„Herzlichen Glückwunsch! Sie sind unser neuer Datenschutzbeauftragter!“ Voller Motivation haben Sie sich die DSGVO samt Erwägungsgründen geschnappt und innerhalb eines Nachmittags verschlungen. Sie wissen nun, welche Aufgaben auf Verantwortliche und Auftragsverarbeiter zukommen. Vom Auftragsverarbeitungsvertrag bis hin zum Verzeichnis der Verarbeitungstätigkeiten – Sie wissen, was zu tun ist. Und dann sehen Sie den Wald vor lauter Bäumen nicht mehr. Dieser Beitrag erläutert die ersten Schritte.
Der Inhalt im Überblick
Fragenkataloge der Aufsichtsbehörden
Wo fängt man an? Welche Herangehensweise ist tatsächlich praxistauglich? Und überhaupt, wie kann man sicherstellen, dass man an alles denkt?
Ein erster Anlaufpunkt können die Fragenkataloge der Aufsichtsbehörden sein. Bereits Mitte/Ende 2018 hat beispielsweise das bayrische Landesamt für Datenschutzaufsicht einen solchen Fragenkatalog an Unternehmen gesendet. Damit sollte überprüft werden, wie der momentane Umsetzungsstand in den Unternehmen ist. Die Fragen decken viele Punkte der DSGVO ab.
Erst vor kurzem hat die LfD Niedersachsen einen Kriterienkatalog, der bei der Überprüfung zum Einsatz kommt, veröffentlicht. Dieser enthält 200 Einzelkriterien, eingeteilt in 10 Themengebiete.
Überblick über die Prozesse
Als nächstes benötigen Sie umfangreiche Informationen. Verschaffen Sie sich einen Überblick über die Prozessabläufe und welche Daten von Ihrem Unternehmen zu welchen Zwecken verarbeitet werden. Identifizieren Sie zunächst die Verantwortlichen für die Prozessbereiche und erstellen Sie dann mit deren Hilfe eine Liste der vorhandenen Prozesse. Lassen Sie sich die diese ausführlich erläutern, denn nur, wer die Prozesse kennt, kann auch überwachen, ob die Verarbeitung datenschutzkonform erfolgt. Je umfassender der EInblick und die Zusammenarbeit sind, desto schneller kann auch bei bevorstehenden Änderungen der Verarbeitungstätigkeiten reagiert werden.
Risiken analysieren / bestehende Dokumente und Maßnahmen begutachten
Um sich einen ersten Eindruck über den Ist-Stand zu verschaffen, können Sie sehr gut die oben erwähnten Fragenkataloge gemeinsam mit dem Unternehmen durchgehen. Entdecken Sie Abweichungen, schreiben Sie sich die entsprechende Aufgabe auf eine Liste.
Nach der ersten Überprüfung sollte dann eine Priorisierung der Aufgaben nach dem vorhandenen Risiko erfolgen. Bei hohem Risiko sollten die Lücken sofort, bei überschaubarem Risiko mittelfristig geschlossen werden.
Die Aufgaben des Datenschutzbeauftragten
Für die praktische Umsetzung ist grundsätzlich das Unternehmen selbst verantwortlich. Der Datenschutzbeauftragte hat lediglich eine beratende und überwachende Funktion. Achten Sie darauf, dass Sie sich nicht selbst kontrollieren. Machen Sie sich Ihre Aufgaben, die aus der DSGVO resultieren, bewusst.
Die Aufgaben des Datenschutzbeauftragten ergeben sich aus Art. 39 DSGVO. Demnach hat der Datenschutzbeauftragte insbesondere folgende fünf Aufgaben:
- Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
- Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
- Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung;
- Zusammenarbeit mit der Aufsichtsbehörde;
- Anlaufstelle für die Aufsichtsbehörde
Praktische Umsetzung
Die praktische Umsetzung der einzelnen Aufgaben erfolgt in einem nächsten Schritt. Sie wissen nun, was wann zu tun ist die Aufgaben müssen nur noch abgearbeitet werden. Unterstützung bieten hierbei beispielsweise die Tätigkeitsberichte der Aufsichtsbehörden, die viele konkrete Fälle behandeln. Auch die FAQs der Aufsichtsbehörden (wie z.B. des Hessischen Beauftragte für Datenschutz und Informationsfreiheit oder des Bayerischen Landesamts für Datenschutzaufsicht) können an einigen Stellen gute Hinweise liefern.