Grundverordnung: Datenschutzbeauftragter als Pflicht für alle?
Ein neuer Beitrag auf http://www.digitalwave.at.
Dank Datenschutz-Grundverordnung müssen Unternehmen ein Verzeichnis ihrer Verarbeitungstätigkeiten führen, Privacy-Impact-Assessments durchführen und einen Datenschutzbeauftragten installieren. Unser fünfter Videblog zeigt Ihnen, wie Sie am besten vorgehen.
Ungekürzte Langfassung des Interviews
Unternehmen müssen künftig ein Verzeichnis führen, welche Datenverarbeitungen bei ihnen vorgenommen werden. Wie kann man sich das vorstellen? Ist das eine Excel-Liste, die ich bei einem Anruf an die Datenschutzbehörde schicken muss?
Lukas Feiler: Ein Verzeichnis der Verarbeitungstätigkeiten zu führen, ist grundsätzlich der erste Schritt für ein Unternehmen, um selbst einmal zu erfahren, was eigentlich im eigenen Unternehmen an Datenverarbeitungen passiert. Insofern ist das Führen des Verzeichnisses natürlich eine Rechtspflicht, aber gleichzeitig auch eine notwendige Vorbedingung, um alle anderen Compliance-Maßnahmen, die die Datenschutz-Grundverordnung vorsieht, sinnvoll setzen zu können. Nur so gewinne ich als Unternehmen überhaupt einen Überblick.
Ich muss für jede Verarbeitungstätigkeit – früher hat man Datenanwendung dazu gesagt – dokumentieren, welche Datenkategorien für welche Zwecke verarbeitet werden, an welche Dritte die Daten übermittelt werden und welche technischen und organisatorischen Sicherheitsmaßnahmen implementiert wurden, um diese Daten zu schützen.
All das muss ich in dem Verzeichnis zentral erfassen und auf Anfrage auch der Datenschutzbehörde übermitteln – aber eben nur auf Anfrage. Bisher hat man grundsätzlich alles der Behörde gemeldet. Künftig bleibt zunächst alles unternehmensintern. Das heißt, die Compliance-Aufgaben verlagern sich sehr stark weg von der Datenschutzbehörde auf das Unternehmen, das diese Last künftig selbst stemmen muss.
Mit einem Excel-Sheet kann man anfangen. Wenn man aber umfangreiche Datenverarbeitungen vornimmt, insbesondere in einem Konzernkontext, wird Excel nicht mehr das adäquate Mittel sein. Es gibt mittlerweile sogar eine Fülle von Online-Tools, die derartige Prozesse unterstützen. Hier wird man IT-Lösungen einsetzen müssen, vielleicht auch selbstentwickelte, um diesen Prozess effizienter zu gestalten, als es die manuelle Handhabung von Excel ermöglicht.
Verzeichnis der Verarbeitungstätigkeiten als Gerüst für Compliance-Aufgaben
Wenn ich Sie richtig verstehe, lautet Ihre Empfehlung: Erfüllen sie als Unternehmen nicht nur ihre Dokumentationspflicht, sondern integrieren sie das Verzeichnis gleich in ein Compliance-System, von dem sie auch in der Praxis etwas haben und gut arbeiten können?
Lukas Feiler: In der Tat. Dieses Verzeichnis der Verarbeitungstätigkeiten ist das ideale Gerüst, um die Erfüllung aller anderen Pflichten, die man nach der Datenschutz-Grundverordnung hat, entsprechend zu dokumentieren. Wenn man beispielsweise einen externen Dienstleister als Auftragsverarbeiter einsetzt, muss man mit diesem eine Auftragsdatenverarbeitungsvereinbarung schließen. Es empfiehlt sich, gleich ein entsprechendes System zu führen, wo man neben den allgemeinen Daten zu dieser Verarbeitungstätigkeit auch eine Kopie der Auftragsdatenverarbeitungsvereinbarung miterfassen kann. Somit ist alles, was diesen Verarbeitungsvorgang betrifft, an einer Stelle gebündelt abrufbar und man kann jederzeit Rechenschaft ablegen gegenüber der Datenschutzbehörde.
Die Rechenschaftspflicht, die die Grundverordnung als Grundsatz vorsieht, läuft im Wesentlichen darauf hinaus, dass man als Unternehmen jederzeit in der Lage sein muss zu demonstrieren, dass man die Verordnung eingehalten hat. Es geht also nicht nur darum, sie tatsächlich einzuhalten, sondern man muss das auch unter Beweis stellen können – und dafür brauche ich eine lückenlose Dokumentation.
Verzeichnis zahlt sich jedenfalls aus
Diese Pflicht trifft alle vom Großkonzern bis zum Ein-Personen-Unternehmen?
Lukas Feiler: Ja, die Rechenschaftspflicht trifft jeden. Bei der Pflicht, ein Verzeichnis der Verarbeitungstätigkeiten zu führen, gibt es eine Ausnahme. Unternehmen mit weniger als 250 Mitarbeitern müssen dann keines führen, wenn sie keine sensiblen Daten verarbeiten.
Dazu sind zwei praktische Hinweise angebracht. Ganz ohne Verarbeitung sensibler Daten kommen nur sehr, sehr wenige Unternehmen aus. Sobald man zum Beispiel nach dem Behindertengleichstellungsgesetz Informationen über den Grad der Behinderung eines Mitarbeiters erfasst, haben wir es mit sensiblen Daten zu tun. Auch die Sozialversicherungsnummer wird streng betrachtet ein sensibles Datum nach der Grundverordnung sein. Insofern beschränkt sich diese Ausnahmeregelung auf wenige Unternehmen.
Die zweite Anmerkung: Selbst wenn ich es nicht tun muss, ist es überaus ratsam, ein solches Verzeichnis zu führen. Es ist einfach der Grundstein, um alle anderen Pflichten nach der Datenschutz Grundverordnung praktikabel und auch effizient erfüllen zu können.
Jetzt ist in der Praxis ja wohl oft so, dass zumindest ein Teil der Datenverarbeitungen gar nicht intern vorgenommen wird, sondern durch professionelle Dienstleister durchgeführt wird. Wen treffen dann diese ganzen Dokumentationspflichten: Das verantwortliche Unternehmen oder den Datenverarbeiter?
Lukas Feiler: Aus Unternehmenssicht muss man sagen: leider beide. Der Verantwortliche muss alle Datenverarbeitungen dokumentieren, auch die, die er ausgelagert hat. Im Gegenteil muss er darüber hinaus auch dokumentieren, an wen er die Datenverarbeitung ausgelagert hat.
Umgekehrt muss auch der Auftragsdatenverarbeiter ein Verzeichnis von Verarbeitungstätigkeiten führen, in dem er dokumentiert, welche Arten der Verarbeitung er für welche Verantwortliche durchführt. Im Fall eines Audits muss die Datenschutzbehörde jederzeit sehen könnte, welche Unternehmen diesen Dienstleister herangezogen haben.
Wehe dem Unternehmen, das dann nicht spiegelbildlich in seinem Verzeichnis der Verarbeitungstätigkeiten eine entsprechende Dokumentation hat.
Privacy-Impact-Assessment prüft Risiko von Datenverarbeitungen
Laut Ihrem Buch müssen Unternehmen künftig ein „Privacy-Impact-Assessment“ durchführen. Was verbirgt sich hinter diesem hochtrabenden Begriff in der Praxis?
Lukas Feiler: Mit dem Privacy-Impact-Assessment hängt die Verordnung die Prüfung von besonders riskanten Datenverarbeitungen den Unternehmen um. Bislang hat das ja die Datenschutzbehörde erledigt. Das Unternehmen muss künftig in einem solchen Fall die Risiken, die sich für die Betroffenen und ihre Rechte auf Datenschutz aus der Datenverarbeitung ergeben, selbst prüfen. Dabei muss es insbesondere berücksichtigen, welche Arten von Daten verarbeitet werden. Wenn also beispielsweise sensible Daten oder Daten über (mögliche) Straftaten verarbeitet werden, wird grundsätzlich ein hohes Risiko gegeben sein.
Umgekehrt muss man aber auch Risikominderungsmaßnahmen berücksichtigen, die das Unternehmen implementiert: Eine Meldung bei einer Whistleblowing-Hotline, die Hinweise auf mögliche Straftaten sammelt, darf beispielsweise grundsätzlich nicht anonym erfolgen. Wenn anonyme Hinweise doch möglich sind, dann dürfen sie zumindest nicht gefördert werden. Meldungen müssen durch geschultes Personal untersucht werden, dieses Personal muss zusätzlich noch einmal einer Vertraulichkeitsverpflichtung unterworfen werden. Hier müssen also zusätzliche Maßnahmen implementiert werden, um dieses grundsätzlich hohe Risiko vielleicht doch noch zu senken.
Keine Rechtssicherheit mehr für Unternehmen
Aber das sind nur unternehmensinterne Prozesse, im Rahmen des Privacy-Impact-Assessments habe ich keinen Kontakt mit der Datenschutzbehörde?
Lukas Feiler: So ist es, das wird ganz dem Unternehmen aufgebürdet. Das ist der große Unterschied zur geltenden Rechtslage, wo alle riskanten Datenanwendungen an die Datenschutzbehörde gemeldet wurden. Die Behörde musste dann prüfen und allenfalls bestimmte Korrekturen verlangen. Aber am Ende hat die Datenschutzbehörde die Anwendung genehmigt oder eben nicht. So haben Unternehmen bisher Rechtssicherheit bekommen – die kriegen sie so nicht mehr.
Für die Zukunft gilt: Nur wenn das Privacy-Impact-Assessment zu dem Ergebnis kommt, dass trotz der Risikominderungsmaßnahmen ein hohes Risiko besteht, muss der Verantwortliche die Aufsichtsbehörde konsultieren. Da es sich aber um kein Genehmigungsverfahren handelt, muss die Reaktion der Behörde nicht abgewartet werden, um mit der Datenverarbeitung beginnen zu können.
Greift dieses Assessment bei allen Arten von Datenverarbeitungen, oder benötige ich es nur unter gewissen Umständen?
Lukas Feiler: Ein solches Assessment werde ich nur dann machen müssen, wenn nach oberflächlicher Betrachtung – ohne dass man sich noch über Risikominderungsmaßnahmen Gedanken gemacht hat – ein hohes Risiko gegeben ist. Das ist laut Verordnung insbesondere dann der Fall, wenn in größerem Umfang sensible Daten oder Daten über die Begehung einer Straftat verarbeitet werden. Ein Assessment ist aber auch dann durchzuführen, wenn die Datenverarbeitung auf einer schwarzen Liste steht, die in dem jeweiligen Mitgliedstaat erlassen wurde. Das bedeutet, dass es auch in diesem Bereich nationale Sonderregelungen geben wird.
Das heißt, zuerst eine Art oberflächliche Augenscheinskontrolle und nur, wenn da was droht, dann schaue ich vertieft hinein.
Lukas Feiler: Ganz genau.
Unsicherheit bei Datenschutzbeauftragten
Nach den Brandschutzwarten und den Ersthelfern muss jetzt ein Unternehmen einen weiteren Beauftragten einführen, nämlich den Datenschutzbeauftragten. Was muss der können? Wie ist der gestellt im Unternehmen?
Lukas Feiler: Grundsätzlich sagt die Verordnung, dass man im Wesentlichen dann einen Datenschutzbeauftragten bestellen muss, wenn man eine öffentliche Stelle ist oder die Verarbeitung von personenbezogenen Daten die Kerntätigkeit des Unternehmens darstellt. Doch genau hier sind die europäischen Datenschutzbehörden relativ kreativ geworden und haben in einer Stellungnahme der Artikel-29-Datenschutzgruppe [der Zusammenschlusses der nationalen Datenschutzbehörden aufgrund der Datenschutzrichtlinie, wird in „Datenschutzausschuss“ umbenannt werden] ihre Rechtsansicht kundgetan, dass es genügt, dass die Datenverarbeitung im wesentlichen Zusammenhang mit der Kerntätigkeit steht. Selbst dann müsste man schon einen Datenschutzbeauftragten bestellen.
Die Kerntätigkeit einer Bank ist sicher nicht Datenverarbeitung, aber keine Bank dieser Welt funktioniert ohne Datenverarbeitung – sie wird also einen Datenschutzbeauftragten brauchen?
Lukas Feiler: So scheinen es die nationalen Datenschutzbehörden zu sehen. Sie nennen als Beispiel ein Krankenhaus, das ganz sicher auch nicht als Kerntätigkeit Daten verarbeitet, sondern vielmehr medizinische Dienstleistungen erbringt. Schlussendlich wird uns der Europäische Gerichtshof sagen, wie streng man das handhaben wird.
Datenschutzbeauftragter: weisungsfrei und kündigungsgeschützt
Doch unabhängig von dieser Entscheidung sollten sich datengetriebene Unternehmen bewusst sein, dass sie jedenfalls einen Verantwortlichen für Datenschutz brauchen werden, der sehr weit oben in der Organisationsstruktur angesiedelt sein muss. Wenn es auch formell ein Datenschutzbeauftragter ist, dann sieht die Verordnung ganz konkrete Regelungen dafür vor, wie diese Position auszugestalten ist. Insbesondere sieht die Verordnung vor, dass dieser Datenschutzbeauftragte direkt dem Management gegenüber Bericht erstatten muss, also von der Hierarchie her relativ weit oben angesiedelt sein muss. Darüber hinaus, dass er weisungsfrei agiert und dass er auch einen Kündigungsschutz genießt.
Für den Datenschutzbeauftragten ist das eine notwendige Voraussetzung, um tatsächlich unabhängig agieren zu können. Aber Unternehmen müssen sich gut überlegen, ob man freiwillig jemanden formell zum Datenschutzbeauftragten bestellt, wenn dieser dann lebenslänglich Kündigungsschutz genießt.
Datenschutzmanager fürs Unternehmen, Datenschutzbeauftragter für die Betroffenen
Verstehe ich es richtig, dass ein Unternehmen in Wahrheit zwei Positionen zu besetzen haben wird: Wenn ich ein datengetriebenes Geschäftsmodell habe, werde ich im Management jemanden brauchen, der das Thema Datenschutz für das Unternehmen aktiv steuert, und zusätzlich benötige ich quasi als objektive Instanz diesen weisungsfreien unabhängigen Datenschutzbeauftragten?
Lukas Feiler: Ja, das ist die Idee hinter der Verordnung. Der Datenschutzbeauftragte ist operativ nicht dafür verantwortlich, das Verzeichnis der Verarbeitungstätigkeiten zu führen oder alle Privacy-Impact-Assessments durchzuführen, sondern soll dazu nur beratend beigezogen werden. Das heißt, die Verordnung sieht vor, dass das Unternehmen diese Hauptaufgaben übernimmt, während der Datenschutzbeauftragte erste Ansprechstelle für die Betroffenen ist und die direkte Kommunikation gegenüber der Datenschutzbehörde übernimmt.
Diese Trennung zwischen einerseits der Funktion des Datenschutzbeauftragten und andererseits des Datenschutzmanagers könnte auch aus einem Grund notwendig werden. Die Verordnung verlangt ja die organisatorische Unabhängigkeit des Datenschutzbeauftragten. Genau diese Unabhängigkeit haben deutsche Datenschutzbehörden in einem konkreten Fall verneint, wo ein IT-Verantwortlicher des Unternehmens als Datenschutzbeauftragter bestellt war. Die Begründung war, dass der so stark in die Organisationsstruktur eingegliedert ist, das er schlussendlich nicht hinreichend unabhängig ist. Das heißt, damit jemand stark genug ist, um mit entsprechenden Weisungen und dem notwendigen Budget die Anforderungen zu implementieren, wird er nicht gleichzeitig unabhängig genug sein. Insofern wird unter Umständen eine duale Rolle notwendig sein.
Viele von diesen Fragen sind aber noch nicht ganz ausgestritten. Man wird hier die neuesten Entwicklungen im Auge behalten müssen, insbesondere wie sich die österreichische Datenschutzbehörde bei einigen von den Streitfragen positionieren wird.
