Die sechs Grundprinzipien für die Verarbeitung personenbezogener Daten

In Art. 5 Abs 1. DSGVO werden sechs Grundprinzipien genannt, an denen die Verarbeitung personenbezogener Daten ausgerichtet werden muss. Im Folgenden schildere ich wie man diese technisch umsetzen könnte.

1. Rechtmäßigkeit

Um die Rechtmäßigkeit der Verarbeitung nachzuweisen sollte einer der sechs Erlaubnisvorbehalte in Art. 6 Abs. 1 a – f DSGVO zutreffen, während für Beschäftigte §26 BDSG-neu relevant ist. Man sollte elektronisch dokumentieren welche Rechtsgrundlage zutreffend ist und wann und wie die betroffene Person gemäß Art. 13 DSGVO über diese informiert wurde.

2. Zweckbindung

Die Verarbeitung personenbezogener Daten ist an festgelegte, eindeutige und legitime Zwecke gebunden. Diese Zwecke würde ich gemeinsam mit den erhobenen Daten speichern, sodass im weiteren Verlauf der Datenverarbeitung geprüft werden kann, ob ein späterer interner Prozess von den initialen Zwecken abweicht.  Es bietet sich dabei an Zwecke zu kategorisieren, um aus diesen automatisch Berechtigungen abzuleiten. Wurde z.B. eine E-Mail Adresse zum Rechnungsempfang angeben, aber keine Einwilligung zum Newsletterversand erteilt, so sollten auch nur ausgewählte Mitarbeiter im Rechnungswesen Zugang zu diesem Datensatz haben.

3. Datenminimierung

Die Verarbeitung personenbezogener Daten ist auf solche zu beschränken, die  notwendig für die Zweckerreichung sind. Hat man wie in (2.) beschrieben die Zwecke kategorisiert, kann für jede Kategorie eines Whitelist mit zu erheben Daten erstellt werden. Auf dieser Grundlage ließe sich automatisch eine Warnung generieren, wenn Daten erhoben werden, die für die Zweckerreichung nicht notwendig sind.

4. Richtigkeit

Technisch kann bereits bei der Erhebung auf die Richtigkeit der Daten hingewirkt werden, indem personenbezogene Daten redundant abgefragt oder aus einer Liste gewählt werden z.B. den Straßenname aus Liste wählen, die E-Mail Adresse zweimalig eintippen. Die unverzügliche Berichtigung unrichtiger Daten hat die gleiche Komplexität wie die Adressänderung eines Kunden und sollte leicht im Datenbanksystem umzusetzen sein.

5. Speicherbegrenzung

Gegenüber der betroffenen Person müssen verbindliche Löschfristen kommuniziert und diese dann auch eingehalten werden. Gesetzliche Fristen sollten dabei im Vorhinein recherchiert und dann technisch abgebildet werden, sodass eine Löschung nach Fristablauf automatisch geschieht. Bei langen gesetzlichen Aufbewahrungsfristen kann eine Sperrung vor der endgültigen Löschung sinnvoll sein, sodass die Kundendaten nicht mehr im Tagesgeschäft zugänglich sind.

6. Integrität und Vertraulichkeit

Personenbezogene Daten müssen Schutz vor unbefugter Verarbeitung, Verlust, Zerstörung und Schädigung genießen. Um dies zu garantieren ist eine Vielzahl technischer und organisatorischer Maßnahmen notwendig. Exemplarisch möchte ich hier die Themenbereiche Rechtemanagement, starke Passwortwahl, moderne Verschlüsselungsverfahren, verschlüsselte Kommunikation, Backupstrategien, Pseudonymisierung und Updatepolicy nennen. Unter der Kategorie TOM finden Sie Detailartikel zu diesen Themen.

Rechenschaftspflicht

Nochmal explizit möchte ich den Begriff der Rechenschaftspflicht gemäß Art 5. Abs. 2 DSGVO nennen. Dieser könnte in der Praxis eine Beweisumkehr darstellen. Nicht der potenzielle Datenschutzverstoß muss nachgewiesen werden, sondern die Einhaltung oben genannter Grundprinzipien muss im Detail dokumentiert werden, um die rechtmäßige Verarbeitung gegenüber der Aufsichtsbehörde nachweisen zu können. Die detaillierte und laufend zu aktualisierende Dokumentation kann dabei elektronisch stattfinden.

Auftragsverarbeitung nach DSGVO

Der aus dem BDSG bekannte Begriff Auftragsdatenverarbeitung wird mit Einführung der DSGVO in Auftragsverarbeitung umbenannt. Was genau verbirgt sich dahinter?

Definition

Eine Auftragsverarbeitung liegt immer dann vor, wenn ein Unternehmen im Auftrag eines anderen Daten weisungsabhängig verarbeitet. Man spricht dabei von den Rollen Verantwortlicher und Auftragsverarbeiter. Üblicherweise liegt eine Auftragsverarbeitung vor wenn eine der folgenden Tätigkeiten durch ein externes Unternehmen erbracht wird:

  • Website-Hosting
  • Clouddienste
  • Backupdienste
  • Fernwartung
  • Dokumentendruck
  • Aktenvernichtung
  • Callcenter
  • Buchhaltung

Vertragliche Regelung

Liegt eine Auftragsverarbeitung vor, so sind Verantwortlicher und Auftragsverarbeiter verpflichtet einen Vertrag miteinander zu schließen, der folgende Punkte regelt:

  • Beschreibung der Umsetzung des Schutzniveaus durch technische und organisatorische Maßnahmen
  • Dauer, Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personenbezogene
  • Kontrollrechte des Verantwortlichen

Sowohl Verantwortlicher als auch Auftragsverarbeiter müssen ein Verzeichnis der Verarbeitungstätigkeiten führen. Will der Auftragsverarbeiter weitere Subunternehmen als Auftragsverarbeiter hinzuziehen ist dies durch den Verantwortlichen genehmigungspflichtig.

Beispiel: Web-Hosting

In der Regel bietet der Hostinganbieter einen Mustervertrag über Auftragsverarbeitung an, welcher schnell und problemlos geschlossen werden kann. In jedem Fall sollte geprüft werden, ob dieser aus rechtlicher Sicht der DSGVO genügt und die darin beschriebenen TOM ein angemessenes Schutzniveau garantieren können.

Besonderheit: Drittländer

Sitzt der Auftragsverarbeiter außerhalb der EU muss zusätzlich zu obigen Ausführungen ein angemessenes Datenschutzniveau garantiert werden, dies ist z.B. über folgende Instrumente möglich:

Das Datenschutzniveau in einem gesamten Drittland wird von der Europäischen Komission als ausreichend bewertet. Das ist derzeit der Fall bei z.B. Kanada und der Schweiz. Die ganze Liste ist hier einsehbar.

Das Datenschutzniveau ausgewählter Unternehmen in einem unsicheren Drittland gilt durch Selbstverpflichtung als sicher. Diese Regelung gibt es z.b. beim EU-US Privacy Shield . Ich vermute, dass nach dem EU Austritt auch die UK zunächst als unsicheres Drittland gelten wird. Zu beachten ist, dass der EuGH in der Vergangenheit bereits das Safe Harbor Abkommen für ungültig erklärte und Unklarheit darüber besteht, ob das Privacy Shield einer Überprüfung durch den EuGH standhält.

Es gibt viele weitere Möglichkeiten das Datenschutzniveau eines einzelnen Unternehmens in unsicheren Drittländern zu garantieren, ich gehe hier nur auf Standardvertragsklauseln ein:

Im Rahmen von individuellen Verträgen kann auf Standardvertragsklauseln der europäischen Kommission zurückgegriffen werden, für den Fall einer Auftragsverarbeitung ist dabei besonders 2010/87/EU relevant.

Beim individuellen Vertragsschluss müssen Klauseln unverändert aus dem Muster übernommen werden. Weiterhin gelten alle obigen Ausführungen zu Auftragsverarbeitung. Unklar ist, ob eine EuGH Entscheidung zum Privacy-Shield auch Konsequenzen für die Gültigkeit der Standardvertagsklauseln hat.

Organisatorische Konsequenz

Bei der Übermittlung in Länder, die kein angemessenes Datenschutzniveau bieten, ist Vorsicht geboten. Derzeitige Rechtsgrundlagen könnten in der Zukunft durch EuGH-Entscheidungen entfallen. Es ist daher ratsam einen Alternativplan in der Hinterhand haben, um einen schnellen Umzug auf Server innerhalb der EU möglich zu machen oder bei der Wahl eines Anbieters direkt auf einen Standort innerhalb der EU zu setzen.

Technische Aspekte

Verträge beinhalten eine genaue Beschreibungen von TOM, deren Schutzniveau zu bewerten ist. Bei der individuellen Vertragsausgestaltung über Auftragsverarbeitung oder der Prüfung eines Mustervertrages sollte man daher neben Juristen auch technische Berater hinzuziehen.

Aktualität des Verarbeitungstätigkeitenverzeichnis

Die DSGVO führt dazu, dass fast jeder Unternehmer ab 25.05.18 verpflichtet ist ein Verzeichnis von Verarbeitungstätigkeiten zu führen.

Wer ist zur Erstellung verpflichtet?

Gemäß Art. 30 Abs. 5 DSGVO muss nicht jedes Unternehmen ein Verzeichnis aller Verarbeitungstätigkeiten anlegen. Die Pflicht entfällt, wenn weniger als 250 Mitarbeiter beschäftigt werden und

  • kein Risiko für die Rechte und Freiheiten der betroffenen Personen entsteht
  • die Verarbeitung nur gelegentlich erfolgt
  • keine besonderen Kategorien personenbezogener Daten werden verarbeitet

Da jedes in Deutschland ansässige Unternehmen im Rahmen der monatlichen Lohnbuchhaltung personenbezogene Daten verarbeitet und dazu insbesondere die Informationen zur Kirchenangehörigkeit fallen (Religionszugehörigkeit als besondere Kategorie), muss jedes deutsche Unternehmen ab dem ersten Angestellten ein solches Verzeichnis der Verarbeitungstätigkeiten führen. Nicht von dieser Pflicht betroffen scheinen somit lediglich Einzelunternehmer zu sein.

Oft wird übersehen, dass diese Verpflichtung Glück im Unglück darstellen könnte: Gemäß Art. 5 Abs. 2 DSGVO unterliegt jedes Unternehmen einer Rechenschaftspflicht. Es bietet sich daher ohnehin an jeden einzelnen Prozess minuziös zu dokumentieren, um im Zweifel die Rechtmäßigkeit der Datenverarbeitung nachweisen zu können.

Im Folgenden schildere ich welche organisatorischen und technischen Maßnahmen man ergreifen kann, um das Verzeichnis der Verarbeitungstätigkeiten zu erstellen und es mit geringem personellen Aufwand aktuell zu halten.

Inhalt

Im Verzeichnis der Verarbeitungstätigkeiten müssen zunächst der Verantwortliche, d.h. das Unternehmen und sein rechtlicher Vertreter, und der Datenschutzbeauftragte (falls vorhanden) benannt werden.

Weiterhin ist für jede Tätigkeit festzuhalten

  • Bezeichnung der Verarbeitungstätigkeit
  • Zweck der Verarbeitung
  • Verantwortliche Abteilung
  • Ansprechpartner
  • Liste der Kategorien personenbezogener Daten (exakt)
  • Liste der Kategorien betroffener Personen (grob)
  • Liste der Kategorien von Empfängern  (exakt)
  • Informationen zur Drittlandsübermittlung
  • Löschfristen*
  • Allgemeine Angaben zu technischen und organisatorischen Maßnahmen (TOM)*

Bei den mit Stern versehenen Angaben verweist der Gesetzestext darauf, dass diese nur „wenn möglich“ aufgelistet werden müssen. Ich würde das auf jeden Fall tun und das Verzeichnis um weitere Angaben ergänzen, damit andere Pflichten der DSGVO in einem Rutsch erledigt werden.

Erweiterung

Um der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu genügen, wäre es ratsam weitere Aspekte zu erfassen. Die folgende Liste erhebt keinen Anspruch auf Vollständigkeit:

  • Rechtsgrundlage der Verarbeitung (idR. einer der Buchstaben a-f in Art. 6 Abs. 1)
  • Verweis auf die Originaldokumentation der Einwilligung (falls zutreffend)
  • Dokumentation der Informationspflichten (Art. 12 – Art. 14)
  • Exakte Dokumentation der technischen und organisatorischen Maßnahmen (TOM):
    • Sicherheit der Verarbeitung (Art. 32)
    • Speicherbegrenzung (Art. 5 Abs. 1 e)
    • Technikgestaltung und Voreinstellungen (Art. 25)
  • Dokumentation des Meldeverfahrens im Falle eines Datenschutzvorfalls
  • Dokumentation des Rechtes aus Auskunft (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Sperrung) (Art. 15 – Art. 21)
  • Risikobewertung, ggf. Datenschutzfolgenabschätzung (Art. 35)
  • Dokumentation der Mitarbeiterschulungen zum Datenschutz
  • Auflisten der Auftragsverarbeiter mit Verweis auf die geschlossenen Verträge (Art. 28)

Technische Umsetzung

Zur technischen Umsetzung bietet sich eine kollaborative Software, wie z.B. ein Wiki an. Auf dieses könnte aus dem Intranet des Unternehmens zugegriffen werden, wobei es sich anbietet für jeden Prozess eine eigene Seite, ggf. mit weiteren Unterseiten, im Wiki zu erstellen. Diese Seite kann dann von allen Mitarbeitern einer Abteilung eingesehen und von ausgewählten Mitarbeitern editiert werden, um Veränderungen an den Abläufen zeitnah zu dokumentieren.

Die Bewertung kann man als hierarchischen Prozess gestalten: Jeder Abteilungsleiter bestätigt die inhaltlich korrekte Gestaltung aller Seiten seiner Mitarbeiter. Der Datenschutzbeauftragte betrachtet alle Seiten unter Aspekten des Datenschutzes und setzt die Abteilungsleiter und die Geschäftsführung über Änderungsbedarf in Kenntnis.

Es ist empfehlenswert regelmäßige Snapshots des Wikis zu erstellen, indem alle Inhalte  als übersichtliches PDF exportiert werden, welches der zuständigen Datenschutzbehörde bei einer Überprüfung ausgeliefert werden kann.