Die Datenschutzgrundverordnung bringt nicht nur in Beziehung zur Website neue Pflichten wie etwa die neu gefasste und zusätzliche Datenschutzerklärung, sondern auch erweiterte Pflichten bezüglich Dokumentation und Absicherung der Datenverarbeitung im Betrieb. Das betrifft insbesondere das Verarbeitungsverzeichnis und die auf der Basis dieses Verzeichnisses herzustellende Datensicherheit.
Die sorgfältige Erstellung und Pflege des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO stellt derzeit viele Unternehmen vor eine große Herausforderung. Nach einer aktuellen Umfrage des Bitkom e.V. haben 49 % der Unternehmen derzeit kein solches Verzeichnis. Vor allem für Klein- und Mittelständische Unternehmen bedeutet die Pflicht einen sehr hohen bürokratischen und personellen Aufwand.
I. Verzeichnis von Verarbeitungstätigkeiten
Neu durch die DSVGO ist die Pflicht aus Art. 30 DSGVO, das Verzeichnis von Verarbeitungstätigkeiten zu erstellen. Abs. 1 lautet (teilw. gekürzt):
„Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:
- den Namen und die Kontaktdaten des Verantwortlichen … sowie eines etwaigen Datenschutzbeauftragten;
- die Zwecke der Verarbeitung;
eine Beschreibung der Kategorien betroffener Personen und der Kategorien - personenbezogener Daten;
die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind… - gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland …
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.“
Unklarheit herrscht aktuell darüber wie der Anwendungsbereich dieses Gesetzes zu deuten ist, denn Art. 30 Abs. 5 DSGVO lautet:
„Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.“
Es gibt jedoch keine Website, die nur gelegentlich Daten sammelt, bleibt damit offen, ob überhaupt Ausnahmen existieren. Damit ergibt diese derart weit gefasste Unterausnahme, nämlich die eigentliche Grenze von mehr als 250 Mitarbeitern keinen Sinn, da vorher immer die Unterausnahme erfüllt sein dürfte. Damit wird die Unterausnahme zur Regel.
Erst die zukünftige Rechtsentwicklung, ergo ergangene Urteile, wird zeigen in welchem Maße dies tatsächlich angewendet wird. Es ist in den nächsten Jahren mit Klarstellungen zu rechnen. Bis dahin muss jeder Betreiber einer Website davon ausgehen, dass er ein Verzeichnis von Verarbeitungstätigkeiten zwingend benötigt wird.
Das Verzeichnis der Verarbeitungstätigkeiten ist jedoch nicht öffentlich und muss auch nicht den Nutzern der Website ausgehändigt werden, sondern nur auf Anfrage an die Datenschutzbehörde. Dann aber muss das Verzeichnis sehr kurzfristig vorgelegt werden, um Auflage oder Bußgeld zu vermeiden.
Bereiten Sie sich also darauf vor, ein Verzeichnis der Verarbeitungstätigkeiten kurzfristig zu erstellen.
II. Datensicherheit
Das Verfahrensverzeichnis erfüllt aber nicht nur den reinen Selbstzweck, erstellt zu werden, damit es der Behörde übergeben werden kann. Zuallererst ist es der Anfang der Überprüfung des gesamten Datenverkehrs im Unternehmen auf Datensicherheit, vereinfachend als „gap analysis“ bezeichnet.
Dringlichste Aufgabe, Lücken suchen – und beseitigen – die sich aus dem Verzeichnis der Verarbeitungstätigkeiten ergeben. Jedes einzelne Datenverarbeitungsverfahren (Kundendaten, Websitedaten, Mitarbeiterdaten usw.usf.) muss daraufhin untersucht werden, ob es in datenschutzrechtlicher und -technischer Hinsicht optimiert werden kann oder muss.
Derartige gaps können sich vor allem aus den datenschutzrechlichen Grundsätzen und den Grundsätzen zur Datensicherheit gem. Art. 32 DSGVO ergeben:
- Datensparsamkeit: Ist die Speicherung der je betroffenen Daten und ihre Verarbeitung wirklich notwendig?
- Datenrichtigkeit: sind die Daten auf dem neuesten Stand? Gibt es eine Fehlerkorrektur und werden unrichtige Daten gelöscht?
- Rechtmäßigkeit: Ist die Verarbeitung der Daten aus einem Grund gem. Art. 6 Abs. 1 DSGVO gerechtfertigt (vor allem Vertragsdaten, Einwilligung und berechtigtes Interesse)?
- Speicherdauer: Werden Daten gelöscht, wenn sie nicht mehr notwendig sind? Gibt es eine Automatik, die für eine rechtzeitige Löschung sorgt?
- Rechte: Sind möglichst wenig Mitarbeiter mit den Daten in Kontakt, sind diese in Fragen der DSGVO unterweisen?
- Sicherheit: Sind die Datenverarbeitungsanlagen hinreichend gegen unbefugten Zugang geschützt?
- Verschlüsselung: Sind personenbezogene Daten soweit als möglich verschlüsselt. Sind Datenübertragungswege verschlüsselt (EMail?).
- Datenstabilität: Sind die Datenverarbeitungssysteme hinreichend stabil und zukunftssicher?
- Wiederherstellung: Sind die Systeme hinreichend gegen Datenverlust geschützt? Gibt es eine funktionierend Datensicherung?
- Überprüfung: Gibt es eine regelmäßige Prüfung auf Datensicherheit?
- Dokumentation: Gibt es eine Dokumentation dieser Maßnahmen (soweit nicht im Verarbeitungsverzeichnis beschrieben)?
Fazit: Insgesamt wird das Verzeichnis der Verarbeitungstätigkeiten bereits einigen Aufwand erfordern. Erst recht gilt das für die Herstellung der Datensicherheit. Mit dem Verzeichnis der Verarbeitungstätigkeiten lässt sich die Analyse aber vereinfachen.
Wir helfen.
Nehmen Sie jetzt mit mit mir Kontakt auf.
Telefonisch: 03525-518683
auch gern per E-Mail-Formular