Rawpixel.com - stock.adobe.com
Der Umfang des Datenschutzkonzeptes nach DSGVO
Der Datenschutz hat einen klaren Anwendungsbereich, der sich im Datenschutzkonzept nach DSGVO niederschlagen muss. Alle relevanten Daten und Verfahren müssen berücksichtigt werden.
Das beste Konzept hilft bekanntlich wenig, wenn es nicht überall dort zur Anwendung kommt, wo es notwendig ist. Das gilt auch für den Datenschutz und ein Datenschutzkonzept zur Umsetzung und Einhaltung der Datenschutz-Grundverordnung (DSGVO/GDPR). Wenn ein Unternehmen ein DSGVO-Konzept erstellt, muss deshalb neben der Verantwortung für den Datenschutz zu Beginn auch der Umfang bestimmt werden.
Mit Umfang ist hierbei gemeint, worauf sich das Datenschutzkonzept nach DSGVO genau beziehen soll. Auf den ersten Blick lässt sich diese Frage einfach beantworten, auf alle Daten, die personenbezogen sind und die von dem Unternehmen verarbeitet werden. Doch dies ist zu kurz gedacht, der Umfang muss größer sein.
Bestandsaufnahme bei den Daten
Das Datenschutzkonzept nach DSGVO muss dem Anwendungsbereich der Datenschutz-Grundverordnung widerspiegeln: Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Dabei ist Personenbezug nicht zu eng zu sehen. Personenbezogene Daten sind nach DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Verarbeitung steht dabei für das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung dieser Daten.
Entsprechend muss das Datenschutzkonzept auf alle Verarbeitungen von Daten angewendet werden wie Mitarbeiterdaten, Kundendaten, Interessentendaten, Lieferantendaten, Nutzerdaten oder Patientendaten, aber auch zum Beispiel Maschinendaten, die sich direkt oder indirekt auf eine Person beziehen lassen.
Bei den Daten kann es sich um Informationen zu Personen handeln wie Daten zu Gesundheit, Bank- oder Kreditbereich, wirtschaftliche Verhältnisse, religiöse oder philosophischen Überzeugungen, Gewerkschaftsmitgliedschaft, ethnische Herkunft, Sexualität, politische Einstellungen, Biometrie, Standort, Fotos oder Videos, E-Mail-Adressen und andere Adressen, Passwörter, Geburtsdatum, Steuernummern, andere Identifikationsnummer und viele weitere personenbezogene Daten.
Es reicht also nicht aus, sich zum Beispiel auf den Schutz der Bankdaten und Adressen der Kunden zu beschränken.
Bestandsaufnahme bei den Verfahren
Bei der Vielzahl personenbezogener Daten und Datenkategorien wird es nicht überraschen, dass ein Unternehmen auch eine Vielfalt an Prozessen und Verfahren nutzt, bei denen diese Daten verarbeitet werden. Die DSGVO fordert ein vollständiges Verzeichnis von Verarbeitungstätigkeiten, das die zentrale Basis für jedes Datenschutzkonzept nach DSGVO darstellen muss.
Beispiele für Verfahren oder Verarbeitungstätigkeiten in einem Unternehmen sind, um nur einige zu nennen:
- Aktenvernichtung
- Archivierung von Akten
- Betrieb E-Mail-System
- Betrieb eines Insolvenzverzeichnisses
- Betrieb Internetsystem
- Bewerbungsverfahren
- Big-Data-Analyse von Kundendaten
- Bürokommunikation
- Fahrzeugdatenverarbeitung, Disposition von Fahrzeugen und Fahrern
- Finanzbuchhaltung
- Lohn- und Gehaltsabrechnung
- Personalverwaltung
- Reisekostenabrechnung
- Telefongespräch-Auswertung
- Tracking von Kundenaktivitäten
- Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung natürlicher Personen, Verwendung von biometrischen Systemen zur Zutrittskontrolle
- Videoüberwachung
- Werbung
- Zeiterfassung
Bestandsaufnahme bei den Verträgen
Im Datenschutzkonzept geht es aber nicht nur um die Verarbeitung personenbezogener Daten durch das Unternehmen selbst, sondern auch um die Verarbeitung im Auftrag des Unternehmens (Auftragsverarbeitung). Auch diese Prozesse, Verfahren und Verarbeitungstätigkeiten müssen im Datenschutzkonzept Berücksichtigung finden.
Deshalb sollten Unternehmen bei der Erstellung und auch bei der Pflege des Datenschutzkonzeptes immer auch die Verträge überprüfen, ob dort Vorgänge geregelt und vereinbart werden, die die Verarbeitung personenbezogener Daten umfassen. Dies kann letztlich bei jedem Verarbeitungsvorgang der Fall sein, wenn dieser an einem Drittem ausgelagert wird.
Diese Auftragsverarbeitungen müssen ebenfalls im Verzeichnis von Verarbeitungstätigkeiten erfasst sein, auch der Auftragsverarbeiter (also der Dienstleister) muss ein entsprechendes Verzeichnis für den Kunden führen.
Ebenso müssen die Verträge bestimmte Regelungen enthalten, damit der DSGVO entsprochen werden kann. Der Vertrag muss insbesondere vorsehen, dass der Auftragnehmer (Auftragsverarbeiter)
- die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet
- gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
- alle erforderlichen Maßnahmen für die Datensicherheit ergreift
- die Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält
- angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Person nachzukommen
- unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der Melde- und Informationspflichten unterstützt
- nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht
- dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt
- den Verantwortlichen unverzüglich informiert, falls er der Auffassung ist, dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.
Vertragsgestaltung und Vertragsprüfung gehören somit auch zu dem Datenschutzkonzept nach DSGVO, genau wie das vollständige Verzeichnis von Verarbeitungstätigkeiten.