Es ist Pflicht ein Verarbeitungsverzeichnis zu führen (Art. 30 DSGVO) und einer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen.

Für Organisationen, gleichermaßen Unternehmen, Selbständige, Handwerker, Dienstleister, Vereine oder Verbände gelten diese Paragraphen ohne Ausnahme. Gegenüber der Datenschutzbehörde müssen die Verantwortlichen für eine saubere und lückenlose Dokumentation sorgen.

Verantwortlicher im Sinne des europäischen Datenschutzrechts ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Wikipedia

Insofern also die Datenschutzpflichten den Verantwortlichen obliegen, richtet sich dieser Beitrag im Wesentlichen an Selbständige, Geschäftsführer und Vorstände.

In der Verantwortung liegt der Schutz personenbezogener Daten hinsichtlich jeder Verarbeitung.

Der Begriff „Verarbeitung“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Hieraus erklärt sich die Pflicht, ein Verarbeitungsverzeichnis zu führen. Es enthält neben Grundangaben, interne und externe Empfänger, Auftragsverarbeitung, System- & Softwareangaben, Risikobewertung, Datenschutz-Folgenabschätzung, Rechtsgrundlage & Fristen, Nachweise & Dokumente.

Hinzu kommt die Pflicht, alle technischen und organisatorischen Maßnahmen nach vorgeschriebenen Kriterien wie

• Pseudonymisierung personenbezogener Daten

• Verschlüsselung personenbezogener Daten

• Gewährleistung der Integrität und Vertraulichkeit der Systeme und Dienste

• Gewährleistung der Verfügbarkeit und Belastbarkeit der Systeme und Dienste

• Wiederherstellung der Verfügbarkeit personenbezogener Daten und des Zugangs zu ihnen nach einem physischen oder technischen Zwischenfall

• Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der vorgenannten Maßnahmen

sowie weitere Maßnahmenbereiche, die sich aus der DS-GVO ergeben und deren Darstellung in der Datenschutzdokumentation empfohlen wird:

• Gewährleistung der Zweckbindung personenbezogener Daten (Art. 5 Abs. 1 lit. b) DS-GVO)

• Gewährleistung der Transparenz für Betroffene, Verantwortliche und Kontrollinstanzen (Art. 5 Abs. 1 lit. a) DS-GVO)

• Gewährleistung der Betroffenenrechte (Art. 13 ff. DS-GVO)

anzugeben sowie ein Konzept aller Maßnahmen ggf. wie folgt darzulegen:

• Es besteht ein betriebsinternes Datenschutz-Management, dessen Einhaltung ständig überwacht wird sowie anlassbezogenen und mindestens halbjährlichen evaluiert wird.

• Es besteht ein Konzept, welches die Wahrung der Rechte der Betroffenen (Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, Datentransfer, Widerrufe & Widersprüche) innerhalb der gesetzlichen Fristen gewährleistet. Es umfasst Formulare, Anleitungen und eingerichtete Umsetzungsverfahren sowie die Benennung der für die Umsetzung zuständigen Personen.

• Es besteht ein Konzept, das eine unverzügliche und den gesetzlichen Anforderungen entsprechende Reaktion auf Verletzungen des Schutzes personenbezogener Daten (Prüfung, Dokumentation, Meldung) gewährleistet. Es umfasst Formulare, Anleitungen und eingerichtete Umsetzungsverfahren sowie die Benennung der für die Umsetzung zuständigen Personen.

• Der Schutz von personenbezogenen Daten wird unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen bereits bei der Entwicklung, bzw. Auswahl von Hardware, Software sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen berücksichtigt (Art. 25 DSGVO).

• Die eingesetzte Software wird stets auf dem aktuell verfügbaren Stand gehalten, ebenso wie Virenscanner und Firewalls.

• Mitarbeiter werden im Hinblick auf den Datenschutz auf Verschwiegenheit verpflichtet, belehrt und instruiert, als auch auf mögliche Haftungsfolgen hingewiesen. Sofern Mitarbeiter außerhalb betriebsinterner Räumlichkeiten tätig werden oder Privatgeräte für betriebliche Tätigkeiten einsetzen, existieren spezielle Regelungen zum Schutz der Daten in diesen Konstellationen und der Sicherung der Rechte von Auftraggebern einer Auftragsverarbeitung.

• Die an Mitarbeiter ausgegebene Schlüssel, Zugangskarten oder Codes sowie im Hinblick auf die Verarbeitung personenbezogener Daten erteilte Berechtigungen, werden nach deren Ausscheiden aus dem Unternehmen, bzw. Wechsel der Zuständigkeiten eingezogen, bzw. entzogen.

• Das Reinigungspersonal, Wachpersonal und übrige Dienstleister, die zur Erfüllung nebengeschäftlicher Aufgaben herangezogen werden, werden sorgfältig ausgesucht und es wird sichergestellt, dass sie den Schutz personenbezogener Daten beachten.

Mit diesen Auflagen und noch weiteren Maßgaben beschäftigen wir uns als Datenschutzbeauftragte, nicht zuletzt, um Datenschutzverletzungen zu vermeiden und im Fall der Fälle reagieren zu können.

Eine Datenschutzverletzung definiert sich laut DSGVO als

„eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“ (Art. 33 DSGVO und Art 4 Nr. 12 DSGVO)

und kann sanktioniert werden, insbesondere wenn keine Datenschutzdokumentation und keine Datenschutzkonformität nachgewiesen werden kann.

Die Bedrohungslagen mehren sich zunehmend mit der Missachtung des Datenschutzes. Richtig bitter wird es, wenn Cyberattacken nicht verhindert und nicht erkannt werden und schlimmsten Falls personenbezogene Daten betroffen sind. Dann stehen Erpressungsversuche an der Tagesordnung und Existenzen und Reputation sind gefährdet.

Die Web-Seiten füllen sich gleichermaßen mit informellen und mahnenden Inhalten zur Umsetzung des Datenschutzes. Ist die Katastrophe erst mal eingetroffen, ist es zwar zu spät, aber wir tuen wenigsten dann das Richtige, um den Schaden zu begrenzen und den Sollzustand herzustellen.