Herausforderung Datenschutz: Aufbau von Datenschutz-Management-Systemen
Beitrag von Dr. Konstantin von Busekist, Partner, KPMG Law Rechtsanwaltsgesellschaft mbH
Ab dem 25. Mai 2018 gilt europaweit die Datenschutzgrundverordnung (DSGVO). Ein Ziel der DSGVO ist es, der unternehmensinternen intransparenten Datenhortung entgegenzuwirken, ohne dass ein konkreter Zweck für die Datenerhebung und -verarbeitung besteht. Daneben soll das Bewusstsein für den Datenschutz gestärkt werden, indem Unternehmen verpflichtet werden, klare Handlungsanweisungen hinsichtlich der Datenverarbeitung an ihre Mitarbeiter herauszugeben und diese entsprechend zu schulen.
Unternehmen dürfen Daten ausschließlich für festgelegte, eindeutige und legitime Zwecke verarbeiten. Verarbeitungen zu anderen als den ursprünglichen Zwecken sind nur unter engen Voraussetzungen gestattet. Zudem ist der Betroffene über die Zweckänderung zu informieren. Weiterhin zwingt die DSGVO zukünftig Unternehmen, ihre Datenverarbeitungsvorgänge umfassend und vollständig in einer Art zu dokumentieren, dass die Datenverarbeitung nachvollzogen werden kann und deren Rechtmäßigkeit der zuständigen Behörde jederzeit nachgewiesen werden kann (sog. „Accountability“).
Die neuen Vorschriften erfordern den Aufbau eines Datenschutz-Management-Systems (DMS), welches organisatorisch sicherstellt, dass personenbezogene Daten nur in zulässiger Weise und ausschließlich auf Weisung der verantwortlichen Stelle verarbeitet werden.
Dabei sind Unternehmen zunächst verpflichtet, Transparenz durch die Erstellung eines Verzeichnisses aller Verarbeitungstätigkeiten herzustellen. Das Verzeichnis muss unter anderem den Zweck der Datenverarbeitung sowie die Kategorien der Personen, die auf die Daten Zugriff haben, benennen. Zudem sind die technischen und organisatorischen Maßnahmen zum Schutz der Daten und Löschfristen je Verarbeitungsart darzulegen. Dieses Verzeichnis der Verarbeitungstätigkeiten stellt die Ausgangsdokumentation dar, welche eine Übersicht über die einzelnen Verarbeitungstätigkeiten gewährleistet und anhand derer Verfahren identifiziert werden können, die mit erhöhten Risiken für Betroffenenrechte verbunden sind. Solche Risiken bestehen etwa dann, wenn die Daten an Dritte – gegebenenfalls gar ins außereuropäische Ausland – weitergegeben werden oder besondere Datenarten wie Gesundheitsdaten verarbeitet werden. Soweit solche Risiken identifiziert worden sind, gilt es im Einzelfall zu prüfen, ob die Datenverarbeitung zulässig ist. Immer dann, wenn eine Verarbeitungstätigkeit ein hohes Risiko birgt, dass Daten nicht verfügbar und richtig sind oder Daten an unbefugte Personen gelangen können, ist zusätzlich eine Datenschutzfolgenabschätzung durchzuführen und zu dokumentieren. Dabei handelt es sich um eine umfassende Bewertung des vorgenannten Risikos unter Berücksichtigung der Eintrittswahrscheinlichkeit und der ergriffenen technischen und organisatorischen Maßnahmen zur Verringerung dieses Risikos.
Weitere Bausteine des DMS sind IT-Sicherheits-, Datenschutz, Lösch- und Berechtigungskonzepte, Richtlinien und Arbeitsanweisungen zum Umgang mit personenbezogenen Daten, Mitarbeiterschulungen sowie die Dokumentation datenschutzrelevanter Vertragsunterlagen. Wie bei jedem Managementsystem sind Prozesse zu etablieren, die die regelmäßige Überprüfung der Richtigkeit und Vollständigkeit der Dokumentation einschließlich der Aufnahme neuer Verarbeitungstätigkeiten sowie deren Überprüfung auf die datenschutzrechtliche Zulässigkeit gewährleisten. Zudem sind Unternehmen verpflichtet, sicherzustellen, dass auf Betroffenenanfragen unverzüglich reagiert werden kann und bei Datenschutzvorfällen innerhalb von 72 Stunden die Aufsichtsbehörden informiert und Beweise gesichert werden, soweit dies erforderlich ist.
Datenschutz ist ein Compliance-Thema. Verstöße gegen die neuen datenschutzrechtlichen Vorschriften können signifikante Geldbußen nach sich ziehen. Die DSGVO sieht für Verstöße gegen die vorerwähnten Pflichten einen Bußgeldrahmen von bis zu EUR 10 Mio. oder bis zu 2 % des weltweit erzielten Vorjahresumsatzes vor. Kommt es zu Datenschutzverletzungen können auch Bußgelder von bis zu EUR 20 Mio. oder bis zu 4 % des weltweit erzielten Vorjahresumsatzes festgesetzt werden. Die Geldbuße ist für den jeweiligen Verstoß zu verhängen, wobei die Implementierung eines wirksamen DMS hinsichtlich der Höhe der Geldbuße von den Aufsichtsbehörden zu berücksichtigen ist.
KPMG Law berät seine Mandanten hinsichtlich datenschutzrechtlicher Fragen bei der Implementierung von DMS sowie zur Zulässigkeit von Verarbeitungstätigkeiten. Wir achten bei der Errichtung eines DMS nicht nur auf die rechtlichen Aspekte, sondern verfolgen einen ganzheitlichen Ansatz. Wir beziehen insbesondere die Unternehmenskultur und -organisation sowie bestehende Compliance-Systeme mit in unser Beratungskonzept ein. Ziel sollte sein, dass die getätigten Maßnahmen im Unternehmen gelebt werden. Hierfür sind die verantwortlichen Mitarbeiter in das Projekt einzubinden.
Kontakt unter: kvonbusekist@kpmg-law.com
Bildlizenz: KPMG Deutschland