Datenschutzprinzipien
Die DSGVO ist geprägt von einigen Prinzipien: den Grundsätzen für die Verarbeitung personenbezogener Daten. Dazu zählen die Rechtmäßigkeit der Verarbeitung, die Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie die Rechenschaftspflicht.
Verfahrens-Vorgaben der DSGVO
Dort finden sich auch einige konkrete Anforderungen, die zu erfüllen sind. Dazu zählt die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten, die Pflicht zur Benennung eines Datenschutzbeauftragten, die Rechte bzw. korrespondierenden Pflichten im Zusammenhang mit Betroffenenrechten und der oft notwendige Abschluss von Auftragsverarbeitungsverträgen (AV-Verträgen).
Verfahrens-Vorgaben als Konkretisierung der Prinzipien
Die Anforderungen an die Ausgestaltung der Organisation des Datenschutzes lassen sich aus den Datenschutz-Prinzipien herleiten. Im Falle des Verzeichnisses von Verarbeitungstätigkeiten ist dies vor allem die Rechenschaftspflicht – sie zu führen ist also kein Selbstzweck. AV-Verträge verfolgen das hehre Ziel, dem Verantwortlichen eine Auslagerung von Datenverarbeitungstätigkeiten zu ermöglichen und dabei trotzdem eine Kontrolle über die Daten zu gewährleisten. Verfahrens-Vorgaben der DSGVO dienen also der Umsetzung der Datenschutzprinzipien.
Aufwendige Umsetzung der DSGVO-Vorgaben
Die alltägliche Umsetzung der Vorgaben der DSGVO ist nicht selten geprägt von Ressourcenknappheit und widerstrebenden Interessen. Das für Datenschutz zur Verfügung stehende Budget ist in aller Regel begrenzt – es fehlt an Geld und an Zeit. Projekte sollen durch den Datenschutz nicht (vermeintlich) verkompliziert werden. Und in einer solchen Situation soll bzw. muss sich noch gewissenhaft um Verzeichnisse von Verarbeitungstätigkeiten und AV-Verträge gekümmert werden. Das eigentliche Anliegen der DSGVO, die Einhaltung der Datenschutz-Prinzipien, kann da aus dem Fokus geraten.
Umsetzung durch Verfahren und Richtlinien
Zur Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten ist es notwendig, Verfahren und Richtlinien einzuführen, die die Einhaltung ebendieser Grundsätze befördern. Ein prominentes Beispiel ist die in vielen Betrieben notwendige, regelmäßig Kontrolle des Führerscheines. Es wird (bzw. sollte) hier eine Sichtkontrolle durchgeführt und lediglich vermerkt werden, dass diese stattgefunden hat. Eine Kopie des Führerscheins ist nicht notwendig, stellte sie doch ohnehin nur eine Momentaufnahme dar. Diese Vorgehensweise leitet sich vor allem aus dem Prinzip der Datenminimierung ab. Der Zweck ist, zu prüfen, ob zu einem bestimmten Zeitpunkt eine Fahrerlaubnis vorhanden ist; dafür ist es nicht notwendig, den Führerschein zu kopieren. Das Dokumentieren der (erfolgreichen) Prüfung reicht zum Erreichen des Zweckes völlig aus.
Umsetzung durch Verinnerlichung von Datenschutzprinzipien
Doch nicht alle Situationen lassen sich im Detail durch Richtlinien abbilden. Und Regeln werden erfahrungsgemäß besser und bereitwilliger befolgt, wenn sie nachvollzogen und unterstützt werden können. Es ist daher wichtig, dass die Datenschutz-Prinzipien in der Breite der Belegschaft verinnerlicht werden. Die Grundsätze für die Verarbeitung bieten den Kompass für die alltägliche Arbeit mit personenbezogenen Daten. Doch wie lassen sich die Datenschutz-Prinzipien in die Belegschaft tragen? Hier bieten sich regelmäßige Schulungen und Sensibilisierungen an, wobei besonders bei hoher Personalfluktuation auf eine ausreichende Schulungs- bzw. Sensibilisierungsfrequenz geachtet werden sollte.