Datenschutzmanagement: Vorgaben
Bei der Entwicklung eines Datenschutzmanagementsystems (DSMS) sollten Unternehmen die Mindestgrundsätze des Datenschutzes berücksichtigen.
Wir haben bereits über PIA und DPIA, ROPA, und TOMs geschrieben. Diesmal werden wir weitere verbindliche Vorgaben für das Datenschutzmanagement vorstellen, wie z. B. die Interessenabwägung, das Management der Datenschutz-Auftragsverarbeiter und Schrems II.
In diesem Artikel werden folgende Aspekte behandelt:
- Bewertung berechtigter Interessen (Legitimate Interest Assessment, LIA)
- Management der Auftragsverarbeiter (Data Processor)
- Schrems II
- Lösung für DSMS
Legitimate Interest Assessment
Das berechtigte Interesse ist eine der sechs Bedingungen, die die Verarbeitung personenbezogener Daten gemäß der DSGVO rechtfertigen. Es wird als die flexibelste Begründung für die Datenverarbeitung angesehen und gilt bei entsprechender Benutzererwartung, weil dabei nur ein geringes Risiko eines Datenschutzlecks besteht. Dies ist z. B. in folgenden Situationen sinnvoll: bei der Betrugsprävention, der Aufrechterhaltung der Informationssicherheit in einer Organisation, der Verarbeitung von Mitarbeiter- oder Kundendaten, der Verhinderung möglicher Gefährdungen der öffentlichen Sicherheit, beim Direktmarketing usw.
Wenn Sie diese Bedingung als Grundlage wählen, ist es wichtig, eine Bewertung der berechtigten Interessen (Legitimate Interests Assessment, LIA) durchzuführen. Sie müssen nachweisen, dass Sie geprüft haben, dass dies die korrekte rechtmäßige Grundlage für Ihre Zwecke ist.
LIA erfolgt in drei Schritten:
- Bestimmung des berechtigten Interesses;
- Nachweis der Notwendigkeit der Datenverarbeitung;
- Prüfung, ob es die Interessen, Rechte und Freiheiten des Einzelnen außer Kraft setzt.
Anschließend muss die Zusammenfassung der Bewertung dokumentiert und es muss nachgewiesen werden, dass Sie Ihre Verpflichtungen zur Aufbewahrung personenbezogener Daten berücksichtigt haben.
Data Processor Management
Was ist Management der Auftragsverarbeiter? Ein Auftragsverarbeiter ist eine von einem Dritten autorisierte Person oder Organisation, die sich mit der Verarbeitung personenbezogener Daten gemäß den Anweisungen eines für die Verarbeitung Verantwortlichen für bestimmte Zwecke und Dienste befasst. Auftragsverarbeiter können beispielsweise die Outsourcing-Unternehmen der Personalabteilung sein, die mit den persönlichen Daten der Bewerber und Mitarbeiter arbeiten, oder externe E-Mail- oder Social-Media-Marketingagenturen, die Daten für Kampagnen verwenden.
Auftragsverarbeiter haben ihre Verpflichtungen gegenüber Kunden (Prüfern) und Aufsichtsbehörden, die in vertraglichen Vereinbarungen aufgeführt sind. Mit einem Auftragsverarbeitungsvertrag erfüllen beide Parteien ihre Verpflichtungen bezüglich der DSGVO.
Auftragsverarbeiter müssen:
- einen Datenschutzbeauftragten ernennen
- Unternehmensrichtlinien zur Einhaltung und zur Nichteinhaltung der DSGVO erstellen
- DPIA (Datenschutz-Folgenabschätzung) durchführen
- angemessene technische und organisatorische Maßnahmen (TOMs) umsetzen, bevor personenbezogene Daten grenzüberschreitend übertragen oder empfangen werden
- die Sicherheit und Vertraulichkeit personenbezogener Daten gewährleisten und diese nur im erforderlichen Umfang verarbeiten
- schriftliche Aufzeichnungen über alle Aktivitäten führen und den Kunden und Behörden Zugriff darauf gewähren
- den Verantwortlichen unverzüglich über einen Datenschutz-Vorfall informieren und Unterstützung leisten
- schriftliche Genehmigung des Kunden einholen, bevor sie Unterauftragsverarbeiter einbeziehen
- sicherstellen, dass Verträge mit Unterauftragsverarbeiter ein entsprechendes Schutzniveau gewähren
- nach der Beendigung des Auftrags alle persönlichen Daten löschen oder sie an den Kunden zurückgeben.
Schrems II
Organisationen (Datenexporteure), welche personenbezogene Daten in andere Länder außerhalb der EU übertragen, müssen das Schrems-II-Urteil zur DSGVO berücksichtigen, andernfalls wird eine Geldstrafe fällig.
5 erforderliche Schritte für die Datenexporteuren zum Schrems-II-Urteil:
#1. Zeichnen Sie Ihre internationalen Datenübertragungen auf. Die Datenexporteure müssen ihre Übertragungen in Nicht-EWR-Länder sowie die Übertragungen ihrer Auftragsverarbeiter kennen.
#2. Beherrschen Sie die Tools, die Sie für die Übertragungen nutzen. Die folgenden 46 DSGVO-Übertragungstools werden normalerweise verwendet: Standardvertragsklauseln, verbindliche Unternehmensregeln, Verhaltenscodices, Zertifizierungsmechanismen und Ad-hoc-Vertragsbestimmungen. Um Ihre Tools zu untersuchen, führen Sie eine spezielle Bewertung durch, z. B. eine RoPA-Bewertung (Aufzeichnung der Verarbeitungsaktivitäten) oder eine spezielle Validierung der Datenübertragungstools für den internationalen Transfer personenbezogener Daten.
#3. Prüfen Sie die Gesetzeslage im Drittland. Begutachten Sie vor der Durchführung des Datenexports die gesetzlichen Vorgaben im Zielland und entscheiden Sie, ob die Datenübertragung sicher genug ist.
#4. Identifizieren und ergreifen Sie die begleitenden Maßnahmen und zusätzlichen Schritte. Diese Maßnahmen werden getroffen, um ein angemessenes Schutzniveau für die Datenübertragung zu gewährleisten. Sie können technisch, vertraglich oder organisatorisch sein und können bei Bedarf kombiniert werden. Überlegen Sie, ob zusätzliche formale Schritte erforderlich sind, um Daten in ein bestimmtes Land zu übertragen.
#5. Betreiben Sie regelmäßige Neubewertung und Nachverfolgung. Kontinuierliche Überwachung der Entwicklungen im Drittland, die sich auf die Erstbewertung auswirken könnten, ist wichtig. Sie müssen außerdem gewährleisten, dass die Datenübertragung bei Bedarf sofort gestoppt oder beendet werden kann.
Ergänzen Sie Ihr Datenverarbeitungsmanagementsystem mit der GRC-Lösung
Unabhängig von der Größe Ihrer Organisation brauchen Sie die DSGVO-Compliance, wenn Ihre Aktivitäten mit der Datenverarbeitung der EU-Bürger einhergehen. Unabhängig davon, wie kompliziert die Umsetzung des Datenschutzes sein mag, müssen Sie sich an die Vorgaben halten, wenn Sie vorankommen möchten. Ein toolgetriebener Ansatz mit einer Datenschutzmanagement-Software kann den Umsetzungsschmerz lindern. Er bietet Ihnen alle erforderlichen Unterlagen und einen Arbeitsplatz, an dem Sie mit professioneller Anleitung und hoher Flexibilität alles von Grund auf neu erledigen können.
Wir bieten eine zentrale Plattform für alle Ihre Aktivitäten rund um den ganzheitlichen Ansatz zur Einrichtung eines DSMS an. Infopulse SCM als Datenschutzmanagement-Tool unterstützt die Multi-Standard-Option, bei der Sie gleichzeitig mit mehreren Vorgaben arbeiten und schnell zwischen den Projekten wechseln können. Mit Hilfe von benutzerdefinierten Feldern können Sie das System an Ihre Bedürfnisse anpassen. Darüber hinaus können Sie über unser Import-Tool alle spezifischen Anforderungen und Maßnahmen hochladen.
Kostenfreies Konto
Kontaktieren Sie uns, um einen unverbindlichen Testzugang zu erhalten