10 Fragen zur Umsetzung der EU-Datenschutz-Grundverordnung

Lenotti Advisors | Sextant #8, 11.07.2017

Einleitung

In den vergangenen Monaten sind zur EU-DSGVO unzählige Artikel publiziert, Vorträge und Seminare gehalten worden. Das Thema tritt bei vielen Kunden in der Strukturierung von Informationsbeständen und der Gewährleistung einer korrekten Information Governance immer wieder auf. Es wird mehr oder minder dramatisch auf die möglichen extrem hohen Strafen von bis zu vier Prozent des Umsatzes oder 20 Mio. EUR hingewiesen, um der Materie Dringlichkeit und Aufmerksamkeit in der Akquise zu verschaffen. Oft werden bloß spezifische Detailfragen behandelt und die Gesamtsicht geht verloren. Vieles geht so am Thema vorbei.

Es geht vielmehr um einen zukünftig bewussteren Umgang mit Unternehmensinformation als dem wesentlichen Wettbewerbsfaktor in einer zunehmend digitalisierten Gesellschaft. Die EU-DSGVO ist hier ein Teil einer – von Unternehmen noch selten korrekt gelebten – Information Governance als Teil der Corporate Governance.

Als Verordnung ist sie direkt national anwendbares Recht, das noch um nationale Gesetze ergänzt wird. In Österreich gilt neben der EU-DSGVO das Datenschutzanpassungsgesetz 2018 (DSG2018), das in einem fragwürdigen Gesetzgebungs-Prozess ohne Berücksichtigung von Begutachtungskommentaren und den notwendigen Verfassungsbestimmungen Anfang Juli 2017 durch den Nationalrat gepeitscht wurde.

10 Fragen

Was sind die 10 wichtigsten Fragen, die sich umsetzungspflichtige Organisationen und ihre Leitungsorgane stellen sollten?

1.                   Projektorganisation aufsetzen?

2.                   Bestellung Datenschutzbeauftragter?

3.                   Awareness

4. – 10.            Fragen im Detail

ad 1.) Aufsetzen Projektorganisation & Prozesse

Mittlere und große Organisation benötigen eine Projektorganisation mit Vertretern der verschiedenen Fachabteilungen. Die Projektleitung muss interdisziplinär rechtliche, technische, betriebswirtschaftliche und organisatorische Themen gleichsam behandeln und moderieren können, da es sich bei Datenschutzthemen um eine Querschnittsmaterie handelt. Ihr kommt eine wesentliche Brückenfunktion zu. Kritische Prozesse müssen identifiziert und angepasst werden.

ad 2.) Bestellung eines Datenschutzbeauftragten?

Art. 37 der Verordnung verpflichtet manche Verantwortliche, einen Datenschutzbeauftragten (kann extern wahrgenommen werden) zu ernennen. Die genaue rechtliche Abklärung sollte mit Hilfe eines Rechtsanwalts erfolgen. Es ist nicht empfehlenswert, ohne Notwendigkeit einen Beauftragten zu ernennen, da diese Rolle diverse Pflichten und Qualifikationserfordernisse mit sich bringt.

ad 3.) Awareness, Kommunikation, Schulung und Training

Bei Führungskräften abseits von Rechts-, Compliance- oder IT-Abteilungen ist erst ein geringes Bewusstsein vorhanden. Entsprechende Kommunikationsmaßnahmen sind notwendig. Später sind diese durch Trainings und Schulungen aller Mitarbeiter zu begleiten.

ad 4.) Dokumentation der Verarbeitungsvorgänge

Art. 30 verpflichtet Verantwortliche zur Führung eines Verfahrensverzeichnisses. Letztendlich wird das eine Liste aller verwendeten SW-Anwendungen, der Informationsbestände / Informationsströme und eine genaue Darstellung der IT-Systemlandschaft sein.

ad 5.) Datenschutz-Folgenabschätzung

Art. 35 verpflichtet die Verantwortlichen, für jede Verarbeitungsanwendung eine Abschätzung von Risiken und deren Eintrittswahrscheinlichkeit vorzunehmen. Abwägungen und notwendigen Maßnahmen zur Risikominimierung bzw. Compliance müssen beschrieben werden.

ad 6.) Erfüllung Informationspflichten / Betroffenenrechte

Die Art. 13 – 15 spezifizieren mannigfache Informationspflichten für Verantwortliche bzw. Auftragsverarbeiter und Rechte für Betroffene (z.B. Löschung, Änderung, Datenportabilität etc.). Diese Pflichten sind mit kurzen Fristen versehen. Vorab sind standardisierte Prozesse einzuführen und die Information für Auskünfte zusammenzustellen, um das Tagesgeschäft nicht zu beinträchtigen.

ad 7.) Vorbereitung der Meldung von Verstößen

Art. 33 verpflichtet Verantwortliche, sofort nach Kenntnis eines Datenverlustes oder der Kompromittierung von Systemen eine Meldung an die Datenschutzbehörde zu erstatten. Für diesen Notfall sollten vorab ein Notfall-Team gebildet (kann extern sein) und notwendige Schritte in einem Prozess abgebildet sein. Sonst ist keine zeitnahe Reaktion gewährleistet und dann drohen sehr wahrscheinlich hohe Strafen. Basisinformation für die Meldung beinhalten die Punkte 4.) und 5.).

ad 8.) Privacy by design und by default erfüllt?

Art. 25 verlangt, dass Anwendungen vorab technisch so gestaltet und eingestellt sind, dass ein größtmögliches Maß an Datenschutz gewährleistet ist. Beispiele wären die Verschlüsselung sensibler Daten oder das Verbot, auf Webseiten Checkboxes bei Zustimmungserklärungen vorab auszufüllen.

ad 9.) Prüfung / Überarbeitung rechtlich relevanter Dokumentation?

Vertragsmuster, AGBs, Standardvertragsklauseln, Betriebsvereinbarungen, Dienstverträge, Verträge mit Auftragsverarbeitern, Einwilligungserklärungen etc. müssen geprüft, aktualisiert und gegebenenfalls neu eingeholt werden. Das gleiche gilt für interne Richtlinien und Policies. Kurzum die gesamte betroffen Dokumentation muss identifiziert und mit Hilfe eines Rechtsanwalts geprüft und angepasst werden. Dabei ist für Betroffene eine einfache und verständliche Sprache zu verwenden.

ad 10.) Periodische Überprüfung – Einführung DSMS

Art. 24 verlangt eine periodische Überprüfung der getroffenen Maßnahmen. Mittel- und langfristig bedeutet das für mittlere und große Organisationen die Einführung eines (Datenschutz)managementsystems (DSMS) analog eines Information-Security Systems (ISMS) nach ISO 27001. Im Rahmen eines PDCA-Zyklus werden Anpassungen und Verbesserungen vorgenommen.

Mehr zu Mag. Markus Lenotti und der Lenotti Advisors GmbH: www.lenottiadvisors.com