Datenschutzaufgaben sollten vorbereitet werden
Nach Artikel 22 (Pflichten des für die Verarbeitung Verantwortlichen) werden Unternehmen auch in Zukunft durch geeignete Strategien und Maßnahmen sicherstellen müssen, dass personenbezogene Daten in Übereinstimmung mit dem Datenschutzrecht verarbeitet werden. Gut geplant sein wollen die Nachweise dieser Strategien und Maßnahmen, denn Nachweise werden explizit gefordert.
Zu den erforderlichen Maßnahmen nach Artikel 22 gehören eine Datenschutz-Dokumentation, technisch-organisatorische Maßnahmen der Datensicherheit, Risikoanalysen (Datenschutz-Folgeabschätzungen genannt), die Umsetzung von Anforderungen für Genehmigungen oder Konsultationen der Aufsichtsbehörden und die Benennung eines Datenschutzbeauftragten.
Dokumentation des Datenschutzes ist Pflicht
Die Verfahren der Datenverarbeitung und die internen Maßnahmen zur Erfüllung der Datenschutz-Forderungen müssen dokumentiert werden (Artikel 28), etwa in internen Datenschutz-Berichten. Erfahrungsgemäß ist die Aufstellung solcher Berichte recht zeitaufwändig, so dass Unternehmen nicht zu spät mit entsprechenden Vorbereitungen beginnen sollten.
Wichtig dabei ist auch, dass die Qualität und die Einhaltung der dokumentierten Maßnahmen für den Datenschutz regelmäßig überprüft werden müssen. Unternehmen in Deutschland kennen die Dokumentationsvorgaben bereits von dem sogenannten Verfahrensverzeichnis. Zusätzlich zu den Verfahren dokumentiert werden müssen die Datenschutz-Folgeabschätzung und die Maßnahmen der Datensicherheit.
Datensicherheit auch für neue Technologien
Die technischen und organisatorischen Maßnahmen für die Datensicherheit sollen grundsätzlich auf Basis einer Risikobewertung erfolgen (Artikel 30). Diese Risikobewertung sollte ebenso im Sinne von Compliance-Nachweisen dokumentiert sein wie die daraus resultierenden Sicherheitsmaßnahmen. Die geplanten und umgesetzten Sicherheitsmaßnahmen sollen dabei den aktuellen Stand der Technik „für bestimmte Sektoren und Datenverarbeitungssituationen“ sowie die technologische Entwicklung berücksichtigen.
Unternehmen werden den Stand der Technik und die technologische Entwicklung nicht ohne weiteres umfassend kennen und bewerten können. Eine frühzeitige und regelmäßige Risiko-Analyse und Datenschutz-Folgeabschätzung ist deshalb angeraten.
Folgen der Datenverarbeitung frühzeitig abschätzen
Die Datenschutz-Grundverordnung nennt konkrete Fälle von Datenverarbeitung, bei der Risiko-Analysen vorzusehen sind, wie
- die systematische und umfassende Auswertung persönlicher Aspekte einer natürlichen Person, beispielsweise zwecks Analyse ihrer wirtschaftlichen Lage, ihres Aufenthaltsorts, ihres Gesundheitszustands, ihrer persönlichen Vorlieben, ihrer Zuverlässigkeit oder ihres Verhaltens,
- die Verarbeitung von Daten über das Sexualleben, den Gesundheitszustand, die Rasse oder die ethnische Herkunft oder für die Erbringung von Gesundheitsdiensten, für epidemiologische Studien oder für Erhebungen über Geisteskrankheiten oder ansteckende Krankheiten, wenn die betreffenden Daten in großem Umfang im Hinblick auf Maßnahmen oder Entscheidungen verarbeitet werden, welche sich auf spezifische Einzelpersonen beziehen sollen,
- die weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels Videoüberwachung,
- sowie die Verarbeitung personenbezogener Daten aus umfangreichen Dateien, die Daten über Kinder, genetische Daten oder biometrische Daten enthalten.
Unternehmen sollten sich ihre Verfahren schon jetzt nochmals genau ansehen und sich auf die Risiko-Bewertung für entsprechende Fälle von Datenverarbeitung vorbereiten. Eine Beschäftigung mit diesen Compliance-Vorgaben lohnt sich schon heute in mehrfacher Hinsicht: zur Vorbereitung auf die geplante EU-Datenschutz-Grundverordnung, für die Erfüllung des bis zum Inkrafttreten der EU-Datenschutz-Grundverordnung gültigen Bundesdatenschutzgesetzes sowie zur weiteren Optimierung des eigenen Datenschutz-Managements.
Artikel von Oliver Schonschek
