Datenschutz für Unternehmen

4.3.5.2Art 20 – Recht auf Datenübertragbarkeit („Datenportabilität“)

Das Recht auf Datenübertragbarkeit wurde ursprünglich als Möglichkeit gesehen, die Vorherrschaft nicht-europäischer Plattformbetreiber (Handel und Social Media) einzuschränken. Ziel war es, Datenbestände, wie zB jene einer Social-Media-Plattform, auf eine andere Plattform zu transferieren und so die Interoperabilität von Plattformen und Diensten zu forcieren. Derartige Vorhaben scheiterten bislang in vielen Fällen weniger am Export der Daten aus den bestehenden IT-Systemen, sondern vielmehr an der Tatsache, dass der Import in das neue IT-System praktisch nicht umsetzbar ist. Größtes Hemmnis hierfür sind die unterschiedlichen eingesetzten Datenmodelle. Technisch gesehen könnte die Interoperabilität durch die Etablierung einer einheitlichen Auszeichnungssprache wie XML umgesetzt werden, jedoch hat sich noch kein Datenbeschreibungsstandard durchgesetzt, der bestehende Datenmodelle harmonisiert.

4.3.6 Datenschutz-Folgeabschätzungen (DS-FA)

DS-FA sind Risikobewertungen von VT und basieren auf dem Verarbeitungsverzeichnis. Sie sind für jene VT notwendig, die ein hohes Risiko für Betroffene mit sich bringen. Genauere Beschreibungen dazu, wann eine VT als riskant einzustufen ist, finden sich in der Verordnung der Aufsichtsbehörde über Verarbeitungsvorgänge, für die eine DS-FA durchzuführen ist sowie in Kapitel 9.3.3 dieses Buches. Als riskant einzustufen sind jegliche VT, die Profile oder Prognosen von natürlichen Personen erstellen. Wird daher ein Kunde aufgrund seiner personenbezogenen Daten als Kunde eingestuft, den man nicht verlieren will oder als solcher, der nicht sehr gewinnbringend ist, dann ist dies als Erstellung eines Profils zu qualifizieren. Weitere für Betroffene als riskant einzustufende VT sind Prozesse, bei denen personenbezogene Daten von künstlichen Intelligenzen verarbeitet werden (§ 2 Abs 2 Z 4 DSFA-V).

Mittels Durchführung einer GAP-Analyse (auch Lückenanalyse), ein Instrument der strategischen Planung, geht hervor, welche VT schon vor Inkrafttreten der DSGVO bei der Aufsichtsbehörde gemeldet und geprüft wurden. Diese sind von einer verpflichtenden DS-FA befreit. Weitere Informationen darüber, welche VT von einer DS-FA befreit sind, finden sich in der Verordnung der Aufsichtsbehörde über die Ausnahmen von der DS-FA.

Bevor eine DS-FA durchgeführt wird, muss festgestellt werden, welche VT diese benötigen. Mittels Fragebögen, die auf den Informationen der Verordnungen der Aufsichtsbehörde basieren, wird festgelegt, für welche VT eine DS-FA durchzuführen ist.

Nach der Bestimmung der relevanten VT wird ermittelt, welches Risiko durch den Verlust der in der VT verarbeiteten personenbezogenen Daten für den Betroffenen entstehen kann und welche Gegenmaßnahmen realisierbar sind. Um dieses Risiko zu bestimmen, ist eine mögliche Vorgehensweise, Fragebögen zu erstellen und diese von den für riskant eingestufte VT Verantwortlichen ausfüllen zu lassen.

Im Anschluss müssen für alle riskanten VT Datensicherheitsmaßnahmen erstellt werden und diese Maßnahmen in Aufgaben für die jeweiligen Bereiche übersetzt werden. Die längerfristige Umsetzung der Aufgaben und das Aktualisieren der DS-FA werden dann durch das kontinuierliche Verbesserungsmanagement realisiert. „Kontinuierliches Verbesserungsmanagement“ bedeutet, dass die zuständigen Personen bestrebt sind, Prozesse immer wieder zu hinterfragen, nach Verbesserungen zu suchen und Fehler auszubessern. Das kontinuierliche Verbesserungsmanagement findet im Rahmen des gesamten DPMS statt, wie zB bei den kontinuierlichen Überarbeitungen der DS-FA, der VT und anderen Prozessen, die den Datenschutz betreffen.

4.3.7 Privacy-by-Design und Privacy-by-Default

Lange Zeit waren Datenschutzthemen bei der Entwicklung von Software auf den hinteren Plätzen der Prioritätenliste vertreten. Die DSGVO setzt hier an und spricht in Art 25 DSGVO von „Datenschutz durch Technikgestaltung“ und „Datenschutz durch datenschutzfreundliche Voreinstellungen“. Diese Konzepte, im Englischen „Privacy-by-Design“ und „Privacy-by-Default“ genannt, sind nicht neu, rückten jedoch im Zuge der DSGVO zunehmend in den Blickpunkt der Öffentlichkeit (siehe Kapitel 13.3).

4.3.7.1Privacy-by-Design

Privacy-by-Design greift das Konzept auf, dass der Schutz personenbezogener Daten effektiver sichergestellt werden kann, wenn er gleich bei der Konzeption der jeweiligen Datenverarbeitung, also beispielsweise bei der Erstellung eines Lastenheftes im Rahmen der Programmierung von Software, berücksichtigt wird. In diesem Lastenheft werden die Anforderungen der jeweiligen Fachabteilung an die Software dokumentiert. Es wird somit dem umsetzenden Programmierer mitgeteilt, was umzusetzen ist. Der Programmierer entwickelt aus dem Lastenheft der Fachabteilung die genaue Produktspezifikation. Das daraus entstehende Pflichtenheft liefert den Lösungsvorschlag des Programmierers. Somit kann bereits in der Planungsphase sichergestellt werden, dass die wesentlichen Anforderungen des Datenschutzrechts bzgl. der Zweckbindung, Datensparsamkeit, Erforderlichkeit, Transparenz sowie der Betroffenenrechte im Zusammenhang mit personenbezogenen Daten berücksichtigt werden. Es wird somit auch frühzeitig hinterfragt und dokumentiert, ob neben den erwähnten Anforderungen der jeweilige Verarbeitungszweck nicht auch mit anonymisierten oder zumindest pseudonymisierten Daten erreicht werden kann, oder ob beispielsweise die verarbeiteten Daten ausreichend nach dem aktuellen Stand der Technik geschützt sind.

4.3.7.2Privacy-by-Default

Privacy-by-Default bedeutet, dass darauf zu achten ist, dass die Werkeinstellungen („default settings“) datenschutzfreundlich ausgestaltet sind. Der wesentliche Treiber dieses Konzeptes ist der Schutz von weniger technikaffinen Usern. In der Praxis wird dieses Konzept auch als „Datenschutz ab Werk“ bezeichnet. Es werden bei der Auslieferung von Soft-, Hardware oder bei der Bereitstellung von Diensten nur jene personenbezogenen Daten erhoben, die für den jeweiligen Verarbeitungszweck notwendig sind. Somit wird möglichst wenig in die Schutzrechte der Betroffenen eingegriffen. Sofern User eine weitergehende Nutzung ihrer personenbezogenen Daten anderen ermöglichen oder diese mit anderen teilen wollen, haben sie die Möglichkeit, die Einstellungen eigenständig zu verändern. Vom Konzept des Datenschutzes durch datenschutzfreundliche Voreinstellungen werden somit vor allem jene Personenkreise profitieren, die nicht über ausreichendes technisches Verständnis oder nicht über die notwendige Zeit verfügen, um selbstständig datenschutzfreundliche Einstellungen in den Applikationen vorzunehmen.

!

Praxisbeispiel:

Beispiele für die Umsetzung dieses Konzepts in der Praxis sind die Do-not-Track-Funktion in Browsern und die Einstellungsmöglichkeiten zur Sichtbarkeit von Profildaten auf Social-­Media-Plattformen. Ersteres ist eine freiwillig implementierte Funktion in vielen Webbrowsern, mit der User Websites bzw. deren Betreibern mitteilen, dass das Surfverhalten nicht aufgezeichnet werden soll. Bislang ist diese Einstellung freiwillig und es besteht keine Verpflichtung für Websites, sich daran zu halten. Die Umsetzung von Privacy-by-Default auf Social-Media-Plattformen bewirkt, dass die Sichtbarkeit des Nutzerprofils nicht uneingeschränkt möglich ist, sondern beispielsweise nur den bestätigten Kontakten des Anwenders, also einer bestimmten Anzahl an Personen.

Sofern Nutzer dennoch eine uneingeschränkte Sichtbarkeit des Nutzerprofils bevorzugen, zB um eine weitergehende Nutzung ihrer Daten zu ermöglichen oder um diese mit anderen zu teilen, müssen sie die Einstellungen eigenständig verändern und somit ein Opt-in vornehmen.

4.3.7.3Ausblick

Während durch Privacy-by-Design eine grundsätzlich datenschutzkonforme Entwicklung und Funktionsweise von Soft-, Hardware oder bereitgestellten Diensten sichergestellt werden soll, werden mit der Umsetzung von Privacy-by-Default die Privatsphäre und die personenbezogenen Daten von Betroffenen durch geeignete Voreinstellungen geschützt. Die Entscheidung, welche Daten geteilt werden bzw. einsehbar sind, kann von der betroffenen Person selbst individuell angepasst werden.

4.3.8 Technische Systemsicherheit

Nach Art 24 und Art 25 DSGVO sind Unternehmen dazu verpflichtet, technische Maßnahmen zu ergreifen, damit sie dazu im Stande sind, die Vorgaben der DSGVO, wie zB die Bewahrung der Vertraulichkeit von personenbezogenen Daten, zu erfüllen.

Dazu müssen die IT-Systeme und das IT-Umfeld, also Infrastruktur und Mitarbeiter, grundlegende Sicherheitsstandards erfüllen:

+Verwaltung von Zugriffsrechten

Damit die Integrität und Vertraulichkeit von Daten gegeben sind, ist es notwendig, sicherzustellen, dass nicht jedem Mitarbeiter der Zugriff auf alle Unternehmensdaten gewährt wird. Folglich soll jeder Mitarbeiter nur Zugriff auf die Daten haben, die er für seine Arbeitsaufgaben benötigt.

+Definition von Rollen und Verantwortlichkeiten

Damit eine einheitliche Vergabe von Zugriffsrechten möglich ist, braucht es Rollen und Verantwortlichkeiten. So wird zB zwischen den Rollen „Administrator“ und „Mitarbeiter“ unterschieden. Der Administrator vergibt Zugriffsrechte auf Daten und Applikationen. Die Auswahl der Rechte ist vom Bereich, in dem der Mitarbeiter tätig ist, sowie von der Kritikalität der Daten abhängig. Bei kritischen Aufgaben, wie zB der Verwaltung von Servern, muss sich der Mitarbeiter erst das erforderliche Wissen erarbeiten und dieses belegen. Das heißt, neue oder temporäre Mitarbeiter werden nicht mit den gleichen Rechten ausgestattet wie zB ein langjähriger Bereichsleiter. Außerdem müssen Lese- und Schreibrechte gesondert vergeben werden. Mitarbeiter, die zB an Inhalten von Texten mitarbeiten, brauchen Schreibrechte. Für Arbeiten, die mit Leserechten zu bewerkstelligen sind, werden auch nur Leserechte vergeben.

+Dokumentation von Veränderungen

Eine Dokumentation von Veränderungen bringt viele Vorteile mit sich, so beispielsweise für die Dokumentation der Änderungshistorie, für das kontinuierliche Verbesserungsmanagement und im Bedarfsfall für die Handhabung von Sicherheitsvorfällen. Eine einheitliche Änderungshistorie bietet bei Arbeiten mit mehreren Beteiligten eine bessere Übersicht. Es ist nachvollziehbar, wer welche Aufgaben erledigt hat und im Fall eines aufgetretenen Fehlers geht klar hervor, wo dieser passiert ist. So kann bei einem Datenschutzvorfall (siehe Kapitel 11 für Details zu Datenschutzvorfällen) wertvolle Zeit gespart werden und negative Auswirkungen können minimiert werden. Nach einem Datenschutzvorfall wird eine forensische Aufarbeitung erleichtert bzw. unterstützt. Dies wiederum trägt dazu bei, ein nochmaliges Auftreten zu vermeiden, indem „Lessons-Learned“ abgeleitet werden.

+Stand der Technik

Ein Unternehmen muss unter Berücksichtigung der Wirtschaftlichkeit und der Eintrittswahrscheinlichkeit sowie der Schwere der Risiken für die betroffenen Personen seine IT-Systeme auf dem aktuellen Stand der Technik halten. Das bedeutet, dass sowohl für zugekaufte als auch für selbst entwickelte IT-Systeme und Applikationen regelmäßig Updates gemacht werden müssen. Sicherheitslücken werden somit geschlossen und mögliche Angriffsvektoren minimiert. Der Hersteller übernimmt idR nur für aktuelle Versionen die Herstellergarantie und den technischen Support.

+Evaluierung der Wirksamkeit der Maßnahmen

Sicherheitsmaßnahmen für die IT-Infrastruktur müssen regelmäßig auf ihre Wirksamkeit überprüft werden. Penetrationstests können dies für IT-Systeme und Applikationen bewerkstelligen. Bei einem Sicherheitsvorfall, der sich auf die Verfügbarkeit von IT-Systemen auswirkt, muss eine vereinbarte Wiederherstellungszeit der Systeme gewährleistet werden können. Dies ist zB durch regelmäßige Notfalltests zu belegen.

Die Evaluierung der Wirksamkeit der gesetzten Maßnahmen kann zB durch eine externe, unabhängige Prüfung im Rahmen eines Audits belegt werden. Eine Zertifizierung nach ISO/IEC 27001[132] validiert die Umsetzung der technischen und organisatorischen Maßnahmen gemäß Art 32 DSGVO (zur Informationssicherheit s. a. Kapitel 12).

Anhand dieser Überprüfungen werden im Sinne des kontinuierlichen Verbesserungsmanagements immer wieder neue Anpassungen und Erweiterungen definiert. Mängel werden behoben, was die Wirksamkeit der Maßnahmen nachhaltig sichergestellt. Die Evaluierung trägt somit auch zu einer nachhaltigen Entwicklung der IT bei.

4.3.9 Auftragsverarbeitermanagement

Viele Unternehmen nutzen zur Erfüllung ihrer Aufgaben die Dienste von Lieferanten und Dienstleistern. Werden im Rahmen der Vertragsbeziehung personenbezogene Daten verarbeitet, sind datenschutzrechtliche Vorgaben einzuhalten. Werden diese personenbezogenen Daten vom Lieferanten bzw. Dienstleister im Auftrag des Unternehmens verarbeitet und bestimmt das Unternehmen allein über die Zwecke und Mittel der Datenverarbeitung, handeln das Unternehmen und der Lieferant bzw. Dienstleister entsprechend der DSGVO als Verantwortliche bzw. Auftragsverarbeiter.

!

Praxisbeispiel:

Ein Webshop-Betreiber erhält eine Kundenbestellung von Geburtstagskarten. Im Zuge der Bestellung erhält er auch den Namen und die Adresse des Kunden, was den Webshop-Betreiber zum Verantwortlichen für diese Daten macht. Er lässt nun die bestellten Geburtstagskarten bei einer externen Druckerei drucken. Die Druckerei verarbeitet die personenbezogenen Daten, nämlich den Namen und die Adresse des Kunden, ausschließlich im Auftrag des Webshop-Betreibers mit dem Zweck, Geburtstagskarten zu drucken. Die Druckerei ist somit Auftragsverarbeiter und der Webshop-Betreiber muss einen entsprechenden Vertrag mit der Druckerei abschließen. Der Webshop-Betreiber bleibt verantwortlich für die rechtskonforme Verarbeitung der personenbezogenen Daten durch die Druckerei.

Bei der Wahl des Auftragsverarbeiters muss der Verantwortliche berücksichtigen, dass der Auftragsverarbeiter hinreichende Anforderungen erfüllt. Er muss technisch und organisatorisch in der Lage sein, den Auftrag unter Einhaltung der DSGVO zu erfüllen. Ein Hinweis auf die Erfüllung dieser Anforderungen kann eine von der Datenschutzbehörde anerkannte Zertifizierung sein. In der Praxis anerkannte Zertifikate sind u. a. ISO/IEC 27001 oder IT-Grundschutz. Damit die Zusammenarbeit datenschutzkonform verläuft, ist zwischen dem Verantwortlichen und dem Auftragsverarbeiter ein Vertrag in Form einer Auftragsverarbeitervereinbarung abzuschließen. Folgende Punkte sind entsprechend Art 28 DSGVO zwingende Bestandteile dieses Vertrages (siehe Kapitel 5):

+Dauer

Die Auftragsverarbeitervereinbarung hat Beginn und Dauer der Datenverarbeitung zu enthalten. Der Verantwortliche kann sich jedoch vorbehalten, dass der Vertrag bei Verletzung von Vertragsbestimmungen oder bei Verstoß gegen die DSGVO mit sofortiger Wirkung beendet wird.

+Art und Zweck

Eine Beschreibung des Auftrags und des durch die Zusammenarbeit zu erreichenden Ziels sind Bestandteile des Vertrages.

+Art der personenbezogenen Daten

Die Kategorien der personenbezogenen Daten, die dem Verarbeiter übermittelt werden, werden im Vertrag festgehalten.

+Kategorien der betroffenen Personen

Es wird geklärt, welche betroffenen Personen, zB Kunden, Mitarbeiter, Geschäftspartner oder Lieferanten bzw. Dienstleister, betroffen sind.

+Rechte und Pflichten des Verantwortlichen

Der Verantwortliche hat den Verarbeiter mittels Vertrag u. a. dazu zu verpflichten, dass dieser die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten darf, sofern er nicht durch das Recht der Union oder durch nationales Recht dazu verpflichtet ist, die Daten anderwärtig zu verarbeiten.

+Technische und organisatorische Maßnahmen (TOMs) und Sicherheit der Verarbeitung

Der Verantwortliche fordert vom Verarbeiter, dass dieser technische und organisatorische Vorgaben und Sicherheitsstandards gemäß der DSGVO erfüllt. Diese sehen u. a. vor,

+dass sich Personen, die mit der Verarbeitung der personenbezogenen Daten betraut werden, zum vertraulichen Umgang mit diesen verpflichten. Außerdem unterwerfen sie sich einer gesetzlichen Verschwiegenheitspflicht.

+dass personenbezogene Daten pseudonymisiert und verschlüsselt werden.

+dass Systeme des Verarbeiters die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit sicherstellen.

+die Fähigkeit und Verfügbarkeit von personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt wird.

+dass regelmäßig überprüft, bewertet und evaluiert wird, ob die Maßnahmen zur Gewährung der Sicherheit der Verarbeitung noch wirksam sind.

+Weitere Auftragsverarbeiter

Der Verarbeiter verpflichtet sich, keine weiteren Auftragsverarbeiter zu engagieren. Dies ist nur durch eine vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen zulässig.

+Unterstützungspflicht

Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen bei der Erfüllung der Betroffenenrechte, insbesondere bei der Beantwortung der Anträge auf Wahrnehmung, zu unterstützen.

+Löschung und Rückgabe

Der Verantwortliche entscheidet, ob der Auftragsverarbeiter nach Ende der Erbringung der Verarbeitungsleistung die personenbezogenen Daten löscht oder dem Verantwortlichen zurückgibt.

+Kontrollrechte des Verantwortlichen

Der Verantwortliche hat das Recht, den Auftragsverarbeiter entweder selbst oder durch einen bestellten Prüfer auf die Einhaltung des Vertrags zu prüfen. Außerdem verpflichtet sich der Verarbeiter, dem Verantwortlichen nachzuweisen, dass er die in Artikel 28 DSGVO niedergelegten Pflichten (Auftragsverarbeiterpflichten) erfüllt.

+Mitteilung bei Verstößen

Der Verarbeiter verpflichtet sich, Verstöße oder Störungen bei der Verarbeitung dem Verantwortlichen unverzüglich mitzuteilen. Der Verarbeiter verpflichtet sich außerdem, den Verantwortlichen bei dessen Melde- und Benachrichtigungspflicht zu unterstützen.

4.4 Das Projektsetup

Ein DPMS wird im Rahmen eines Setup-Projektes eingeführt. Die Unterstützung der Geschäftsleitung ist dabei ausschlaggebend für eine effiziente Umsetzung und die Reduktion von Widerständen im Unternehmen.

Gerade im Rahmen eines DPMS-Projekts sind teilweise große Widerstände erlebbar. Diese sind in einer Vielzahl von Aspekten begründet, wie zB

+dem idR niedrigen Informationsstand und dem Umfang zum Thema Datenschutz und eine damit verbundene Unsicherheit;

+der Abwehrhaltung gegenüber potenzieller Mehrarbeit.

Mitarbeiter haben oftmals die Wahrnehmung, dass das Thema Datenschutz so umfassend und komplex ist, dass sie nur falsch handeln können bzw. etwas übersehen. Aus diesem Grund sind die Einbeziehung und Schulung der Mitarbeiter erheblich für ein erfolgreiches Projekt.

Ein Mangel an Verständnis und Information bei den Mitarbeitern zum Thema Datenschutz kann nicht nur zu großen Widerständen, sondern auch zu daraus resultierenden Mehrkosten führen. Eine zu lange Start- und Einigungsphase kann zwar Widerständen entgegensteuern, wirkt sich jedoch ebenfalls ungünstig auf die Kosten aus. Diese Kosten werden als Einigungs- und Widerstandskosten bezeichnet. Unter Einigungskosten wird der Aufwand verstanden, der benötigt wird, um Mitarbeiter für das Projektthema zu motivieren und Arbeitsbereitschaft zu schaffen sowie Wissen über das Projektthema aufzubauen. Widerstandskosten sind Mehraufwände, die durch Qualitätsmängel bei Arbeiten aufgrund von geringer Bereitschaft für und mangelhaftes Wissen über das Projektthema entstehen. Der Zusammenhang zwischen Einigungs- und Widerstandskosten sowie der Koordinationsintensität wird in der nachstehenden Grafik erläutert.

Abbildung 5

Widerstands- und Einigungskosten

Quelle: Osterloh/Frost, Prozessmanagement, 181.

Etwaige Mehraufwände können zB aus folgenden Gründen entstehen:

+Projekte verzögern sich, weil Mitarbeiter Datenschutz als zusätzliche Arbeit sehen und der Mehrwert nicht transparent ist.

+Mitarbeiter sehen Schulungen zum Thema Datenschutz als Mehraufwand im stressigen Arbeitsalltag und sind deswegen unaufmerksam. Sie erledigen folglich ihre Aufgaben nicht datenschutzkonform.

+Zusätzliche Verantwortung, wie zB das unbedingte Vermeiden von hohen Strafen und Reputationsschäden, führt zu Ängsten.

Diesem Widerstand muss entgegengewirkt werden. Dies führt zu Einigungskosten. Maßnahmen, mit denen dem Widerstand entgegengewirkt werden kann, sind:

+ein eindeutiges Commitment der obersten Geschäftsführung mittels klarer Botschaft an die Mitarbeiter, zB im Rahmen eines Intranet-Beitrags, Videos oder Mailings, in dem die Geschäftsleitung erläutert, warum Datenschutz für das Unternehmen relevant ist und inwieweit die Mitwirkung der Mitarbeiter wesentlich zum Erfolg des Datenschutzprojektes beiträgt;

+die Schulung und Information der Mitarbeiter vor Projektstart zur Schaffung einer gemeinsamen Sicht, zum Abbau von Ängsten und zur gemeinsamen Erarbeitung der Projektorganisation;

+ein eindeutig definierter Projektauftrag mit Zielen, Nichtzielen, Aufgaben, Meilensteinen, Ressourcen und Beauftragungen, um den Rahmen des Projekts transparent zu machen.

Wie in den meisten Projekten ist auch im Datenschutzprojekt ein Ziel, die Gesamtkosten, die sich aus den Widerstandskosten und Einigungskosten ergeben, zu minimieren. Wie in Abbildung 5 zu erkennen ist, sind diese Kosten indirekt proportional. Um die Kosten zu minimieren, ist Fingerspitzengefühl der Organe im Projektteam gefragt. Es ist darauf zu achten, wie die Mitarbeiter auf Schulungen und andere Inputs zum Thema Datenschutz reagieren.

Eine wichtige Maßnahme, um Widerstandskosten effizient zu reduzieren, ist, den Mitarbeitern zu erläutern, warum Datenschutz für das Unternehmen wichtig ist.

Folgende Punkte haben sich dabei als zielführend erwiesen:

+Strukturierte Dokumentation

Um über aktuelle Aufzeichnungen zu verfügen, sollte im Zusammenhang mit personenbezogenen Daten eine laufende Dokumentation vorgenommen werden. Die Dokumentation gibt Aufschluss über den Speicherort und den Verarbeitungs- bzw. Speicherzweck der personenbezogenen Daten. Dies kann Mitarbeitern bei der Suche nach personenbezogenen Daten, die idR nicht für ihren Arbeitsablauf relevant sind, wie zB Namen oder Telefonnummern, viel Zeit ersparen. Vor allem für Auskunftsbegehren von betroffenen Personen ist eine solche Dokumentation essenziell, da so sichergestellt wird, dass die entsprechenden personenbezogenen Daten zeitnah aufgefunden werden können.

+Gesetzliche Verpflichtungen

Den Mitarbeitern müssen grundlegende Vorgaben aus der DSGVO, wie das Führen des Verarbeitungsverzeichnisses oder die Sicherstellung der Betroffenenrechte, klar sein. Mitarbeitern sollte bewusst sein, dass dem Arbeitgeber bei Verstößen gegen diese Vorgaben hohe Strafen drohen. Eine weitere gesetzliche Vorgabe, die Mitarbeiter kennen sollten, sieht vor, dass der Datenschutzbehörde auf Anfrage eine Dokumentation über die verarbeiteten personenbezogenen Daten zur Verfügung zu stellen ist.

+Einsparung von Redundanzen

Beim Erstellen eines Verarbeitungsverzeichnisses wird oft erkannt, dass in standardisierten Arbeitsabläufen personenbezogene Daten verarbeitet werden, die das Unternehmen nicht zwingend benötigt. Durch das Vermeiden der Verarbeitung dieser Daten erfüllt das Unternehmen das Prinzip der Datensparsamkeit und spart zudem Zeit und Speicherplatz.

Darüber hinaus lässt sich beim Erstellen des Verarbeitungsverzeichnisses oftmals feststellen, dass Daten an mehreren Orten bzw. in mehreren Systemen, Ablagen und Listen redundant erfasst, gewartet und gepflegt werden. Dies führt oft zu Inkonsistenzen, fehlerhaften Datensätzen und Mehrarbeit.

Im Folgenden werden wesentliche Umsetzungspunkte beim Aufbau des DPMS-Projektes beschrieben.

1.Projektinitiierung: In der Projektinitiierung wird der Projektauftrag definiert. Der Projektleiter und die wichtigsten Rollen des Projektteams sind bereits bestimmt. Es ist naheliegend, oberste Rollen aus dem DPMS (siehe Kapitel 4.4) mit Mitgliedern aus dem Projektteam zu besetzen. Das Projektteam sowie wesentliche Stakeholder werden zum Thema Datenschutz geschult. Mitarbeiter des Projektteams müssen nach den Schulungen imstande sein, andere Mitarbeiter zu schulen, sodass die Datenschutzprozesse, wie zB die Befüllung des Verarbeitungsverzeichnisses, und später die Betroffenenrechte sichergestellt sind.

2.Erstevaluierung: Die im Projektauftrag festgelegten Verantwortlichen müssen nun im Unternehmen alle Bereiche, die datenschutzrelevante Prozesse bzw. Verarbeitungen vornehmen, begutachten und festlegen. Falls das Unternehmen bereits Aufzeichnungen über Prozesse und VT geführt hat, müssen diese berücksichtigt werden, um später Mehraufwände zu vermeiden.

3.Analyse: Dabei wird der aktuelle IST-Zustand zum Thema Datenschutz erhoben. Dies geschieht vor der Einführung des DPMS. Es muss analysiert werden, wie gut die datenschutzrechtlichen Vorgaben wie Risikobewertung (Datenschutz-Folgeabschätzung), Verzeichnispflicht (Führung eines Verarbeitungsverzeichnisses), die Betroffenenrechte, Datenminimierung, vertragliche Regelungen mit Lieferanten und Partnern usw. bereits erfüllt werden. Dann wird der aktuelle IST-Zustand dem Stand, den die DSGVO den Unternehmen vorgibt, gegenübergestellt. Daraus geht hervor, in welchen Bereichen ein Unternehmen noch Handlungsbedarf (Lücken) hat.

Eine Möglichkeit zur Identifizierung von Handlungsbedarf ist die Durchführung einer GAP-­Analyse. Die GAP-Analyse bzw. Lückenanalyse ist ein Instrument der strategischen Planung und beruht auf zwei Größen:

+Zielgrößen werden in einer gewünschten, zu erreichenden Entwicklung abgeschätzt.

+Zielerreichungsgrade werden anhand des aktuellen Stands ermittelt, indem der zukünftige Stand der Größen berechnet wird, wenn keine zusätzlichen Maßnahmen der Organisation umgesetzt werden.[133] Das Ergebnis ist eine detaillierte To-Do-Liste zur Umsetzung der DSGVO.

Wie bei jedem Projekt, müssen auch bei der Umsetzung des DPMS-Projekts zuerst Ziele definiert werden. Oberstes Ziel des DPMS-Projektes ist es, einen unternehmensweiten Datenschutzprozess zu etablieren. Dieser stellt sicher, dass alle Anforderungen der DSGVO umgesetzt werden und Änderungen im Unternehmen effizient so angepasst werden können, dass sie datenschutzkonform sind. Zum Beispiel werden Fehler, wie die Speicherung von redundanten personenbezogenen Daten, in Arbeitsprozessen effizient angepasst. Effizient bedeutet hier beispielsweise, dass das Datum einfach entfernt werden kann, ohne den ganzen Prozess ändern zu müssen.