamt zeigt sich, dass das Standard-Datenschutzmodell eine Erleichterung für Unternehmen bei der Gewährleistung der datenschutzrechtlichen Compliance darstellen kann. Denn nur eine strukturierte Herangehensweise führt im Ergebnis dazu, dass ein konsistenter und vergleichbarer Datenschutz-Standard im Unternehmen etabliert werden kann, der alle Bereiche des Unternehmens umfasst. Eben diese Struktur gewährleistet das SDM bei richtiger Umsetzung.

Praktisch ist dabei, dass mit den generischen Maßnahmen im Standard-Datenschutzmodell praktikable und effiziente Wege für eine Umsetzung im Unternehmen aufgezeigt werden.

Bei richtiger und konsequenter Anwendung des Standard-Datenschutzmodells ist zu erwarten, dass im Falle einer Prüfung durch eine Aufsichtsbehörde das betroffene Unternehmen und die Behörde „die gleiche Sprache sprechen“ und der Aufwand sich im Optimalfall auf ein Minimum reduziert.

Dieser aktualisierte Artikel wurde zuerst am 22. Dezember 2016 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!