Datenschutz beim Weihnachtsmann 2018 (Teil 3)

Datenschutz

von Daniela Hörnicke

Letztes Jahr um diese Zeit hat sich der Weihnachtsmann intensiv mit den anstehenden Änderungen im Datenschutz beschäftigt (https://www.althammer-kill.de/news-detail/datenschutz-beim-weihnachtsmann/). Gefühlt war es für ihn noch eine lange Zeit bis die Änderungen wirksam werden sollten und dann war er plötzlich da – der Tag X: Freitag, der 25.05.2018.

In den letzten zwei Wochen hat er seinen Rückblick auf ein halbes Jahr DSGVO gestartet und sich noch einmal bewusst gemacht, was die Kernthemen für ihn waren und wie die ersten Umsetzungen erfolgt sind.

In dieser Woche will er seinen Rückblick abschließen und sich die Bereiche Out-Sourcing, Beschäftigtendaten und Bußgelder noch einmal ansehen.

Punkt 5 – Outsourcing (oder auch Auftragsverarbeitung)

Ein Vertrag zur Auftragsverarbeitung (AV) ist zu schließen, wenn personenbezogene Daten im Auftrag verarbeitet werden. Der Vertrag regelt die Datenverarbeitung, die Weisungsrechte des Auftraggebers und die Pflichten des Auftragnehmers.

Dieses Thema war umfangreicher als gedacht, da zum einen zunächst alle Dienstleister, mit denen überhaupt Verträge zu schließen sind, identifiziert werden mussten; hierzu gehören z.B. CRM-Systeme, Lohnabrechnung, Chat-Systeme etc. Zudem haben sich auch noch einige Auftragsverarbeiter gesperrt und wollten gar keinen oder Verträge nach altem Recht abschließen. Der Weihnachtsmann ist hier aber standhaft geblieben, schließlich geht es für ihn auch darum, das Haftungsrisiko zu senken.

Zum anderen musste er auch erstmal jemanden finden, der die zugesandten Verträge auf Vollständigkeit und Rechtmäßigkeit prüfen konnte. Dies macht jetzt sein Datenschutzbeauftragter, der ihn glücklicherweise bei allen Datenschutzthemen tatkräftig unterstützt.

Punkt 6 – Beschäftigtendatenschutz

Hier hat er zunächst den Fokus darauf gelegt sein Bewerbermanagement zu optimieren. So gibt es jetzt eine eigene E-Mail-Adresse für Bewerbungen, welche nicht in der allgemeinen Mailarchivierung enthalten ist. Und es gibt einen definierten Prozess, wie generell mit Unterlagen und Informationen von Bewerbern umzugehen ist.

Auch die bestehenden Betriebsvereinbarungen hat er zusammen mit DSB und Betriebsrat geprüft und wo nötig angepasst.

In der nächsten Zeit soll eine digitale Mitarbeiterakte eingeführt werden; hier gilt es von vornherein den Datenschutz mit zu planen, z.B. im Hinblick auf die Ablage von Dokumenten zum Mitarbeitenden oder auch die Möglichkeiten, Zugriffsrechte funktionsbezogen einzuschränken. Es bleibt also noch einiges zu tun.

Punkt 7 – Haftung und Bußgelder

Die massiv gestiegenen Bußgelder haben ihm ziemlich große Angst eingejagt. Würde bei einem Verstoß direkt die Höchststrafe von 20 Mio. Euro verhängt werden? Dann könnte er einpacken und viele Kinder auf der Welt wären ziemlich traurig. Aber hier zeigte sich im vergangenen halben Jahr, dass noch keine große Bußgeldwelle losgetreten wurde. In Portugal wurde ein ziemlich hohes Bußgeld gegen ein Krankenhaus verhängt (https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-Krankenhaus-in-Portugal-soll-400-000-Euro-zahlen-4198972.html) und auch die deutschen Aufsichtsbehörden fangen so langsam an (https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/).

Der Weihnachtsmann stellt für sich fest, dass er schon viel erreicht hat und das trotzdem noch einiges zu tun ist. Im Datenschutz reicht es nämlich nicht, einmalig alles zu erstellen und zu dokumentieren. Vielmehr befindet man sich in einem beständigen Kreislauf und muss Risiken und Anforderungen immer wieder neu abschätzen.

Denn nur so kann das Ziel

nachweisbarer und datenschutzkonformer Umgang mit Daten

sichergestellt und erreicht werden.

Jetzt kommt jedenfalls erstmal Weihnachten, die für ihn arbeitsreichste und schönste Zeit des Jahres. Gut dass er sich übers Jahr so intensiv mit dem Thema DSGVO befasst hat, so kann er gut gerüstet ins neue Jahr starten! Und zum Glück hat er sehr gute Verbindungen zu Datenschutzexperten und den Aufsichtsbehörden und weiß deshalb zwei Dinge:

Es wird nichts so heiß gegessen, wie es gekocht wird!

Das was vorher erlaubt war ist weiterhin erlaubt, was vorher verboten war bleibt verboten!

< zu Teil 2

 

Hier finden sie wertvolle Tipps und Hinweise zum Thema Auftragsverarbeitung und Beschäftigtendatenschutz:

https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf

https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_14.pdf

Zurück