Ratgeber

DSGVO als Wettbewerbsvorteil nutzen

Die nachweisliche Einhaltung hoher Schutzstandards bei der Verarbeitung personenbezogener Daten kann sich für Unternehmen als echter Wettbewerbsvorteil erweisen. Eine zentrale Rolle spielt dabei das „Verzeichnis der Verarbeitungstätigkeiten“.

dsgvo

Wenn man in den letzten Wochen die Nachrichten verfolgt hat, könnte man meinen, Datenschutz wäre etwas ganz Neues. Die Europäische Datenschutzgrundverordnung (DS-GVO) und der Stichtag ihres Inkrafttretens, der 25. Mai 2018, wurden fast überall erwähnt, erklärt und diskutiert. Dabei hat sich für die meisten deutschen Unternehmen gar nicht so viel geändert: Bisher regelte das Bundesdatenschutzgesetz (BDSG) den Umgang mit personenbezogenen Daten und war dabei kaum weniger restriktiv als es die DS-GVO ist. Hinzugekommen sind insbesondere umfassende Informationspflichten dem Betroffenen gegenüber, erhöhte Anforderungen an Datenschutz und ‑sicherheit für Auftraggeber und Auftragnehmer bei der Auftragsverarbeitung personenbezogener Daten und – durch die EU-weite Gültigkeit – ein anderes Verhältnis der EU-Länder untereinander und zu Drittstaaten in punkto Zuständigkeit bzw. Durchsetzung der Regelungen der DS-GVO. Eine weitere Änderung, die sehr häufig in den Medien genannt wird, betrifft die Höhe der Bußgelder, die nicht wenig zur intensiven Diskussion der Verordnung beigetragen hat.

Aus der Last eine Tugend machen

Dabei ist es eigentlich ganz falsch, die DS-GVO mit ihren erhöhten Anforderungen an eine sichere Verarbeitung personenbezogener Daten als lästige Pflicht oder gar Schikane anzusehen. Mit der fortschreitenden Digitalisierung und der beginnenden IoT-Revolution (Internet of Things), bedeuten Sicherheitslücken nicht nur mögliche Verstöße gegen die DS-GVO, sondern vor allem einen Vertrauensverlust gegenüber den Geschäftspartnern und Verbrauchern.

Die Unternehmen müssen lernen, Nutzen aus dem achtsamen Umgang mit personenbezogenen Daten zu schöpfen und hohe Datenschutzstandards als möglichen Wettbewerbsvorteil zu sehen.

Fälschlicherweise glauben viele Verantwortliche in den Unternehmen, dass alle betrieblichen Prozesse und Verfahrensabläufe, in denen personenbezogene Daten verarbeitet werden, grundlegend umgebaut werden müssten, um der neuen DS-GVO gerecht zu werden. Dieser Irrglaube wird gestützt durch verschiedenste angebotene Werkzeuge, verbunden mit Empfehlungen zur Neustrukturierung der Prozesse. Die DS-GVO fordert indes die achtsame Verarbeitung personenbezogener Daten, unter Berücksichtigung der gegebenen technischen und organisatorischen Mittel (TOM) und die lückenlose Dokumentation der relevanten Prozesse.

Neue Dokumentationspflichten auch für KMU

Dokumentiert wird die achtsame Verarbeitung im „Verzeichnis der Verarbeitungstätigkeiten“. Dieses ist vergleichbar mit dem „Verfahrensverzeichnis“ des Bundesdatenschutzgesetzes, es gibt aber einige wichtige Neuerungen:

Das Gesetz sieht zunächst vor, dass nur Unternehmen mit mindestens 250 Mitarbeitern ein Verzeichnis der Verarbeitungstätigkeiten führen müssen. Allerdings besteht diese Pflicht auch für kleinere Unternehmen, wenn

  • durch die Datenverarbeitung ein Risiko für die betroffenen Personen entsteht (z.B. bei Scoring, umfangreicher Überwachung, hohe Gefahr für die betroffenen Personen bei unbefugter Offenlegung oder unbefugtem Zugang, Verwendung neuer Technologien),
  • die Datenverarbeitung nicht nur gelegentlich erfolgt oder
  • besondere Datenkategorien nach Artikel 9 Absatz 1 DSGVO (z.B. Gesundheitsdaten, biometrische Daten, Daten zu politischen oder weltanschaulichen Meinungen) oder Daten über strafrechtliche Verurteilungen nach Artikel 10 DSGVO verarbeitet werden.

Dadurch stehen in der Praxis auch viele kleine und mittlere Unternehmen vor der Aufgabe, das Verzeichnis zu führen und aktuell zu halten.

Verzeichnis der Verarbeitungstätigkeiten

Inhaltlich lässt sich das Verzeichnis der Verarbeitungstätigkeiten in drei Abschnitte einteilen. Im ersten Abschnitt finden sich eher allgemeine Angaben, wie Name und Kontaktdaten des Verantwortlichen,  des Vertreters des Verantwortlichen (Inhaber, Geschäftsleitung, Leitung IT), des Datenschutzbeauftragten etc.

Der zweite Abschnitt enthält verfahrensübergreifende technische und organisatorische Angaben, wie die Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz der Daten nach Artikel 32 Absatz 1 DSGVO und das Löschkonzept.

Das Recht auf Löschung oder „Recht auf Vergessenwerden“ ist tief in der DSGVO verankert und die Pflicht, personenbezogene Daten zu löschen, sobald sie nicht mehr benötigt werden – z. B. wenn der Zweck erfüllt wurde und keine gesetzlichen Aufbewahrungsfristen der Löschung entgegenstehen – wird eingehend in Artikel 17 Absatz 1 DSGVO geregelt. Die Datenschutz-Grundverordnung definiert den Begriff „Löschen“ nicht. Maßgeblich ist, dass im Ergebnis keine Möglichkeit mehr besteht, die Daten ohne unverhältnismäßigen Aufwand wahrzunehmen. Ausreichend ist es demnach, die Datenträger physisch zu zerstören, Verknüpfungen oder Codierungen zu löschen oder bei wiederbeschreibbaren Datenträgern (z. B. einer Festplatte) ggf. spezielle Löschsoftware einzusetzen. Nicht ausreichend ist es, Datenträger einfach zu entsorgen, also in den Müll zu werfen oder rein organisatorische Maßnahmen zu treffen.

Im dritten Abschnitt folgen schließlich spezifische Angaben zu den einzelnen Datenverarbeitungsverfahren: Dazu gehören beispielsweise die Zwecke der Verarbeitung, Kategorien der verarbeiteten personenbezogenen Daten, interne und externe Empfänger, tatsächliche oder geplante Empfänger in Drittländern oder internationalen Organisationen sowie ggf. spezifische Schutzmaßnahmen.

Dieser dritte Abschnitt hat viel Ähnlichkeit mit einer „normalen“ Prozessaufnahme im Rahmen des Geschäftsprozessmanagements. Auch hier sind die zentralen Fragen „Wer macht was, wann, wie und womit?“ zu beantworten, nur eben unter dem besonderen Gesichtspunkt des Datenschutzes. Und wie bei der allgemeinen Aufnahme der Geschäftsprozesse, werden auch bei der Erstellung des Verzeichnisses etwaige Optimierungspotenziale und Lücken beim Schutz personenbezogener Daten offenbar. Diese heißt es, durch geeignete Maßnahmen auszuschöpfen bzw. zu schließen. Wenn im Laufe der Zeit neue Verarbeitungstätigkeiten aufgenommen und dem Verzeichnis hinzugefügt werden, können parallel die zugehörigen Prozesse überprüft und ggf. optimiert werden.

Das Verzeichnis der Verarbeitungstätigkeiten kann also genutzt werden, um die eigenen Datenschutzstandards zu steigern und nachhaltig auf einem hohen Niveau zu etablieren. Das verhindert nicht nur mögliche Verstöße gegen die Regelungen DSGVO und reduziert die Gefahr, mit den bekannten empfindlichen Bußgeldern belegt zu werden. Wenn man Kunden und Geschäftspartnern jederzeit Auskunft über den aktuellen, hohen Status des Datenschutzes im Unternehmen geben kann, schafft das auch Vertrauen – insbesondere aber nicht nur wenn personenbezogene Daten im Spiel sind.

DSGVO Assessment

Das Verzeichnis kann schriftlich oder elektronisch geführt werden. Im Internet finden sich zahlreiche MS Word- oder Excel-Vorlagen zum kostenlosen Download, die den Anforderungen der DSGVO durchaus genügen. Was den meisten dieser Vorlagen fehlt ist die Möglichkeit, das Verzeichnis effizient mit einem kontinuierlichen Verbesserungsprozess zu unterlegen. Viele Unternehmen, die bisher ein Verfahrensverzeichnis geführt haben, werden die Erfahrung gemacht haben, dass dieses Verzeichnis, nachdem es einmal erstellt worden war, nur äußerst selten überprüft oder weiterentwickelt wurde. Gerade in kleineren und mittelständischen Unternehmen fehlen oft die Ressourcen, um dem Datenschutz kontinuierlich höchste Aufmerksamkeit zu widmen. Als papiergefüllter Ordner im Schrank des Datenschutzbeauftragten oder als Datei auf einem Server diente das Verzeichnis daher häufig als reine Dokumentation des Status Quo zu einem bestimmten Zeitpunkt, der auf Verlangen der Aufsichtsbehörde oder Jedermanns vorgezeigt wurde und erfüllte ansonsten keinen weiteren Zweck. Dabei müssen nicht nur Prozessänderungen oder Ergänzungen in das Verzeichnis einfließen, sondern auch die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten ständig auf ihre Wirksamkeit überprüft und dem aktuellen Stand der Technik angepasst werden.

Hier setzt das neue DSGVO-Portal der Trovarit an. Es bietet nicht nur Vorlagen für die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten, sondern bietet auch umfassende Möglichkeiten, um Prozessänderungen einzupflegen, Verbesserungsmaßnahmen zu planen, klare Zuständigkeiten festzulegen, Aufgaben einzusteuern und deren Abarbeitung zu monitoren. So werden Sicherheitslücken dauerhaft geschlossen und es entsteht eine durchgängige, strukturierte und – wo nötig – dynamische Dokumentation, die zu jedem Zeitpunkt einen kompletten Überblick über den Gesamtzustand des Datenschutzes bietet.

Auch wenn es nach der DSGVO keine Verpflichtung mehr gibt, wirklich Jedermann auf Anfrage das Verzeichnis der Verarbeitungstätigkeiten offenzulegen, kann es als interne Messlatte genutzt werden, um die Datenschutzstandards im Unternehmen nachhaltig auf hohem Niveau zu halten. Claudia Benesch und Dr. Jens Biermann, Trovarit AG

 

screenshot-dsgvo-portal

Die Trovarit stellt Ihnen das DSGVO-Portal auf der CEBIT (12.-15.6., Hannover) an ihrem Stand in Halle 17, C58 vor. 

 

Next article Uniserv-Studie beklagt die Qualität vieler Kundendaten
Previous article Automotive-Lösung bildet die Kalkulation ab
Scroll Up