Den Ablauf des üblicherweise wechselhaften Monats April möchten wir nutzen, um Sie an den traditionellen „Frühjahrsputz“ zu erinnern. Als Experten für Recht und Technik bewegt uns jedoch weniger die Sauberkeit Ihrer Fenster oder die Sortierung in Ihrem Archiv. Wir möchten anregen, den Frühjahrsputz auch mit Blick auf Ihr Datenschutzmanagement durchzuführen. Hierzu stellen wir Ihnen gebündelt dar, welche Maßnahmen Sie angehen sollten, um alle wesentlichen Vorgaben an einen gelungenen Datenschutz einzuhalten und so Haftung und Strafen auch im weiteren Jahresverlauf zu vermeiden.
Personenbezogene Daten
Häufig übersehen wird die wichtigste Grundlage des Datenschutzrechts: der Anwendungsbereich. Vergegenwärtigen Sie sich, dass die datenschutzrechtlichen Regelungen stets nur personenbezogene Daten betreffen. Relevant sind also nur Informationen, die einen unmittelbaren oder mittelbaren Rückschluss auf eine dahinterstehende, natürliche Person ermöglichen. Nur die Verarbeitung solcher Informationen (im nicht nur privaten Kontext) führt dazu, dass datenschutzrechtliche Vorgaben einzuhalten sind. Für reine Unternehmensdaten muss also kein Augenmerk auf den Datenschutz gelegt werden.
Datenschutzbeauftragter
Bis auf wenige Ausnahmefälle sind Unternehmen nach § 38 BDSG ab 20 Mitarbeitern verpflichtet, einen Datenschutzbeauftragten zu bestellen. Die Mitarbeiter müssen zwar mit Datenverarbeitungen befasst sein, um zu zählen, in der Regel genügt hierzu jedoch bereits ein eigenes E-Mail-Postfach.
Der Datenschutzbeauftragte soll eigene Verarbeitungsmaßnahmen nicht überwachen. Daher scheiden leitende Mitarbeiter in aller Regel für diese Position aus.
Die Mitarbeitergrenze ist übrigens etwas trügerisch. Jedes Unternehmen – auch mit nur einem Mitarbeiter – muss alle Datenschutzvorgaben einhalten. Daher bietet sich auch hier häufig an, auf externe Datenschutzbeauftragte zurückzugreifen, die Sie von Problemen im Umgang mit der durchaus komplexen Regelungsmaterie befreien.
Eckpfeiler des Datenschutzrechts
Neben dem „Verbot mit Erlaubnisvorbehalt“ bilden „Zweckbindung“, „Datensparsamkeit“, „Vertraulichkeit und Integrität“ sowie das „Transparenzgebot“ die Eckpfeiler des Datenschutzes.
Personenbezogene Daten dürfen insoweit nur mit einer Rechtsgrundlage (z. B. einer Einwilligung) verarbeitet werden. Häufigster Erlaubnistatbestand zur Überwindung des grundlegenden Verbots der Datenverarbeitung ist jedoch die Vertragserfüllung nach Art. 6 Abs. 1 Buchst. b) DSGVO. Diese umfasst auch die Vertragsanbahnung (Angebotsschreiben) oder die Vertragsabwicklung (Mahnschreiben). Selten können auch berechtigte Interessen des Verantwortlichen eine Datenverarbeitung rechtfertigen.
Die Datenverarbeitung darf sodann nur für den anfangs festgelegten Zweck erfolgen und lediglich das erforderliche Minimum an Daten betreffen. Dann sind auch die Gebote der Zweckbindung und Datensparsamkeit erfüllt.
Neben der Datensicherheit (Vertraulichkeit und Integrität) ist auch Transparenz im Umgang mit den Daten zu gewährleisten.
Geeignete und angemessene technische und organisatorische Maßnahmen sind gem. Art. 32 DSGVO jederzeit vorzuhalten, um die Vertraulichkeit und Integrität der Daten zu wahren. Neben Berechtigungs- und Löschkonzepten kommen hier auch einfache Maßnahmen in Betracht, um die Daten vor Beschädigung oder Missbrauch zu schützen. Dies können organisatorische Maßnahmen wie ein Feuerlöscher im Serverraum oder ein Schlüsselplan sein, aber auch technische Mittel wie Passworteingaben oder Virenscanner.
Das Transparenzgebot führt daneben zu weitreichenden Informations- und Dokumentationspflichten. Verarbeitungsmaßnahmen sind per „Verarbeitungsverzeichnis“ zu dokumentieren und der Betroffene ist über die Datenverarbeitung zu informieren. Online geschieht das häufig per Datenschutzerklärung, offline per Informationspapier.
Must-Haves im Datenschutz
Für Ihren Frühjahrsputz im Datenschutzmanagement sind also einige Must-Haves zu berücksichtigen, sofern Sie personenbezogene Daten verarbeiten. Diese stellen wir Ihnen nachfolgend zusammengefasst als Fragen dar, die Sie sich für Ihr Unternehmen stellen sollten:
- Benötigen Sie einen Datenschutzbeauftragten?
- Ist Ihre Datenverarbeitung von einem Erlaubnistatbestand gedeckt?
- Haben Sie geeignete technische und organisatorische Maßnahmen zum Schutz der Daten eingeführt?
- Wurde der Betroffene über die Datenverarbeitung informiert?
- Haben Sie die Verarbeitung in einem Verarbeitungsverzeichnis dokumentiert?
Fazit
Wenn Sie nun noch den jährlichen Frühjahrsputz als Anlass nehmen, Ihr Datenschutzmanagement gelegentlich zu prüfen, steht einem gelungenen Datenschutzmanagement nichts im Wege. Achten Sie stets auf die Gewährleistung der oben genannten Must-Haves, um sich keinen Bußgeld- oder Haftungsgefahren auszusetzen.