Datenschutz in Agenturen – DSGVO umsetzen (Teil 2)

Datenschutz in Agenturen - Schritt für Schritt zur Umsetzungsstrategie. Teil2 Klick um zu TweetenThemenschwerpunkt Datenschutz unter der neuen Datenschutzgrundverordnung

Artikelserie zur Datenschutzgrundverordnung

Teil 2b: Datenschutz in Agenturen

Während sich die Teile 1 und 3 auf die Umsetzung der Anforderungen der Datenschutzgrundverordnung in Agentur-Software konzentrieren, geht es im 2. Teil um das, was Agenturen in Bezug auf den Datenschutz beachten und umsetzen müssen. Dazu gab es einen ersten Teil 2.a. in der letzten Woche, der nun fortgesetzt wird.

Zusammenfassung der wesentlichen Schritte für die Agenturen

1. Grundsätzliche Klärungen: Welche Verordnungen gelten für die Agentur? (Teil 2a)
2. Sammlung der Daten in der Agentur und ihrer Wege (Teil 2a)
3. Aufgaben und Verantwortlichkeiten festhalten – Projektplanung (Teil 2b)
4. Mitarbeiter schulen und sensibilisieren – Datenschutzgrundsätze (Teil 2b)
5. Regelmäßige Überprüfung! (PDCA) (Teil 2b)

3. Aufgaben und Verantwortlichkeiten festhalten – Projektplanung

Wie nun kann das Riesenpaket an Aufgaben, das da auf die Agentur zukommt, so in einen Maßnahmenplan übergeleitet werden, dass die Aufgaben agenturgerecht – heißt den stressigen Agenturalltag berücksichtigend – abgearbeitet werden können?

Setzen Sie ein Projekt auf!

Um die Komplexität zu erfassen und in eine geordnete Reihe zu bringen, ist es sinnvoll, ein Projekt „Datenschutz in der Agentur“ zu starten. Dabei spielt es keine Rolle, ob Sie dies mit klassischen oder agilen Methoden tun. Wichtig ist, dass die Aufgaben, Arbeitspakete, Meilensteine benannt und in einem Projektplan visualisiert sowie mit Zuständigkeiten versehen werden.

Am Anfang steht die Aneignung eines soliden Basiswissen, um das Projekt in Angriff nehmen zu können: Wichtige Begriffe und Grundsätze sollten allen, die mit dem Projekt betraut werden sollen, bekannt sein – insbesondere auch der Geschäftsführung, da letztlich sie für die Einhaltung der Vorschriften zuständig ist.

Die nächsten Schritte sind die Zieldefinition und die Planung von Zeit, Budget und Personal. Es ist wichtig, dass Sie sich bewusst machen, dass die Aufgaben nicht neben dem Agenturgeschäft mal eben erledigt werden können. Planen Sie deshalb ausreichende finanzielle und personelle Ressourcen ein.

Die Bestimmung von Zielen geht es natürlich in erster Linie einfach darum, die von den Behörden auferlegten Forderungen umzusetzen. Trotzdem sind weitere Ziele denkbar, beispielsweise kann ein effizienter und gut dokumentierter Datenschutz die Agentur für Geschäftspartner, Kunden und Mitarbeiter attraktiver machen und somit Wettbewerbsvorteile sichern.

Verantwortliche festlegen

Für das Gesamtpaket Datenschutz ist zunächst rein rechtlich gesehen die Geschäftsführung verantwortlich. Für die praktische Realisierung ist die Bestimmung von konkret Verantwortlichen notwendig – damit es nicht geschieht, dass sich in der Agentur niemand direkt verantwortlich fühlt: Wer hat die Pflicht, welche Aspekte der DSGVO umzusetzen? Diese Zuständigkeiten werden am Besten im initialen Datenschutz-Kickoff-Workshop namentlich benannt, festgelegt und im Agenturhandbuch hinterlegt.

Grundsätzlich ist eine geteilte Zuständigkeit sinnvoll und die Bestimmung einer Koordinatorin/eines Koordinators empfehlenswert. Wie sehr die Verantwortlichkeit gesplittet werden muss, kommt natürlich auf die Größe der Agentur an und welche Management-Aufgaben von wem erledigt werden. Gibt es z.B. eine eigene Personalabteilung, ist diese für die Einhaltung des Mitarbeiter-Datenschutzes zuständig etc.

Unabhängig davon ist zu klären, ob die Agentur eine/n Datenschutzbeauftragte/n – egal ob intern oder extern – bestellen muss. Siehe hierzu auch den Beitrag im Blog https://www.agentur-wissen.de/brauchen-sie-einen-datenschutzbeauftragten/

Wobei die Verantwortlichkeit des Datenschutzbeauftragten nicht mit der oben angesprochenen Koordinationsfunktion verwechselt werden sollte, da laut DS-GVO Datenschutzbeauftragte nicht mehr die operativen Aufgaben (wie Schulungen oder Vorabkontrollen) verantworten, sondern die Stellung eines Kontrollorgans einnehmen. Kern der Rechtsstellung des/der Datenschutzbeauftragten ist seine/ihre Unabhängigkeit.

Splitten Sie die Aufgaben und Zuständigkeiten der Agenturgröße angemessen. Während in einem kleinen Designbüro die Funktion eines Datenschutz-Managers ausreichend ist, sollte eine 50-Mitarbeiter-Agentur ein Datenschutz-Team einsetzt werden.

Projektstart und -umsetzung

Auf die beiden zum Projektstart gehörenden wesentlichen Aufgabenpakete „Rechtliche Grundlagen klären“, „Daten sammeln, Prozesse beschreiben“ und „Beteiligte benennen“ wurde im letzten Teil bereits ausführlich eingegangen.

Sind diese Tätigkeiten umgesetzt, haben Sie bereits eine gute Grundlage, um nun das Verzeichnis von Verarbeitungstätigkeiten anzulegen und auch die technischen und organisatorischen Maßnahmen (TOM) zu beschreiben.

Zu den umzusetzenden Maßnahmen gehören dann all die, die damit einhergehen: Die Anpassung der Verträge mit zum Beispiel Ihrem Cloud-Anbieter, der externen Buchhalterin, den Freelancern und festen Mitarbeiter/innen beispielsweise oder die Anpassung der Datenschutzerklärung auf Ihrer Website, neue Passwort-Vorgaben oder auch die Prüfung Ihrer Agentursoftware auf datenschutzrechtliche Anforderungen… Möglicherweise ergibt die Datensammlung ja auch, dass Sie gar nicht von allen, deren Daten Sie erhoben haben, das Einverständnis haben und müssen dies nun ggf. nachholen.

4. Mitarbeiter schulen und sensibilisieren

Damit der Datenschutz in der Agentur gelebt werden kann, ist eine sehr wesentliche Aufgabe in der nächsten Projektphase „Projekt leben und kontinuierlich verbessern“ die Schulung und Sensibilisierung aller Mitarbeiter/innen.

Alle Mitarbeiter/innen müssen die Grundsätze des Datenschutzes kennen! Deshalb ist eine Grundlagen-Schulung, in der diese Grundsätze thematisiert werden, unumgänglich. Bei der tiefergehenden Schulung muss dagegen nicht nach dem Gießkannen-Prinzip vorgegangen werden. Vielmehr ist es wichtig die Mitarbeiter/innen entlang ihrer Zuständigkeitsbereiche und Aufgaben (Personal, Buchhaltung, Beratung, IT etc.) in der Agentur geschult werden und sich auskennen.

Die Grundsätze werden in Kapitel 2 DSGVO, Artikel 5 bis 11 definiert. Auf einige Prinzipien wurde im 1. Teil der Serie mit den Themen „Einwilligung“ (Art.6) und Nachweispflicht (Art.7), „Vertraulichkeit“ und „Integrität“ (Art.5), Datenspeicherung: Begrenzung und Löschung (Art.5, 17, 18) sowie Information/Auskunft und Transparenz (Art.5, 12, 13, 15, 16) bereits eingegangen.

Bleiben noch – und sind gerade für die Mitarbeitersensibilisierung besonders bedeutsam – die Grundsätze Datenminimierung, Zweckbindung und Richtigkeit (alle Art. 5), sowie die Grundsätze der „Verarbeitung besonderer Kategorien personenbezogener Daten“ (Art. 9) und „Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist“ (Art. 11).

Datenminimierung

Wesentlich ist hier vor allem das Prinzip der Datenminimierung. Dies bedeutet, dass nur diejenigen Daten verarbeitet werden dürfen, die für den (definierten) Zweck notwendig sind und nicht darüber hinausgehen. Die Erfassung und Nutzung personenbezogener Daten muss auf das notwendige Maß beschränkt werden.

Datenschutz beginnt mit der Überlegung, welche Daten eigentlich für die Geschäftstätigkeit wirklich erforderlich sind und welche Sorgfalt ihrer Sammlung und Nutzung geboten ist. Leider stehen nicht wenige auf dem verbreiteten Standpunkt, dass mehr besser ist als weniger, selbst dann, wenn es für das Mehr keine wirkliche Notwendigkeit gibt.

Bietet die Agentur einen Newsletter an, so ist im Grunde nur die E-Mail Adresse erforderlich. Soll aus Gründen der personalisierten Ansprache auch Anrede, Titel, Vorname und Nachname erfasst werden, muss die ausdrückliche Einwilligung zur Speicherung und Verarbeitung eingeholt werden – zusätzlich zur Information, wofür und wie lange die Daten gespeichert werden.

Zweckbindung

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Verarbeitung der Daten muss also einem eindeutigen Zweck dienen und die Daten dürfen nur für diesen konkreten Zweck verwendet werden. Diese Zwecke müssen bereits bei der Erhebung personenbezogener Daten festgelegt sein.

Beispielsweise dürfen Sie Liefer- und Rechnungsadressen speichern und für den konkreten Fall der Lieferung von Waren oder der Zustellung Ihrer Rechnung verarbeiten – allerdings dürfen Sie diese Daten nicht ohne ausdrückliche Einwilligung für den Versand Ihrer Imagebroschüre verwenden.

Richtigkeit

Die verwendeten Daten müssen sachlich richtig sein und ggf. auch auf dem neuesten Stand, wenn dies für den Verarbeitungszweck erforderlich ist. Dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

Richtigkeit bedeutet nichts anderes als dass die erhobenen Daten den Tatsachen entsprechen müssen. Gleichzeitig ist dafür Sorge zu tragen, dass die Daten auf dem neuesten Stand sind und dass falsche oder fehlerhafte Daten korrigiert oder gelöscht werden.

Besondere/sensible Daten

Die Erhebung und Verarbeitung sog. sensibler Daten ist nur unter den in Artikel 9 bezeichneten besonderen Voraussetzungen erlaubt. Unter sensiblen Daten werden alle Informationen verstanden, aus denen „die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“ sowie „genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“.

Erlaubt ist deren Verarbeitung nur bei entsprechender ausdrücklicher, explizit auf die Verarbeitung der konkret zu benennenden Daten bezogenen Einwilligung oder in den sonstigen sehr restriktiv auszulegenden Fällen (z.B. im Zusammenhang mit dem Arbeitsrecht, dem Recht der sozialen Sicherheit bzw. dem Sozialschutz, dem Schutz lebenswichtiger Interessen, Gesundheitsvorsorge usw.).

Hier ist eine Sensibilisierung besonders notwendig, da die Datenerfassung diskriminieren kann, outen oder vor anderen bloß stellen. Teils können sogar physische, materielle oder immaterielle Schäden, für den Betroffenen entstehen.

Ob eine Mitarbeiterin der römisch/katholischen Kirche angehört, ist prinzipiell für die Ausübung ihrer Tätigkeit unerheblich, darf allerdings in der Lohnbuchhaltung erfasst werden, da es für die Berechnung der Kirchensteuer notwendig ist. Unterhalten sich Mitarbeiter/innen über einen Kunden und dessen Zahlungsmoral, so kann dies – je nach Öffentlichkeit und Zusammenhang – z.B. bei einem kleinen Unternehmen erhebliche Folgen durch Rufschädigung zeitigen. Deshalb gehört diese Information – aus ggf. der Agentursoftware – auch nicht in die allgemeinen Stammdaten des Kunden und dürfen lediglich einem bestimmten Personenkreis (z.B. Buchhaltung, Beratung) zugänglich gemacht werden.

Identifizierung

Ist für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich, so ist dieser nicht verpflichtet, zur bloßen Einhaltung dieser Verordnung zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren.

Bei der Datenverarbeitung muss geprüft werden, ob ein Personenbezug und damit die Identifizierbarkeit der betroffenen Person für die Verarbeitungszwecke erforderlich ist: Daten sollen nur so lange in einer die Person identifizierenden Weise gespeichert werden dürfen, wie es für die Verarbeitungszwecke erforderlich ist.

Gleichzeitig ergibt sich aus dem Gebot der Datenminimierung und der Speicherbegrenzung nicht nur ein Wegfall der Verpflichtung der weiteren Speicherung der Identifizierungsdaten, sondern eine konkrete Verpflichtung zur Löschung.

Wird also die Zeiterfassung eines Mitarbeiters lediglich zum Zwecke der Aufwandschätzung oder Rentabilität gespeichert, ist die namentliche Auswertung unnötig und nicht zulässig. Das Stundenprotokoll eines Minijobers allerdings muss für den Nachweises der Einhaltung des Mindestlohns namentlich gespeichert werden.

Rechenschaftspflicht

Der/die Verantwortliche ist für die Einhaltung der in Artikel 5 DSGVO Abs. 1 genannten Grundsätze verantwortlich und muss dessen Einhaltung nachweisen können.

5. Regelmäßige Überprüfung! (PDCA)

Die Frage der regelmäßigen Überprüfung ist keine Frage des eigenen Bewertungsmaßstabes, wann eine erneute Kontrolle ansteht. Vielmehr sieht die DSGVO an mehreren Stellen vor, dass Sie Ihren Datenschutz, dessen Organisation und Dokumentation und somit auch Arbeitsabläufe regelmäßig überprüfen. Vor allem immer dann, wenn sich daran etwas ändert oder Sie neue Prozesse einführen. Wird also z.B. ein neues Tool für die Zeiterfassung eingeführt, müssen die entsprechenden Änderungen im Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden.

„Der Verantwortliche setzt … geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“

Hier wird im Wesentlichen ein PDCA-Zyklus (Plan– Do–Check–Act) oder kontinuierlicher Verbesserungsprozess (KVP) beschrieben, der dafür sorgt, dass Ihr Datenschutz laufend angepasst, verbessert und geprüft werden muss.

• Planen (plan): Vor der Umsetzung wird der Prozess geplant bzw. das Thema eingegrenzt und beschrieben und die Maßnahmen inkl. Verbesserungspotential und –ziel geplant.
• Durchführen (do): Hier werden die Maßnahmen terminiert, durchgeführt und dokumentiert.
• Überprüfen (check): Die in der vorhergehenden Phase erzielten Ergebnisse werden zusammengefasst und überprüft und ggf. visualisiert.
• Agieren/verbessern (act): Der sich aus den vorherigen Phasen ergebende Prozess wird in der Agentur eingeführt (als Standard festgelegt) und regelmäßig auf Einhaltung überprüft.

Links zum Thema

Teil 1. Datenschutz in Agentursoftware: Was sollte Ihre Agentursoftware können?
Teil 2a. Datenschutz in Agenturen: Datenschutz Schritt für Schritt umsetzen
Workshop „Datenschutz in Agenturen umsetzen” Datenschutz Workshop zur Projektinitialisierung

https://dsgvo-gesetz.de (das Gesetz)
https://eu-datenschutz-grundverordnung.net/ (einfach und gut erklärt)
https://www.bfdi.bund.de/DE/Home/Kurzmeldungen/DSGVO_Kurzpapiere1-3.html (Arbeitspapiere)

Broschüre downloaden