Loomion unterstützt Sie bei der DSGVO – Teil 3
Die Datenschutz-Grundverordnung kommt in eiligen Schritten im Wonnemonat Mai. Im letzten Artikel haben wir das Verzeichnis der Verarbeitungstätigkeiten vorgestellt und darauf hingewiesen, wie die DSGVO auf nahezu alle Abteilungen Einfluss nehmen wird. Die DSGVO ist nicht Sache der IT, sondern schlussendlich in alleiniger Verantwortung des Geschäftsführers.
Daten-Management-System
Die DSGVO (oder General Data Protection Regulation, GDPR) und zudem die Änderungen im Bundesdatenschutzgesetzes (BDSG) sind in der Presse viel diskutiert. Oftmals wird das Thema sehr juristisch behandelt, indem die wichtigsten Paragraphen durchgesprochen werden. Aber im täglichen Umfeld mit Kunden und anderen Unternehmen habe ich das Gefühl, das vermeintliche „Angstthema“ verursacht noch gar nicht so viel Angstschweiß.
Bei meiner Recherche nach Artikel zur DSGVO und neuen Anhaltspunkten, was vor allem für das Management wichtig wird und damit auch für den Verwaltungs- bzw. Aufsichtsrat, stieß ich auf den Trendreport. Am 6. November 2017 erschien dort ein Artikel von Frau Barbara Scheben, Partnerin im Bereich Compliance & Forensic der KPMG AG Wirtschaftsprüfung. Ein Artikel, der kurz und bündig darauf hinweist, dass die DSGVO nicht Aufgabe des Datenschutzbeauftragten ist, sondern dass ein komplexes Datenschutz-Management-System geschaffen werden muss, um den neuen Transparenzpflichten, Betroffenenrechte, Risikoanalysen, Form- und Fristvorgaben gerecht zu werden. Allein das Fehlen verordungskonformer Prozesse und Maßnahmen können Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweiten Jahresumsatzes nach sich ziehen.
Wie im letzten Artikel aufgezeigt müssen die Ergebnisse aus der Prüfung aller Prozesse im Unternehmen auf DSGVO-Konformität und -Zulässigkeit nicht nur überprüft werden, sondern anschließend auch in ein Regelwerk transferiert werden. „Dies beinhaltet eine Aufbau- und Ablauforganisation, Regelprozesse, darauf abgestimmte Kontrollmaßnahmen und eine prüfungssichere Dokumentation. Risikoanalyse, Transparenz und Dokumentation sind die zentralen inhaltlichen Aspekte der DSGVO. Der Datenschutz wird NICHT „vom Datenschutzbeauftragten gemacht“. Vielmehr kommt er an den verschiedensten Stellen in ALLEN Unternehmensprozessen zum Tragen und muss von den jeweiligen Prozessverantwortlichen (first line) beachtet und umgesetzt werden. Die Datenschutz-Funktion nimmt hingegen eine beratende und kontrollierende Rolle ein (second line)“, schreibt Frau Scheben im Artikel.
Das Verzeichnis der Verarbeitungstätigkeiten, welches wir letzte Woche vorgestellt haben wird dabei das Kernstück. Hier wird festgehalten wo personenbezogene Daten verarbeitet werden und warum dies überhaupt zulässig ist. Die Art der Daten, der Zweck der Verarbeitung, Empfänger der Daten und die Löschfristen müssen erklärt werden, genauso wie dazugehörige Sicherheitsmaßnahmen. Der Aufwand dieses Verzeichnis zu erstellen, bedeutet einen ernormen Zeit- und Personalaufwand. Schließlich sind die meisten Prozesse in einem Unternehmen von Menschen abhängig und damit personenbezogen.
Ist dieser Schritt geschafft, gilt es im Anschluss das Risiko für die Betroffenen abzuschätzen. Denn auch hier wurde mit der „72-Stunden Meldepflicht“-Regel ein straffes Strafmaß vorgelegt. Bei Datenschutzverstößen besteht innerhalb der Frist Meldepflicht. Frau Scheben schreibt hier: „So verpflichtet die DSGVO den Verantwortlichen geeignete technische und organisatorische Maßnahmen unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau sicherzustellen. Dementsprechend müssen Unternehmen für jede Verarbeitung eine ausführliche Risikoanalyse unter Berücksichtigung dieser Aspekte durchführen und deren Ergebnisse dokumentieren.“
Ergibt wiederum diese Analyse, dass ein hohes Risiko für die Betroffenen besteht, muss eine Datenschutz-Folgeabschätzung vorgenommen werden, was sogar den Gang zu einer Aufsichtbehörde bedeuten kann.
Über andere Punkte der DSGVO haben wir schon ausführlich berichtet. Interessant an diesem Artikel war der Aspekt, ein ganzheitliches Datenschutz-Management-System einzurichten. Nur ein Management-System, das unternehmensweit die Aspekte der Dokumentation, der Risikoanalyse und der Transparenz erfüllt, wird den Anforderungen der DSGVO genügen. Der wichtigste Punkt ist dabei die Rechenschaftspflicht und diese Pflicht trägt am Ende die Geschäftsführung.
Die DSGVO ist Aufgabe der obersten Linie und umfasst alle darunterliegenden Abteilungen und Prozesse. Nehmen Sie diese Aufgabe ernst! Wo liegen Ihre Daten? Das sollte die erste Prüfung sein, denn die Dienstleister zur Datenverarbeitung tragen nicht mehr Ihr Risiko. Von da aus müssen alle Verarbeitungsprozesse dokumentiert werden. Aber ein von uns empfohlener Startpunkt ist die Frage, ob die Daten überhaupt in einem DSGVO konformen Datenraum gespeichert sind.
Sollten Sie Fragen zu sicheren Datenräumen haben, kommen Sie auch gerne zu uns, wir bieten Ihnen ein Beratungsgespräch an: 15 Min mit Loomion
#Loomion_Kolumne #Loomion #Board_Portal #Virtual_DataRoom #CorpGov #papierlos #Boardroom #FreeYourBoard #Datenschutz #DSG #DSGVO #GDPR #BigData #SmartData #Digitalisierung #Governance #Recap #Compliance #CSR
