Können nach der DSGVO Bußgelder direkt gegen Mitarbeiter verhängt werden?
Der Bußgeldtatbestand gem. Art. 83 DSGVO ist bekannt und dementsprechend stellen […]
Das Standard-Datenschutzmodell – Eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele – Version 2.0. Nicht nur der Titel ist lang. Das Büchlein erklärt auf stolzen 68 Seiten, wie die Vorgaben der DSGVO umgesetzt werden können. Adressaten sind neben den Datenschutzbehörden auch Unternehmen, die anhand des Standard-Datenschutzmodells (SDM) auch prüfen können sollen, ob sie die DSGVO einhalten.
Kurz gesagt unterstützt das Standard-Datenschutzmodells (SDM) „[…] die Transformation abstrakter rechtlicher Anforderungen in konkrete technische und organisatorische Maßnahmen.“
Das SDM enthält also die rechtlichen Anforderungen und ihre Ziele und erklärt dann, wie diese in den Unternehmen praktisch umgesetzt werden können. Es enthält auch einen „Referenzmaßnahmen-Katalog“, mit dem überprüft werden kann, „ob das rechtlich geforderte „Soll“ von Maßnahmen mit dem vor Ort vorhandenen „Ist“ von Maßnahmen übereinstimmt.“
Die Grundsätze der Datenverarbeitung sind in Art. 5 Abs. 1 DSGVO umgesetzt. Umgewandelt in die Gewährleistungsziele lauten sie: Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Nichtverkettung, Transparenz und Intervenierbarkeit. An diesen Anforderungen orientiert sich das SDM und gibt konkrete Vorschläge zur Umsetzung.
Zunächst sollten sich die Verantwortlichen den Zweck der DSGVO vor Augen führen: der „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ – Art. 1 Abs. 1 DSGVO. Das SDM soll die Risiken der Rechte auf Schäden bei der Datenverarbeitung zumindest reduzieren. Dafür werden zunächst die Gewährleistungsziele erklärt. Denn wer nicht versteht, welchen Prinzipien die DSGVO folgt, kann sie auch nicht richtig umsetzen.
Bei jeder Datenverarbeitung muss gefragt werden, ob sie einem legitimen Zweck folgt und dieser hinreichend bestimmt ist. Diese Frage stellt man sich schon vor der technischen Umsetzung der Maßnahmen. Eine nachträgliche Änderung ist umständlich und nicht zielführend.
Die einzelnen Funktionen müssen auf der Grundlage der Prinzipien entwickelt werden. Zum Beispiel dürfen wegen des Gewährleistungsziels der Datensparsamkeit nur diejenigen Daten erhoben werden, die vom Zweck gedeckt sind. Außerdem muss im Rahmen der Intervenierbarkeit daran gedacht werden, dass die Betroffenenrechte auf Löschung, Datenübertragbarkeit, Berichtigung etc. umgesetzt werden.
Für jede Datenverarbeitung muss das potenzielle Risiko für Schäden eingeschätzt werden. Je höher das Risiko und die Schwere des Schadens, desto höhere Anforderungen gibt es an die Umsetzung. Es muss sich also gefragt werden, welche Schäden eintreten können und wodurch. Diese Erkenntnis muss dann umgesetzt werden: geringes oder normales Risiko: normaler Schutzbedarf; hohes Risiko: hoher Schutzbedarf.
Wichtig ist auch, sich ein organisatorisches Gesamtkonzept zurechtzulegen: Wer im Unternehmen ist an der Datenverarbeitung beteiligt? Wer trägt die Verantwortung? Wer kontrolliert die Verarbeitung?
Das Standard-Datenschutzmodell teilt die Umsetzung der rechtlichen Anforderungen in vier Schritte auf: planen, implementieren, kontrollieren, verbessern.
Aus den Vorüberlegungen müssen also konkrete Pläne erstellt werden, die dann technisch und organisatorisch umgesetzt werden. Damit ist aber noch nicht alles getan. Die angefertigten Pläne müssen auf ihre Praxistauglichkeit und Funktionalität kontrolliert und kontinuierlich verbessert werden.
Die Umsetzung der rechtlichen Anforderungen in konkrete technische und organisatorische Maßnahmen wird im Referenzmaßnahmen-Katalog detailliert dargestellt. Das Problem: Ihn gibt es noch nicht, zumindest noch nicht für die Öffentlichkeit. Er wird zunächst von Aufsichtsbehörden auf seine Praxistauglichkeit überprüft und danach veröffentlicht.
Das Standard-Datenschutzmodell ist eine solide Grundlage für die Umsetzung der rechtlichen Anforderungen der DSGVO, die leider praktisch sehr schwierig ist.
Wie gut das SDM in der Praxis funktioniert und die Umsetzung tatsächlich erleichtert, wird sich erst zeigen, wenn der Referenzmaßnahmen-Katalog fertiggestellt und veröffentlicht wurde. Bis dahin ist das SDM leider nur eine Grundlage, die die rechtlichen Anforderungen erklärt und grundsätzliche Schritte zur Umsetzung, aber leider keine konkreten Maßnahmen vorgibt.
Wenn Sie Fragen zur Umsetzung der DSGVO haben, können Sie sich gerne unverbindlich an unsere Kanzlei wenden.
Kennen Sie schon unser Rechtsprodukt „DSGVO Website Update“? Diese bietet Ihnen eine Prüfung Ihrer Webseite auf DSGVO-Konformität und anschließende Überarbeitung der Inhalt zum Festpreis. Informieren Sie sich gern hier über unseren Service.
Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).
ÜBER DIESEN AUTOR ARTIKEL VON DIESEM AUTORDer Bußgeldtatbestand gem. Art. 83 DSGVO ist bekannt und dementsprechend stellen […]
Das BAG urteilte am 21.04.2021 (Az. 2 AZR 342/20), dass ein […]
Gastronomen müssen Besucherdaten erfassen – Nachdem nun die Ausgangsbeschränkungen und Betriebsschließungen […]
Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.
LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.
Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.
Mit einer alle Bereiche berücksichtigenden Prüfung erhalten Sie den besten Schutz für Ihre Marke und können Ihre eigene Marke in jeder Hinsicht einsetzen
Wenn Sie als Künstler in der Öffentlichkeit stehen können Sie Ihren Künstlernamen eintragen lassen und Ihre Privatsphäre schützen
Sie haben eine Filesharing Abmahnung erhalten? Lassen Sie sich vom Profi verteidigen und reduzieren Sie Ihre Kosten.
LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.