Erste Schritte mit der DSGVO

Die Datenschutzgrundverordnung -kurz DSGVO- ist oft schon aufgrund Ihres langen Namens furchteinflößend. Hinzu kommt, dass es in den letzten Monaten von vielen Seiten Ängste geschürt werden ("20 Millionen Strafe! 4 Prozent des weltweiten Umsatzes! Die Anforderungen sind unmöglich zu erfüllen!").

Unser erster Ratschlag daher: Don't panic!

Die Verordnung erscheint auf den ersten Blick kompliziert und schwer zugänglich, sie folgt allerdings sehr vernünftigen Prinzipien, so dass die gestellten Anforderungen in sich schlüssig sind und sich oft aus "gesundem Menschenverstand" ableiten lassen. Aber verschaffen wir uns erstmal einen Überblick:

Die DSGVO aus Flughöhe

Der Gesetzestext umfasst insgesamt 99 Artikel welche in 11 Kapitel unterteilt sind. Für Unternehmen und Organisation direkt relevant sind dabei insbesondere die Kapitel I bis V. Diese regeln folgende Dinge:

  • Kapitel I enthält allgemeine Bestimmungen und stellt klar, wann und für wen die DSGVO überhaupt gilt. Wer nicht sicher ist, ob die Verordnung überhaupt anwendbar ist sollte also zunächst hier einen Blick hineinwerfen.
  • Kapitel II definiert Grundsätze für die Verarbeitung von personenbezogenen Daten: Hier wird aufgelistet, unter welchen Bedingungen eine Organisation, ein Unternehmen oder eine staatliche Behörde überhaupt die Daten von Personen verarbeiten darf (und wann nicht).
  • Kapitel III beschreibt die Rechte der betroffenen Person und unterteilt sich nochmals in fünf Abschnitte:
    • Abschnitt 1 definiert sogenannte Transparenzrechte und legt damit fest, in welcher Art eine betroffen Person darüber informiert werden soll, wie, wo und wofür ihre Daten verarbeitet werden.
    • Abschnitt 2 regelt, welche Auskunftsrechte eine betroffene Person hat.
    • Abschnitt 3 befasst sich mit dem Recht der betroffenen Person, die Löschung oder Richtigstellung von Daten zu verlangen.
    • Abschnitt 4 regelt das Recht auf Einschränkung der Verarbeitung sowie die Auskunfts- und Einspruchsrechte beim Einsatz automatisierter Entscheidungsverfahren.
    • Abschnitt 5 definiert schließlich Ausnahmen von den genannten Rechten, z.B. wenn es um die nationale Sicherheit geht.
  • Kapitel IV befasst sich mit den Pflichten und Rechten des Verantwortlichen sowie des Auftragsverarbeiters und ist wiederum in mehrere Abschnitte unterteilt:
    • Abschnitt 1 definiert die Pflichten der beiden.
    • Abschnitt 2 regelt die Sicherheit personenbezogener Daten.
    • Abschnitt 3 befasst sich mit der Datenschutz-Folgenabschätzung.
    • Abschnitt 4 beschreibt die Rolle des Datenschutzbeauftragten.
    • Abschnitt 5 schließlich beschreibt Verhaltensregeln und Möglichkeiten der Zertifizierung.
  • Kapitel V beschäftigt sich schließlich mit der Übermittlung von Daten in sogenannte Drittländer sowie an internationale Organisationen.

Dies fünf Kapitel enthalten fast genau 50 % der Artikel der DSGVO und sind für alle "Datenverarbeiter" die relevanteste Informationsquelle. Das heißt aber nicht, dass die restlichen Kapitel unbedeutend sind, denn sie haben indirekt große Auswirkungen: Kapitel VIII beispielsweise regelt die Beschwerdemöglichkeiten sowie die Vergabe von Sanktionen und Kapitel IX befasst sich mit besonderen Verarbeitungssituationen in denen es z.B. um die Wahrung der Meinungsfreiheit oder die Verarbeitung von Beschäftigtendaten geht.

Die DSGVO umsetzen

Jetzt wo wir einen ersten Überblick über die relevantesten Bereiche der Gesetzgebung haben stellt sich natürlich die Frage: Wo fange ich an?

Wie so oft im Leben, gibt es auch hier keine eindeutige Antwort: Startups und kleine Unternehmen deren primärer Geschäftszweck nicht das Sammeln von Nutzerdaten ist werden sich hier naturgemäß sehr viel einfacher tun als große Unternehmen die eine Vielzahl von Nutzerdaten sammeln und verarbeiten.

Der Ansatz den wir hier vorstellen ist auf kleine Unternehmen und Startups zugeschnitten und ergibt sich aus unserer Erfahrung bei der Arbeit mit diesen. Wir erheben dabei keinen Anspruch darauf den besten Ansatz zu kennen, haben in der Praxis bei der Umsetzung der DSGVO damit aber gute Erfahrungen gesammelt.

Schritt 1: Gilt die DSGVO für uns überhaupt?

Zunächst sollte generell geklärt werden, ob die DSGVO für das eigene Unternehmen oder die eigene Organisation überhaupt anwendbar ist. Für Unternehmen mit Sitz in der europäischen Union (EU) sowie Unternehmen, die willentlich die Daten von Bürgern der EU verarbeiten lautet die Antwort: Ja. Gleiches gilt für Vereine und sonstige Organisationen, die personenbezogene Daten verarbeiten. Ausgenommen von der DSGVO sind lediglich Privatpersonen, die Daten für persönliche oder familiäre Zwecke verarbeiten sowie staatliche Behörden, die weiterhin eigenen Datenschutzgesetzen unterliegen.

Schritt 2: Zieldefinition

Ist klar, dass die DSGVO greift ist es nützlich sich zunächst klarzumachen, welches Ziel wir bei der Umsetzung verfolgen, wie also der Idealzustand nach erfolgreicher Zielerreichung aussehen würde. Stark vereinfacht lautet die Antwort folgendermaßen:

  • Alle Prozesse die personenbezogene Daten verarbeiten sind systematisch erfasst und dokumentiert (falls nötig). Für jeden einzelnen Prozess sind in diesem Fall mindestens folgende Dinge in der Dokumentation enthalten:
    • Der Namen und die Kontaktdaten der Verantwortlichen und deren Datenschutzbeauftragten.
    • Der Zweck der Datenverarbeitung.
    • Die Kategorien der verarbeiteten Daten.
    • Die rechtliche Grundlage der Datenverarbeitung.
    • Die Stellen sowie ggf. Auftragsverarbeiter welche die Daten verarbeiten.
    • Die Löschfristen für die Daten, falls möglich.
    • Die technischen und organisatorischen Maßnahmen zum Schutz der Daten.
    • Falls nötig eine Datenschutz-Folgenabschätzung. Auftragsverarbeiter führen ebenfalls ein angepasstes Verfahrensverzeichnis.
  • Alle Prozesse minimieren die erhobenen Daten und besitzen datenschutzfreundliche Voreinstellungen.
  • Nötige Einwilligungen aller betroffenen Personen zur Verarbeitung von Daten sind rechtssicher erfasst und dokumentiert.
  • Die Daten sind durch technische und organisatorische Maßnahmen geschützt. Diese Maßnahmen umfassen u.a.:
    • Methoden zum Schutz von Daten wie Pseudonymisierung, Anonymisierung oder Verschlüsselung.
    • Verfahren zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme für die Datenverarbeitung.
    • Verfahren zur regelmäßigen Überprüfung der Maßnahmen.
  • Betroffenrechte werden gewährt und umgesetzt. Dies betrifft im Einzelnen die Rechte auf...
    • ...Auskunft zu Art und Herkunft der Daten
    • ...Auskunft zu Verarbeitungszwecken sowie Speicherdauer der Daten
    • ...Auskunft zu den Empfängern der Daten
    • ...Auskunft zu Garantien bei Übertragung in Drittländer / zu internationalen Organisationen
    • ...Löschung der Daten
    • ...Berichtigung der Daten
    • ...Erhalt der Daten
    • ...Portierung der Daten
    • ...Einschränkung der Verarbeitung der Daten
    • ...manuelle Prüfung von automatisierten Entscheidungen
    • ...Beschwerde bei einer Aufsichtsbehörde sowie die Pflicht, auf die obigen Rechte klar hinzuweisen
  • Mit allen Auftragsverarbeitern liegen Veträge über die Verarbeitung und den Schutz der Daten vor.
  • Werden Daten gemeinschaftlich verarbeitet bestehen Regelungen zu den Verantwortungsbereichen der einzelnen Verantwortlichen.
  • Es existieren Prozesse für den Fall des Verlusts personenbezogener Daten. Dies betrifft insbesondere die Benachrichtigung von Betroffenen und Aufsichtsbehörden im Falle von Datenverlust.
  • Es wurde ein Datenschutzbeauftragter bestellt (falls erforderlich).

Nicht alle oben aufgeführten Pfichten sind für alle Unternehmen gleichermaßen verbindlich. Beispielsweise definiert Artikel 30 Ausnahmen für die Notwendigkeit der Führung eines Verfahrensverzeichnis. Artikel 37 definiert zudem die Notwendigkeit für die Bestellung eines betrieblichen Datenschutzbeauftragten.

Schritt 2: Bestandsaufnahme & Dokumentation bestehender Prozesse

Nachdem man weiß wo man hin möchte sollte man als nächstes klären, wo man gerade steht. Hierzu ist es nötig, sich einen Überblick über die eigene Datenverarbeitung zu verschaffen und alle dabei zutage geförderten Prozesse sorgfältig zu dokumentieren. Das ist dabei gleich doppelt nützlich, denn die DSGVO verlangt von Unternehmen in verschiedenen Bereichen eine ausführliche Dokumentation. Folgende Fragen sollten hierbei beantwortet werden:

Welche Art von Daten werden verarbeitet?

Hier geht es darum, alle Prozesse zu erfassen, die in irgendeiner Art und Weise personenbezogene Daten verarbeiten. Für jeden der Prozesse sollte dabei folgendes in Erfahrung gebracht werden.

Dies können Daten sein bei denen der Personenbezug direkt klar ist, wie z.B. E-Mail Adressen oder Namen. Aber auch Daten die indirekt auf eine einzelne Person bezogen werden können fallen hierunter, wie z.B. GPS-Daten oder Nachrichten die von einer Person verfasst wurden (insofern sie nicht anonymisiert wurden). Wer nicht sicher ist, was "Personenbezug" meint sollte sich nochmals die Definition oder den relevanten Artikel hierzu anschauen.

Zu welchem Zweck werden die Daten verarbeitet?

Hier geht es darum festzuhalten, zu welchem Zweck die Daten verarbeitet werden. Für E-Mail Adressen könnte der Zweck z.B. sein, Kunden einen Newsletter zu schicken.

Unter welchen Voraussetzungen werden die Daten verarbeitet?

Schließlich sollte ersichtlich sein, unter welchen Bedingungen die Verarbeitung erfolgt. Kapitel II und insbesondere die Artikel 5 sowie 6 helfen hier weiter. Eine zweifelsfreie Feststellung der Rechtmäßigkeit ist enorm wichtig, denn grundsätzlich gilt: Alles was nicht explizit erlaubt ist, ist verboten.

Wie und wo wurde die Einwilligung zur Verarbeitung erhalten und dokumentiert?

Ergibt sich aus der vorherigen Frage, dass eine Einwilligung zur Verarbeitung nötig war, sollte geklärt werden wann, wo und in welcher Form diese Einwilligung erteilt wurde.

Wo, wie und von wem werden die Daten verarbeitet?

Die DSGVO legt strikte Voraussetzungen für die technische Verarbeitung fest. Es sollte daher für jeden Prozess festgestellt werden, wo und in welcher Form Daten gespeichert und wie diese übertragen werden. Zusätzlich muß erfasst werden, welche Dritten die Daten im Auftrag verarbeiten oder speichern.

Schritt 3: Nötige Maßnahmen identifizieren

Nachdem alle bestehenden und ggf. zukünftig geplanten Verarbeitungsprozesse erfasst und dokumentiert wurden können diese auf Konformität mit der DSGVO geprüft werden. Dabei empfehlen wir, zunächst generell die Rechtmäßigkeit jedes einzelnen Prozesses zu prüfen. Ist die Konformität geklärt, können dann die technischen und organisatorischen Maßnahmen zur Sicherung der Daten bei der Verarbeitung geprüft werden.

Dabei kann die Liste oben als als Grundlage genutzt werden um festzulegen welche Maßnahmen bei bestehenden Prozessen ggf. nötig sind um Rechtskonformität herzustellen. Im Extremfall kann sich auch herausstellen, dass einzelne Prozesse überhaupt nicht DSGVO-konform ausgeführt werden können. In diesem Fall bleibt nichts anderes übrig, als den betreffenden Prozess einzustellen und die dazugehörigen Daten zu löschen. Dies sollte aber bei regulären und verhältnismäßigen Verarbeitungsprozessen fast nie der Fall sein. Fast immer werden für die Umsetzung der DSGVO jedoch Anpassungen an bestehenden Nutzungsbedingungen, Verträgen oder Datenschutzrichtlinien notwendig sein. Ebenso müssen eventuell Aufbewahrungs- und Löschfristen angepasst werden um mit der neuen Gesetzgebung konform zu sein.

Ist die Rechtmäßigkeit sichergestellt, ist für jeden Prozess zusätzlich zu klären, welche organisatorischen und technischen Maßnahmen zur Sicherung der Daten getroffen werden sollten und wo hierfür Handlungsbedarf besteht. Hierbei sind insbesondere die eingesetzten Drittanbieter / Auftragsverarbeiter genau im Hinblick auf ihre DSGVO-Konformität zu überprüfen. Gegebenenfalls sind auch zusätzliche Verträge zur Auftragsverarbeitung von Daten mit diesen zu schließen.

Schritt 4: Umsetzung der Maßnahmen

Wurden alle nötigen Maßnahmen identifiziert, geht es an die Umsetzung. Typischerweise beinhaltet diese folgende Maßnahmen:

  • Bestellung eines Datenschutzbeauftragten, falls nötig.
  • Anpassung von Nutzungsbedingungen und Datenschutzrichtlinien und idealerweise Prüfung durch einen Rechtsanwalt.
  • Information und Einholung (erneute) Einwilligungen aller Nutzer und Vertragspartner, wo nötig.
  • Abschluss von Verträgen zur Auftragsverarbeitung mit Drittanbieter, wo nötig.
  • Anpassung der technischen und organisatorischen Maßnahmen zum Schutz von Daten bei allen Verarbeitungsprozessen.
  • Anpassung der vorgenommenen Voreinstellungen in Anwendungen um "Privacy by Default" umzusetzen.
  • Einrichtung von Prozessen zur Gewährung der Betroffenenrechte.
  • Idealerweise Prüfung der technischen und organisatorischen Maßnahmen durch kompetente Gutachter (intern oder extern).
  • Dokumentation aller Maßnahmen sowie sämtlicher Verarbeitungsprozesse.

Nicht alle Maßnahmen erfordern sofort technische Maßnahmen zur Umsetzung. So kann die Bearbeitung von Auskunfts-, Portabilitäts- oder Löschanfragen auch manuell abgewickelt werden insofern sichergestellt ist, dass die entsprechenden Fristen eingehalten werden können. Ebenso kann der Gesetzgeber im Regelfall nicht erwarten, dass sofort alle erdenklichen Maßnahmen zum technischen und organisatorischen Schutz der Daten umgesetzt werden. Bei der Umsetzung und Verbesserung technischer und organisatorischer Maßnahmen sollten diese daher nach Dringlichkeit priorisiert umgesetzt werden.

Schritt 5: Kontinuierliche Überwachung und Verbesserung

Die Umsetzung der DSGVO ist kein einmaliger Vorgang sondern erfordert explizit die kontinuierliche Überwachung und Verbesserung der getroffenen Maßnahmen. Hier sollte daher ein Prozess geschaffen werden um sicherzustellen, dass Rechtskonformität bei allen bestehenden und neuen Verarbeitungsprozessen gegeben ist und alle Maßnahmen zum Schutz der Daten regelmäßig überprüft und verbessert werden.

Ebenso ist es sinnvoll, für die Aufnahme neuer Verarbeitungsprozesse einen Prozess oder eine Checkliste zu definieren, die alle notwendigen Schritte zur Umsetzung beinhaltet und als Leitfaden bei der Implementierung dienen kann.

Zusammenfassung

Dieser Artikel gab einen kurzen Überblick über die zur Umsetzung der DSGVO notwendigen Maßnahmen. Er hat nicht den Anspruch, jeden Aspekt der Verordnung abzudecken oder vollständig zu sein. Bei der Umsetzung ist es daher wichtig, den Gesetzestext selbst immer im Auge zu haben und im Zweifel dort nach Rat zu suchen. Hilft dies nicht weiter, sollte externe Hilfe in Anspruch genommen werden. Dies muss aber nicht immer ein Rechtsanwalt oder Consulting- Unternehmen sein: Auch die Aufsichtsbehörden selbst haben eine Auskunfts- und Beratungspflicht und müssen Unternehmen und Organisationen damit kostenlos bei der Umsetzung unterstützen. Mit den Aufsichtsbehörden - in Deutschland also z.B. den Landesdatenschutzbehörden - zu reden hat noch einen weiteren Vorteil, denn kommt es zu einem Zwischenfall oder einer unbeabsichtigten Verletzung des Datenschutzes so ist ein nachweisliches Bemühen um Konformität in jedem Fall vorteilhaft.

Um den Prozess zu vereinfachen, richten wir aktuell einen geführten Dialog ein, der die nötigen Informationen schrittweise abfragt und bei der Planung der Umsetzung hilft.

Fragen, Rückmeldungen?

Wir freuen uns auf Feedback, Verbesserungsvorschläge und Fragen zu diesem Artikel: Schreib' uns!