Die seit Mai in Kraft getretene Datenschutzgrundverordnung (DSGVO) verlangt, dass Unternehmen jederzeit Verbraucher oder Betroffene darüber informieren können, welche personenbezogenen Daten warum und wie lange über einen gespeichert werden. Überdies sollen Daten „vergessen werden“, wenn ihre Speicherung nicht mehr notwendig ist, oder der Verbraucher die Löschung der Daten wünscht. Um diesen zentralen Forderungen der Verordnung nachzukommen, verlassen sich viele Unternehmen immer noch häufig auf manuelle Abläufe.
Bevor aber die in den Unternehmen noch anfallenden Aufgaben zur Sprache kommen, kurz eine Einordnung des Begriffs „Verantwortlicher“. Mit ihm nimmt die Verordnung die Unternehmensleitung in die Pflicht. Sie ist verantwortlich für alle notwendigen organisatorischen und technischen Maßnahmen zur Umsetzung der Verordnung. Folglich wendet sich die Datenschutzaufsicht bei vermeintlichen Mängeln an die Chefetage und nicht allein an den Datenschutzbeauftragten, der in der Regel auch nicht die Möglichkeit hat, notwendige IT-Verfahren zu beauftragen und abzunehmen.
Umfangreiche Transparenz
Der Normengeber fordert umfangreiche Transparenz. In den Erwägungsgründen zur Verordnung wird dem Betroffenen das Recht zugesprochen, die Verarbeitung seiner Daten zu überwachen. Konkret sind ihm bereits bei der Erfassung der Daten mitzuteilen, welche Daten zu welchem Zweck und wie lange gespeichert werden sollen. Jederzeit muss er sich über seinen aktuell gespeicherten Datenbestand erkundigen können. Dieses sogenannte „Überwachen“ dürfen Privatpersonen, deren Daten in den Dateien des Unternehmens geführt werden. Darunter zählen genauso Kunden wie Mitarbeiter von Kunden oder sonstige Interessenten, die sich einverstanden erklärten, dass man ihre Daten für Werbezwecke speichert, und freilich dürfen die Mitarbeiter des Unternehmens nicht außer Acht gelassen werden.
Ansprechperson für die unterschiedlichen Personengruppen ist wiederum der betriebliche Datenschutzbeauftragte. Ihm muss die Unternehmensführung die Technik zur Verfügung stellen, damit er einem anfragenden Betroffenen Rede und Antwort zu seinen Daten stehen kann. Daher sollten die Unternehmen ihre technischen Abläufe auf den Prüfstand stellen, inwiefern die Anfragen der Betroffenen zu ihren Daten automatisiert beantwortet werden können.
Recht auf Vergessenwerden
Daten von Privatpersonen haben nichts mehr in den Unternehmensdateien zu suchen, wenn der Grund für die Speicherung weggefallen ist, also ein Arbeits- oder Kaufvertrag oder das Einverständnis des Betroffenen keine Gültigkeit mehr haben. Jedoch begründen gesetzliche Vorschriften aus dem Handelsrecht und Steuerrecht sowie Regelungen des BGB eine Verlängerung der Datenhaltung um drei oder zehn Jahre. Danach sind die Daten schließlich vollständig zu löschen. Wenn der Betroffene mit Hinweis auf den Artikel 17 der DSGVO die Datenlöschung verlangt, ist sie vorzunehmen, es sei denn, die zugrunde liegenden Vertragsverhältnisse sind noch nicht beendet.
Welche Vorkehrungen sollten Unternehmen treffen? Alle Datenkategorien, die personenbezogene Daten enthalten, sind zu beurteilen. Daten, die dem Betroffenen auf seinen Wunsch mitzuteilen sind, werden markiert und technisch für eine Auskunft zugänglich gemacht. Für alle diese Daten ist festzulegen, wann sie wieder zu löschen sind, also unter welcher Bedingung und nach welcher Zeit. So gibt es beispielswiese für Daten, die der Betroffene zu Werbezwecken zu Verfügung gestellt hat, eine sinnvolle Löschfrist. Aber auch der mögliche individuelle Löschwunsch des Betroffenen ist zu berücksichtigen.
Aus der Analyse des personenbezogenen Datenbestandes entsteht ein vollständiges Löschkonzept für personenbezogene Daten. Dieses Löschkonzept wird in den technischen Systemen abgebildet. Dabei sollte auch dokumentiert werden, dass alle Löschpflichten erfüllt wurden.
Transparenzsoftware verschafft Überblick
Der betriebliche Datenschutzbeauftragte hat idealerweise den Zugriff auf eine Transparenzsoftware. Sie gibt zu jedem Betroffenen einen Überblick über alle im Unternehmen gespeicherten personenbezogenen Daten, mit dem Grund und der Dauer für die Speicherung. Die Software liefert, wenn angefordert, Nachweise gegenüber der Datenschutzaufsicht oder dem Wirtschaftsprüfer, dass die Löschpflichten sorgfältig erfüllt werden. Dieser Punkt erweist sich in der Praxis als besonders sensibel, weil die Datenschutzbehörde umfangreiche Rechte hat, die technische Abwicklung der Anforderungen aus der DSGVO zu überprüfen.
Gemäß der Verordnung hat der Verantwortliche im Unternehmen – und damit die Unternehmensleitung – dafür Sorge zu tragen, sämtliche Voraussetzungen für eine datenschutzgerechte Verarbeitung personenbezogener Daten zu schaffen. Der Verantwortliche, so in Artikel 24 der DSGVO, „setzt … geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.“
Diese Verantwortung kann nicht allein an den Datenschutzbeauftragten delegiert werden. Wichtig ist, dass die Unternehmensleitung die IT- und Organisationsverantwortlichen in Abstimmung mit dem Datenschutzbeauftragten beauftragt, solche Systeme zu implementieren, die auch die Anforderungen an die Transparenz und Löschpflichten abbilden. Somit wird es nicht ausreichen, auf die beherrschbaren Einzelfälle zu hoffen, wonach „schon nicht zu viele Kunden Transparenz zu ihren Daten anfordern werden“, oder „die Löschungen aufgrund der bisherigen betrieblichen Abläufe problemlos nachweisbar sind“.
Es ist davon auszugehen, dass Zertifizierungen in den nächsten Jahren an Bedeutung gewinnen, zumal die DSGVO ausdrücklich die Förderung von Zertifizierungsverfahren, Datenschutzsiegeln und -Prüfzeichen erwähnt. Mit ihnen sollen Unternehmer nachweisen können, dass die Verantwortlichen oder Auftragsverarbeiter die Verordnung einhalten.
Datenschutz-Audit
Unternehmen müssen das Thema DSGVO zum Abschluss bringen, alle Abläufe und Systeme rund um den Datenschutz dokumentieren und automatisieren. Dazu gehören insbesondere die Konzepte, die transparent darlegen, wie die Daten in das Unternehmen gelangen, verarbeitet und nach Ablauf der Speichernotwendigkeiten wieder gelöscht werden. Eine sorgfältiges internes Datenschutz-Audit mit allen beteiligten Bereichen des Unternehmens ist eine gute Gelegenheit, dem Verantwortlichen die Sicherheit zu geben, dass alle Vorbereitungen zur Umsetzung der Anforderungen aus der DSGVO getroffen wurden.