Wien – Am Anfang jedes Projektes für die Datenschutzgrundverordnung (DSGVO) steht die umfassende Erhebung der Verarbeitungstätigkeiten des Unternehmens. Nur auf dieser Basis können die weiteren Pflichten sinnvoll wahrgenommen werden.
Der große Umsetzungsaufwand in der Praxis resultiert vorwiegend aus der bisherigen stiefmütterlichen Behandlung des Datenschutzes. Die Grundparameter der datenschutzrechtlichen Zulässigkeitsprüfung haben sich nämlich kaum verändert. Nach dem noch geltenden alten Regime sind neue Prozesse vor Inbetriebnahme bei der Datenschutzbehörde zu melden. Darüber hinaus sind für risikogeneigte Datenanwendungen zusätzliche behördliche Vorabprüfungen und bei Datentransfers ins EU-Ausland Genehmigungen erforderlich.
Eigenverantwortliche Entscheidung
Mit Anwendbarkeit der DSGVO müssen die Prozesse statt der Schleife über die Behörde künftig umfassend dokumentiert und intern auf ihre datenschutzrechtliche Zulässigkeit geprüft werden. Es geht damit weg von der Freizeichnung durch die Behörde hin zu einer eigenverantwortlichen Entscheidung. Der Dreh- und Angelpunkt der DSGVO ist dabei das nach Artikel 30 zu führende Verzeichnis der Verarbeitungstätigkeiten, aus dem sich ein lückenloser Überblick über sämtliche Datenverarbeitungen und -ströme ergibt. Das ist auch die Basis bei zukünftigen Prüfungen der Behörde.
Neben den vorhandenen DVR-Meldungen und der Überleitung der bisher von der Meldepflicht ausgenommenen Anwendungen der Standard- und Musterverordnung (StMV) ist daher in der Praxis eine umfassende Datenerhebung erforderlich, um aus der Vergangenheit stammende Lücken zu schließen. Dafür müssen folgende Informationen strukturiert erhoben und dokumentiert werden:
· Name und Kontaktdaten des Verantwortlichen,
· Zwecke der Verarbeitung,
· Kategorien der Betroffenen, der Daten und Empfänger,
· Beschreibung der geeigneten Garantien bei Übermittlungen in Drittländer,
· Fristen für Löschung von Daten,
· ergriffene technische und organisatorische Sicherheitsmaßnahmen.
Zuordnung der Datenkategorien
Besonders wichtig ist die Zuordnung der einzelnen Datenkategorien zu den Betroffenen sowie zu den jeweiligen Empfängern. Nur auf dieser Basis lässt sich eine rechtliche Beurteilung zur Zulässigkeit der Verarbeitung wie auch der Übermittlungen treffen. Spätestens bei einem Auskunftsersuchen eines Betroffenen steht das Verarbeitungsverzeichnis auf dem Prüfstand: Ist dann zusätzlicher Rechercheaufwand, welche Daten wozu verwendet oder weitergegeben wurden, erforderlich, dann ist das Verzeichnis unvollständig.
Unabhängig davon ist das Verzeichnis aber auch für das Unternehmen selbst die wichtigste Grundlage für sämtliche nachgelagerte Maßnahmen bei der Vorbereitung auf die Umsetzung der DSGVO: Ob und in welchem Umfang Datenschutzfolgenabschätzungen nötig sind, wann ein Datenschutzbeauftragter zu bestellen ist, wie die Betroffenenrechte systemübergreifend sichergestellt werden oder welche technischen und organisatorischen Sicherheitsmaßnahmen zu ergreifen sind, kann erst auf Basis eines lückenlosen Gesamtüberblicks über die vom Unternehmen durchgeführten Datenanwendungen festgestellt werden.(Nino Tlapak, 9.4.2018)