Infos und Webinare zur Umsetzung in letzter Minute
Von Eduard Heilmayr, Delphin Consult
Am 25. Mai 2018 ist es so weit: Die europäische Datenschutz-Grundverordnung (EU-DSGVO) muss in öffentlichen Verwaltungen umgesetzt sein. Dies gilt auch für alle Unternehmen in Deutschland. Für alle Betroffenen ist das keine einfache Sache – ganz im Gegenteil. Der Teufel steckt hier im Detail. Die gute Nachricht: Der BayerischeIT-Sicherheitscluster bietet Hilfestellung an, in Form von Schnellkursen, Webinaren und einer Seminarreihe. Eine der Infoveranstaltungen fand Ende März 2017 in Regensburg statt. Unter dem Titel „DSGVO-Notfallkoffer“ gab die Fachbeirätin des IT-Sicherheitsclusters Rechtsanwältin Sabine Sobola fundierte Hinweise, was die DSGVO in jedem Fall von Kommunen und Unternehmen verlangt, um datenschutzkonform zu sein. Frau Sobola ist in Regensburg Lehrbeauftragte für IT- und Wirtschaftsrecht und Recht und Ethik in der KI.
Rechenschaftspflicht
Grundsätzliches stellt Frau Sobola vorneweg klar: Im Vergleich zum bisher geltenden Bundesdatenschutzgesetz (BDSG) gibt es bei der neuen DSGVO einen wesentlichen Unterschied. Während beim BDSG die von Gesetzes wegen einzuhaltenden Vorschriften auf Anforderung aufgelistet werden mussten, verpflichtet die neue DSGVO auf die Einhaltung aller Verordnungen ab dem 25. Mai 2018 mit der Nachweispflicht, dass sie ab dann bereits umgesetzt sind. Diese Vorschrift ist in DSGVO Art. 5, Abs. 2 unter dem Begriff „Accountability“ oder „Rechenschaftspflicht“ geregelt.
Rechtsanwältin Sabine Sobola von Paluka Sobola Loibl & Partner ist Fachbeirätin des Forums Datenschutz sowie Beirätin im Bayerischen IT-Sicherheitscluster e.V., außerdem Lehrbeauftragte für IT-Recht bzw. IT- und Wirtschaftsrecht in Regensburg. Ein Themenschwerpunkt der Kanzlei ist IT-Security; dabei unterstützen die Fachleute mit Geheimhaltungsvereinbarungen, Mitarbeiterverträgen, Datenschutzvereinbarungen etc.
Paluka Sobola Loibl & Partner Rechtsanwälte, Prinz-Ludwig-Straße 11, 93055 Regensburg, Tel.: 0941-585710, info@paluka.de, www.paluka.de
Am 25. Mai 2018, genau ab Mitternacht, ist die neue DSGVO gültig und löst das bisherige BDSG ab. Zeitgleich in Kraft tritt das sogenannte BDSG-neu, ein Gesetz des bundesdeutschen Gesetzgebers (zur Anpassung des Datenschutzrechts an die Datenschutz-Grundverordnung), das bestimmte Punkte konkretisieren soll, die nicht oder nicht so ausformuliert wurden, wie es seiner Ansicht nach sein sollte. Manche Punkte wurden auch abgeschwächt. Bei diesen abgeschwächten Punkten weiß man heute noch nicht genau, ob sie gelten werden. Unabhängig davon sind Kommunen und Unternehmen verpflichtet, sich sowohl die DSGVO als auch BDSG-neu genau anzusehen und einzuhalten.
Die Umsetzung von DSGVO und BDSG-neu erfolgt in fünf Schritten. Man benötigt zum Beispiel ein sogenanntes Verfahrensverzeichnis und ein Datenschutzkonzept oder zumindest eine Beschreibung der Ziele des Datenschutzes; falls Dienstleister Auftragsverarbeitung leisten, werden entsprechend aktualisierte Auftragsverarbeitungsverträge benötigt. Ein wesentlicher Bestandteil der datenschutzkonformen Nachweispapiere ist der Punkt technische und organisatorische Maßnahmen (TOM), mit anderen Worten: die IT-Sicherheit. Spezielle Anforderungen gelten schließlich für Organisationen, die besonders schützenswerte personenbezogene Daten speichern und verarbeiten, beispielsweise aus dem Gesundheitsbereich. Für diese Art von Unternehmen oder Behörden ist eine Datenschutzfolgeabschätzung erforderlich.
Verfahrensverzeichnis
Das Verfahrensverzeichnis ist eine detaillierte Auflistung der Verarbeitungstätigkeiten. Ein geeignetes Muster für ein solches Verfahrensverzeichnis gibt es beim Bitkom. Das Verfahrensverzeichnis beschreibt im Detail, welche personenbezogenen Daten an welcher Stelle in der Ablauforganisation eines Unternehmens von welchen Mitarbeiterinnen und Mitarbeitern erhoben werden und wer dafür verantwortlich ist. Die rechtlichen Anforderungen sind in DSGVO Art. 30 Abs. 1 festgelegt. Die Angaben der verantwortlichen Organisation, z.B. der kommunalen Behörde und deren gesetzlichen Vertreters, sollten ergänzt werden durch den Datenschutzbeauftragten (sofern erforderlich) und die zuständige Aufsichtsbehörde.
Ein wesentlicher Teil des Verfahrensverzeichnisses erfordert eine genaue Beschreibung der einzelnen Verarbeitungsschritte mit Bezeichnung der Verarbeitungstätigkeit, der verantwortlichen Stelle und dem Zweck der Verarbeitung der personenbezogenen Daten. Diese sollten dann eindeutigen Kategorien zugeordneten werden, z.B. die Personengruppe „eigene Mitarbeiter“ den Kategorien „E-Mail-Adresse“, „Korrespondenz“ etc. Weitere Angaben, falls zutreffend, werden bei Datenübermittlungen an Drittländer erforderlich.
In den Fristen und in der realen Umsetzung noch unklar sind laut Rechtsanwältin Sobola die geforderten Angaben für die „vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien“ nach DSGVO Art. 30 Abs. 2f. Das Problem hierbei sei, so Sobola, dass es zum einen unterschiedliche handelsrechtliche (10 Jahre) und steuerliche (15 Jahre) Aufbewahrungspflichten gibt. Zum anderen ist eine Gewährleistung der Datenlöschung in ausgelagerten Datenverarbeitungsprozessen, beispielsweise in einer SAP-Cloud-Anwendung oder in einem kommunalen Rechenzentrum, von der verantwortlichen Organisation nicht sicherzustellen. In solchen Fällen rät Sobola zu einem Anschreiben an diese Dienstleister mit dem Inhalt, „ab wann eine entsprechende DSVGO-Lösung möglich ist“. Dieses Anschreiben sollte möglichst ab dem 25. Mai den Unterlagen beiliegen.
Datenschutzkonzept und TOM
Als weiteren wichtigen Punkt fordert das Verfahrensverzeichnis eine Beschreibung der technischen und organisatorischen Maßnahmen. Darin sollten die Ziele formuliert werden, warum personenbezogene Daten erhoben werden, auf welcher rechtlichen Basis dies geschieht und welche rechtliche Grundlage es dafür gibt, beschreibt Rechtsanwältin Sobola die Anforderungen.
Grundsätzlich müssen die TOM die folgenden Anforderungen erfüllen: den Schutz der Vertraulichkeit der Daten, die Integrität der Daten sowie die Verfügbarkeit und die Belastbarkeit der Daten. An dieser Stelle sollte der Bezug zu einem IT-Sicherheitskonzept (falls vorhanden) hergestellt werden bzw. Abweichungen und Ergänzungen hierzu genannt werden oder ein Hinweis auf die technischen und organisatorischen Maßnahmen eines Datenschutzkonzeptes sowie auf eine etwaige Datenschutzzertifizierung erfolgen. Sobola empfiehlt dazu die Verwendung eines ISMS (Informationssicherheitsmanagementsystems), beispielsweise nach dem Vorgehen von ISIS12, das mittlerweile auch mit entsprechenden Datenschutzinformationen angereichert werden kann. Dieses neue Datenschutzmanagementsystem iDSM7 ergänzt sieben der zwölf Schritte von ISIS12 entsprechend der DSGVO.
Auftragsbearbeitung
Sollten bereits bestehende Verträge zur Auftragsdatenverarbeitung mit externen Dienstleistern vorliegen, sind diese auf Vollständigkeit und Aktualisierungsbedarf zu überprüfen, empfiehlt Sobola. Grundsätzlich trifft dies auf alle Dienstleister zu, die personenbezogene Daten ihrer Organisation verarbeiten. Ausgenommen sind lediglich Gruppen, die standesrechtlich zur Vertraulichkeit verpflichtet sind, beispielsweise Steuerberater und Rechtsanwälte sowie andere eigenständig Verantwortliche wie z.B. Banken und Postdienste.
Sollten die Dienstleister vor Ort arbeiten, reichen in der Regel Geheimhaltungs- und Datenschutzvereinbarungen. Sollten die Daten jedoch extern verarbeitet werden, müssen Verträge zur Auftragsbearbeitung abgeschlossen werden. Zukünftig ist auch derjenige verpflichtet, solche Verträge abzuschließen, der die Dienstleistung erbringt. „Der Auftragsverarbeiter wird also genauso verpflichtet, wie derjenige, für den die Auftragsarbeit durchgeführt wird“, sagt Sobola. Das sei neu in der DSGVO hinzugekommen. Diese Verträge seien als Standard erstellbar, so der Tipp von Sobola, allerdings natürlich auf die organisationseigenen Bedürfnisse anzupassen. Hier ein Musterformular dazu: https://www.lda.bayern.de/media/muster_adv.pdf.
Besonderheiten
Der Besonderheiten gibt es viele (DSGVO Art. 9). Einige wesentliche sprach Rechtsanwältin Sobola in ihrem Vortrag kurz an. Zum Beispiel: „Minderjährige brauchen Elterneinwilligung“ (Art. 8) Im ersten Moment klar und nicht unlogisch – so meint man. In der Praxis, so Sobola, sei allerdings noch völlig unklar, wie das umgesetzt werden solle, „zum Beispiel bei Plattformbetreibern von sozialen Netzwerken oder Online-Spielen“. Derzeit könne man nur raten, so die Rechtsanwältin, zumindest einen Hinweis auf die entsprechende Webseite zu publizieren.
Weitere schützenswerte Besonderheiten, die in Art. 9 aufgeführt sind, betreffen u.a. sexuelle Orientierung, Religionszugehörigkeit, ethnische Herkunft oder Gesundheitsdaten. Sollten solche Daten erhoben werden, so ist zwingend eine sogenannte Datenschutzfolgeabschätzung zu erstellen. Diese Risikoabschätzung legt dar, „wie hoch Sie das Risiko für die Rechte und Freiheiten der betroffenen Personen einschätzen“, erklärt Sobola. Näher darauf eingehen konnte die Rechtsanwältin in diesem Vortrag darauf nicht mehr. Sie verwies auf die von ihr gehaltene, dreiteilige Webinarreihe DSGVO – In 5 Schritten zum Notwendigsten.
Kommunen als Erstes im Visier
Die Datenschutzbehörden stellen in der Regel schriftlich Auskunftsanfragen, berichtet Rechtsanwältin Sobola von ihren Erfahrungen. Allerdings könne sie auch nicht vorhersehen, wie es ab dem 25. Mai 2018 sein werde. Das Accountability-Prinzip werde aber dazu führen, dass keine langen Listen mehr von den Aufsichtsbehörden mit konkreten Nachweisforderungen geschickt würden, sondern es sei damit zu rechnen, dass nur folgende Anfrage kommt: „Bitte weisen Sie Ihre DSGVO-Konformität bis zum … nach.“ Dann müsste man rückwirkend zum 25. Mai 2018 die entsprechenden Unterlagen bereitstellen. Die Rückdatierung wäre allerdings rechtswidrig.
Das Ziel ist, betont die Rechtsanwältin nochmals eindringlich, „personenbezogenen Datenschutz in die Köpfe der Leute zu bringen, es ist es nicht, Unternehmen in die Insolvenz zu klagen.“ Anders ausgedrückt: „Bürgerinnen und Bürger sollen ein verfassungsrechtlich garantiertes Recht auch beschreiten können.“ Die Landesdatenschutzbehörde in Bayern habe bereits angekündigt, bei Kommunen ab dem 25. Mai 2018 verstärkt Prüfungen durchzuführen.
Eduard Heilmayr war acht Jahre lang Chefredakteur bei „Markt & Technik“, anschließend dort im Verlagsmanagement tätig. 1992 gründete er die AWi Aktuelles Wissen Verlagsgesellschaft mbH in München, die IT-Fachmagazine wie „LANline“, „Windows NT“, „Unix Open“, „Inside OS/2“ und „Electronic Embedded Systeme“ publizierte. Nach dem Verkauf des Verlags gründete er 2004 Delphin Consult. Neben meist mehrjährigen Projektarbeiten für renommierte Medienunternehmen wie Heise oder techconsult publiziert Heilmayr für rund 4000 Leser regelmäßig den redaktionellen Newsletter „Kommunale ITK“, der im MittelstandsWiki eine eigene Rubrik hat.