Die Europäische Union mit ihrer Regulierungswut bescherte uns schon so einige Ärgernisse. Die neueste Erfindung ist des Einen Freud und des Anderen Leid: die 99 Artikel über den Schutz der Daten, die eine Person identifizieren. Sie entwickeln ihre Rechtskraft direkt in allen Ländern der Union und können – wie so viele Gesetze – von findigen Anwälten und unzufriedenen Kunden zu Zwecken der juristischen Kriegsführung (sprich: Abmahnung) verwendet werden. Der gute Gedanke des Schutzes der personenbezogenen Daten sollte ursprünglich Facebook und andere große Datenverarbeiter in die Schranken weisen. Leider traf man auch die Kleinen. Ja, sogar Vereine, Kirchen, Schulen und Privatpersonen unterliegen dem generellen Verbot mit Erlaubnisvorbehalt, sobald sie Namen, Adressen, Telefonnummern, IPs oder Fahrgestellnummern der Autos nicht aus privaten oder familiären Gründen auf einem Blatt Papier aufschreiben. Wie man Angesichts der vielen Vorschriften gesetzeskonform das tägliche Geschäft erledigt bekommt, will dieser Beitrag zeigen.
Wenn Sie noch nie mit Datenschutz zu tun hatten, brauchen Sie einige Grundlagen zu Prinzipien und ebenso den Wortschatz. Dies kann ich hier nicht zusammen fassen. Meine Empfehlung: schauen Sie bei der Aufsichtsbehörde Ihres Landes nach. Sie tragen verschiedene Namen, wie z.B.: das Unabhängige Datenschutzzentrum Saarland oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit. Besonders im Saarland finden Sie viele hilfreiche Papiere, Vorträge und Vorlagen.
Mit etwas Wissen über den Datenschutz aus dem jetzigen – alten Bundesdatenschutzgesetz – besitzen Sie eine gute Grundlage.
Das Verarbeitungsverzeichnis
Als Erstes ist das Fundament aller Verarbeitungstätigkeiten in Augenschein zu nehmen. Man nennt es das Verarbeitungsverzeichnis. Darin werden Prozesse erfasst, die die personenbezogenen Daten nutzen. Es gibt im Internet mehr oder weniger gelungene Formulare dafür. Zur Sicherheit würde ich dennoch eine genaue Beschreibung der verlangten Informationen anschauen – z.B. hier ab Seite 9. Dieses Formular füllt jede Person im Unternehmen oder Verein für sich: pro Prozess einmal. Bearbeiten mehrere Personen an der gleichen Stelle im Prozess die gleichen Daten, können sie als Rolle den Vorgang zusammen erfassen oder gar vom Vorgesetzten „zentral“ eingetragen werden. Diese Aufgabe ist eine Pflicht der Geschäftsführung, nicht des Datenschutzbeauftragten, der nur als Unterstützer fungiert. (Es macht Sinn, die Angestellten es selbst machen zu lassen, weil die Praxis oft anders aussieht als die Wunschvorstellung des Chefs es vermuten ließe.) Wichtig ist, festzuhalten, wer, unter welchen Umständen, welche Datenkategorien (Adresse, Kontonummer, etc.), auf welcher Grundlage (Gesetz, Vertrag, Einwilligung… vgl. Artikel 6) nutzt und welchen Ursprung sie haben, denn Letztes die Auskunft über den Löschzeitpunkt gibt.
Dieses Verzeichnis ist für alle Unternehmen Pflicht, die mehr als 250 Mitarbeiter haben. Es sei denn (und hier liegt der Hund begraben) man verarbeitet sensible Daten (Gesundheit, Weltanschauung, Ethnie, strafrechtliche Verurteilung, etc.) oder die Verarbeitung nicht nur gelegentlich geschieht. In Firmen mit 3 Mitarbeitern, die nur an Weihnachten und Ostern E-Mails abrufen oder 4 mal im Jahr die Kunden Anschreiben (Rechnungen und Angebote inbegriffen) kann man sich das Verzeichnis ersparen. Alle anderen brauchen es.
Werden sensible Daten angefasst, ist eine Folgeabschätzung vorzunehmen. Ob eine solche anfällt oder nicht, wird gemäß Artikel 35,4+5 bald in einer Liste der Datenschutzbeauftragten nachzulesen sein (sowohl die Pflicht zur Durchführung als auch die Dispens von der Durchführung).
Man könnte die Vorgänge – ähnlich der Projektmanagement-Risikobewertung – einem Portfolio zuordnen, das so aussehen könnte.
Ist ein Vorgang im roten Bereich (z.B.: Gesundheitsdaten von Personen in einem öffentlichen Aushang – also ganz rechts oben) müssen Maßnahmen ergriffen werden, um die Auswirkungen zu minimieren, indem man wenigstens an einer der Achsen in die Nähe des grünen Bereiches rückt. Bleibt man dennoch im roten Bereich, muss die Aufsichtsbehörde noch vor dem Beginn der Verarbeitung bzw. sofort konsultiert und die Datenverarbeitung unverzüglich gestoppt werden.
Der Datenschutzbeauftragte
Eine Folgenabschätzung zu erstellen ist sicher kein „Kinderspiel“. Da braucht es das Wissen und die Erfahrung von der IT, dem Management (Vorstand des e.V., Geschäftsführers einer GmbH o.Ä.) und die eines Juristen. Da diese Drei selten zusammen kommen und im Diskurs eine Abschätzung der Risiken vornehmen können (die Diskursethik von Jürgen Habermas versagt auch hier) kann man diese Tätigkeit auf ein Person abwälzen, die diese drei Bereiche kennt und im Namen der Leitung (aber von der Weisung dieser unabhängig) überall agieren kann. Diese Funktion nennt man den „Datenschutzbeauftragten“. Er berichtet direkt der Leitung und wird von dieser schriftlich bestellt. Er ist in einem Unternehmen unkündbar – zugleich garantiert er gegenüber der Aufsichtsbehörde, dass er nach bestem Wissen und Gewissen das geltende Recht im Unternehmen/Verein/Stiftung zur Umsetzung bringt bzw. Verstöße unverzüglich der Leitung anzeigt. (Tut er dies nicht, gelten die Bußgeldvorschriften der DS-GVO für Ihn.) Diese Aufgabe kann nur derjenige übernehmen, der über entsprechendes Wissen verfügt. Es ist verboten, der Leitung genehme aber sonst ungeeignete Personen zu berufen. Fehlt es an Wissen, muss die Leitung eine entsprechende Weiterbildung bezahlen oder wenigstens als Zeit für Selbststudium und benötigte Literatur zugestehen.
Die DS-GVO spricht von „must-have“, wenn das Kerngeschäft die Verarbeitung großer Datenmengen eine Überwachung zulässt oder darauf abzielt. Auch die Verarbeitung der sensiblen Daten oder personenbezogener Daten über Straftaten und Verurteilungen im großen Umfang stattfindet, ist ein Datenschutzbeauftragter ein Muss. Dieser muss nicht aus der Organisation selbst kommen, sondern kann auch ein externer sein (was aktuell schwierig sein dürfte – es gibt kaum noch welche). An dieser Stelle darf das Landesgesetz das EU-Gesetz erweitern. Das neue Bundesdatenschutzgesetz sieht vor, dass ab einer Organisationsgröße von 10 Personen (die personenbezogene Daten „ständig“ und „automatisiert“ verarbeiten – was es auch heißen man) dieser Garant einzusetzen ist. Des Weiteren bei Verarbeitung oder Auftragsverarbeitung von Daten aus einem Prozess, der der Folgenabschätzung unterliegt, oder geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten. Ignoriert man diese, könnten 10.000.000 € fällig werden.
Die Aufgaben eines Datenschutzbeauftragten sind: Schulung der Mitarbeiter und Beratung der Leitung, Überwachung der Gesetzkonformität und Zusammenarbeit mit der Aufsichtsbehörde. Seine Kontaktdaten (aber nicht unbedingt namentlich) sind auf der Transparenzerklärung (aka „Datenschutzerklärung“) als Anlaufstelle zu nennen und namentlich der Aufsichtsbehörde mitzuteilen. Er wird auch im Verarbeitungsverzeichnis auf dem Deckblatt genannt.
Er muss die Folgenabschätzung nicht selber machen (bei vielen Details fehlt ihm sicher das Wissen) aber sie verantworten. Deshalb macht es Sinn, dass er auch die Datenschutz-Folgenabschätzung als Fachmann federführend erstellt.
Die Datenschutz-Folgenabschätzung