Wie wird generell eine datenschutzkonforme Datenverarbeitung im Unternehmen sichergestellt? Welche Punkte sind zu prüfen, welche Schritt sind erforderlich? Die hier aufgeführten Punkte bilden die generische Vorgehensweise im Sinne der EU Datenschutz-Grundverordnung (DS-GVO) ab und stellen eine Orientierungshilfe dar.
1 Personenbezogene Daten (Art. 4 Abs. 1 DS-GVO)?
Handelt es sich überhaupt um personenbezogene Daten? „„personenbezogene Daten” [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person”) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;“
Anonymisierte Daten sind im Sinne der DS-GVO keine personenbezogenen Daten.
2 Rechtmäßigkeit (Art. 5 DS-GVO)
In der DS-GVO gilt das Prinzip des „Verbots mit Erlaubnisvorbehalt“ für die die Verarbeitung personenbezogener Daten: „Rechtmäßigkeit, Verarbeitung nach Treue und Glaube und Transparenz“. Welcher Erlaubnistatbestand kann herangezogen werden:
- Einwilligung des Betroffenen
- Erfüllung eines Vertrages
- Rechtliche Verpflichtung
- Lebenswichtige Interessen der betroffenen Person zu schützen
- öffentliches Interesse
- berechtigtes Interesse des Verantwortlichen
3 Zweckbindung
Für jede Verarbeitung personenbezogener Daten muss ein bestimmter Zweck festgelegt und dokumentiert werden. Der Zweck darf während der Verarbeitung nicht ohne weiteres abgeändert werden.
4 Transparenz und Informationspflichten (Artt. 12 – 14 DS-GVO)
Der Betroffene ist direkt bei der Erhebung personenbezogener Daten oder von der mittelbaren Erhebung in präziser, transparenter, verständlicher und leicht zugänglicher Form zu informieren.
5 Sicherheit der Verarbeitung (Artt. 24, 32, 35 DS-GVO)
Der Verantwortliche muss geeignete technische und organisatorische Maßnahmen umzusetzen, die der Verarbeitung personenbezogener Maßnahmen angemessen entsprechen. Das Risiko für den Betroffenen ist in Form eines risikobasierten Ansatzes zu bewerten und eventuelle Konsequenzen daraus zu ziehen. In speziellen Fällen ist auch noch eine Datenschutz-Folgenabschätzung durchzuführen.
6 Datenminimierung – Speicherbegrenzung
Nur die für den festgelegten Zweck benötigten personenbezogenen Daten werden verarbeitet. Die Daten sind nach Wegfall des Zwecks zu löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
7 Optional: Auftragsverarbeitung (Art. 28 DS-GVO)
Werden personenbezogene Daten durch einen Auftragsverarbeiter verarbeitet so ist dies mit einem Vertrag zur Auftragsverarbeitung datenschutzkonform zu gestalten.
8 Optional: Übermittlung in Drittländer (Artt. 44 – 49)
Werden personenbezogene Daten in ein Drittland übermittelt sind entsprechende Bestimmungen zur beachten (Angemessenheitsbeschluss, geeignete Garantien und Ausnahmen).
9 Dokumentation (Art. 30 DS-GVO)
Durch das zentrale Prinzip der Rechenschaftspflicht sind die angeführten Informationen in einem erweiterten Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren und auf Anforderung der Datenschutz-Aufsichtsbehörden zur Verfügung zu stellen.