Ein Datenschutzmanagementsystem braucht diese 4 Datenschutzprozesse

In diesem Artikel finden Sie die vier wichtigsten Prozesse nach DSGVO, die in Ihrem Datenschutz Management System definiert werden sollten:

1. Die Wahrung von Betroffenenrechten (u.a. Auskunft und Löschung)
2. Das Einwilligungsmanagement
3. Das Melden und Managen von Datenpannen
4. Die Datenschutzkonforme Löschung von Daten.

Welche Prozesse sind Datenschutzrelevant?

Bevor wir auf die vier wichtigsten Datenschutzprozesse eingehen, ist zu klären, was einen Prozess überhaupt relevant für den Datenschutz macht. Damit ein Prozess relevant für die DSGVO ist, können folgende grobe Orientierungspunkte herangezogen werden:

• Kommt der Prozess mit personenbezogenen Daten in Berührung?
• Ist es eine Verarbeitungstätigkeit im Sinne der DSGVO?
• Ist der Prozess intern beeinflussbar?
• Basiert der Prozess auf einer der Rechtsgrundlagen der DSGVO?

Wenn Sie hier Anhaltspunkte finden, sind Sie auf dem richtigen Weg einen Datenschutzrelevanten Prozess gefunden zu haben.

Welche der folgenden Prozesse sind Datenschutzrelevant?

• Jahresabschlusserstellung (Nein, da nur aggregierte Daten verwendet werden)
• Beschaffung von Ersatztoner (Nein, keine personenbezogenen Daten)
• Leistungsbeurteilung von Mitarbeitern (Ja, personenbezogene Daten im Spiel)

Datenschutzprozess 1: Die Wahrung von Betroffenenrechten durch das Datenschutzmanagementsystem

In Ihrem Datenschutz Managementsystem sollte dieser Prozess eine zentrale Rolle spielen, da die Folgen der Nichteinhaltung sehr schwerwiegend sein können.

Einen ausführlichen Artikel inkl. Musterantwortschreiben finden Sie hier.

Die DSGVO gewährt dem Betroffenen einer Verarbeitung von personenbezogenen Daten zunächst folgende weitgehende Rechte:

• Artikel 13, 14 DSGVO:
  Das Informationsrecht ist das Recht des Betroffenen und zugleich auch die Pflicht des Verantwortlichen, den Betroffenen über die Erhebung seiner Daten zu informieren.
• Artikel 15 DSGVO:
  Das Auskunftsrecht ist das Recht, vom Verantwortlichen zu erfahren, welche Daten, zu welchem Zweck oder wie lang von ihm gespeichert und verarbeitet werden.
• Artikel 16, 17, 18, 19 DSGVO:
  Weiterhin hat der Betroffene das Recht auf Berichtigung, Löschung oder Einschränkung seiner Daten bzw. der Datenverarbeitung.
• Artikel 20 DSGVO:
  Auch hat der Betroffene das Recht auf Übertragung seiner Daten durch den Verantwortlichen an einen anderen.
• Artikel 21 DSGVO:
  Letztendlich hat der Betroffene das Recht der Datenverarbeitung zu widersprechen.

In der Praxis kann es jederzeit dazu kommen, dass sich eine Vielzahl Ihrer Kunden an Sie wendet und diese Rechte geltend macht. Dann müssen Sie schon vorab einen Prozess eingerichtet haben, der schnell und verlässlich die Anfrage bearbeiten kann und ab Eingang der Anfrage damit umzugehen weiß.

Hierzu ist es besonders wichtig, dass Ihre Mitarbeiter genau geschult sind und wissen, wer für welche Art von Anfragen zuständig und wie schließlich in diesem Fall vorzugehen ist. Nutzen Sie stattdessen automatisierte und technische Systeme, dann sollten Ihre Mitarbeiter mit deren Vorgehensweise vertraut sein.

Prüfen der Anfrage

Das Wichtigste und Grundlegendste ist es, ordentlich zu prüfen, ob es sich wirklich um eine Anfrage handelt. Sollten Sie aus Versehen bspw. eine eingehende Zufriedenheitsbewertung ihrer Kunden als Betroffenenanfrage verstehen, machen Sie sich unnötig viel Arbeit, die gar nicht notwendig ist. Prüfen Sie also stets genau die vorliegende Kontaktaufnahme und gehen Sie erst dann zum nächsten Schritt.

Registrieren der Anfrage

Sie müssen nun die überprüfte Anfrage in Ihrem System erfassen. Das kann je nach Unternehmen ganz unterschiedlich ausfallen. Zu empfehlen sind jedoch Softwares, die dafür geeignet sind, Anfragen zu klassifizieren und zu ordnen und die Ihnen die Bearbeitung, sowie den Überblick über alle Anfragen wesentlich erleichtern.

Benachrichtigung des Antragstellers

Gleichzeitig sollte nun der Steller der Anfrage über das Eingehen seiner Anfrage benachrichtigt werden.

Prüfung der Anfrage

Der wichtigste Prozess beginnt nun. Sie müssen den Antragsteller, die verarbeiteten Daten und andere für die jeweilige Anfrage geltenden Voraussetzungen (aus Artikel 13 bis 21 DSVO) überprüfen und schriftlich festhalten.
Insbesondere bei der Verarbeitung von großen Datenmengen ist es wichtig, dass Sie im Vorfeld stets die Grundsätze der DSGVO beachten und alle Verarbeitungstätigkeiten in einem übersichtlichen Verzeichnis aufgeführt haben und die genauen Speicherorte der Daten kennen und zuordnen können.

Ergebnis

Liegt eine der Voraussetzungen nicht vor, so muss der Steller von der Abweisung der Anfrage unterrichtet werden. Liegen jedoch alle notwendigen Voraussetzungen vor, so muss der Anfragensteller ebenfalls unverzüglich informiert werden.

Die weitere Vorgehensweise richtet sich nun nach der jeweiligen Anfrage:

• Bei einem Auskunftsverlangen über die Datenverarbeitung muss der Steller zudem unverzüglich, innerhalb weniger Wochen darüber informiert werden, welche seiner Daten, zu welchem Zweck und wie lang gespeichert oder an wen übermittelt werden. Dies muss verständlich und in einer klaren Sprache und einer leicht zugänglichen Form erfolgen.
• Bei Berichtigungs-, Widerspruchs-, Löschungs- und Einschränkungsanfragen muss es gleichzeitig zur Berichtigung oder Löschung der Daten, sowie dem Beenden oder Einschränken der Datenverarbeitung kommen.
• Bei einer Übertragungsanfrage müssen die Daten in einem strukturierten und gängigen Form an den gewählten anderen Verantwortlichen übermittelt werden.

Dokumentieren Sie das ausreichend und beachten Sie auch herbei die DS-Grundsätze in Bezug auf Vertraulichkeit, Datensicherheit und Datenminimierung. Hier ist ein Datenschutz-Managementsystem hilfreich, welches es ermöglicht Anfragen zu dokumentieren und direkt zu beantworten.

Datenschutzprozess 2: Das Einholen und Nachweisen DSGVO-konformer Einwilligungen

Praxisrelevant ist auch das Einholen der Einwilligungen der Betroffenen zur Verarbeitung von personenbezogenen Daten nach Artikel 7 DSGVO. Verarbeiten Sie die Daten aufgrund dieser Rechtsgrundlage, so kommen im Zweifel Unmengen an Einwilligungserklärungen auf Sie zu. Auch sollten Sie im Vorfeld wissen, auf welche Punkte Sie bei einer wirksamen Einwilligung achten müssen und wie sie diese Einwilligungen übersichtlich dokumentieren können.

Rechtsgrundlage finden

Zuerst müssen Sie sich im Vorfeld aller Datenverarbeitungen überlegen, welche Rechtsgrundlage im konkreten Fall die für Sie richtige ist. Das kann die Einwilligung sein, aber auch die Vertragserfüllung oder das Vorliegen von berechtigten Interessen.

Formulare erstellen

Sind Sie sicher, dass Sie Einwilligungen einholen möchten, so müssen Sie geeignete Formulare erstellen. Wichtig ist hierbei, dass die Einwilligung freiwillig, für einen konkreten Zweck und eine konkrete Verarbeitung, unmissverständlich und mit dem Hinweis auf das Widerrufsrecht erfolgt. Sie darf insbesondere nicht an das Abschließen des Vertrages gebunden werden.
Haben Sie sich diesen Voraussetzungen vergewissert, müssen Sie sicherstellen, dass die neuen Kunden diese auch Formulare nutzen. Sollten Sie eine Webpräsenz besitzen, müssen auch dort die Einwilligungserklärungen übernommen und die Neukunden auf die Einhaltung der Grundsätze der Datenschutz-Grundverordnung informiert werden.

Überprüfen

Die Einwilligungen, die die Bestandskunden vor Einführung der DSGVO erteilt haben, müssen ebenfalls mit den Voraussetzungen übereinstimmen. Stellen Sie das sicher!

Dokumentieren

Indem Sie die Einwilligungen übersichtlich und für die eingeholten Zwecke geordnet aufbewahren, kommen Sie Ihrer Nachweis- und Dokumentationspflicht der Einhaltung der DS-Grundsätze in Bezug auf Vertraulichkeit, Datensicherheit und Datenminimierung gegenüber der Aufsichtsbehörde nach. Achten Sie auch darauf, dass Ihre Mitarbeiter ausreichend geschult sind und keine unvollständigen Einwilligungen einholen.

Ein gutes Datenschutzmanagementsystem hilft Ihnen Einwilligungen zu tracken und zu formulieren.

Prozess 3: Erkennen und Melden von Verletzungen des Schutzes personenbezogener Daten

Es steht außer Frage, dass personenbezogene Daten durch technische und organisatorische Maßnahmen ausreichend geschützt und gesichert werden müssen. Dennoch kann es zu einer Verletzung der in der EU-DSGVO aufgeführten Datenschutzgrundsätze kommen, beispielsweise das Zerstören oder Verlieren von Daten und Datenträgern oder auch der unbefugte Zugriff auf die Daten.

Unternehmen sind nach Artikel 33 DSGVO verpflichtet, im Falle einer solchen Datenschutzverletzung unverzüglich den Verstoß der zuständigen Aufsichtsbehörde mitzuteilen.

Erstens ist es wichtig, ein System zu etablieren, was gewährleistet, dass diese Verletzungen binnen 72 Stunden gemeldet werden.

Zweitens muss jedoch auch gewährleistet werden, dass Verletzungen schnell erkannt werden, um große Schäden für den Betroffenen zu vermeiden. Es sind also zwei wichtige Prozesse zu etablieren.

Beobachten

Es ist damit unumgänglich, dass Sie als Verantwortlicher Ihres Unternehmens, stetig Ihre Netzwerke auf Angriffe oder Schwachstellen überprüfen. Auch reale Aufbewahrungsorte wie Safes oder Arbeitsplätze der Mitarbeiter müssen geprüft werden.

Kontrollieren

Nehmen Sie jeden Verdacht Ihrer Mitarbeiter oder gar vage Vermutungen ernst und überprüfen Sie diese! Haben Sie schließlich feststellen müssen, dass sich der Verdacht einer Datenverletzung ergibt, dann ist ein zweiter Schritt vorzunehmen.

Sammeln und dokumentieren Sie alle vorliegenden Informationen und Verdachtsmomente und erarbeiten sie hieran die Eintrittswahrscheinlichkeit eines Schadens für die Rechte und Freiheiten der Betroffenen. Es ist nicht immer sofort zu erkennen, ob eine Verletzung stattgefunden hat. Ihr Datenschutzbeauftragter kann Ihnen dabei helfen. Andere Verletzungen sind jedoch offensichtlich, so kann man bei einem Einbruch mit Diebstahl von Akten und Unterlagen davon ausgegangen werden, dass diese Unbefugten einen Zugriff auf die Daten bekommen haben.

Prüfen

Hat sich der Verdacht erhärtet, müssen sie nun noch prüfen, ob eine Meldung an die Aufsichtsbehörde überhaupt notwendig ist. Eine Meldung ist nämlich dann nicht notwendig, wenn die Datenverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten des Betroffenen führt. Nur wenn hohe Risiken und Gefahren drohen, sind die nächsten Schritte zu unternehmen.

Dabei kann eine ordentlich geführte Datenschutz-Folgenabschätzung hilfsweise herangezogen werden. Eine umfangreiche Prüfung der Risiken und Gefahren ist jedoch unerlässlich.

Eine gute Übersicht über die Meldung von Datenschutzverstößen finden Sie in den “Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten” auf S. 35 finden Sie ein hilfreiches Flussdiagramm.

Diese Gefahren müssen aufgestellt und anhand der Eintrittswahrscheinlichkeit bewertet werden.

Maßnahmen treffen

Gleichzeitig sollten Sie technische und organisatorische Maßnahmen treffen, die den gefährdeten Schutz schnell und zuverlässig eindämmen können. Beispielsweise ist dies das nachträgliche Verschlüsseln der Datenträger, wenn Sie darauf noch Zugriff nehmen können oder das Sichern weiterer Datensätze, die mit den verlorenen gegangenen Daten in Zusammenhang stehen.

Informieren der Aufsichtsbehörde

Kommen Sie zu dem Entschluss, dass ein oder sogar ein hohes Risiko für den Betroffenen besteht, müssen sie sicherstellen, dass die Aufsichtsbehörde binnen 72 nach dem Erkennen der Verletzung darüber informiert wird. Sollten voraussichtlich sehr viele von der Datenverletzung betroffen sein, kann die Mitteilung an die Behörde auch gebündelt abgeschickt werden.

Mitteilen müssen Sie der Aufsichtsbehörde schließlich folgende Angaben:

• die Art der Verletzung,
• die betroffenen Datenkategorien,
• die ungefähre Anzahl der Betroffenen,
• ihren Datenschutzbeauftragten,
• die möglichen Folgen der Verletzung,
• sowie eine Beschreibung der ergriffenen Schutzmaßnahmen zur Eindämmung von Gefährdungen.

Zusammengefasst ist auch zu sagen, dass Sie bei einem begründeten Verdacht und einer ersten Prüfung lieber die Aufsichtsbehörde informieren sollten, selbst wenn Sie anschließend nach einer umfangreichen Überprüfung keinen Datenschutzverstoß feststellen. Im Zweifel können Sie Ihre Mitteilung an die Aufsichtsbehörde zurückziehen. Sollten Sie einen Verstoß jedoch fälschlicherweise nicht melden, kann das Sanktionen mit sich bringen.

Informieren des Betroffenen

Wurde ein hohes Risiko für die Rechte und Grundfreiheiten des Betroffenen festgestellt, so kann es auch erforderlich sein, dass er neben der Aufsichtsbehörde von der Datenschutzverletzung informiert werden muss (Artikel 34 DSGVO). Darauf kann nur verzichtet werden, wenn geeignete technische und organisatorische Maßnahmen ergriffen wurden, die das Risiko eindämmen oder die Informierung aller Betroffenen einen zu hohen Aufwand darstellt. In diesem Fall reicht eine öffentliche Bekanntmachung.

Dokumentieren Sie das ausreichend und beachten Sie auch herbei die DS-Grundsätze in Bezug auf Vertraulichkeit, Datensicherheit und Datenminimierung. Ein Datenschutzmanagementsystem hilft hier bei der frühzeitigen Erkennung und Klassifizierung.

Prozess 4: Datenschutzkonforme Löschung von personenbezogenen Daten

Weiterhin müssen Sie gewährleisten, dass Sie einer datenschutzkonformen Löschung der personenbezogenen Daten nachkommen können. Das ist unter anderem dann notwendig, wenn die Daten nicht mehr erforderlich sind oder der Betroffene sein Recht auf unverzügliche Löschung seiner Daten wahrnimmt. Hiergegen stehen jedoch gesetzliche Aufbewahrungspflichten aus dem Steuerrecht, die viele Unternehmen natürlich beachten müssen. Um diesem Konflikt entgegentreten zu können, ist ein geeignetes Löschkonzept notwendig. Ein solches System kann durch technische Maßnahmen oder ganz manuell nach den folgenden Anweisungen selbst angelegt werden.

Dokumentieren aller Daten und Festlegen der Speicherdauer

Wichtig ist, dass Sie alle gespeicherten Daten in Ihrem Unternehmen aufspüren und dokumentieren. Anschließend können Sie diese Daten Ihrer Art und Kategorie nach ordnen, wichtig ist jedoch vor allem der folgende Schritt. Tragen Sie neben den Daten die bestehende Löschfrist mit ihrer Rechtsgrundlage und dem Startzeitpunkt des Fristbeginns ein (steuerrechtliche Aufbewahrungspflicht von 10 Jahren oder eine unverzügliche Löschung nach Zweckfortfall).

Ausführen der Löschung

Läuft eine solche Frist ab oder verlangt der Betroffene die Löschung von Ihnen, dann müssen Sie gewährleisten, dass Ihre Löschsoftware oder befugte Mitarbeiter die betreffenden Daten löschen. Überlegen Sie sich hierzu bestenfalls ein Erinnerungssystem, damit Sie einen Fristablauf nicht verpassen.

Die Löschung muss hierzu endgültig und von allen Datenträgern erfolgen. Ihre Auftragsverarbeiter müssen auch über die Löschung informiert und dazu angehalten werden.
All diese Ausführungen müssen Sie abermals dokumentieren, um beispielsweise eine Löschanfrage eines Kunden zu beantworten oder der Aufsichtsbehörde gegenüber einen Nachweis zu erbringen.

Ein gut implementiertes Datenschutzmanagementsystem gibt Ihnen eine klare Dokumentation zur Löschung an die Hand und liefert Löschfristen für alle wichtigen Unterlagen.

Fazit: Diese Prozesse und Prozessbeschreibungen sind für ihr Datenschutzmanagementsystem unumgänglich

Natürlich stehen Sie in Ihrem Alltag vor weiteren Herausforderungen und müssen eine Vielzahl weiterer DS-Grundsätze umsetzen. Orientieren Sie sich jedoch an den dargestellten Prozessen und folgen Sie den Prozessbeschreibungen, um handfeste Maßnahmen in Ihrem Unternehmen zu etablieren.

Es zeigt sich besonders, dass die Regelungen der DSGVO nicht einzeln betrachtet und ausgeführt werden dürfen, sondern immer im Zusammenhang gesehen werden müssen. Erledigen Sie eine ordnungsgemäße Datenschutz-Folgenabschätzung und führen Sie ein übersichtliches Verzeichnis von Verarbeitungstätigkeiten, dann erleichtern Sie sich auch zeitgleich die Arbeit beim Umsetzen von Prozessen und kommen ganz automatisch ihrer Dokumentationspflicht nach.

Quellen

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/03/Leitlinien-f%C3%BCr-die-Meldung-von-Verletzungen-des-Schutzes-personenbezogener-Daten-.pdf