Mehrwert Datenschutz
Ziel der DSGVO ist der Schutz personenbezogener Daten und damit der Schutz der Privatsphäre des Bürger/innen, aber auch der Mitarbeiter/innen. Diese erwarten zu Recht, dass ihre Daten geschützt werden.
Um dieses Recht sicherzustellen sieht die Datenschutzgrundverordnung (DSGVO) über 40 Pflichten vor, die der Verantwortliche zu erfüllen hat.
In Art. 24 DSGVO wird klargestellt, dass der Verantwortliche die volle Verantwortung für die personenbezogenen Daten trägt, über deren Zwecke und Mittel er zur Verarbeitung entscheidet. Kurzum trägt derjenige die Verantwortung, der die personenbezogenen Daten zu einem bestimmten Zweck erhebt und über deren Verarbeitung entscheidet. Dies gilt im Übrigen auch für den Fall, dass der Verantwortliche die Verarbeitung durch einen Auftragsverarbeiter vornimmt. Hier bleibt es bei der Verpflichtung des Verantwortlichen.
Doch welche Chancen bieten die Verpflichtungen nach der DSGVO dem Verantwortlichen aus der Pflicht eine Kür, einen Mehrwehrt zu schaffen?
Zu den Verpflichtungen gehören insbesondere:
- Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO),
- Datenschutz durch Technikgestaltung und Voreinstellung (Art. 25 DSGVO).
Verzeichnis der Verarbeitungstätigkeiten
Für jede Aufgabe nach dem Aufgabengliederungsplan in der personenbezogene Daten verarbeitet werden, ist ein Verarbeitungsverzeichnis zu erstellen. Ein entsprechendes Formular ist unter der Rubrik „Dokumente“ abgelegt.
Über die geforderte Dokumentationspflicht hinaus kann das VV sinnvoll und gewinnbringend genutzt werden, um:
- Die exakten Verarbeitungszwecke festzulegen (Art. 5 Abs. 1 DSGVO)
- Geeignete Maßnahmen zu ergreifen, um Betroffenenrechte zu wahren (Art. 12 Abs. 1 DSGVO),
- Geeignete technisch-organisatorische Maßnahmen zu ergreifen und diese auch nachweisen zu können (Art. 24 Abs. 1, Art. 32 DSGVO),
- zu prüfen, ob eine Datenschutz-Folgenabschätzung durchgeführt werden muss (Art. 35 DSGVO),
- Eine gute Grundlage zu schaffen, damit der Datenschutzbeauftragte seine
- Aufgaben adäquat erfüllen kann (Art. 39 DSGVO).
- Rudimentärer Ansatz Geschäftsprozesse und die IT-Infrastruktur zu beurteilen. So wird nicht nur für mehr Datenschutz, sondern auch für mehr Effizienz und Sicherheit in Verarbeitung von personenbezogenen Daten gesorgt.
Datenschutz durch Technikgestaltung und Voreinstellung
Durch Art. 25 Abs. 1 DSGVO wird die Geltung der DSGVO auf einen Zeitpunkt vor der ersten Verarbeitung von personenbezogenen Daten vorverlegt.
Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
Die Maßnahmen und Prozesse den Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (privacy by design / privacy by default) nach Art. 25 DSGVO sicher zu stellen, sollten vorhanden und entsprechend dokumentiert sein.
Ein einfaches Beispiel hierzu:
Nach der DSGVO sind die personenbezogenen Daten zu löschen, wenn der Verarbeitungszweck erledigt ist bzw. die gesetzlichen Aufbewahrungsfristen abgelaufen sind.
Sie haben im Laufe der Zeit viele tausend Daten gespeichert. Diese Woche sind 1.000 Datensätze, aus dem Datenbestand zu löschen. Wie wird dies sichergestellt? Manuell oder automatisch, sind alle zu löschenden Datensätze bekannt?
Hier wäre es doch praktisch und ganz im Sinne des Art. 25 DSGVO, wenn beim Erfassen der personenbezogenen Daten, gleich ein Löschdatum gesetzt werden könnte.