Die neue Datenschutzgrundverordnung trifft alle Unternehmen, die automatisiert Datenverarbeitung vornehmen. Mit dem 25. Mai 2018 müssen alle Unternehmen ihre Prozesse und Verarbeitungen von personenbezogenen Daten dokumentieren und laufend überwachen. Für viele Unternehmen stellt es eine große Herausforderung dar, diesen Anforderungen nachzukommen, doch es bieten sich auch hier wieder Möglichkeiten, die Qualität der Unternehmen hervorzustellen. Die Forderungen der DSGVO setzen ein Datenschutzmanagementsystem in jedem Unternehmen voraus. Ein solches Managementsystem umzusetzen ist in jedem Unternehmen eine Herausforderung, doch bietet auch die Möglichkeit das Vertrauen seiner Kunden zu gewinnen.
Strafen bei fehlender Dokumentation
Bei einem Datenschutzvorfall oder schon einer nicht eingehaltenen Verordnung droht die EU-Datenschutzgrundverordnung (EU-DSGVO) jedem Unternehmen mit Bußgeldern von 20 Millionen Euro bzw. 4 Prozent vom weltweiten Jahresumsatz, je nachdem was höher ausfällt. Die Einhaltung der DSGVO setzt eine umfassende Dokumentation aller Verarbeitungsvorgänge von personenbezogenen Daten im Unternehmen voraus. Neben Prozessen zur Realisierung der Betroffenenrechte, Risikoanalyse und dem Nachkommen von Meldepflichten, muss jedes Unternehmen die Dokumentation über die Planung, Umsetzung, Kontrolle und Optimierung des Datenschutzes bei den Datenverarbeitungsvorgängen vorweisen.
Umfang der Dokumentation
Das Kernelement einer jeder Dokumentation soll das Verzeichnis der Verarbeitungen werden. In diesem werden zu jeder Verarbeitung die wichtigsten Informationen zum Umgang mit den personenbezogenen Daten wie Zweck, Einwilligungen, Löschfristen, technisch-organisatorische Maßnahmen, Risikoanalysen, Datenübermittlungen usw. festgehalten. Zur Erfassung all dieser Information bedarf es einer ausgeprägten Dokumentation, wie diese Verarbeitung datenschutztechnisch abgesichert wird, um den Forderungen der DSGVO zu entsprechen. Eine dokumentierte Absicherung dieser Datenverarbeitungen stellt beispielsweise eine zeitliche Beschränkung in Form von Löschfristen, eine Checkliste über die Einhaltung der Prinzipien der Privacy-by-Design bzw. Privacy-by-Default, Verträge zur Auftragsdatenverarbeitung, eine dokumentierte Risikoanalyse in Form einer Datenschutz-Folgenabschätzung und/oder eine Auflistung technischer und organisatorischer Maßnahmen dar.
Kontrollzyklus des Datenschutzes
Die DSGVO erwartet von den Verantwortlichen, dass eine solche Dokumentation regelmäßig überwacht und bei Bedarf optimiert wird. Diese Herangehensweise ist beispielhaft für die Merkmale eines Managementsystems. Aus diesem Grund wird indirekt von der DSGVO ein Datenschutzmanagementsystem in dem Unternehmen erwartet. Die Umsetzung und Ausführung kann dabei in jedem Unternehmen unterschiedlich sein. Das Ineinandergreifen dieser verschiedenen Prozesse und Dokumentationen muss von Anfang gut geplant und stets überwacht werden. Die Prinzipien des PDCA-Zyklus (Plan-Do-Check-Act) sind dabei für alle Verarbeitungen von personenbezogenen Daten einzuhalten.
Risikobasierter Ansatz
Die Risikoanalyse für die Datenverarbeitungen oder Datenschutzvorkommnisse ist dabei von entscheidender Bedeutung. . Die Aufsichtsbehörden erwarten eine Bewertung und Planung von Maßnahmen von möglichen Datenschutzbedrohungen. In der DSGVO wird konkret von einer Datenschutz-Folgenabschätzung gesprochen, um eine umfassende Dokumentation der Datenschutzrisiken im Unternehmen zu erhalten. Bei hohen Risiken wird von den Verantwortlichen verlangt, diese der Aufsichtsbehörde zu melden.
Der Managementgedanke
Die gesamte Datenschutzdokumentation muss alle Merkmale eines Managementsystems aufweisen, um den Anforderungen der DSGVO zu entsprechen. Diese bestehen immer aus einer Planungsphase, anschließender Umsetzung, einer unabhängigen Kontrollinstanz und Optimierungen. Diese Vorgehensweise ist bekannt aus der Norm ISO 9001:2015, die die Anforderungen an Qualitätsmanagementsysteme grundlegend definiert. Mit dieser Herangehensweise können Unternehmen eine nachweisbare Qualität in der Verarbeitung ihrer personenbezogenen Daten erhalten. Die Norm gibt dazu die Grundsätze für die Managementsysteme vor, an denen man sich bei der Datenschutzdokumentation orientieren kann. Unternehmen, die ein ausgeprägtes Datenschutzmanagementsystem etabliert haben, können einen qualifizierten Datenschutz oder eine zertifizierte IT-Sicherheit in ihrem Unternehmen nachweisen und damit die Forderungen der DSGVO erfüllen.
Fazit zum Datenschutzmanagementsystem
Jedes Unternehmen muss bis zum 25. Mai 2018 handeln und sich intensiv mit dem Datenschutz auseinandersetzen. Die Forderung nach einem Datenschutzmanagementsystem erschwert die Sache zusätzlich, doch auch dafür gibt es einfach umzusetzende Lösungen. Die Geschäftsleitung muss sich die Aspekte Datenschutz und IT-Sicherheit zunehmend thematisieren. Dabei ist es empfehlenswert von Anfang an einen Experten zu Rate zu ziehen, der das Unternehmen bei der richtigen Umsetzung beraten kann. Die Realisierung von Managementsystemen ist eine sehr aufwendige Aufgabe, die die internen Mitarbeiter eines Unternehmens schnell überfordern kann. Häufig bietet deshalb ein externer Berater dem Unternehmen die Möglichkeit, ein Datenschutzmanagementsystem schnell und nachhaltig zu etablieren, damit mit einem überschaubaren Aufwand eine professionelle Lösung geschaffen werden kann.