Noch 2 Monate bis zur DSGVO: Das ist jetzt zu tun

Externe Leistungen und Auftragsverarbeitung

In der Praxis zeigt sich immer wieder, dass, sei es durch Pflege und Support, sei es durch Hosting oder auch durch Nutzung externer Software as a Services, personenbezogene Daten von Dritten verarbeitet werden. Hier handelt es sich regelmäßig um Auftragsverarbeiter im Sinne von Artikel 28 DSGVO. Diese Auftragsverarbeiter müssen, wie der Verantwortliche auch, bestimmte Sicherheitsanforderungen bezüglich der Verarbeitung ­gewährleisten, allen voran technische und organisatorische Maßnahmen (kurz "TOMs"). Artikel 28 Absatz 3 schreibt vor, dass eine Verarbeitung durch einen Auftragsverarbeiter auf Grundlage eines Vertrags zu erfolgen hat, der insbesondere die in diesem Absatz genannten Regelungs­inhalte aufweist.
Hier sollte jedes Unternehmen große Sorgfalt walten lassen, ­insbesondere dann, wenn es sich um ­außereuropäische Unternehmen handelt. Während man bei der durch den Verantwortlichen selbst durchzuführenden Risikoeinschätzung durchaus bei einzelnen "Stellschrauben" zur Bewertung der Risiken noch unterschiedlicher Auffassung sein kann, lässt sich über das Erfordernis und den Inhalt einer Vereinbarung über Auftrags­datenverarbeitung auch mit der dann zuständigen Datenschutzbehörde nicht ernsthaft diskutieren. Speziell solche Themen werden sicherlich in ­Zukunft sehr aufmerksam beobachtet und im Verletzungsfalle unmittelbar mit spürbaren Bußgeldern sanktioniert werden.

Risikopriorisierung in der verbleibenden Zeit

Entsprechend der Risikopriorisierung über die Höhe von zu erwartenden Bußgeldern sollten die Verantwortlichen in der verbleibenden Zeit realistisch definieren, welche Gegenstände der Datenverarbeitung als kritisch einzustufen sind, und diese entsprechend hoch priorisieren. Dies kann beispielsweise zunächst einmal die umfangreich zu fordernde Dokumentation des Datenschutzmanagementsystems mit ­ihren einzelnen Inhalten wie Verfahrensverzeichnis, Sicherheitskonzept, Berechtigungskonzept, Löschungskonzept, Meldekonzept oder bei sensiblen Daten auch die Datenschutz-Folgeabschätzung sein.
Bei Unternehmen mit mehr als zehn Personen, die mit der Datenverarbeitung ­betraut sind, muss ein Datenschutzbeauftragter benannt werden: Er sollte hier vollständig mit einbezogen werden.
Es empfiehlt sich weiter, die entsprechenden Unterlagen auch so aufzubereiten und zu versionieren, dass diese für die jeweiligen Prozesse effektiv fortgeschrieben werden können. Erste Angebote von Tools finden sich hierzu im Markt. Zu überlegen ist auch zur Abfederung fehlender Skills und/oder Ressourcen, hier ­externe Berater einzubeziehen. Mit Blick auf die hohen Bußgeldandrohungen dürfte deren Vergütung relativ günstig sein.

Gravierende Verletzungstatbestände

Sind dann die Gegenstände höchster Priorität umgesetzt, um wenigstens gravierende Verletzungstatbestände möglichst vollständig zu vermeiden, geht es in einem zweiten Schritt um die Anpassung der im Rahmen der Gap-Analyse noch offenen Themen.
Natürlich ist die Zeit knapp, aber ein mittelständisches Unternehmen kann es durchaus noch schaffen, bis zum Stichtag des Inkrafttretens die wesentlichen Datenschutzthemen abzuarbeiten, um zumindest weitestgehend datenschutzkonform am Markt tätig sein zu können. Dies erfordert indes ein konzen­triertes und fokussiertes Vorgehen mit ­einem gut organisierten und fachlich versierten Team. Abwarten und Tee trinken ist dagegen die falsche Strategie. Denn ­einem Unternehmen, das so handelt, werden die Datenschutzbehörden im Falle gravierender Datenschutzverstöße wahrscheinlich nicht mehr Fahrlässigkeit zubilligen, sondern Vorsatz unterstellen.



Das könnte Sie auch interessieren