Die am 27. April 2016 veröffentlichte und seit dem 25. Mai 2018 geltende EU-Datenschutzgrundverordnung (DSGVO bzw. Verordnung (EU) 2016/679) bzw. das Gesetz zur Anpassung des Datenschutzrechtes an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680, kurz BDSG (neu), hat die Unternehmen vor neue Herausforderungen gestellt. Doch nicht nur das - in dem einen oder anderen Sachverhalt führte die DSGVO zudem zu obskuren Fragestellungen durch eine gewachsene Verunsicherung der Marktteilnehmer. Dadurch haben unter anderem die Landesdatenschutzbeauftragten mit der Klärung dieser neuen Sachverhalte alle Hände voll zu tun, wie beispielsweise dem Bericht der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen zu entnehmen ist.
Unsicherheit
Warum haben sich so viele Unternehmen, Verein sowie Gesellschaften des öffentlichen Rechts nach der Auseinandersetzung mit der DSGVO hinsichtlich Ihrer Handlungen sowie in Bezug auf die bereits bestehenden Prozesse und Verfahrensabläufe verunsichern lassen?
Die Antwort ist vermutlich im Artikel 83, Allgemeine Bedingungen für die Verhängung von Geldbußen, der DSGVO zu finden. Bereits das BDSG (alte Fassung) hatte entsprechende Geldstrafen und Freiheitsentzug bei Gesetzesverstoß für die Verantwortlichen[1] vorgesehen. Allerdings steigerten diese nicht die Berücksichtigung der gesetzlichen Vorgaben und deren Umsetzung innerhalb vieler Gesellschaften.
Die in Artikel 83 der DSGVO ausgewiesenen und ausgesprochen hohen Bußgelder (bis zu 4% des [Konzern-]Umsatzes oder bis zu 20.000.000 EUR) hingegen haben die Unternehmen, Vereine und Gesellschaften des öffentlichen Rechtes aufhorchen lassen. Trotz bereits geltender DSGVO haben die Aufsichtsbehörden in Deutschland allerdings Milde walten lassen und die Verhängung der hohen Bußgelder schlichtweg bis Ende des Jahres 2018 ausgesetzt.
Veränderte Spielregeln
Seit Januar 2019 jedoch haben die deutschen Aufsichtsgremien im Zusammenhang mit der DSGVO sowie den national flankierenden Gesetzmäßigkeiten die Aussprache von entsprechend hohen Geldstrafen forciert und damit die bestehenden Spielregeln signifikant verändert. Derzeit sind zahlreiche Verfahren bei verschiedenen deutschen Gerichten anhängig, wobei der Prozess der Urteilsfindung ebenfalls unter den „veränderten“ Spielregeln stattfinden wird.
Was vielen Betroffenen hinsichtlich der Sanktionen der DSGVO nicht bewusst ist, ist die Tatsache, dass nach nationalem Recht (BDSG n.F.) auch weiterhin nicht nur Bußgelder, sondern auch Freiheitsstrafen (vgl. § 42 BDSG n.F.) in Höhe von bis zu drei Jahren (vormals 2 Jahre) verhängt werden können.
Trifft es mein Unternehmen?
Eine empirische und branchenübergreifende Erkenntnis aus der beruflichen Praxis ist die vermeintliche Auffassung vieler Verantwortlicher, dass die gesetzlichen Vorgaben für sie nicht zutreffend seien, da sie nicht in der Pflicht stehen, einen Datenschutzbeauftragten zu bestellen. In Bezug auf diese Auffassung sei darauf hingewiesen, dass die gesetzlichen Regelungen für jeden, der sich mit der Verarbeitung personenbezogener Daten befasst, selbstverständlich unabhängig von der Notwendigkeit der Bestellung eines Datenschutzbeauftragten, gelten.
Als wenig zielführend, und eher verwirrend, scheint hierzu die Diskussion der Politik zur sogenannten „Entbürokratisierung“ der DSVGO für kleinere Unternehmen, bspw. Hinsichtlich der Bestellungspflicht eines Datenschutzbeauftragten, bei Anhebung der Mitarbeitergrenzen von 10 auf 20 Mitarbeitern. Denn Maßgabe für die Bestellung eines Datenschutzbeauftragten ist grundsätzlich nicht nur die Anzahl der Mitarbeiter, die mit der Verarbeitung personenbezogenen Daten betraut sind - wie vielfach angenommen und auch teilweise von der Politik suggeriert - sondern auch die der Kerntätigkeit einer Gesellschaft (vgl. Artikel 37 DSGVO).
DSGVO und ihre Fallstricke
In manchen Fällen wurden bereits Bußgelder verhängt, auch wenn personenbezogene Daten sachgemäß verarbeitet wurden oder kein konkreter materieller oder immaterieller Schaden eingetreten ist. Dies war bspw. dann der Fall, wenn Aufsichtsbehörden der Ansicht waren, dass Überwachungstätigkeiten, i.S.d. DSGVO nicht ordnungsgemäß und für fachkundige Dritte nachvollziehbar durchgeführt wurden oder keine geeigneten technischen und organisatorischen Maßnahmen gewährleistet wurden (vgl. Artikel 5 Abs. 1 DSGVO). Insbesondere ist in diesem Zusammenhang Artikel 5 Abs. 2 DSGVO ist für Verantwortliche i.S.d. DSGVO von Bedeutung:
„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“
In Verbindung mit Artikel 83 Abs. 5 Buchstabe a) bedeutet dies, dass die Nichterfüllung der „Rechenschaftspflicht“, wie bereits skizziert, für den Verantwortlichen Bußgelder von bis zu 20 000 000 EUR oder, im Fall eines Unternehmens, von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, nach sich ziehen kann.
Dies ist nur eines von vielen Beispielen, welche „Fallstricke“ die DSGVO für die Verantwortlichen bereithält.
ISO/ICE 27001 / ISO 27002 & DSGVO
Die standardisierten Vorgaben für Informationssicherheit und damit auch in Bezug auf die Sicherheitsanforderungen der DSGVO können durch Ausprägung und Inhalte der ISO/IEC 27001 bzw. ISO 27002 Verantwortliche darin unterstützen, „Fallstricke“ zu vermeiden bzw. frühzeitig zu erkennen und entsprechende Gegenmaßnahmen zu ergreifen. Der Katalog im Anhang A des Standards ISO/IEC 27001 umfasst hierzu 14 Themengebiete mit insgesamt 114 Kontrollen, welche die Abdeckung der DSGVO Sicherheitsanforderungen in Bezug auf die IT technisch organisatorischen Maßnahmen unterstützt. „Spiegelt“ das Unternehmen bzw. der Verantwortliche die Sicherheitsanforderungen der ISO/IEC 27001 auf nicht IT technischen Themen, so ist ein gutes Basisgerüst gegeben, um auch diese Anforderungen zu erfüllen. Beispielsweise lassen sich Anforderungen an Zugangsbeschränkungen in Unternehmensbereichen sowohl auf IT als auch nicht IT Bereiche anwenden (Archive, Büros, etc.). Informationsklassifizierungs- und -sicherheitsrichtlinen oder Verfahren zur Risikoeinschätzung sollten sowohl IT als auch nicht IT technische Ausprägungen in Bezug auf den Umgang mit Unternehmensinformationen beinhalten – und personenbezogene Daten sind auch Unternehmensinformationen.
Sie als Verantwortlicher …
Wie ist es um Ihre Gesellschaft, Verein oder Körperschaft des öffentlichen Rechts aktuell in Bezug auf die DSGVO und die Abdeckung Ihrer technisch organisatorischen Maßgaben bzgl. der Informationssicherheit sowie der Grundsätze der personenbezogenen Datenverarbeitung gemäß Artikel 5 DSVGO bestellt?
Um das möglichst effizient und effektiv beantworten zu können, haben wir Standortbestimmungsmodule (u.a. DSGVO und ISO/ICE 27001) entwickelt, die es Ihnen erlauben, mehrere Aufgabenstellungen in diesem Zusammenhang „gleichzeitig“ zu erarbeiten und Sie so Aufwandsparend zu unterstützen:
- Ermittlung bzw. Aufzeigen von „Fallstricken“
- Erfüllung der Nachweispflichten
- Reifegrad in Bezug auf das Datenschutzmanagementsystem
- Erfüllung der Rechenschaftspflicht
- Wirksamkeitsprüfung Ihres Datenschutz- und Compliance Management Systems und damit Vermeidung eines Organisationsverschuldens durch den Verantwortlichen
Diese Module zur Standortbestimmung, in einem gängigen „MS Excel“-Format abgefasst, können sowohl einzeln als auch in Kombination bearbeitet werden. Sie sind so konzipiert, dass diese durch Sie selbst ergebnisorientiert ausgefüllt werden könnten. Eine Aufstellung der bestehenden Module finden Sie hier.
Fazit
Somit kann die Leitfrage dieses Artikels: „ISO/ICE 27001 / ISO 27002 & DSGVO eine gelungene Kombination?“ mit einem deutlichen „JA“ beantwortet werden, da diese Kombination für die Verantwortlichen viele positive Synergien hervorbringt. Diese liegen im Wesentlichen in den für die Anforderungen gemeinsam nutzbaren Leitlinien, Orientierungshilfen Rahmenwerken sowie der intensiven Verzahnung von Sicherheitszielen in Bezug auf den Datenschutz sowie die IT-Sicherheit.
Versäumen Sie es nicht, sich ausführlicher mit der Thematik zu beschäftigen und von Zeit zu Zeit den Stand ihres Datenschutzmanagementsystems (DSMS) sowie die Anforderungen des ISO/IEC Standards 27001 durch eine Standortbestimmung zu betrachten, um eine vermeidlich trügerische Sicherheit im Compliance Management zu vermeiden.
Lesen Sie hierzu eine Studie aus der Praxis, deren Aussagekraft als unverändert einzustufen ist.
„Nur weniges ist schlimmer als sich als Verantwortlicher auf ein System zu verlassen, das, bei genauerer Betrachtung, den Anforderungen nicht genügt.“
Weitere Auskünfte zu der Standortbestimmung bzw. den -Modulen erhalten Sie hier oder selbstverständlich und gerne auch über partners@compliance-net.com.
Dr. K-D. Krause
[1] „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden
Bildnachweise in ihrer Reihenfolge:
IckeT - stock.adobe.com
forestpath -stock.adobe.com
Alexander Raths - stock.adobe.com
Yuri Arcurs - Fotolia
Stefan Yang - stock.adobe.com
mentalrai - stock.adobe.com
vegefox.com - stock.adobe.com