Themenschwerpunkt Datenschutz unter der neuen Datenschutzgrundverordnung
Artikelserie zur Datenschutzgrundverordnung
Teil 2a: Datenschutz in Agenturen
Während sich Teil 1 und der kommende 3. Teil auf die Umsetzung der Anforderungen der Datenschutzgrundverordnung in Agentur-Software konzentrieren, geht es im 2. Teil um das, was Agenturen in Bezug auf den Datenschutz beachten und umsetzen müssen.
Datenschutz ist hierzulande eigentlich nichts Neues. Der Datenschutz in Deutschland wurde (u.a.) im Bundesdatenschutzgesetz geregelt. Und Unternehmen, die sich damit auseinandergesetzt und um die Anwendung und Einhaltung der Gesetze gekümmert haben, werden kaum Probleme mit der Umsetzung der neuen Verordnung haben. Soweit der erhobene Zeigefinger – ist es doch kein Geheimnis und auch nichts Seltenes, dass viele KMU und auch Agenturen hier etwas „verschlafen“ haben.
Dass es jetzt für viele so brisant wird, liegt unter anderem an einer sehr wesentlichen Neuerung der DSGVO gegenüber dem BDSG: Für Verstöße drohen empfindliche Strafen – und zwar das bis zu 66fache früherer Bußgelder! Also jetzt „ran an die Daten“…
Dabei ist für Agenturen die Thematik unter zwei Aspekten zu betrachten: Einerseits die Umsetzung der Anforderungen in der Agentur selbst, also der eigene Umgang mit Daten und andererseits die Berücksichtigung des Datenschutzes im Kundeninteresse (Datenschutzerklärungen auf den Kundenwebsites, Impressuminhalte etc.). In diesem Beitrag geht es um die Agentur-internen Aufgaben.
Zusammenfassung der wesentlichen Punkte im unmittelbaren Umgang mit Daten
Im ersten Teil habe ich die wesentlichen Aspekte und Artikel aus der Datenschutzgrundverordnung ausführlich dargestellt, die vor allem im Zusammenhang mit dem unmittelbaren Datenhandling und der Nutzung von Software zu berücksichtigen sind.
- „Einwilligung“ (Art.6) und Nachweispflicht (Art.7)
- „Vertraulichkeit“ und „Integrität“ (Art.5)
- Datenspeicherung: Begrenzung und Löschung (Art.5, 17, 18)
- Information/Auskunft und Transparenz (Art.5, 12, 13, 15, 16)
- Technischer Datenschutz
In diesem Beitrag geht es um die Frage, wie die Umsetzung in der Agentur selbst aussehen kann und welche Aufgaben bewältigt werden müssen.
Aufgaben für die Agenturen
1. Grundsätzliche Klärungen: Welche Verordnungen gelten für die Agentur?
Selbstverständlich gilt die Einhaltung der Datenschutzgrundverordnung für alle Unternehmen. Gleichzeitig gibt es einige Regelungen, die nicht unbedingt anzuwenden sind – oder bei denen die Vermutung nahe liegt. Bevor an die konkrete Maßnahmenplanung gegangen wird, sollten diese Fragen geklärt sein: Muss ein Verzeichnis erstellt werden? Besteht die Notwendigkeit einer Folgenabschätzung? Brauchen wir eine/n Datenschutzbeauftragte/n?
Verarbeitungsverzeichnis (Art. 30 der DSGVO)
Grundsätzlich müssen nur Unternehmen ein Verarbeitungsverzeichnis (früher „Verfahrensverzeichnis“) erstellen, die mehr als 250 Mitarbeiter/innen beschäftigen. Allerdings – keine Regel ohne Ausnahme – gilt dies nur, wenn in der Agentur …
- nur gelegentlich Daten verarbeitet werden. Hierbei ist zu beachten, dass „gelegentlich“ nicht definiert ist. Ist z.B. ein Gewinnspiel pro Jahr, für das Daten erhoben und verarbeitet werden, gelegentlich oder durch die Regelmäßigkeit schon nicht mehr?
- durch die Datenverarbeitung kein Risiko für die Rechte und Freiheiten der Betroffenen entsteht. Hier ist das Problem der Nachweispflicht.
- keine Daten verarbeitet werden, die unter besondere Datenkategorien gemäß Art. 9 und Art. 10 fallen. Dazu gehören z.B. solche zur ethnischen Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen etc. Auch hier ist die Abgrenzung schwierig und liegt die Beweislast bei der Agentur.
Im Grunde bedeutet dies, dass alle, die Daten verarbeiten, mit der Erstellung eines Verarbeitungsverzeichnisses auf der sicheren Seite sind, denn auch Freiberufler und Klein(st)unternehmen erheben, verarbeiten und nutzen Daten von Mitarbeiter/innen, Kunden und Lieferanten bzw. deren Ansprechpartner/innen, Geschäftspartner, Netzwerk-Kollegen usw. Gut, wenn im Falle einer Prüfung ein – gut gepflegtes – Verzeichnis vorgelegt werden kann! Auch ist es vielleicht sinnvoller, ein Verzeichnis der Verarbeitungstätigkeiten aufzustellen, statt Zeit und Kreativität in die Begründung der Freistellung zu investieren.
Folgenabschätzung (Art. 35)
In einer Datenschutzfolgeabschätzung – im alten BDSG noch „Vorabkontrolle“ genannt – sollen die Risiken der Datenspeicherung für die Persönlichkeitsrechte von Betroffenen eingeschätzt und die Rechtmäßigkeit ihrer Erhebung beurteilt werden. Auch hier liegen die Kategorien nach Art. 9 und 10 zugrunde – sowie die Artikel, die auf die Notwendigkeit und Verhältnismäßigkeit zielen, wie auch die Regelungen zur Datenminimierung und Speicherbegrenzung. Sie ist z.B. notwendig, wenn systematische und umfassende Bewertungen persönlicher Aspekte vorgenommen werden – wobei auch hier die Definition des Begriffs „umfangreich“ bislang ungeklärt ist – und wenn ein „voraussichtlich hohes Risiko“ mit der Verarbeitung von Daten verbunden ist.
Der Versand eines Newsletter Ihrer Agentur an Interessenten per Email hat voraussichtlich einen geringen Schutzbedarf. Eine Veröffentlichung der Adressen wäre zwar nicht schön, aber für die Betroffenen auch nicht bedrohlich. Anders liegt der Fall, wenn es sich um den Newsletter an Vereinsmitglieder handelt. Die Urlaubsplanung der Agentur in Excel hat dagegen einen „normalen“ Schutzbedarf. Die Überwachung des Eingangsbereichs per Videokamera einen normalen bis hohen, je nachdem ob z.B. die Bilder aufgezeichnet werden oder nicht.
Datenschutzbeauftragter (Art. 38)
Ein Datenschutzbeauftragter muss bestellt werden, wenn personenbezogene Daten automatisiert verarbeitet werden und wenn mindestens zehn Personen ständig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind. Und auch wenn es um besonders sensible Daten geht, wie z.B. Bonitätsprüfung oder Gesundheitsdaten, ist ein Datenschutzbeauftragter notwendig. Die Zahl der Personen enthält auch Teilzeitkräfte, Auszubildende, Trainees und Geschäftsführer.
Dabei steht es frei, ob die Aufgaben intern an einen Mitarbeiter, eine Mitarbeiterin übergeben werden oder ob ein externer Datenschutzbeauftragter bestellt wird. Beides hat seine Vor- und Nachteile: Mitarbeiter/innen kennen die Agentur und die Abläufe bereits, sind mit den Prozessen vertraut. Andererseits kann hier bei Entscheidungen ggf. eher ein Interessenkonflikt entstehen. Zudem ist die Weiterbildung zum Datenschutzbeauftragten kostspielig und zeitaufwendig. Externe Datenschutzbeauftragte bringen hingegen dieses Wissen und Experten-Erfahrung bereits mit und bereichern die Agentur mit einer objektiven Sichtweise.
Fällt Ihnen in diesen drei Fällen die Bewertung schwer, inwieweit was für Ihre Agentur zutreffend ist, sollten Sie auf jeden Fall juristische Beratung in Anspruch nehmen!
2. Sammlung der Daten in der Agentur und ihrer Wege
Die wesentliche Aufgabe besteht darin, sich einen Überblick zu verschaffen:
- Welche Daten werden an welcher Stelle von wem und aus welchem Grund und zu welchem weiteren Zweck womit erfasst, wie werden sie verarbeitet und wohin gehen sie eventuell?
Die detaillierte Beantwortung dieser Fragen stellt dann ja im Grunde auch schon die Basis für das Verzeichnis der Verarbeitungstätigkeiten dar.
Betrachtet werden wirklich alle Daten: Die Informationen über Mitarbeiter/innen, Kunden, Lieferanten, Partner, Newsletter-Empfänger, die Kartei von Interessenten… Also alle Daten von Personen mit denen Sie in irgendeiner Form zu tun haben und deren Daten Sie speichern, verarbeiten, nutzen.
In diese Prüfung werden auch die Wege einbezogen, die die gesammelten Daten gehen oder gehen soll(t)en. Wo werden sie abgelegt oder gespeichert? Sind hier die Zugriffe und Berechtigungen geklärt? Auf welchen Datenträgern werden sie gesichert? Wie sieht es mit dem Backup aus? Kennen Sie die Datenschutzregeln des Cloud-Anbieters? Haben Sie ein Datensicherungskonzept?
Besondere Beachtung findet hierbei – besonders bei Agenturen – die Art und Weise, wie Sie an Daten gelangen und welche verschlungenen Wege Daten – teils ohne Ihr aktives Dazutun – gehen, wenn Daten für das Marketing verwendet werden. Versenden Sie einen Newsletter? Nutzen Sie Google Analytics? Bieten Sie RSS-Feeds an oder lassen Sie zu, dass Besucher der Website Kommentare abonnieren? Haben Sie die Datenschutzerklärung auf Ihrer Homepage den aktuellen Erfordernissen angepasst?
Prozesse beschreiben
Eine gute Herangehensweise, um sich der Datensammlung bewusst zu werden , ist die Auflistung und Analyse aller Prozesse, bei denen personenbezogene Daten verarbeitet werden. Beschreiben Sie die Prozesse und erstellen Sie Ablaufdiagramme. Spannen Sie den Bogen von der Kundenakquise bis zur Rechnungslegung, von Administration und Buchhaltung und (ggf. je nach Agenturgröße) Personalabteilung bis zur IT. Wie laufen Bewerbungsverfahren? Wie erfolgt die Kundenakquise? Wo landen die Informationen über die Skills der Freelancer? Welche Daten benötigt die Rechnungslegung? Usw.
Da Sie gehalten sind, im Rahmen des Verarbeitungsverzeichnisses die jeweilige Rechtsgrundlage anzugeben, auf deren Basis die Datenverarbeitung erfolgt, ist es durchaus sinnvoll, dies gleich im Rahmen der Prozessbeschreibung zu tun. Dies stellt gleichzeitig eine gute Möglichkeit dar, sich auf diesem Wege mit dem Datenschutz und den Anforderungen der DSGVO auseinanderzusetzen.
Beteiligte und Tools
Mit der Sammlung der Daten und der Beschreibung der Prozesse einher geht die Auflistung aller externen und internen Prozessbeteiligten sowie der eingesetzten Tools, Werkzeuge, Verfahren. Werden diese entsprechend benannt, ist es später einfacher, die den Elementen zugehörenden Verträge anzupassen oder zu ergänzen und zu dokumentieren. Hier geht es z.B. um Mitarbeiter/innen und beispielsweise die Vertraulichkeitsverpflichtung, um den Cloudanbieter oder die externe Buchhalterin und die Dienstleistungsverträge, um die Sicherung des Serverraums und das Passwort-Management…
Wer sich ausreichend mit den „W-Fragen“ auseinandersetzt – wer macht was wann womit warum und wie – hat zwar viel Arbeit vor sich, kann die Aufgabe aber um so strukturierter umsetzen. Hier sind die, die bereits ein Zertifizierungsverfahren durchlaufen oder ein Agenturhandbuch erstellt haben, im Vorteil. Ziel ist es, ein Verzeichnis von Verarbeitungstätigkeiten als Basis für das Datenschutz-Management zu erstellen, das dann auch zur Erfüllung der Nachweispflicht dienen kann.
Soweit für Heute. Nächste Woche geht es um die nächsten Schritte.
Links zum Thema
Teil 1. Datenschutz in Agentursoftware: Was sollte Ihre Agentursoftware können?
Workshop „Datenschutz in Agenturen umsetzen“