Datenschutz

Datenschutzrechtliche Verantwortlichkeit

Art. 24 DSGVO sieht als allgemeine Regel die datenschutzrechtliche Verantwortlichkeit und Haftung des Verantwortlichen für jede Datenverarbeitung vor, die von ihm oder in seinem Auftrag ausgeführt wird. Im Ergebnis dieser Verantwortlichkeit und um sicherzustellen und nachweisen zu können das die Verarbeitung im Einklang mit dieser Verordnung erfolgt ist er laut Art. 24 Abs. 1 DSGVO zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOM) verpflichtet.

Datenschutzfolgenabschätzung

Wie aus den Erwägungsgründen 74 – 77 und 83 hervorgeht hat er dazu einige wichtige Dinge zu beachten. Die besagten TOM müssen die Art, den Umfang, die Umstände und den Zweck der Datenverarbeitung berücksichtigen. Besondere Berücksichtigung sollen auch die Risiken für die Rechte und Freiheiten der betroffenen Personen finden. Dabei kann eine Datenschutz-Folgenabschätzung bei der Wahl geeigneter Maßnahmen hilfreich sein. Es ist wichtig im Ergebnis der DSFA die richtigen Maßnahmen zu bestimmen um den Anforderungen aus der Verordnung gerecht zu werden.

Risikobasierter Ansatz

Gemäß Art. 24 Abs. 2 DSGVO muss der Verantwortliche geeignete Datenschutzvorkehrungen treffen, die in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten stehen. Dies kann über ein risikobasiertes Datenschutz-Managementsystem (DSMS) erfüllt werden. Es kann helfen geeignete TOM zu treffen um das vorgesehene Niveau im Datenschutz gem. der Verordnung zu garantieren. Hierbei gilt es jedoch für Unternehmen eine Abwägung zu treffen ob die Einführung des DSMS einen zu großen Aufwand bedeutet.

Das DSMS

Ein DSMS ist ein internes Compliance-System zur Sicherstellung der Erfüllung der sicherheits- und datenschutzbezogenen Pflichten eines Unternehmens. Da der Verantwortliche potenziell für die Implementierung der Standards für den Datenschutz haftet sollte diese gewissenhaft erfolgen. Nicht zuletzt drohen nicht zu verachtende Bußgelder bei Verletzung dieser Pflichten. Ein DSMS nutzt die Prozesse aus einem bestehenden IT-Sicherheitskonzept. In diesem sollten bereits die wichtigsten Schutzmachanismen für Datenverarbeitungen umgesetzt werden. Auch die Überwachung der TOM ist hierin bereits geregelt.

Zentrales DSMS

Ein zentrales DSMS kann außerdem dazu beitragen Kosten und Aufwände zu reduzieren und bietet hinreichende Möglichkeiten Synergien zu nutzen. Diese können die Entwicklung von Konzepten für den Schutz der Daten genauso betreffen wie gemeinsame Trainings der Datenschutz- und der Informationssicherheitsteams für die Mitarbeiter. Auch Berichte und Dokumentationen lassen sich leichter erstellen und bei Bedarf an die Geschäftsführung kommunizieren.

Die Rolle des DSB

Hier kommt auch der Rolle des Datenschutzbeauftragten (DSB) eine hohe Bedeutung zu. Er sollte als Ansprechpartner für die Geschäftsführung, die Aufsichtsbehörden und die Betroffenen fungieren. Die hohen Anforderungen an den Datenschutz laut DSGVO und die deutlich höheren Bußgelder sollten Anlass für Verantwortliche sein über die Einführung eines DSMS nachzudenken.

Rechenschaftspflicht

Der Verantwortliche darf auch nicht vergessen seiner Rechenschaftspflicht, welche sich aus Art. 5 Abs. 2 DSGVO ergibt nachzukommen. Ein gut implementiertes DSMS kann dabei sehr hilfreich sein. Ein wichtiger Bestandteil des DSMS ist auch das Verzeichnis der Verarbeitungstätigkeiten, welches auf Verlangen der Aufsichtsbehörde ausgehändigt werden muss, damit diese die Rechtmäßigkeit der Verarbeitung nachprüfen kann.