Wenn man in die letzten Tätigkeitsberichte der Landesdatenschutzbeauftragen lesen kann, werden vermehrt Prüfungen gemacht, Bußgelder verhängt und eine Vielzahl von Beschwerden sind bei den Behörden eingegangen. Deshalb heißt es sich auf eine Anfrage und Prüfung vorzubereiten:
5 Tipps für die Vorbereitung von Untersuchungen
Ich habe euch einmal 5 wichtige Hinweise kurz zusammengestellt.
-
Solide DSGVO-Strukturen – Aufbau eines DPMS
In einem ersten Schritt einer wirksamen und erfolgreichen Beantwortung/Verteidigung gegen einen durch euch vermeitlich begangenen Verstoß ist der Aufbau eines immer aktuell zu haltenden Datenschutzmanagementsystems (DPMS).
Hierfür gibt es von verschiedensten Anbietern vorgefertigte Lösungen, die ihr nur mit Inhalt füllen müsst. Zu nennen ist z.B. der Audatismanager oder ihr baut euch ein eigenes Wiki auf. Dieses Wiki könnt ihr zum Beispiel in einer SharePoint Online Sitecollection mit der Subsite (Wiki) aufbauen. Wichtig ist, dass ihr Bearbeitungs- und Ansichtssrechte vergeben könnt.
Das DPMS sollte inhaltlich folgende Anforderungen erfüllen:
- Verantwortlichkeiten der Abteilungen, Abteilungsleiter, MitarbeiterInnen
- operative Funktionen
- Auditfunktionen
- Prozesse (z.B. Auskunft, Notfall)
- Datenschutzfolgendabschätzungen, wenn gefordert.
- Verfahrens- und Verarbeitungsverzeichnisse
- Dokumentation der IT-Systeme (z.B. Welche Attribute werden durch die AAD Connect in die Cloud gesynct?)
- rechtliche Basis der Verarbeitung
- Verträge und Riskomanagement der IT Lösungen
Die Dokumentation sollte in der Weise geführt werden, dass sie möglichst alle Informationen enthält und eine Basis einer wirksamen Verteidigung ist.
2. DSGVO – prozessorientierte Dokumentation
Neben der allgemeinen Dokumentation mit Blick auf die DSGVO unter Punkt 1, sollte eine Dokumentation im Sinne der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO erstellt werden. Konkret bedeutet dies, dass ihr entweder die unter Punkt 1 erstellte Dokumentation ergänzt oder eine zusätzliche Dokumentation, die ihr bei Anfragen auch veröffentlicht, bzw. an Aufsichtsbehörden weitergeben könnt. Hierbei müsst gemeinsam mit dem Datenschutzbeauftragten und eurem Rechtsbeistand genaustens prüfen und diese Variante erstellen und quartalsweise aktualisieren.
3. Risikomanagement auf Ersatz von immateriellen Schäden
Mit Blick auf die DSGVO und eine mögliche Haftung müsst ihr euch Art. 82 DSGVO genauer anschauen. In diesem werden Betroffenen auf das Recht auf den Ersatz immaterieller Schäden zu klagen zugesprochen. Konkret sprechen wir in diesem Punkt über die Entschädigung von moralischen Schäden oder auch emotionalen Leiden, die der Betroffene geltend machen kann. Einige Anwaltskanzleien haben sich bereits auf diesen Punkt spezialisiert und gehen aktiv auf mögliche Mandanten zu. Hierbei gilt es auch im Bereich der Kommunikation intern und extern äußerst vorsichtig zu sein, um zukünftige Schadenersatzansprüche nicht nur zu befruchten.
4. Identifizierung von Lücken/Schwachstellen und Abarbeitung
Ihr könnt nicht alle “Baustellen” sofort abarbeiten. Deshalb ist es wichtig alle Lücken und Schwachstellen aufzulisten und am Maßstab der DSGVO zu priorisieren. Die Abarbeitung muss zwingend entsprechenden Personen zugeordnet und mit Fristen ausgestattet werden. Eine Person aus dem Datenschutzteam sollte den Überblick behalten und gegebenenfalls nachfragen.
5. Reputationsauswirkungen
Hierbei kommt es auf das Unternehmen, die Branche und dessen Stellung im Markt an. Beispielsweise sind schon Anschuldigungen für ein Kreditkartenunternehmen, es verliere seine personenbezogenen Daten äußerst kritisch. Aber auch Händler könnten Einbußen in Bezug auf den Umsatz und unmittelbar auf den Gewinn. Hier sollten Prozesse gemeinsam mit der Presse- und Marketingabteilung erstellt und durchgespielt werden. Die öffentliche Kommunikation sollte in diesem Fall letztendlich mit der zuständigen Datenschutzbehörde ebenfalls abgestimmt werden.