close
Aktuelles

EDSA Leitfaden zum Umgang mit der DSGVO für KMU

05.07.2023

Der Europäische Datenschutzausschuss (EDSA) hat einen Leitfaden zum Umgang mit der Datenschutzgrundverordnung (DSGVO) für kleine und mittelständische Unternehmen erstellt, in dem auf folgende Themenbereiche eingegangen wird: „Grundlagen des Datenschutzes“, „Compliance im Datenschutz“, „die Rechte des Einzelnen achten“, „Datensicherheit“ sowie „Datenschutzverletzungen“.

In Anlehnung an diesen Leitfaden möchten wir im Folgenden gerne den Themenbereich „Compliance im Datenschutz“ auszugsweise vorstellen.
Die englische Webversion finden Sie unter: https://edpb.europa.eu/sme-data-protection-guide/home_en.

Compliance im Datenschutz

Ihr Unternehmen muss personenbezogene Daten nicht nur im Einklang mit der DSGVO verarbeiten, sondern dies auch nachweisen können. Um diesen Nachweis erbringen zu können, sind u. a. die folgenden Prozesse zu berücksichtigen:

1.    Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Als Verantwortlicher müssen Sie sowohl bei der Konzeption einer Verarbeitung als auch zum Zeitpunkt der Verarbeitung geeignete Maßnahmen und Garantien ergreifen, um sicherzustellen, dass die Datenschutzgrundsätze eingehalten werden. Außerdem müssen Sie sicherstellen, dass standardmäßig nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind (dies gilt für die Menge der Daten, den Umfang der Verarbeitung, die Speicherbegrenzung und die Zugänglichkeit).

Mit anderen Worten: Ein Unternehmen, welches das Prinzip „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ anwendet, ist ein Unternehmen, das den Datenschutz und den Schutz der Privatsphäre natürlicher Personen in jedem Aspekt, in jeder Phase der Verarbeitungsvorgänge, in den verwendeten Tools und in jeder anderen Geschäftsaktivität berücksichtigt und verankert.

Um dies zu erreichen, muss Ihre Organisation vor der Durchführung von Verarbeitungsvorgängen Folgendes berücksichtigen:

  • die Art, den Kontext und den Umfang der beabsichtigten Verarbeitung;
  • die Risiken, die sich aus den geplanten Verarbeitungsvorgängen oder anderen Geschäftstätigkeiten ergeben;
  • die Auswirkungen auf die Rechte und Freiheiten natürlicher Personen;
  • die technischen und organisatorischen Maßnahmen, die ergriffen werden sollten, um die festgestellten Risiken zu mindern und dabei einen angemessenen Schutz der personenbezogenen Daten zu gewährleisten;
  • die technischen und organisatorischen Maßnahmen oder Verfahren, die zu ergreifen sind, um sicherzustellen, dass die Verarbeitung personenbezogener Daten auf das im Hinblick auf die verfolgten Ziele erforderliche Maß beschränkt wird.

Praxisbeispiele

  • Eine Buchhandlung möchte ihre Einnahmen durch den Online-Verkauf von Büchern steigern. Der Inhaber der Buchhandlung möchte auf seiner Webseite ein standardisiertes Formular für den Bestellvorgang einrichten. Zunächst macht der Inhaber alle Felder des Formulars verpflichtend. Allerdings sind nicht alle Felder des Formulars für den Verkauf und die Auslieferung der Bücher erforderlich.
    Bei der Bestellung eines E-Books beispielsweise kann der Kunde das Produkt direkt auf sein Gerät herunterladen. Daher können Felder im Webformular (wie z.B. die Telefonnummer oder Wohnanschrift des Kunden) für die Bestellung von Büchern nicht erforderlich sein. Der Inhaber des Webshops beschließt daher, zwei Webformulare zu erstellen: eines für die Bestellung von Büchern mit einem Feld für die Adresse des Kunden und ein Webformular für die Bestellung von E-Books ohne ein Feld für die Adresse des Kunden. Auf diese Weise stellt er sicher, dass nur die für die Verarbeitung erforderlichen Daten erhoben werden.        
  • Eine Arztpraxis, in der mehrere Ärzte tätig sind, verarbeitet in ihrer Praxissoftware Daten über ihre Patienten. Die verschiedenen Ärzte müssen z.B. in Vertretungsfällen auf die Patientenakten anderer Ärzte zugreifen, um ihre Entscheidungen über die Betreuung und Behandlung der Patienten zu treffen und um alle Diagnosen sowie Betreuungs- und Behandlungsmaßnahmen zu dokumentieren. Die datenschutzfreundliche Voreinstellung ist, dass im Normalfall nur ein Arzt Zugriff auf die Patientenakte hat. Nur für den Vertretungsfall werden die Zugriffsrechte erweitert.

Es ist sinnvoll, Aufzeichnungen über entsprechende Maßnahmen zu führen, um nachweisen zu können, dass Sie die Grundsätze des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen einhalten. Ein zugelassener Zertifizierungsmechanismus kann ebenfalls als ein Element zum Nachweis der Einhaltung des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen verwendet werden.

2.    Verzeichnis von Verarbeitungstätigkeiten

Als Unternehmen haben Sie die Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Diese Aufzeichnungen sollten schriftlich (was auch in elektronischer Form möglich ist) geführt werden.

Das Verzeichnis gibt Ihnen einen Überblick über Ihre Verarbeitungstätigkeiten. Um dieses zu erstellen, sollten Sie ermitteln, für welche Ihrer Tätigkeiten eine Verarbeitung personenbezogener Daten erfolgt (z.B. bei der Einstellung von Mitarbeitern, Lohn- und Gehaltsabrechnung, Schulung, Ausweis- und Zugangsverwaltung, Interessentenliste usw.). Jede dieser Datenverarbeitungen muss in dem Verzeichnis mit den folgenden Mindestinformationen beschrieben werden:

  • der Zweck der Verarbeitung (z. B. Kundenbindung);
  • die Kategorien der verarbeiteten Daten (z.B. für die Gehaltsabrechnung: Name, Vorname, Geburtsdatum, Gehalt usw.);
  • die Empfänger (z.B.: die für die Einstellung zuständige Abteilung, der IT-Dienst, die Geschäftsleitung, die Dienstleister, die Partner, Behörden usw.);
  • gegebenenfalls Informationen über die Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR);
  • wenn möglich, die Aufbewahrungsfrist (der Zeitraum, in dem die Daten aus betrieblicher Sicht und aus Sicht der Archivierung notwendig sind);
  • wenn möglich, eine allgemeine Beschreibung der Sicherheitsmaßnahmen.

Dieses Verzeichnis muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

Organisationen, die weniger als 250 Personen beschäftigen, müssen in ihrem Verzeichnis keine rein gelegentlichen Tätigkeiten aufführen (z. B. Daten, die für einmalige Ereignisse wie die Eröffnung eines Geschäfts verarbeitet werden).

3.    Datenschutzfolgenabschätzung

Wenn eine Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, muss der für die Verarbeitung Verantwortliche eine Datenschutzfolgenabschätzung (DSFA) durchführen. Eine DSFA ist eine schriftliche Bewertung eines geplanten Verarbeitungsvorgangs. Sie hilft Ihnen dabei, die geeigneten Schutzmaßnahmen zur Risikominderung zu ermitteln und die Einhaltung der Vorschriften nachzuweisen.

Wie führt man eine Datenschutzfolgenabschätzung (DSFA) durch?

Es ist zwar besser, die Auswirkungen sämtlicher geplanter Verarbeitungsvorgänge durch eine DSFA zu ermitteln, eine Verpflichtung zur Durchführung besteht allerdings nur, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Dies ist vor allem dann der Fall, wenn die geplante Verarbeitung Folgendes beinhaltet:

  • die Verarbeitung - in großem Umfang - von sensiblen personenbezogenen Daten und Daten über strafrechtliche Verurteilungen;
  • eine systematische und umfassende Bewertung der persönlichen Aspekte einer Person, die auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht und auf Entscheidungen beruhen, die rechtliche Auswirkungen auf die betreffende Person haben oder Personen in ähnlicher Weise erheblich beeinträchtigen;
  • die systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Umfang.

In den meisten Fällen sollten Verarbeitungen, die zwei der folgenden Kriterien erfüllen, durch eine Datenschutzfolgenabschätzung bewertet werden:

  1. Bewertung oder Scoring;
  2. automatisierte Entscheidungsfindung mit rechtlichen oder ähnlichen erheblichen Auswirkungen;
  3. systematische Überwachung;
  4. sensible Daten oder höchstpersönliche Daten;
  5. Datenverarbeitung in großem Umfang;
  6. Abgleich oder Zusammenführen von Datensätzen;
  7. Daten über schutzbedürftige Personen;
  8. innovative Nutzung oder Anwendung neuer technischer oder organisatorischer Lösungen;
  9. wenn die Verarbeitung an sich Personen daran hindert, ein Recht auszuüben oder eine Dienstleistung oder einen Vertrag zu nutzen.

Beispiele dafür, wann eine Datenschutzfolgenabschätzung erforderlich sein kann, sind:

  • die Verarbeitung biometrischer Daten, z. B. Scannen von Fingerabdrücken oder Gesichtsmerkmalen zur Identifizierung von Patienten;
  • die Verwendung von Daten schutzbedürftiger Personen für Marketingzwecke, z. B. zur Vorhersage ihrer Käufe;
  • mobile Anwendungen, die den Standort einer Person verfolgen.

Beispiele dafür, wann eine Datenschutzfolgenabschätzung nicht erforderlich sein kann:

  • die vorgesehene Verarbeitung ist einer anderen Verarbeitung, für die bereits eine DSFA durchgeführt wurde, sehr ähnlich;
  • die Verarbeitung ist auf der White-List (erstellt von Ihrer nationalen Datenschutzbehörde) aufgeführt, die alle Verarbeitungsvorgänge auflistet, für die keine DSFA durchgeführt werden müssen;
  • die Verarbeitung ist nach EU- oder nationalem Recht zulässig.

Was sollte eine Datenschutzfolgenabschätzung enthalten?

Ihre Datenschutzfolgenabschätzung sollte Folgendes enthalten:

  • eine Beschreibung des geplanten Verarbeitungsvorgangs und seines Zwecks;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit;
  • die Risiken, die der Verarbeitungsvorgang mit sich bringen kann;
  • die Maßnahmen zur Minimierung der Risiken.

Vorherige Konsultation während einer DSFA

Wenn der Verantwortliche keine ausreichenden Maßnahmen treffen kann, um die Risiken auf ein akzeptables Niveau zu reduzieren (d. h. die Restrisiken sind immer noch hoch), ist eine Konsultation der Datenschutzbehörde erforderlich. In diesem Fall muss der Verantwortliche die folgenden Informationen bereitstellen:

  • die jeweiligen Verantwortlichen, gemeinsamen Verantwortlichen und die Auftragsverarbeiter, die an der Verarbeitung beteiligt sind;
  • den Zweck der Verarbeitung und die Art und Weise, wie die Verarbeitung durchgeführt werden soll;
  • die Maßnahmen, die zum Schutz der personenbezogenen Daten vorgesehen sind;
  • die Kontaktdaten des Datenschutzbeauftragten Ihrer Organisation, falls zutreffend;
  • die betreffende Datenschutzfolgenabschätzung.

Nachdem Ihre Datenschutzfolgenabschätzung erstellt ist, müssen Sie sie gegebenenfalls verbessern/anpassen:

  • Beschreibung der vorgesehenen Verarbeitung
  • Beurteilung von Notwendigkeit und Verhältnismäßigkeit
  • Bereits vorgesehene Maßnahmen
  • Einschätzung des Risikos für Einzelpersonen
  • Maßnahmen zur Bewältigung des identifizierten Restrisikos
  • Überwachen und überprüfen

4.    Verhaltenskodex (Code of Conduct)

Es können durch Verbände Verhaltenskodizes einschließlich Datenschutzmechanismen ausgearbeitet werden, an die sich Verantwortliche und Auftragsverarbeiter halten können, um sicherzustellen, dass die personenbezogenen Daten gemäß der DSGVO geschützt werden.

Im Einzelnen sollen diese Verhaltenskodizes zum Beispiel sicherstellen:

  • dass personenbezogene Daten auf faire und transparente Weise verarbeitet werden;
  • dass die Zwecke, für die personenbezogene Daten verarbeitet werden, rechtmäßig sind;
  • wie personenbezogene Daten pseudonymisiert werden können;
  • dass den Personen, deren personenbezogene Daten verarbeitet werden, transparente Informationen zur Verfügung gestellt werden;
  • dass die Zustimmung zur Verarbeitung personenbezogener Daten, insbesondere der Daten von Kindern, in angemessener Weise eingeholt wird;
  • dass alle technischen und organisatorischen Maßnahmen getroffen werden, um die sichere Verarbeitung der Daten von Personen zu gewährleisten;
  • dass die Verfahren für die Meldung von Verletzungen des Schutzes personenbezogener Daten eingehalten werden;
  • dass die Verfahren, einschließlich der Sicherheitsvorkehrungen, für die Übermittlung personenbezogener Daten an Nicht-EWR-Länder und -Organisationen eingehalten werden;
  • dass die Verfahren für Gerichtsverfahren und Streitbeilegung befolgt werden.

5.    Zertifizierung

Eine Organisation, die eine datenschutzspezifische Zertifizierung erhält, kann mit dieser Zertifizierung nachweisen, dass die DSGVO bei ihren Verarbeitungsvorgängen eingehalten wird.

Die Aufsichtsbehörden können zum Beispiel:

  • Zertifizierungen in Bezug auf ihr eigenes Zertifizierungssystem ausstellen;
  • selbst Zertifizierungen in Bezug auf ihr eigenes Zertifizierungssystem ausstellen, aber den gesamten oder einen Teil des Bewertungsprozesses an Dritte delegieren;
  • ein eigenes Zertifizierungssystem schaffen und bestimmte Stellen mit der Ausstellung dieser Zertifizierungen beauftragen;
  • den Markt ermutigen, Zertifizierungsmechanismen zu entwickeln;
  • die Zertifizierungssysteme der Zertifizierungsstellen bewerten.

Eine Zertifizierungsstelle hat die Aufgabe, auf der Grundlage eines Zertifizierungsverfahrens und genehmigter Kriterien, Zertifizierungen zu erteilen, zu überprüfen und zu entziehen.

Die Zertifizierungsstellen müssen die Bewertung der Verarbeitungsvorgänge Ihrer Organisation, für die eine datenschutzspezifische Zertifizierung ausgestellt werden kann, dokumentieren.

Meine Organisation hat eine DSGVO-Zertifizierung erhalten, wie geht es nun weiter?

Die Zertifizierung eines Verarbeitungsvorgangs, den Ihre Organisation durchführt, ist maximal drei Jahre lang gültig, kann aber verlängert oder widerrufen werden. Um die Zertifizierung aufrechtzuerhalten, muss Ihre Organisation die Maßnahmen rund um den zertifizierten Verarbeitungsvorgang kontinuierlich und konsequent umsetzen.

2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Anne Wierling

Anne Wierling
magnifiercrossmenu