Maren Winter - stock.adobe.com
So bleibt das Datenschutzkonzept aktuell
Die DSGVO muss nicht einmalig umgesetzt werden, sondern fortlaufend. Das Datenschutzkonzept nach Datenschutz-Grundverordnung braucht deshalb eine dauerhafte Weiterentwicklung.
Die deutsche Wirtschaft kämpft immer noch mit der Datenschutz-Grundverordnung (DSGVO), berichtet der Digitalverband Bitkom. Fast eineinhalb Jahre nach Geltungsbeginn haben zwar zwei Drittel der Unternehmen (67 Prozent) die Datenschutzregeln mindestens zu großen Teilen umgesetzt. Dabei hat allerdings erst ein Viertel (25 Prozent) die Umsetzung der DSGVO vollständig abgeschlossen, so das Ergebnis der Bitkom-Umfrage. Weitere 24 Prozent haben die Verordnung teilweise umgesetzt, sechs Prozent stehen noch am Anfang.
Wer jetzt daraus schließen würde, die DSGVO sei zumindest für 25 Prozent der deutschen Unternehmen abgeschlossen und kein Thema mehr, der irrt sich. Datenschutz ist eine dauerhafte Aufgabe, nicht erst seit der Anwendung der Datenschutz-Grundverordnung.
Doch die DSGVO betont dies ausdrücklich: So findet man zum Beispiel in Artikel 32 (Sicherheit der Verarbeitung) folgende Anforderung: „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“
Für ein Datenschutzkonzept, das ein Unternehmen erstellt hat, um die Maßnahmen nach DSGVO zu planen, bedeutet dies, dass das Konzept für den Datenschutz regelmäßig überprüft und angepasst werden muss. Alle Schritte, die in Richtung Datenschutz-Konzept angegangen wurden, müssen Teil eines Zyklus werden, wie man dies aus (anderen) Management-Systemen kennt.
Verantwortlichkeiten überprüfen
Zu den Kontrollen, ob das Datenschutzkonzept aktuell und wirksam ist, gehört auch die Prüfung, ob sich Änderungen bei den verschiedenen Rollen ergeben und ob die Verantwortlichkeiten im Datenschutz bekannt sind und wahrgenommen werden. So ist es zum Beispiel sinnvoll, den bevorstehenden Ruhestand eines betrieblichen Datenschutzbeauftragten (DSB) zum Anlass zu nehmen, frühzeitig nach einer Nachfolgerin oder einem Nachfolger zu suchen und die notwendigen Schulungsmaßnahmen einzuplanen.
Auch mögliche Änderungen in Verträgen mit Auftragsverarbeitern müssen berücksichtigt werden. Läuft ein Vertrag aus oder soll aus anderen Gründen der Dienstleister gewechselt werden, müssen neue, datenschutzkonforme Verträge eingeplant werden.
Verfahren der Datenverarbeitung überprüfen
Neue und geänderte Verfahren müssen Niederschlag finden in dem Verzeichnis von Verarbeitungstätigkeiten (Artikel 30 DSGVO). Genauso verhält es sich, wenn ein Verfahren in der Verarbeitung personenbezogener Daten eingestellt wird. Zu jedem neuen oder geänderten Verfahren müssen die verantwortlichen Stellen, die betroffenen Personen und Datenkategorien, die Zwecke der Verarbeitung, die Empfänger, sowie wenn möglich Löschfristen und die Maßnahmen für die Datensicherheit geplant, dokumentiert und umgesetzt werden.
Datenrisiken immer im Blick behalten
Ob Datenschutz-Folgenabschätzung nach Artikel 25 DSGVO oder eine klassische Risikoanalyse, bei jeder Bewertung der Datenrisiken müssen die aktuellen und absehbaren Risiken für personenbezogene Daten berücksichtigt werden. Die Bedrohungslage ist dabei bekanntlich genauso dynamisch wie die IT selbst.
Das Kapitel Risikobewertung im Datenschutzkonzept muss deshalb fortlaufend geprüft und in aller Regel neu geschrieben werden. Sonst wird die veraltete Risikobewertung selbst zum Risiko, weil die Datenschutzmaßnahmen nicht mehr passen.
Datenschutz-Maßnahmen müssen angemessen sein und bleiben
Mit den organisatorischen und technischen Maßnahmen im Datenschutz soll ein jeweils angemessenes Datenschutzniveau erreicht und gewährleistet werden. Was aber angemessen ist, hängt unter anderem von der Risikolage und auch von den rechtlichen Vorgaben ab. Unternehmen müssen deshalb ihren Maßnahmenkatalog für den Datenschutz und damit das Datenschutzkonzept immer aktuell halten, die Umsetzung der DSGVO ist also nie abgeschlossen, sondern eine Daueraufgabe.
Die Aufsichtsbehörden für den Datenschutz sehen dies genauso, sie erarbeiten Bausteine für das sogenannte Standard-Datenschutzmodell (SDM). Darin gibt es einen Baustein Datenschutzmanagement, der insbesondere besagt:
Ziel des Datenschutzmanagements ist auch die dauerhafte Sicherstellung der Wirkung der technischen und organisatorischen Maßnahmen bei einer fortwährenden Beurteilbarkeit der datenschutzrechtlichen Konformität einer Verarbeitung personenbezogener Daten.
Der Verantwortliche muss geeignete technische und organisatorische Maßnahmen ergreifen und dauerhaft vorhalten, um ein dem Risiko angemessenes Schutzniveau bei jeder Verarbeitung personenbezogener Daten zu gewährleisten und die Umsetzung und Wirksamkeit dieser Maßnahmen nachweisen, evaluieren, gegebenenfalls verbessern und sie auf diese Weise aktuell halten.
Das beschreibt genau das fortlaufende Arbeitsprogramm für ein Datenschutzkonzept nach DSGVO. Auch im Datenschutz gilt somit der klassische PDCA‐Zyklus (Plan, Do, Check, Act).