DSGVO in der Praxis – Controlware hilft durch den Vorschriftendschungel

Wenn Datenschutz und Alltag aufeinandertreffen, kommt es schon einmal zu Unstimmigkeiten. Da nicht eingehaltene Vorschriften der DSGVO teure Folgen nach sich ziehen können, ist die Einrichtung festgelegter Verfahren für die Verarbeitung personenbezogener Daten ein wichtiger Schritt, um solchen Schwierigkeiten aus dem Weg zu gehen.

Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) kommen regelmäßig vor, oft genug aus Unwissen oder aus Achtlosigkeit – die dann verhängten Bußgelder können aber derart hoch ausfallen, dass sie weit jenseits eines „Kann-mal-passieren-Verstoßes“ liegen. Ein Beispiel: Aus einer Pressemitteilung der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen ist zu erfahren, dass diese eine Geldbuße über 10,4 Millionen Euro gegenüber der notebooksbilliger.de AG ausgesprochen hat. Das Unternehmen hatte über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche.

Das Unternehmen hatte sich darauf berufen, dass es Ziel der installierten Videokameras gewesen sei, Straftaten zu verhindern und aufzuklären sowie den Warenfluss in den Lagern nachzuverfolgen. Zur Verhinderung von Diebstählen muss eine Firma aber zunächst mildere Mittel prüfen (z. B. stichprobenartige Taschenkontrollen beim Verlassen der Betriebsstätte). Eine Videoüberwachung zur Aufdeckung von Straftaten ist zudem nur rechtmäßig, wenn sich ein begründeter Verdacht gegen konkrete Personen richtet. Ist dies der Fall, kann es zulässig sein, diese zeitlich begrenzt mit Kameras zu überwachen. Bei notebooksbilliger.de war die Videoüberwachung aber weder auf einen bestimmten Zeitraum noch auf konkrete Beschäftigte beschränkt. Hinzu kam, dass die Aufzeichnungen in vielen Fällen 60 Tage gespeichert wurden und damit deutlich länger als erforderlich.

Generalverdacht reicht nicht aus

Auch Kundinnen und Kunden von notebooksbilliger.de waren von der unzulässigen Videoüberwachung betroffen, da einige Kameras auf Sitzgelegenheiten im Verkaufsraum gerichtet waren. In Bereichen, in denen sich Menschen typischerweise länger aufhalten, zum Beispiel um die angebotenen Geräte ausgiebig zu testen, haben die datenschutzrechtlich Betroffenen hohe schutzwürdige Interessen. Das gilt besonders für Sitzbereiche, die offensichtlich zum längeren Verweilen einladen sollen. Deshalb war die Videoüberwachung durch notebooksbilliger.de in diesen Fällen nicht verhältnismäßig.

Die Liste mit Beispielen für drakonische Strafen ist lang und prominent, die zugehörigen Strafen sind mehr als erheblich – betroffen sind beispielsweise Konzerne wie Google, Marriott oder British Airways – es steht also fest, dass sich Investitionen in die DSGVO-Konformität eines Unternehmens lohnen. Dabei gibt es eine Menge Stolpersteine, die sich zu einem unüberwindbaren Hindernis auftürmen können, wenn man nicht auf kompetente Hilfe zurückgreifen kann – etwa auf den Dietzenbacher IT-Dienstleister und Managed Service Provider Controlware, der schon zahlreiche Unternehmen auf dem Weg zur DSGVO-Konformität unterstützt hat. Dort kennt man auch den kürzesten Weg zu dieser Konformität.

Art der personenbezogenen Daten

Typische Ausgangsfragen dabei sind: Welche Daten werden firmenintern erhoben (Personalstammdaten, Adressbücher, Telefonketten, sonstige Überbleibsel der Offline-Zeiten)? Welche Daten werden von Kunden und Lieferanten erhoben? Welche Daten sind für Marketingzwecke gespeichert? Diese Bestandsaufnahme hilft dabei, festzustellen, welche Datenbestände denn grundsätzlich in einem Unternehmen vorhanden sind und weiter auflaufen werden – anschließend ist es viel einfacher zu überprüfen, ob die zugehörigen Vorschriften der DSGVO angewandt werden – die größte Gefahr der Verletzung vor Vorschriften geht von Datenbeständen aus, von denen man gar nicht weiß, dass sie existieren. Hier hilft es, wenn externe Personen kontrollieren, ob die Angaben der Mitarbeiter – die durch firmeninternes Wissen vorgeprägt sind – dann auch tatsächlich korrekt sind und so zur Bewertung der DSGVO-Relevanz herangezogen werden können.

Dazu muss klar sein, wo im Netz die bestehenden Daten gespeichert werden, und ob diese für die DSGVO relevant sind. Wenn sie das sind, legt man die korrekten Löschfristen fest und sorgt für eine zuverlässige und reproduzierbare Umsetzung.

Datenschutzbeauftragter und besondere Zugriffsrechte

Ein Berechtigungskonzept ist ein wichtiges Schriftstück bzw. digitales Dokument innerhalb der Organisation des Verantwortlichen für die Datenverarbeitung, um erlaubte Zugriffe auf Daten zu dokumentieren und klarzustellen, welche Zugriffe für wen (nicht) erlaubt sind. Aus dem Berechtigungskonzept muss sich ergeben, welche Personen bzw. Personengruppen und Abteilungen Zugriff auf welche Art von personenbezogenen Daten haben. Nur auf diese Weise kann eine effektive Zugangs- und Zugriffskontrolle gewährleistet werden. Auch wenn aktuelle Trends wie Big Data, Internet of Things oder Cloud-Dienste die Erstellung und fortlaufende Aktualisierung eines Berechtigungskonzepts erschweren, ist es aufgrund der Entwicklung von dynamischen und agilen Prozessen rund um die Verarbeitung von personenbezogenen Daten (z.B. Bring your own device, Wechsel von Rollen für Programme, Onboarding von neuen Mitarbeitern und Offboarding von ehemaligen Mitarbeitern) umso wichtiger, ein umfassendes und nachweisbares Berechtigungskonzept zu erstellen, damit unbefugte Personen keinen unberechtigten Zugang zu personenbezogenen Daten erhalten können.

Was sollte in einem Berechtigungskonzept geregelt sein?

Aus dem Berechtigungskonzept muss sich ergeben, welche Zugriffe auf personenbezogene Daten erlaubt sind und welche Zugriffe nicht gestattet werden. Dabei muss das Gleichgewicht zwischen Beschränkung und Erlaubnis von Zugriffen erreicht werden, damit das Berechtigungskonzept auf der einen Seite nicht die Produktivität und die Wirtschaftsabläufe eines Unternehmens einschränkt, auf der anderen Seite aber auch gleichzeitig den Datenschutz effektiv einhält, damit keine Datenschutzverstöße entstehen können. Keine bzw. nicht ausreichende Berechtigungskonzepte sorgen dafür, dass die Zugangs- und Zugriffskontrolle im Sinne von Artikel 32 DSGVO, § 64 Abs. 1 Nr. 1, Nr. 5 BDSG-neu nur erschwert bis gar nicht erfolgen kann1. Auch auf die Zutrittskontrolle hat ein Berechtigungskonzept eine enorme Wirkung.

Damit die Regelungen hausintern auch durchgehend befolgt werden (können), ist in Unternehmen mit mehr als 19 Mitarbeitern, die personenbezogene Daten verarbeiten, ein Datenschutzbeauftragter Pflicht. Wie solche Regeln aussehen müssen und wie man sie im praktischen Alltag durchsetzt, diese Themen sind bei Controlware schon einige Male abgearbeitet worden – wer auf diese Erfahrung setzt, wird keinen echten Fehler machen.

Datenschutzkonzept und Standard-Datenschutzmodell

Mit dem Standard-Datenschutzmodell (SDM) wird ein Werkzeug bereitgestellt, mit dem die Auswahl und die kontinuierliche Evaluation technischer und organisatorischer Maßnahmen unterstützt wird, die sicherstellen und den Nachweis dafür erbringen, dass die Verarbeitung personenbezogener Daten nach den Vorgaben der DSGVO erfolgt. Diese Maßnahmen müssen angemessen und geeignet sein, die Risiken für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen so weit einzudämmen, dass ein angemessenes Schutzniveau gewährleistet wird. Für jede Verarbeitung ist also zu prüfen, ob die personenbezogenen Daten durch eine angemessene Auswahl technischer und organisatorischer Maßnahmen so verarbeitet werden, dass die Rechte der Betroffenen gewahrt bleiben und die Sicherheit der Verarbeitung gewährleistet wird (Kapitel III der DSGVO und die Bestimmungen zur Sicherheit der Verarbeitung gemäß Art. 24, 25 und 32 DSGVO). Das SDM systematisiert diese Maßnahmen auf der Basis von Gewährleistungszielen und unterstützt somit die Auswahl geeigneter Maßnahmen.2

Im Datenschutzkonzept werden die für eine datenschutzrechtliche Beurteilung notwendigen Informationen zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten beschrieben. Es dokumentiert die Art und den Umfang der erhobenen, verarbeiteten oder genutzten personenbezogenen Daten. Die Beschreibung der Daten oder Datenfelder nennt man in der Regel Datenfeldkatalog. Aus der Festlegung datenschutzrechtlicher Anforderungen ergibt sich die Rechtsgrundlage und Zweckbindung für die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten. Eine Beschreibung der Schnittstellen als Schnittstellenkatalog und aller vorgesehenen Auswertungen von Daten (Auswertekatalog) geben einen Überblick über die Nutzung bzw. Übermittlung von personenbezogenen Daten. Das Datenschutzkonzept gibt als umfassendes Dokument Auskunft über die Rechtmäßigkeit der Datenverarbeitung bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten.3

Diese Dokumentation der Verarbeitung personenbezogener Daten gehört zwingend zur Einhaltung der in der DSGVO enthaltenen Vorschriften. Denn so ist es bei eventuellen Kontrollen oder Audits für die kontrollierende Instanz leichter nachzuvollziehen, wo, wann und wofür personenbezogene Daten gespeichert werden – und auch ob die Vorschriften zur Weitergabe, Löschung und derlei mehr eingehalten werden.

Audit

Das Datenschutzaudit ist ein Überprüfungselement. Mit einem solchen Audit soll sichergestellt werden, dass die Vorgaben zur Datenschutzgrundverordnung DSGVO eingehalten werden, diese sind mit vielen Dokumentationen und verschiedenen Verarbeitungsvorgängen verbunden. Im Rahmen eines Datenschutzaudits werden diese Vorgänge überprüft, damit sich im Eifer der täglichen Arbeit keine Ungenauigkeiten einschleichen. Wichtig ist, dass beim Audit alles aus zwei Sichten angegangen wird, einmal aus der Sicht einer verantwortlichen Person und einmal aus der Sicht eines Auftraggebers. Als Ergebnis des Audits wird kein Zertifikat der DSGVO-Konformität erteilt, denn dazu muss man das Verfahren nach Art. 42 DSGVO durchlaufen. Das Datenschutzaudit hilft aber bei der Konformitätsprüfung zur Vorbereitung auf das Zertifikat und auch dabei, spätere Kontrollen unbeschadet zu überstehen. Wie oben festgestellt drohen schließlich drakonische Strafen bei Verletzung der Vorschriften. Selbstverständlich führt auch Controlware derartige Audits durch und hilft dann auch bei der Behebung eventuell festgestellter Probleme.

Controlware GmbH

Waldstraße 92

63128 Dietzenbach

 

Tel.: +49 6074 858-00

Fax: +49 6074 858-108

E-Mail: info(at)controlware.de

http://www.controlware.de / http://blog.controlware.de

 

Stephan Mayer

 

 
1  „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz)“

2  „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz)“

3  https://de.wikipedia.org/wiki/Datenschutzkonzept


Beitrag veröffentlicht

in

von