Datenschutzgrundverordnung, organisatorische Änderungen und die nötige Dokumentation

Nun bin ich kein Mensch, der wegen einer einfachen Verordnung in Panik gerät. Denn eine Verordnung hat es ja noch nicht mal zum Gesetz geschafft … Diese aber doch, siehe hierzu unbedingt Anmerkung [0] !

Trotzdem bietet die Datenschutzgrundverordnung (DSVGO) Potential umfangreiche organisatorische Änderungen und Dokumentation(en) der Abläufe/der IT in den Betrieben auszulösen. Ohne “meine Perlen” verschenken zu wollen, hier der kurze Hinweis, daß auch ich von manchen Auswirkungen der DSGVO auf IT und Organisation überrascht werde. So habe ich gestern bemerkt, daß Thunderbird eifrig Emailadressen sammelt. Das hat sich irgendwann so eingestellt oder man hat vor Jahren einmal ein Häckchen gesetzt. Tatsächlich entspricht das fleissige automatisierte Sammeln von Emailadressen eher nicht der DSGVO.

Jedermann hat das Recht seine Daten löschen oder sperren zu lassen. Auch hat jedermann (und jede Frau) zukünftig das Recht zu erfahren, welche Daten wo bei uns zu welchem Zweck gespeichert sind. Hätten Sie da an Ihren Email-Clienten gedacht? Die entscheidende Frage, unsere “Startfrage” ist: Wo in unserem Betrieb werden personenbezogene Daten gespeichert?

Tatsächlich bietet die DSGVO wieder einmal Gelegenheit unsere betrieblichen Abläufe grundlegend zu überprüfen und auch zu dokumentieren. Dabei gemerkt, wir haben bei unserem Thunderbird absolut keine Möglichkeit Emailkontakte (Emailadressen) zu sperren. Eigentlich entspricht Thunderbird nicht der DSGVO. Wir behelfen uns aber damit, daß wir nicht sperren, sondern Kontakte löschen. Allerdings wird in unserem Thunderbird kein Löschprotokoll erstellt. Eigentlich müssten wir korrekterweise nach DSGVO die Löschung der Emailkontaktdaten mit dem Antrag auf Löschung vermerken und in neue Aktenordner dokumentieren und archivieren [4].

Da wir ja schon den Emailschriftverkehr archivieren (was eigentlich wieder neue Probleme bereitet) stellt sich die Frage, was mit dem früheren Emailschriftverkehr des zu Löschenden geschehen soll. Wenn wir zum Beispiel Werbegeschenke verschickt haben, haben wir den Namen und die Emailadresse und die Adresse des zu löschenden Interessenten ja für “steuerliche Zwecke” erfasst. Da kann man nicht einfach alles löschen, weil man sonst mit der Steuergesetzgebung in Konflikt kommt.

Die Datensätze personenbezogener Daten – auch zu löschende Datensätze – haben die Tendenz sich betriebsintern zu vervielfachen: Man denke nur daran, daß die zu löschenden Daten in den Datensicherungen stets vorhanden sind. Einen Datensatz vollständig aus unserem betrieblichen Datenbestand (rückstandsfrei) zu löschen, kann also einen großen Zeit- und Geldaufwand verursachen [5].

Die Datenschutzgrundverordnung ist also ein “liebliches Bürokratiemonster” (siehe [6] Dokumentation – Nachweispflicht), welches uns zum Handeln zwingt. Unsere Start-Frage wird dabei sein: wo haben wir (in der Firma) personenbezogene Daten.

 


[0] Indirekt aber doch. Denn das der Verordnung zugehörige Gesetz heißt mit kerniger Kurzbezeichnung: “Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU)“.

Das DSAnpUG-EU räumt gleich in § 1 mit dem Märchen auf, es würde nicht Kleinbetriebe betreffen. Sobald die Verarbeitung (von Daten) nicht “durch natürliche Personen ausschließlich für persönliche und familiäre Tätigkeiten erfolgt”, gilt dieses Gesetz. Lustigerweise ist die in § 1 erwähnte “nichtautomatisierte Verarbeitung” die handschriftliche Aufzeichnung personenbezogener Daten. Merke: der Datenschutz gilt immer und überall (- Datenschutz gilt auch ohne Computer)!

[1a] Die DSVGO.   
[1b] Das Bundesdatenschutzgesetz-neu
[1c] Das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU)

[2] Was Startups jetzt noch tun können, um die DSGVO zu erfüllen

[3] Eine praktische Hilfestellung zur DSGVO und zum BDSG-neu bieten die Orientierungshilfen.  Auch hier wieder kein Gesetz, aber wertvolle (!) Orientierungshilfen. Die Stellungnahmen und Empfehlungen der Datenschutz-Aufsichtsbehörden haben gleichwohl eine „faktische Bindungswirkung“ für IT-ler und alle die Rechtshändel vermeiden wollen. Sie geben die Auffassung der Aufsichtsbehörden in Deutschland bzw. auf europäischer Ebene wieder und sind daher unverzichtbare Richtschnur für den Datenschutz.

Hier beispielhaft die Orientierungsrichtlinien und Handreichungen des Landes Baden -Württemberg: Orientierungsrichtlinien BW

Diese Orientierungshilfen sind sehr praxisnah, beschäftigen sich auch mit IT-Technischen Sachverhalten, konkret auch mit den Datenschutzeinstellungen bei Windows 10 und u.a. auch auf 37 lehrreichen Seiten mit Sozialen Netzwerken.

[4] Eine Löschprotokoll-Datei beispielsweise in Form einer SQL-Datei, würde ja das Entstehen neuer personenbezogener Datensätze bewirken. Aus der Löschdatei, aus dem Protokoll könnte man die personenbezogenen Daten rekonstruieren. Nicht ohne Grund hat beim Staat unter richtiger Anwendung des Datenschutzgesetzes-neu nur der [oder die] Bundesdatenschutzbeauftragte und die betroffene Person (!) das Recht zur Einsicht in die Protokolldateien (§ 76, DSAnpUG-EU) . Ein Ausweichen auf Papier beendet die elektronische Speicherung – die DSGVO gilt aber auch bei Ausweichen auf Papier weiterhin.. Gute Hilfe bietet auch da die Orientierungshilfe “Protokollierung”.

[5] Zwar besagt Artikel 7 Abs. 3 Nr. 2: “Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt”. Das Zurückspielen einer Datensicherung nach dem Widerruf bringt aber den aktuellen Datenbestand (vereinzelt) wieder auf den Stand vor dem Widerruf.

Die Nachbearbeitung des Datenbestandes, sprich das erneute Löschen, Sperren der Daten im zurückgespielten Datenbestand könnte ein Verstoß gegen die DSGVO sein, da eine Verarbeitung nach dem Zeitpunkt des Widerrufes erfolgt. Da ist es eigentlich sogar unerheblich, ob wir mit Transaktionsdateien arbeiten, weil dort eine maschinelle Verarbeitung der Datenspuren gelöschter oder gesperrter personenbezogener Daten erfolgt.

Warten wir ab, welche Rechtssprechung sich ab Ende Mai 2018 ergibt. Die große Frage bleibt, was ist mit den Datensicherungen? Sobald wir die Datensicherung zurückspielen, befinden wir uns in einer rechtlichen Grauzone. Wir müssen also organisatorisch (IT-technisch) sicherstellen, daß gelöschte personenbezogene Daten nicht zurückgespielt werden.

[6] Nachweispflicht – dokumentieren, dokumentieren!
Art. 5 Abs. 2 DS-GVO fordert, dass die Verantwortlichen „die Einhaltung des Gesetzes nachweisen können“. Das hört sich zunächst nicht so dramatisch an, bei rechtlicher Betrachtung folgt jedoch daraus, dass es nicht mehr wie bisher nach BDSG ausreicht, sich an das Gesetz bei der Verarbeitung zu halten und die Aufsichtsbehörden einem erst einen Verstoß nachweisen müssen. Die Lage ist nun ab 2018 exakt umgedreht: Sie müssen jederzeit in der Lage sein die Rechtmäßigkeit nachweisen zu können.

Die Verpflichtung zur Führung eines Verarbeitungsverzeichnisses ergibt sich dabei aus Art. 30 DSGVO. Der Umfang dieser Dokumentation umfasst alle Verarbeitungstätigkeiten des Verantwortlichen. Es heißt also munter: dokumentieren, dokumentieren und dabei an jedes Programm, in welchem personenbezogene Daten verarbeitet werden, zu denken!

 


Anhang

[1] Muster einer Einwilligungserklärung (die es individuell anzupassen gilt!)

 

 

error: Content is protected !!

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen