Datenverarbeiter muss die Beachtung der DS-GVO nachweisen
Über die Grundsätze im Datenschutz haben wir in unserem Datenschutzblog schon an unterschiedlichen Stellen berichtet. Dabei haben wir Ihnen bereits die Grundsätze des Datenschutzes vorgestellt und Ihnen aufgezeigt, warum deren Einhaltung wichtig ist.
Die Grundsätze des Datenschutzes sind:
- Rechtmäßigkeit
- Zweckbindung
- Datenminimierung/-sparsamkeit
- Richtigkeit
- Speicherbegrenzung (Löschung/Sperrung)
- Integrität und Vertraulichkeit
- Rechenschaftspflicht (Dokumentation)
Die Grundsätze sind in Artikel 5 der DS-GVO geregelt und gelten für alle, die personenbezogene Daten verarbeiten – Unternehmen, Vereine, Schulen, Kindergärten, Vermieter, Einzelhändler, Kanzleien und Praxen – unabhängig von Größe und Branche.
BLOG-TIPP: DATENSCHUTZ FÜR UNTERNEHMEN IN NRW – GRUNDSÄTZE DES DATENSCHUTZES
Rechenschaftspflicht – mehr als nur theoretischer Datenschutz
Um die Datenschutzgrundverordnung (DS-GVO) ausreichend umzusetzen, muss auch nachgewiesen werden, dass deren Vorgaben auch umgesetzt werden. Das muss dokumentiert und dadurch belegt werden. In der DS-GVO ist dies als sogenannte Rechenschaftspflicht (Art. 5 Abs. 2) verankert.
Welche äußere Form die notwendigen Nachweise haben müssen, wird dabei nicht festgelegt. Sie sollten aber nachvollziehbar und möglichst in schriftlicher oder elektronischer Form vorliegen. Für eine ausreichende Dokumentation empfiehlt sich die Einführung eines Datenschutzmanagementsystems.
Rechenschaftspflicht – Dokumentation der Einhaltung
Der Verantwortliche einer Organisation muss sicherstellen, dass der Datenschutz entsprechend den gesetzlichen Vorgaben eingehalten werden kann. Es müssen Prozesse geschaffen werden, die dies sicherstellen können und diese müssen in einem ausreichenden Maße dokumentiert werden. Dazu nutzt man zum Beispiel ein Datenschutzmanagementsystem, bei dem die unterschiedlichen Maßnahmen festgelegt, dokumentiert, regelmäßig geprüft und ggf. angepasst werden.
Das Datenschutzmanagementsystem muss alle in der Organisation notwendigen getroffenen Maßnahmen, Prozesse, interne Regelungen, technische und organisatorische Maßnahmen enthalten, welche den Datenschutz gewährleisten.
Zudem sollten regelmäßig alle Risiken bewertet werden, die für personenbezogene Daten bei den verschiedenen Prozessen entstehen können. Aufgrund dieser Analyse können neue Maßnahmen getroffen und bereits bestehende angepasst werden.
Ein wichtiger und hilfreicher Schritt kann dabei die Nutzung des sogenannten PDCA-Zyklus sein. PDCA steht für „Plan-Do-Check-Act“. Bestehende Prozesse können dabei kontrolliert und falls notwendig angepasst werden, neue geplant, eingeführt und auf ihre Wirksamkeit hin geprüft werden.
Sicherstellung durch TOMs – Orientierung durch VVT
Um den Schutz der personenbezogenen Daten und damit dem Betroffenen im ausreichenden Maße gewährleisten zu können, werden technische und organisatorische Maßnahmen (TOM) eingeführt. Diese sollten entsprechend der Rechenschaftspflicht dokumentiert werden.
Orientierung geben, welche Prozesse bei Rechenschaftspflicht zu beachten sind, kann das Verzeichnis von Verarbeitungstätigkeiten (VVT), welches alle Prozesse dokumentieren muss, in denen personenbezogene Daten verarbeitet werden. Die Angaben, die im VVT gemacht werden, sollte der Verantwortliche nutzen, um Datenströme innerhalb und außerhalb der Organisation zu identifizieren und entsprechend durch TOMs zu schützen. Diese Prozesse sind dann auch relevant für die Dokumentation im Datenschutzmanagementsystem und somit für die Rechenschaftspflicht ausschlaggebend.
Dabei findet man neben den Datenströmen auch nähere Anhaltspunkte für die Übermittlung von Daten an Dienstleister, die Kategorisierung der personenbezogenen Daten und deren Empfänger, Löschfristen, Konzepte zur IT-Sicherheit, Berechtigungs- und Zugriffsrechte etc.
Verstöße ziehen Strafen nach sich
Organisationen, die international tätig sind, müssen die Vorgaben im Datenschutz entsprechend anpassen und die personenbezogenen Daten besonders schützen.
BLOG-TIPP: NEUE EU-STANDARDVERTRAGSKLAUSELN
Zu den Maßnahmen, die eine Rechenschaftspflicht nach den Vorgaben im Datenschutz ausreichend sicherstellen können, gehören zum Beispiel Arbeitsanweisungen, Protokolldateien, Sicherheits- und Prüfkonzepte etc.
Wer gegen die Rechenschaftsplicht verstößt, muss mit empfindlichen Strafen rechnen. Dies kann eine Geldbuße in Höhe von bis zu 20 Mio. Euro bzw. bis zu 4% des gesamten weltweit erzielten Jahresumsatzes erreichen. Auch Schadensersatzansprüche von Seiten der Geschädigten können unter Umständen anfallen.
Ein (externer) Datenschutzbeauftragter kann unterstützend bei der Umsetzung des Datenschutzes tätig werden. Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.