Alle Unternehmen, die personenbezogene Daten verarbeiten, müssen die Einhaltung datenschutzrechtlicher Vorgaben sicherstellen und dafür entsprechende Dokumentation bereitstellen. Dies ist eindeutig aus Art. 5 Abs. 2 der DSGVO zu entnehmen. Allein das Vorhandensein von Regelungen zum Datenschutz und die Benennung eines Datenschutzbeauftragten stellen nicht sicher, dass die Regelungen funktionsfähig sind und die Vorgaben von allen Mitarbeitern wirksam eingehalten werden. Die Geschäftsführung ist zwar per Gesetz verantwortlich für die Einhaltung der datenschutzrechtlichen Vorgaben, kann aber oftmals selber aufgrund fehlender Nachweise keine messbare Einschätzung zum Einhaltungsgrad abgeben. Gerade wenn ein Unternehmen als Dienstleister im Sinn von Art. 28 DSGVO (Auftragsverarbeiter) tätig ist, muss diese Nachweisbarkeit aber auch gegenüber dem Auftraggeber gewährleistet werden. Viele Unternehmen, welche die Verarbeitung von personenbezogenen Daten als Dienstleistungen anbieten, werden inzwischen von ihren Auftraggebern angehalten, qualifizierte Bestätigungen zur Einhaltung des Datenschutzes abzugeben.
Datenschutz-IKS einführen
In der Praxis kann eine solche Nachweisbarkeit gut herbeigeführt werden, wenn Datenschutzkontrollen in tägliche Abläufe integriert werden. Interne Kontrollen für wesentliche Elemente des Datenschutzes können als Datenschutz-Kontrollsystem (Datenschutz-IKS) wirken. Das Datenschutz-IKS beinhaltet Kontrollen, die in alle datenschutzrelevanten (Teil-)Prozesse des Unternehmens integriert werden. Dokumentationen und Nachweise werden zeitnah in Prozessen mitgeführt und sind dann einfach in ihrer Wirksamkeit beurteilbar. Gut zu verdeutlichen ist dies am Beispiel der Einholung von Verschwiegenheitserklärungen für neue Mitarbeiter:
• Wird bereits ein Nachweis durch den Personalbereich über die Einholung einer solchen Verschwiegenheitserklärung geführt, kann sehr einfach die Fehlerquote und damit der Wirkungsgrad der Umsetzung der Vorgaben objektiv gemessen werden.
Welches wichtige Kontrollen sind, kann aus dem Prüfungshinweis des Instituts der Wirtschaftsprüfer in Deutschland e.V. „Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz (IDW PH 9.860.1) entnommen werden. Bei Auftragsverarbeitern müssen interne Kontrollen im Hinblick auf die Nachweisbarkeit des
Datenschutzes in der Tätigkeit für andere Unternehmen mindestens in Prozessen und Unternehmensbereichen vorhanden sein, die zur Dienstleistungserbringung relevant sind.
Der Mindestumfang des Datenschutz-IKS ist ebenfalls gut aus der Verantwortlichkeitsabgrenzung zwischen Auftraggeber und Auftragnehmer abzuleiten. Regelungen, die typischerweise durch den Auftraggeber umzusetzen sind, sind nicht zwingend Gegenstand des Datenschutz-IKS beim Auftragnehmer. Demnach sind beispielsweise die Umsetzung der Informationspflichten gegenüber den Betroffenen oder die Durchführung von Datenschutz-Folgenabschätzungen direkt beim Auftraggeber anzuordnen und zu beurteilen.
Als Auftragsverarbeiter sollten mindestens die nachfolgenden Kriterien prüfbar als Mindestumfang eines Datenschutz-IKS aufgenommen werden:
- Benennung eines Datenschutzbeauftragten und Erfüllungsgrad der gesetzlich geforderten Tätigkeiten
- Beauftragung und vertragliche Regelungen von Unterauftragnehmern in Bezug auf die relevante Dienstleistung, ggf. einschließlich Datenübermittlung in Drittländer
- Prozesse zum Umgang mit Datenschutzvorfällen und Meldung an den Auftraggeber
- Schulung bzw. Sensibilisierung der Mitarbeiter zum Datenschutz
- Technische und organisatorische Datenschutz-Maßnahmen in Bezug auf die relevante Dienstleistung
- Bei Entwicklungen von Software (als Gegenstand der Dienstleistung): Umsetzung der Prinzipien – Privacy by Design und Privacy by Default
- Datenschutzgerechte Löschung / Vernichtung personenbezogener Daten der Auftragsverarbeitung
- Führung eines Verzeichnisses über Verarbeitungstätigkeiten hinsichtlich der relevanten Dienstleistung
Wirksamkeit im laufenden Betrieb beurteilen / Einführung unterstützen
Für die Wirksamkeit sind unterschiedliche Nachweise relevant. Die Einholung einer Verschwiegenheitserklärung wird jeweils im Einstellungsprozess nachweisbar sein, ein ausreichender Kenntnisstand des Datenschutzbeauftragten sollte durch Fortbildungsnachweise belegbar sein.
Effizient kann die Einführung eines Kontrollsystems insbesondere durch einen Berater oder Datenschutzauditor unterstützt werden, der aufgrund seiner Erfahrungen hier angemessene Vorgaben für das spezifische Unternehmen mitbringen wird, so dass Regelungen weder überfrachtend und damit ineffizient sind noch notwendige Regelungen vergessen bzw. missachtet werden. Darüber hinaus kann dieser z.B. einmal jährlich bei der internen Wirksamkeitsprüfung unterstützen oder alternativ die Wirksamkeit und Funktionsfähigkeit des internen Datenschutzkontrollsystems im Rahmen eines Audits bestätigen. Da in den meisten Unternehmen die Mitarbeiter zeitlich im Tagesablauf ausgelastet sein dürften, ist der Einsatz eines Beraters oftmals eine gute Möglichkeit den Aufwand und die Belastung für die Mitarbeiter bei der Einführung eines solchen internen Kontrollsystems überschaubar zu halten.
Vorteile eines Datenschutz-IKS
Vorteile eines Datenschutz-IKS ergeben sich in mehrfacher Hinsicht: Die Geschäftsführung eines Unternehmens kann jederzeit die Wirksamkeit des Datenschutzes mittels objektiver Nachweise bewerten und mit überschaubarem Aufwand durch eine (externe) Prüfung bestätigen lassen. Mit dem Nachweis eines „geprüften Datenschutzes“ kann für die Dienstleistungen geworben werden und den häufig vereinbarten vertraglichen Regelungen mühelos nachgekommen werden. Oftmals wird nämlich vom Auftragnehmer eine qualifizierte Prüfungsbestätigung erwartet, um nicht dem eigenen Prüfrecht vor Ort nachkommen zu müssen. Nachweise werden oftmals schon in der Phase der Auswahl eines Dienstleisters erwartet und danach jährlich angefordert, um ein effektives Auslagerungscontrolling sicherzustellen.
Auch im Rahmen von Jahresabschlussprüfungen beim Auftraggeber kann das Vorliegen von qualifizierten Prüfungsbestätigungen die vereinfachte Nachweisführung zum Datenschutz unterstützen und dadurch Kosten sparen.
Skalierbarkeit einer Prüfung des Datenschutz-IKS
Eine Prüfung zur Bestätigung der Datenschutzeinhaltung im Unternehmen kann bei Bedarf auch skaliert, d.h. nach Prüfungsthemen aufgeteilt werden. Zuerst kann die Angemessenheit der Regelungen und danach ihre Wirksamkeit beurteilt werden. Damit ist die finanzielle und aufwandstechnische Belastung im Unternehmen zeitlich verteilt und besser tragbar. Ähnlich der Vorgehensweise von ISO Zertifizierungen kann im Jahr nach der Erstzertifizierung/Erstprüfung mit relativ geringem Aufwand die weitere Wirksamkeit der Maßnahmen bestätigt werden.
Für Auftragsverarbeiter stellt die Einführung eines Datenschutz-IKS eine empfehlenswerte Möglichkeit dar, vorhandene Datenschutzmaßnahmen besser beurteilbar zu gestalten und somit für mögliche bzw. bestehende Auftraggeber die Qualität und die Risiken einer Beauftragung besser einschätzen zu können. Insbesondere bei der nicht delegierbaren Haftung, die sich durch die Verarbeitung von personenbezogenen Daten für den Auftraggeber (Verantwortlichen) ergibt, ist dies ein entscheidendes Kriterium der Risikobeurteilung.
Zur Nachweisbarkeit eines angemessenen Datenschutzniveaus kommt außerdem die Auditierung durch eine unabhängige Stelle in Betracht. Die Creditreform Compliance Services GmbH (CCS) führt Datenschutzaudits zur Erteilung des ComplianceCerts Datenschutz auf Basis der gesetzlichen Vorgaben der EU-Datenschutz- Grundverordnung (DSGVO) sowie des Bundesdatenschutzgesetzes (BDSG) durch und lehnt sich dabei an das von der 98. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 05. bis 07. November 2019 in Trier beschlossenen Standard-Datenschutzmodell Version 2.0 an. Die Auditoren der CCS sind speziell ausgebildete Juristen und verfügen über eine gültige TÜV-Zertifizierung zum Datenschutz-Auditor oder ähnliche Qualifikationen. Des Weiteren beziehen die Auditoren der CCS ihr umfangreiches Fachwissen aus langjähriger Datenschutz-Beratungspraxis und Revisionserfahrung und orientieren sich bei der Prüfung von Datenschutzmanagementsystemen an bewährten Best-Practice Ansätzen.
Autorin: Linda Liesum, Sachverständige für Wirtschaftskriminalität und Compliance
