Prozessbasiertes Datenschutz Management System

Am Beispiel Betroffenenrechte möchte ich den Sinn und Zweck eines prozessbasiertes Datenschutz Management System erläutern.

Ein Datenschutz Management System (DSMS) ist ein Hilfsmittel, mit dem die gesetzlichen und betrieblichen Anforderungen des Datenschutzes systematisch erfasst, organisiert und kontrolliert werden können.

DS-GVO-Konformität mit feste und dokumentierte Arbeitsabläufe

Zu den von der DS-GVO geforderten Dokumentations- und Rechenschaftspflichten gehört auch die Beweislastumkehr. Damit muss nicht die Behörde, sondern der Verantwortlicher, nachweisen dass er im Einklang mit den Datenschutzgesetzen agiert. Zu ein wasserdichtes Datenschutz-Management-System, das alle datenschutzrechtlich relevanten Unternehmensprozesse abbildet und beschreibt, ist ein prozessbasierter Ansatz sinnvoll und eine wichtige Voraussetzung für die DS-GVO-Konformität.

Betroffenenrechte
(DS-GVO Kapitel 3, Art. 12 bis 23)

Inventarisieren Sie die Rechte der betroffenen Personen

Betroffenen Personen haben mit der DS-GVO Art. 15 bis 21 umfangreiche Rechte bekommen, durch die sie den Umgang mit ihren personenbezogenen Daten kontrollieren und steuern können.

Zunächst einmal ist es für den für die Datenverarbeitung Verantwortlichen wichtig zu inventarisieren, welche Betroffenendaten beim Unternehmen geltend gemacht werden können. Ebenso wichtig ist es zu wissen zu welchem Zweck diese Daten verarbeitet werden, wo diese gespeichert werden und wie lange er die Daten speichern möchte muss. Zur Einrichtung seiner technischen und organisatorischen Maßnahmen muss er sich auch über die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen und damit am Schutzbedarf der Daten orientieren.  Der Schutzbedarf hängt u.a. von der Datenkategorie ab.

Im Datenschutz Management System DPM-Online ist dieses einer der 18 Bausteine für das Verarbeitungsverzeichnis. Diese Bausteine und das Verarbeitungsverzeichnis sind die Grundlage für die vom Gesetzgeber geforderte DS-GVO-Konformität.

DS-GVO-Konformität mit feste und dokumentierte Arbeitsabläufe

Angesichts der Frist von ein Monat nach Eingang der Anfrage für die Bearbeitung und Beantwortung einer Betroffenenanfrage, ist es wichtig, dass es für die Betroffenenanfragen feste Arbeitsabläufe (Workflows, Prozesse) eingerichtet werden.  Unerheblich sind dabei welche Anfragen an dem Unternehmen gestellt werden könnten. Prinzipiell sind alle Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Einschränkung und Datenübertragung) innerhalb der gesetzlich vorgesehenen Frist, von einem Monat nach Eingang der Anfrage, zu beantworten.

Die Dokumentierung dieser Arbeitsabläufe sind im Datenschutz Management System DPM-Online aufgenommen und gehören damit zu den 18 Bausteine zur DS-GVO-Konformität.  Beispielsweise ist es bei einem Auskunftsersuchen unerlässlich, dass Sie schnell nachvollziehen können, wo Sie bestimmte Daten gespeichert haben, den damit verbundenen Zweck sowie die vorhergesehene Speicherdauer, getroffenen Schutzmaßnahmen und die Rechtsgrundlager der Verarbeitung belegen können.

„Glücklicherweise“ sind Sie bereits durch die DS-GVO verpflichtet, diese Informationen im Verarbeitungsverzeichnis vorzuhalten.

 Das Verarbeitungsregister als Zentrales Dokument zur DS-GVO -Konformität

Über das Verarbeitungsregister müssen Sie Informationen zur Datenverarbeitung   aufzeichnen. Diese Informationen betreffen unter anderem:

  • welche personenbezogenen Daten werden verarbeitet;
  • zu welchem Zweck werden personenbezogenen Daten verarbeitet;
  • mit welcher Erlaubnis/Rechtsgrundlage werden diese Daten verarbeitet;
  • wo werden diese Daten gespeichert;
  • wie lange werden diese daten gespeichert;
  • welchen Schutzbedarf haben diese Daten

Zusätzlich muss das Verarbeitungsregister Informationen zu den getroffenen Sicherheitsmaßnahmen und der Übersicht über Dritte, an dem das Unternehmen die personenbezogenen Daten weitergibt oder verarbeiten lässt, enthalten.  Da es die Aufgabe des Verantwortlichen ist, dass auch Auftragsverarbeiter die Daten der betroffenen Person im Auftrag des Unternehmers verarbeiten, den Löschantrag nachkommen ist eine Übersicht von Auftragsverarbeiter einer der 18 Bausteine des Datenschutz Management Systems DPM-Online.

Kurz gesagt: Stellen Sie sicher, dass Sie als Verantwortlicher, aber auch als Auftragsverarbeiter, Ihre Dokumentationen sowie Arbeitsabläufe übersichtlich und nachvollziehbar geordnet haben. Damit geben Sie sich die Möglichkeit, schnell und angemessen auf die Rechte der betroffenen Personen zu reagieren.

Nach Rolle unterscheiden

In Übereinstimmung mit dem oben Gesagten ist es wichtig, ein gutes Verständnis dafür zu entwickeln, welche Rolle Sie in Bezug auf die personenbezogenen Daten betroffener Personen spielen. Denn wo Sie als Verantwortlicher letztlich für die personenbezogenen Daten verantwortlich sind, ist es durchaus möglich, dass Sie als Auftragsverarbeiter auch bei Anfragen betroffener Personen kooperieren müssen. Vereinbarungen über die Bearbeitung von Anfragen aus der Rolle des Auftragsverarbeiters werden häufig in den bekannten Auftragsverarbeitungsverträgen (AV-Verträge) getroffen.  Es ist für den Verantwortlichen daher unerlässlich sich eine Übersicht über die Auftragsverarbeiter zu verschaffen und zu dokumentieren welche Aufgaben und vor allem welche Datenverarbeitungen diese Auftragsverarbeiter auszuführen haben. Ebenso wichtig ist eine Überprüfung des AV-Vertrags des Auftragsverarbeiters. Hier muss darauf geachtet werden das der Vertragsinhalt alle Vorgaben der DS-GVO beinhaltet und dass die organisatorischen und technischen Maßnahmen (TOM) zu dem Auftraggeber passen. Ebenso wichtig ist zu wissen, ob der Auftragsverarbeiter Teile seines Auftrages wiederum an Unterauftragsverarbeiter weitergibt.  Der Auftragsverarbeiter muss seine mit diesem Auftrag zusammenhängende Informationen mitteilen.

Zu diesem Zweck ist im Datenschutz Management System DPM-Online, als einer der 18 Bausteine zur DS-GVO-Konformität, eine Übersicht der eingesetzte Auftragsverarbeiter, die jeweiligen AV-Verträge, garantierte Schutzmaßnahmen sowie eine Möglichkeit zur regelmäßigen Überprüfung der Auftragsverarbeiter vorgesehen.

Überprüfungen der Prozesse und Workflows

Nachdem klar ist, wo all die Daten zu finden sind, mit welchen Rechten Sie was als Organisation tun haben und klar ist wo diese gespeichert und vom wem sie bearbeitet werden, ist es wichtig, die Prozesse einmal zu überprüfen. Ein Vergleich von Theorie und Praxis lohnt sich immer.  Zu diesem Zweck können im Datenschutz Management System DPM Online die Prozessbeschreibungen und grafisch dargestellten Workflows auf einer einfachen Weise der Realität angepasst werden. Diese interne Überprüfung gleicht ein Audit und gibt Ihnen auch einen guten Einblick in die Faktoren, welche zu Verzögerungen innerhalb der Organisation führen können. Beispielsweise kann es für Sie schwierig sein, eine Antwort von Ihren Auftragsverarbeitern auf einen Antrag auf Löschung zu erhalten, oder Sie sind möglicherweise nicht in der Lage, Daten in einer maschinenlesbaren Datei als Antwort auf einen Antrag auf Datenübertragbarkeit abzulegen. Eine Überprüfung der Dokumentation an die Situation in der Praxis lehrt Sie, wo die Schmerzpunkte liegen, und zeigt Ihnen, worauf Sie Ihre Aufmerksamkeit richten sollten, um den Umgang mit den Betroffenenrechten erfolgreich zu gestalten.