Welches Datenschutzmanagement passt zu mir?
von Ass. Jur. Lena Höötmann (Kommentare: 0)
Jeder datenschutzrechtlich Verantwortliche ist einzigartig. Einzigartig in seiner unternehmerischen Organisation, einzigartig in der Wahl seiner Betriebsmittel, einzigartig im Umgang mit seinen Geschäftspartnern. Dementsprechend einzigartig sind auch die Kunden der dacuro: während Kunde A als kleiner Handwerksbetrieb kaum personenbezogene Daten verarbeitet, führt Kunde B, ein großer Medizinproduktehersteller, im Rahmen seiner Entwicklungsarbeit höchst sensible Verarbeitungsvorgänge durch. Wie aber kann ein Verantwortlicher wissen, welche Form des Datenschutzmanagements die richtige für ihn ist? Wie kann er beurteilen, welche Ressourcen er heranziehen sollte, wieviel Zeit und Geld investiert werden müssen? Naheliegend ist es, zunächst auf die Art der verarbeiteten Daten abzustellen. Ein steter Umgang mit sensiblen Daten und Daten im Sinne von Art. 9 DSGVO erfordert ein anderes Datenschutzmanagement als etwa der Umgang mit bloßen Kontaktdaten. Doch auch wenn die Art der Daten eine wichtige Rolle bei der Beurteilung der Frage nach dem richtigen Datenschutzmanagement spielt, ist sie nicht allein der maßgebliche Faktor. Welche Faktoren noch Berücksichtigung finden sollten und wie Verantwortliche ihr individuelles Risikoprofil beurteilen können, erfahren Sie auf den nächsten Seiten
Der Begriff „Datenschutzmanagement“
Soweit von Datenmanagement die Rede ist, geht es in erster Linie um die Frage, wie eine verantwortliche Stelle die Umsetzung und Einhaltung der datenschutzrechtlichen Regelungen (DSGVO, BDSG etc.) gewährleistet. Dabei ist es für den Verantwortlichen unumgänglich zu wissen, welche Form von Datenschutzmanagement die richtige für ihn ist. Keinesfalls möchte man mit einem unausgegorenen und lückenhaften Datenschutzmanagement in den Fokus der Aufsichtsbehörden geraten. Gleichzeitig können die Implementierung und Einhaltung eines umfassenden Datenschutzmanagements (viel) Zeit und Geld kosten. Es gilt also, die goldene Mitte zu finden. Und die goldene Mitte findet derjenige am besten, der sein eigenes (unternehmerisches) Risikoprofil kennt.
Das Wissen um das eigene Risikoprofil
Die Kenntnis des eigenen Risikoprofils ermöglicht es dem Verantwortlichen, die Frage nach den zutreffenden, geeigneten technischen und organisatorischen Maßnahmen besser beantworten zu können. Die DSGVO selbst äußert sich zu dieser Frage nämlich nur oberflächlich und konstatiert in Art. 24, dass der Verantwortliche
„unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen“
einsetzt. Je nachdem, welche Risiken die Verarbeitungstätigkeiten des Verantwortlichen für die Rechte und Freiheiten der betroffenen Personen mit sich bringen, desto detaillierter und durchdachter muss das Risiko- und damit Datenschutzmanagement ausgestaltet sein.
Geeignetheit und Erforderlichkeit von Datenschutzmaßnahmen
Was aber ist im konkreten Fall geeignet ist, daran scheiden sich regelmäßig die Geister. Je tiefer man sich in den Feinheiten organisatorischer und technischer Sicherheitsmaßnahmen verliert, desto schwieriger wird eine Aussage über Geeignetheit und Erforderlichkeit einer konkreten Maßnahme zu treffen sein. Denn auch wenn viele Maßnahmen geeignet sind, für ein besseres Sicherheitsniveau zu sorgen, so sind nicht alle Maßnahmen im Einzelfall erforderlich. Hinzukommt, dass Risikobewertungen stets eine hohe subjektive Komponente innewohnt. Gleichzeitig ist angesichts aufsichtsbehördlicher Kontrollen ein objektiver Maßstab wünschenswert, an dem sich Verantwortliche orientieren und die Wahl der von ihnen getroffenen Datenschutzmaßnahmen begründen können. Ein einheitlicher Standard existiert hier bislang jedoch nicht. Somit bleibt das Risiko einer Fehleinschätzung beim Verantwortlichen.
Dokumentation der Erwägungen zur Risikobewertung
Für Verantwortliche empfiehlt es daher, sich zunächst grundsätzliche Gedanken zu ihrem Risikoprofil zu machen und diese Gedankengänge – im Sinne der datenschutzrechtlichen Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO – schriftlich zu dokumentieren. Denn wer nachweisen kann, dass er sich mit der Risikobewertung und -einordnung auseinandergesetzt, aber schlussendlich falsch entschieden hat, steht vor den Aufsichtsbehörden in jedem Fall besser da als derjenige, der einfach nur falsch liegt.
Risikobemessungsfaktoren
Maßgeblicher Faktor bei dieser ersten Risikobeurteilung bzw. Risikoprofilerstellung ist die Frage, wie kritisch die stattfindenden Datenverarbeitungen sind. Eine solche Kritikalität lässt sich jedoch nicht losgelöst bewerten, sondern muss im konkreten Kontext der Verarbeitungstätigkeit begutachtet werden - in welchem Bereich ist der Verantwortliche tätig, welche Reichweite hat er, in welchem Umfang werden Daten verarbeitet? Faktoren, die hierbei einen maßgeblichen Einfluss haben können und den Risikofaktor ggf. erhöhen, können dabei sein:
- Anzahl der Mitarbeitenden (ggf. abgrenzend zu den Mitarbeitenden, deren Tätigkeit auch tatsächlich mit der Verarbeitung personenbezogener Daten einhergeht)
- In welchen Ländern ist das Unternehmen tätig?
- Wie hoch ist der Umsatz?
- Wie ist die gesellschaftsrechtliche Struktur, gibt es weitere Gesellschaften oder Körperschaften?
- In welchem Umfang werden personenbezogene Daten verarbeitet?
- Werden besondere Kategorien gem. Art. 9 DSGVO verarbeitet?
- Wie IT-intensiv gestaltet sich das Arbeiten?
- Wie komplex stellt sich die Verarbeitung personenbezogener Daten dar?
- In welchem Maße findet eine Zusammenarbeit mit Dritten statt?
- In welchem Bereich ist der Verantwortliche tätig?
Um aus diesen Faktoren eine Aussage zur Risikobemessung gewinnen zu können, empfiehlt es sich, jeden einzelnen Faktor mit einem bestimmten Wert zu gewichten (z. B. 0,1 – 1). Der Wert bemisst sich dabei in Abhängigkeit zu der Bedeutung für die Risikointensivität der Datenverarbeitungen. So lässt das Umsatzvolumen eines Unternehmens zwar Rückschlüsse auf die Größe des Unternehmens, seine Aktivität am Markt und ggf. auch auf die Komplexität der stattfindenden Vorgänge zu, wodurch wiederum Rückschlüsse auf die stattfindenden Datenverarbeitungen möglich sind. Dennoch vermittelt der Umsatz allein nur ein sehr vages Bild von den Vorgängen im Unternehmen und lässt allenfalls Vermutung über die Datenverarbeitungen zu. Hier empfiehlt sich daher eine eher niedrige Gewichtung, z. B. durch Vergabe des Wertes 0,1. Eine größere Aussagekraft über die Datenverarbeitungsprozesse enthält die Frage zur Nutzung von IT-Systemen. Da hier erfahrungsgemäß größere Datenvolumen verarbeitet werden, könnte man eine Gewichtung im Bereich von 0,7 denken. Neben dieser ersten Gewichtung, muss nun eine zweite Wertung vorgenommen werden und die jeweiligen Faktoren im Einzelfall bewertet werden (z. B. 1 -10). Diese Bewertung besagt, in welchem Umfang der jeweilige Faktor auf den Verantwortlichen zutrifft. Liegt der Umsatz im Millionenbereich, liegt eine Wertung von 6 – 9 nahe, liegt er bei einigen Tausend Euro, liegt eine Wertung von 1 – 2 nahe. Addiert man die entsprechend gewichteten Wertungen, erhält man einen Mittelwert, anhand dessen das individuelle Risikoprofil eines Verantwortlichen berechnet werden könnte. Entsprechend dem Risikoprofil, kann nun über die zu treffenden technischen und organisatorischen Maßnahmen nachgedacht werden.
Der Verantwortliche ist frei darin zu entscheiden, wie er das Risikoprofil seines Unternehmens ermitteln und festlegen will, welche technischen und organisatorischen Maßnahmen in seinem Fall angemessen sind. Die vorliegende Methode ist eine von vielen Möglichkeiten und wurde in leichter Abwandlung so im „Praxishandbuch DSGVO“ (Hrsg. Moos, Schefzig, Arning)[1] vorgestellt. Für Verantwortliche bietet diese Vorgehensweise den Vorteil, dass sie gegenüber Aufsichtsbehörden nachvollziehbar und eindrücklich darlegen können, dass sie sich mit dem Risikoqualifizierung beschäftigt haben und worauf ihre Entscheidung beruht.
[1] Praxishandbuch DSGVO, Moos/Schefzig/Arning (Hrsg), S. 627 ff., 2021.
dacuro GmbH
Als externe Datenschutzbeauftragte ist es unsere Aufgabe, Unternehmen bei der Umsetzung und Einhaltung der DSGVO zu unterstützen. Dies erfolgt unter anderem mittels Beratung, Hilfe bei den Verzeichnissen der Verarbeitungstätigkeit, der Prüfung von Verträgen zur Auftragsverarbeitung, der Prüfung von Webseiten auf Datenschutzkonformität oder auch bei der Sensibilisierung von Mitarbeitern und vielem mehr. Unser Team besteht aus Kolleginnen und Kollegen der unterschiedlichsten Fachbereiche, sodass wir in der Lage sind, den Datenschutz ganzheitlich zu betrachten. Da wir seit Jahren Firmen aus den unterschiedlichsten Branchen begleiten, verfügen wir über ein weit gefächertes Know-how. Wir stellen nicht nur den externen Datenschutzbeauftragten, sondern unterstützen gerne auch bei Einzelthemen. Sprechen Sie uns an, wir freuen uns über Ihre Kontaktaufnahme.
TAGS
Updates Anmeldung zum Newsletter
Wir informieren Sie kostenlos über aktuelle Meldungen zum Thema Datenschutz.
Dieser Inhalt wird aufgrund Ihrer fehlenden Zustimmung nicht angezeigt.
Einen Kommentar schreiben