Datenschutzmanagement

Die Bedeutung des Datenschutzes ist mit der Entwicklung komplexer Informationssysteme und den gesetzlichen Anforderungen stetig gestiegen.

Für die Datenerfassung, Datenverarbeitung und Datenweitergabe werden immer mehr digitale Dienste genutzt. In der Praxis besteht die Herausforderung darin, Innovationen durch sinnvolle und angemessene Maßnahmen des Datenschutzes bzw. der Informationssicherheit so zu flankieren, dass diese rechtssicher realisiert werden können.

DSGVO + BDSG-neu
Anforderungen an ein Datenschutz-Management-System (DSMS)

Die neue Datenschutz-Gesetzgebung stellt Unternehmen vor neue Herausforderungen. Das gilt nicht nur im Hinblick auf die Verschärfung einzelner Vorschriften oder die Höhe möglicher Bußgelder. Vielmehr stellt die Grundverordnung in Art. 5 Abs. 2 klar, dass eine Rechenschaftspflicht besteht („Accountability“).

Neu: Die Rechenschaftspflicht für Unternehmen

Unter „Accountability“ ist nicht nur die Zuständigkeit und Verantwortung für die Einhaltung der festgelegten Prinzipien zur Datenverarbeitung nach Art. 5 Abs. 1 DSGVO zu verstehen, sondern auch eine Nachweispflicht. Das Unternehmen muss nachweisen (können), dass es als Verantwortlicher angemessene und wirksame Maßnahmen ergreift, um die datenschutzrechtlichen Grundsätze und Verpflichtungen der DSGVO umzusetzen.

Worauf bezieht sich die Rechenschaftspflicht?

Die Rechenschaftspflicht erstreckt sich auf alle Anforderungen, die die Grundverordnung an den für die Verarbeitung Verantwortlichen stellt. Dazu zählen die allgemeinen Prinzipien der DSGVO ebenso wie spezifische Anforderungen an den Lebenszyklus der Verarbeitung von personenbezogenen Daten im Unternehmen.

Zunächst zu den allgemeinen Prinzipien der Grundverordnung:

Prinzipien der Verarbeitung von personenbezogenen Daten

Zu den allgemeinen Prinzipien der Verarbeitung personenbezogener Daten zählen nach Art. 5 Abs. 1 DSGVO:

Rechtmäßigkeit: Verarbeitung nach Treu und Glauben
Transparenz: Verarbeitung auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für den Betroffenen nachvollziehbaren Weise
Zweckbindung: Erhebung für festgelegte, eindeutige und rechtmäßige Zwecke, wobei eine Weiterverarbeitung diesen Zwecken nicht zuwiderlaufen darf
Datenminimierung: Beschränkung auf das für den Zweck der Verarbeitung angemessene und sachlich relevante sowie notwendige Maß
Richtigkeit: Sachlich richtige und ggf. aktuellste Daten, Maßnahmen zur unverzüglichen Löschung oder Berichtigung unzutreffender Daten
Speicherbegrenzung: Speicherung mit Personenbezug höchstens so lange, wie es für die Verarbeitungszwecke erforderlich ist
Integrität, Vertraulichkeit, Verfügbarkeit: Geeignete technisch-organisatorische Maßnahmen zum angemessenen Schutz der Daten, insbesondere vor unbefugter oder unrechtmäßiger Verarbeitung, zufälligem Verlust, zufälliger Zerstörung oder Schädigung

Pflichten des Verantwortlichen

Eine Vielzahl von Vorschriften konkretisiert diese allgemeinen Grundsätze. Im Hinblick auf die rechtliche Zulässigkeit der Datenverarbeitung betrifft das v.a. folgende Punkte:

„Data Privacy by Design“ und „Data Privacy by Default“, Art. 25 DSGVO: Der Verantwortliche muss geeignete Maßnahmen zur wirksamen Umsetzung der datenschutzrechtlichen Grundsätze ergreifen (etwa zur Datenminimierung). Dabei muss er durch datenschutzfreundliche Voreinstellungen sicherstellen, dass er nur die jeweils erforderlichen Daten verarbeitet.
Datenschutz-Folgenabschätzung, Art. 35, 36 DSGVO: Der Verantwortliche muss bei einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen vorab eine Analyse der Folgen erstellen. Für die identifizierten Risiken muss er geeignete Maßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren umsetzen.
Rechtmäßigkeit, Art. 6 DSGVO: Der Verantwortliche muss die Rechtmäßigkeit an den gesetzlich definierten Verarbeitungstatbeständen ausrichten. Dazu zählen v.a. die Voraussetzung einer Einwilligung, Art. 7, 8 DSGVO, Einschränkungen für besondere Datenkategorien und Inhalte, Art. 9, 9 lit. a DSGVO, § 22 BDSG-neu, und die Verarbeitung ohne Bestimmung des Betroffenen, Art. 10 DSGVO.
Übermittlung in Drittländer, Art. 44 DSGVO: Bei der Datenübermittlung in ein Drittland muss der Verantwortliche (samt Auftragsverarbeiter) Garantien für eine rechtmäßige Verarbeitung bieten.

Zugleich fordert die DSGVO vom Verantwortlichen geeignete Maßnahmen zur datenschutzrechtlichen Information und Kommunikation, insbesondere für den „Fall des Falles“:

Transparenz, Art. 12 DSGVO: Der Verantwortliche muss Betroffene in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache informieren, und zwar in Bezug auf Name und Kontaktdaten der verantwortlichen Stelle (samt Datenschutzbeauftragtem) sowie Zwecke, ggf. berechtigte Interessen und Empfänger sowie die Drittlandübermittlung
Verletzung, Art. 33, 34 DSGVO, § 29 BDSG-neu: Verletzungen des Schutzes personenbezogener Daten muss der Verantwortliche an die Aufsichtsbehörde melden. Gegebenenfalls muss er die Betroffenen benachrichtigen.

Technisch-organisatorische Maßnahmen nachweisen

Im Rahmen der eigentlichen Verarbeitung personenbezogener Daten muss der Verantwortliche geeignete technisch-organisatorische Maßnahmen v.a. in folgenden Bereichen vorsehen, umsetzen und nachweisen können:

Verantwortung, Art. 24 DSGVO: Der Verantwortliche hat risikobasiert die geeigneten Maßnahmen zum Schutz der von der Verarbeitung betroffenen Daten zu ergreifen. Die Maßnahmen muss er nachweisen und aktuell halten.
Auftragsverarbeitung, Art. 28 DSGVO: Der Verantwortliche darf nur mit Auftragsverarbeitern zusammenarbeiten, die Garantien dafür bieten, dass sie personenbezogene Daten durch geeignete technisch-organisatorische Maßnahmen schützen. Darüber muss ein Vertrag existieren.
Datensicherheit, Art. 32 DSGVO: Der Verantwortliche muss risikobasiert durch geeignete Maßnahmen die klassischen IT-Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit bei der Datenverarbeitung sicherstellen („Sicherheitskonzept“).

Erforderliche interne Maßnahmen

Schließlich fordert die DSGVO vom Verantwortlichen die Umsetzung einer Reihe interner Maßnahmen. Die wichtigsten:

Verzeichnis, Art. 30 DSGVO: Der Verantwortliche muss ein Verzeichnis aller Verarbeitungstätigkeiten führen – ähnlich dem aus dem BDSG bekannten Verfahrensverzeichnis.
Dokumentation,
26, 28, 31, 44 DSGVO: Der Verantwortliche muss neben dem Führen eines Verzeichnisses seiner Dokumentationspflicht nachkommen, z.B. bei Weisungen, Verletzungen oder Garantien im Rahmen der Drittlandübermittlung.
Datenschutzbeauftragter, Art. 37–39 DSGVO, §§ 5, 38 BDSG-neu: Der Verantwortliche hat unter bestimmten Voraussetzungen einen Datenschutzbeauftragten zu bestellen, dessen Aufgaben v.a. in der Beratung und in der Überwachung des Einhaltens der DSGVO-Vorgaben liegen.
Recht auf Vergessenwerden, Art. 17 DSGVO, § 35 BDSG-neu: Der Verantwortliche hat nicht nur sicherzustellen, dass personenbezogene Daten nur ausnahmsweise nicht „unverzüglich“ gelöscht werden. Er muss – sofern er die Daten publik macht – auch sicherstellen, dass er Dritte darüber informiert.
Recht auf Interoperabilität, Art. 20 DSGVO: Der Verantwortliche muss sicherstellen, dass er personenbezogene Daten von Betroffenen in einem gängigen, maschinenlesbaren Format ausgeben kann.

Fazit: Ohne Datenschutz-Management-System geht es nicht

Der Verantwortliche muss im Ergebnis einen „bunten Blumenstrauß“ an Maßnahmen (risikobasiert) definieren, umsetzen, dokumentieren und kontrollieren. Angesichts der Fülle von Anforderungen einerseits und der Rechenschafts- und Nachweispflicht aus der DSGVO andererseits wird er dabei um ein geordnetes System nicht herumkommen.

Ausblick: Der PDCA-Zyklus

Die Marschrichtung für ein solches System gibt die DSGVO selbst vor. Denn sie greift etablierte Prinzipien aus Management-Systemen anderer Disziplinen wie etwa der Informationssicherheit oder des Risikomanagements auf. Das zeigt besonders deutlich Art. 24 DSGVO.

Danach muss der Verantwortliche unter Berücksichtigung des Kontexts und des Risikos Maßnahmen planen, umsetzen, dokumentieren, prüfen und bei Bedarf verbessern. Nichts anderes besagt im Kern der P(lan)-D(o)-C(heck)-A(ct)-Zyklus als Prinzip eines jeden Management-Systems.

Leistungen rund um das Thema Datenschutzmanagement sowie unsere branchenspezifischen Lösungen:

Die AuraSec GmbH verfügt über einen Pool von hochqualifizierten Fachleuten, die gleichzeitig über ausgeprägte Kompetenz im Bereich des Datenschutzes sowie auch der Informationssicherheit verfügen. Sie können bei der Klärung von hochkomplexen datenschutzrechtlichen und technischen Fragestellungen unterstützen und entsprechende Projekte rechtssicher in ihr Ziel führen. Dabei verfügen unsere Experten über ausgeprägtes Branchen-Know-How, bspw. im Kontext des Sozialdatenschutzes.

Bestandsaufnahme / Datenschutzaudit nach EU-DSGVO, BDSG und SGB

Bei einem Datenschutzaudit erheben und analysieren wir für Sie den aktuellen Sachstand des Datenschutzmanagements in Ihrem Unternehmen. Dabei werden mögliche Nichtkonformitäten zu den gesetzlichen Anforderungen sowie Sicherheitslücken aufgezeigt und Maßnahmen zu deren Behebung empfohlen. Dem Grundsatz folgend, dass nicht jede technisch oder organisatorisch mögliche Maßnahme auch angemessen und effizient ist, wird bei der Auswahl von Maßnahmen im Dialog mit dem Auftraggeber insbesondere nach ökonomisch angemessenen Lösungen gesucht.

Nach dem Audit erhalten Sie einen kompakten und anwendungsbezogenen Bericht mit konkreten und priorisierten Handlungsempfehlungen, um den Datenschutz in Ihrem Unternehmen rechtskonform und effizient zu optimieren.

Stellung eines Datenschutzbeauftragten (DSB)

Gemäß der EU-Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz ist die Bestellung eines Datenschutzbeauftragten (DSB) unter gewissen Voraussetzungen (Unternehmensgröße, Verarbeitung sensibler personenbezogener Daten) notwendig. Abhängig von Ihren konkreten Anforderungen stellen wir einen qualifizierten Experten, der die Rolle des Datenschutzbeauftragten in Ihrem Unternehmen/in Ihrer Organisation übernimmt oder wir unterstützen einen bereits bestellten internen Datenschutzbeauftragten bei seiner Arbeit.

Datenschutzmanagement Unterstützungsleistungen

Wir unterstützen Sie bei der Einführung eines umfassenden gesetzeskonformen, jedoch pragmatischen und effektiven Datenschutzmanagements. Gerne beraten wir Sie auch hinsichtlich der Implementierung eines Datenschutzmanagementsystems, die zunehmend an Bedeutung gewinnt. Mit einem Datenschutzmanagementsystem minimieren Sie die Haftungsrisiken und etwaige Bußgelder für den Fall, dass es einmal zu einem Datenschutzvorfall kommt.

Prüfung der Auftragsdatenverarbeitung / Auftragsverarbeitung

Aus § 80 Abs. 1 SGB X-neu ergibt sich, dass es sich bei einem Auftrag nach § 80 SGB X um einen Auftrag im Sinne des Art. 28 DSGVO handelt.

Der europäische Gesetzgeber hat festgelegt, dass gemäß Art. 28 Abs. 1 DSGVO eine Datenverarbeitung im Auftrag nur dann erfolgen darf, wenn der Auftragsverarbeiter hinreichende Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Dabei ist zu beachten, dass gemäß Art. 28 Abs. 3 lit. h DSGVO zwischen Auftraggeber (dem Verantwortlichen) und dem Auftragnehmer (dem Auftragsverarbeiter) die Durchführung von Prüfungen des Auftragnehmers zwingend vertraglich geregelt sein muss. Diese Prüfungen können entweder vom Auftraggeber selbst durchgeführt werden oder von Prüfern, die vom Auftraggeber dazu beauftragt worden sind.
Die gesetzlichen und vertraglichen Anforderungen an den Auftragnehmer müssen von diesem während der gesamten Dauer des Auftragsverhältnisses eingehalten werden. Dazu zählen auch geeignete technische und organisatorische Maßnahmen gemäß Art. 32 Abs.1 DSGVO, die im Vertrag zur Auftragsverarbeitung idealerweise konkret festgelegt werden und die Grundlage für die Prüfungen des Auftragnehmers bilden.

Die Durchführung und die Ergebnisse der Prüfungen müssen im Sinne der Rechenschaftspflicht des Verantwortlichen gemäß von Art. 5 Abs. 2 DSGVO dokumentiert werden.

Ausführungen zur Prüfverpflichtung werden ferner durch das Bundesamt für Soziale Sicherung (BAS), den Prüfdienst Kranken- und Pflegeversicherung sowie die Datenschutzbehörden des Bundes und der Länder veröffentlicht.

Zur Reduktion von Kosten sowohl auf der Seite der Krankenkassen als auch auf der Seite des geprüften Unternehmens wird die Prüfung im Rahmen einer Prüfgemeinschaft durchgeführt.

Die inhaltliche Grundlage der Prüfung bilden:
• die gemäß § 80 Abs. 1 SGB X i.V. mit Art. 28 Abs. 3 lit. h DSGVO zwischen den Krankenkassen und der geprüften Organisation vertraglich vereinbarten technischen und organisatorischen Maßnahmen
• weitere krankenkassenindividuelle Anforderungen, soweit diese der AuraSec GmbH im Vorfeld der Prüfung durch die Krankenkassen zur Verfügung gestellt wurden
• die übrigen Vorschriften der Sozialgesetzbücher
• die gesetzlichen Anforderungen der DSGVO, des BDSG (neu) sowie der Landesdatenschutzgesetze
• weitere Vorschriften im Bereich des Datenschutzes, beispielsweise das VDG, das TKG, TMG und andere Gesetze
• einschlägige Veröffentlichungen des Prüfdienstes Kranken- und Pflegeversicherung, wie z.B. „Leitfaden Elektronische Kommunikation und Langzeitspeicherung elektronischer Daten“
• einschlägige Veröffentlichungen des GKV-Spitzenverbandes
• einschlägige Standards wie die DIN ISO/IEC 27001 und der BSI-Grundschutz

Dementsprechend sind die Auftraggeber verpflichtet, in der Regel vor Ort beim Auftragnehmer eine Prüfung der technischen-/organisatorischen Maßnahmen des Auftraggebers durchzuführen. Die Unterlassung dieser Prüfung vor Beginn der Auftragsdatenverarbeitung kann mit einem Bußgeld belegt werden.

Für die sachgerechte Durchführung dieser Prüfungen ist spezifischer Sachverstand erforderlich. Dies gilt insbesondere in dem Fall, dass für die Datenverarbeitung komplexe IT-Systeme eingesetzt werden.

Die Experten der AuraSec GmbH führen jährlich ca. 100 AV-Prüfungen im Auftrag von rund 150 unterschiedlichen Unternehmen bei verschiedensten Dienstleistern durch.

Stellung eines externen Datenschutzbeauftragten in Fitness- und Gesundheitsstudios

Ausgangssituation

Nach Art. 37 der EU-Datenschutzgrundverordnung (EU-DSGVO) sind Fitness- und Gesundheitsstudios mit mehr als neun Mitarbeitern, die regelmäßig mit automatisierter Datenverarbeitung (Erhebung und Nutzung) zu tun haben und/oder sensible personenbezogene Daten gemäß Artikel 9 (Gesundheitsdaten) erheben und verarbeiten, dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen.

Der Art. 37 sieht ebenfalls vor, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt wird, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

Gemäß Art. 37 der EU-DSGVO kann der Datenschutzbeauftragte seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen (externer Datenschutzbeauftragter).

Unser Angebot – Ihr Nutzen

Die AuraSec bietet die Stellung eines externen Datenschutzbeauftragten sowie weitere Unterstützungsleistungen an.

Im Einzelnen:

Bereitstellung eines externen Datenschutzbeauftragten inklusive:
– Nennung des Datenschutzbeauftragten auf der Website des Auftraggebers
– Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde [sofern erforderlich]
– Ansprechpartner in Fragen des Datenschutzes insbesondere für die Geschäftsführung und die Mitarbeiter, aber auch in Abstimmung mit dem Geschäftsführer für Kunden, Kooperationspartner, Behörden und Verbände
– Nutzung unseres Online-Portals mit FAQ zu gängigen Fragestellungen. Darin sind sämtliche Dokumente verfügbar, um schnell selbst ein individuelles Datenschutz- und IT-Sicherheitskonzept zu erstellen
– Erstellung eines jährlichen Tätigkeitsberichts

Zusätzliche bzw. optionale Leistungen:

Durchführung einer Bestandsaufnahme, Erstellung eines Maßnahmenplans (nach Aufwand)
Auswertung und Prüfung der vom Studio erstellten Dokumente, Telefonberatung zu datenschutzrechtlichen Fragen und Sachverhalten (nach Aufwand)
Online-Schulung über das AuraSec E-Learning-Portal

Zur Übernahme der Funktion des Datenschutzbeauftragten ist eine Bestandsaufnahme erforderlich. Die Bestandsaufnahme ermittelt die aktuell umgesetzten technischen und organisatorischen Maßnahmen zum Datenschutz und zur IT-Sicherheit und bewertet deren Reifegrad. Aus den Ergebnissen leitet sich der Handlungsbedarf zur Erreichung einer Konformität zu den gesetzlichen Anforderungen gemäß EU-DSGVO bzw. „BDSG neu“ sowie etwaigen spezialgesetzlichen Datenschutzanforderungen ab, und es werden Vorschläge für Verbesserungen mittels eines Maßnahmenplans unterbreitet.

Bei einer Bestandsaufnahme hat der Auftraggeber folgende Wahlmöglichkeiten:

Variante 1: Durchführung vor Ort durch AuraSec
– Durchführung von Interviews
– Prüfung von ausgewählten Dokumenten zum Datenschutz und zur IT-Sicherheit sowie
– Begehung der Räumlichkeiten
– Erstellung einer Maßnahmenübersicht mit Handlungsempfehlungen

Variante 2: Durchführung mittels Checkliste durch den Auftraggeber
– Durchführung der Bestandsaufnahme mittels einer durch AuraSec zur Verfügung gestellten Checkliste
– Prüfung von seitens des Auftraggebers zur Verfügung gestellten Dokumenten und Informationen
– Erstellung einer Maßnahmenübersicht mit Handlungsempfehlungen

Sprechen Sie uns an, wir beraten Sie gerne bzgl. der Vor- und Nachteile beider Varianten und erstellen eine verbindliche Aufwandskalkulation für die mit der Bestandsaufnahme einhergehenden Kosten.

Gerne führen wir auch bei Ihnen ein gesetzeskonformes, effektives und kostengünstiges Datenschutz- und IT-Sicherheitskonzept ein. Kontaktieren Sie uns und lassen Sie sich Ihr persönliches Angebot erstellen: info@aurasec.de

Senden Sie uns gerne eine unverbindliche Anfrage

Jetzt Kontakt aufnehmen