Blog, Datenschutz & Informationssicherheit, Sven Schüldink,

Die Datenschutzgesetze stellen alle verantwortlichen Stellen („natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden“) vor Herausforderungen. Besonders haben kleine und mittelständische Unternehmen (KMU) Mehraufwand mit den Anfordernissen. Wir möchten Ihnen in diesem Blogbeitrag das Minimum im Datenschutz aufzeigen.

Welche Datenschutzgesetze gibt es?

Vermutlich ist die Datenschutzgrundverordnung (DSGVO) das Gesetz an das jeder sofort denkt, allerdings besteht mit dem Bundesdatenschutzgesetz (BDSG) und dem relativ neuen Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) weitere Gesetze, die zu beachten sind. Für spezielle Branchen gelten noch weitere Normen auf die wir in diesem Blogbeitrag allerdings nicht eingehen möchten (z.B. Schutz der Sozialdaten (Zweites Kapitel, Zehntes Buch Sozialgesetzbuch (SGB X))

Was sind die Minimalanforderungen?

  • Verzeichnis von Verarbeitungstätigkeiten (VVT)
  • Einwilligungsmanagement
  • Informationspflicht
  • Sicherheit der Verarbeitung
  • Auftragsverarbeitungen, Übermittlungen
    • Dokumentation Auftragsverarbeitungen, Übermittlungen
    • Auftragsverarbeitungsvereinbarungen, Allgemeine Grundsätze der Datenübermittlung

Verzeichnis von Verarbeitungstätigkeiten (VVT)

Das Führen eines Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DSGVO (VVT) ist einer der zentralen Aufgaben aus der DSGVO; im Artikel 30 der DSGVO gibt es eine – nur vermeidliche – Erleichterung für KMU. Denn die Pflicht zum Führen eines VVTs gilt nicht für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen,

  • sofern die Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
  • die Verarbeitung nicht nur gelegentlich erfolgt
  • oder nicht die Verarbeitung besonderer Datenkategorien oder Art.-10-Daten einschließt.

Die Einschränkungen der Ausnahmeregelung führen dann leider im Ergebnis dazu, dass nur sehr wenige bis keine Unternehmen dies erfüllen, denn

  • ein datenschutzrechtliches Risiko für betroffene Personen ist nicht selten,
  • vielen Verarbeitungen finden wiederkehrend statt und
  • Verarbeitungen von z.B. Gesundheitsdaten oder Religionsdaten finden i.d.R. häufig statt (z.B. in der Personalverwaltung)

Mindestangaben

Die Mindestangaben, die in ein VVT gehören, sind Namen, Kontaktdaten des Unternehmens, Zwecke der Verarbeitung, Kategorien betroffener Personen, Kategorien personenbezogener Daten, Kategorien von Empfängern, Empfänger in Drittländern, Übermittlungen von personenbezogenen Daten an ein Drittland, Angabe des betreffenden Drittlands, Dokumentierung der geeigneten Garantien, wenn möglich, die vorgesehenen Löschfristen und wenn möglich, eine allgemeine Beschreibung der TOMs. Sollten Sie zu dem Ergebnis kommen, dass Sie ein VVT führen müssen, dann rät es sich ein wenig Mehraufwand zu investieren und weitere freiwillige Angaben mit aufzuführen (z.B. Rechtmäßigkeit/Rechtsgrundlagen, Risikobewertungen, Speicherorte)

Einwilligungsmanagement

Nicht für jede Verarbeitung von personenbezogenen Daten muss oder sollte die verantwortliche Stelle Einwilligungen einholen, ggf. sind andere Rechtsgrundlagen sinnvoller. Allerdings gibt es Verarbeitungen die eine Einwilligung notwendig machen. Hier muss das KMU als verantwortliche Stelle

  • Die Bedingungen für die Einwilligung kennen und anwenden
  • Besonderheiten für Einwilligungen in bestimmten Bereichen kennen und anwenden (z.B. Double-Opt-In-Einwilligungen bei Newslettern)
  • Einen Prozess für Einwilligungen und Widerrufe implementieren, dies umfasst i.d.R.
  • Die Einholung von Einwilligungen
  • Die Dokumentation von Einwilligungen
  • Den Widerruf von Einwilligungen

Ein Beispiel: Personenfotografien dürfen i.d.R. nicht ohne Einwilligung der betroffenen Personen veröffentlicht werden. Hier gilt es auch das KunstUrhG zu beachten. D.h. das Fotografien von Beschäftigten nur auf der Unternehmenshomepage veröffentlicht werden dürfen, die mit einer vorherigen, transparenten, informierten, expliziten, dokumentierten, freiwilligen Einwilligung, die mit der Möglichkeit der Widerrufbarkeit eingeholt wurden.

Informationspflicht

Betroffene Personen müssen über die Verarbeitung ihrer personenbezogenen Daten aufgeklärt werden. Ein Beispiel sind die Datenschutzerklärung auf Webseiten. Allerdings sind auch weitere Kategorien von betroffenen Personen zu beachten und zu informieren (z.B. Kunden, Mieter, Bewerber, Mitarbeiter). Hier muss das KMU geeignete Maßnahmen treffen, um alle Pflicht-Informationen in

  • präziser,
  • transparenter,
  • verständlicher und
  • leicht zugänglicher Form
  • in einer klaren und einfachen Sprache

anzubieten. Eine Unterzeichnung oder Bestätigung des Informations-Dokumentes ist nicht notwendig.

Mindestangaben

Die Mindestangaben für eine Information nach Art. 12 ff. DSGVO sind: Namen, Kontaktdaten des Unternehmens

die Verarbeitungszwecke, Rechtsgrundlage, bei Artikel 6 Absatz 1 Buchstabe f: die berechtigten Interessen, die verfolgt werden, ggf. die Empfänger / Kategorien von Empfängern, ggf. die Absicht an ein Drittland zu übermitteln, das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses, oder einen Verweis auf die geeigneten oder angemessenen Garantien, die Speicherdauer / die Kriterien für die Festlegung dieser Dauer, das Bestehen der Rechte, ob die Bereitstellung gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche mögliche Folgen die Nichtbereitstellung hätte, das Bestehen einer automatisierten Entscheidungsfindung

Sicherheit der Verarbeitung

Das kleine und mittelständige Unternehmen als verantwortliche Stelle muss geeignete technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung gem. Art. 32 DSGVO umsetzen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Hierbei sollte abgewogen werden zwischen

  • Stand der Technik,
  • Implementierungskosten
  • Art, Umfang, Umstände, Zwecke der Verarbeitung
  • Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

Zur Beurteilung, welches angemessene Schutzniveau gewährleistet werden muss, sind insbesondere Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — unbeabsichtigt oder unrechtmäßig —

  • Vernichtung,
  • Verlust,
  • Veränderung oder
  • unbefugte Offenlegung
  • unbefugter Zugang

Technische Maßnahmen

Die Maßnahmen zur Sicherheit der Verarbeitung schließen unter anderem folgende technische Maßnahmen mit ein:

  • Pseudonymisierung und Verschlüsselung
  • Vertraulichkeit, Integrität, Verfügbarkeit
  • Belastbarkeit der Systeme
  • Verfügbarkeit
  • Rasche Wiederherstellung

Organisatorische Maßnahmen

Es sollten mindestens folgende organisatorische Maßnahmen, zur Gewährleistung der Sicherheit der Verarbeitung, vorhanden sein:

  • Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
  • Z.B. IT/Datenschutz-Richtlinie, Arbeitsanweisungen, Arbeitsordnungen
  • Z.B. Erstsensibilisierung und Schulungen
  • Z.B. Verschwiegenheitsverpflichtungen

Auftragsverarbeitungen, Übermittlungen

Erfolgt eine Verarbeitung von personenbezogenen Daten im Auftrag eines Verantwortlichen oder werden im Namen der verantwortliche Stelle Verarbeitungen von personenbezogenen Daten durch andere Unternehmen vorgenommen, so handelt es sich unter Umständen um eine Auftragsverarbeitung. Es reicht z.B. der Vertragsgegenstand der IT-Wartung oder Fernwartung (Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers) sowie die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, damit es sich um eine Auftragsverarbeitung handelt. Mit Auftragsverarbeitern sind Auftragsverarbeitungsvereinbarung gem. Art. 28 III DSGVO (AVV) abzuschließen. Für Übermittlungen in Drittländer – jeder Staat außerhalb der EWR – sind weitere Maßnahmen erforderlich. Es müssen die Allgemeine Grundsätze der Datenübermittlung eingehalten werden (mehr Informationen auch in diesem Blogbeitrag). Die notwendigen Schritte für die Auftragsverarbeitungen in einem KMU sind, dass  

  • Auftragsverarbeitungen / Übermittlungen
    • Bekannt sind,    
    • Bewertet wurden,
    • Dokumentiert wurden,
    • Verträge abgeschlossen wurden
      • Z.B. Auftragsverarbeitungsvereinbarungen gem. Art. 28 III DSGVO (AVV) und weitere (z.B. Standardvertragsklauseln/Standard Contractual Clauses (SCC)) mit Dienstleistern