[IITR – 23.3.18] Für kleine Unternehmen bieten wir mit dem Datenschutz-Kit ein Produkt an, die datenschutzrechtlichen Anforderungen im eigenen Betrieb selbst organisieren und erfüllen zu können. Das bisherige Datenschutz-Kit wurde nun um eine Online-Plattform erweitert, in welcher ausgefüllte Dokumente versioniert hochgeladen und so die gestiegenen Anforderungen an die Nachweisfähigkeit automatisiert erfüllt werden können.
Hintergrund der Entwicklung
Am 2. März 2018 stellten wir als IITR Datenschutz GmbH zunächst unser Compliance-Kit vor. In Zusammenwirken mit einem internen oder externen Datenschutzbeauftragten unterstützt ein Compliance-Kit dabei, die ab dem 25. Mai 2018 wirksame EU-Datenschutzgrundverordnung (EU-DSGVO) in einem Unternehmen umzusetzen.
Zielgruppen für das Datenschutz-Kit und das Compliance-Kit
Durch ein Compliance-Kit können jene Unternehmen, Organisationen, Vereine und Verbände nicht adressiert werden, die sich entweder aufgrund ihrer Größe, oder vielleicht auch aufgrund einer nicht Gewinn-orientierten Betätigung den eigenen Datenschutzbeauftragten nicht leisten können. Die Analyse sensibler personenbeziehbarer Daten steht bei diesen Unternehmen nicht im Zentrum der eigenen Tätigkeit. Dennoch sind auch solche Unternehmen den Anforderungen des Datenschutzes unterworfen. Allein im gewerblichen Umfeld Deutschlands blicken wir auf ca.1.9 Mio. kleine KMUs, die zu diesem Umfeld gerechnet werden.
Anforderungen der EU-Datenschutzgrundverordnung
Vertragsabschlüsse über die Verarbeitung personenbeziehbarer Daten in die Bereiche kleinerer KMUs erfordern zukünftig von Großunternehmen, sich vorab über das ausreichende Datenschutzniveau des jeweiligen Vertragspartners vergewissert zu haben. Eine Beachtung dieser Verpflichtung ist bußgeldbewehrt. Wie soll so etwas ablaufen?
Für Klein-Unternehmen (sowie alle nicht an Gewinn orientierte Organisationsformen) haben wir aus unserem bereits erwähnten Compliance-Kit ein zusätzliches Produkt abgeleitet und auf die Gegebenheiten dieser neuen Zielgruppen hin angepasst: das Datenschutz-Kit.
Um den Anforderungen des Datenschutzes nachkommen zu können, steht hierbei allerdings die Selbsthilfe im Vordergrund.
Video zum Datenschutz-Kit
Inhalt des Datenschutz-Kits
Der Kern des Datenschutz-Kit stellt die Auflistung von offiziellen Forderungen dar, welche aus der Sicht des Umfeldes der bayerischen Datenschutzbehörde als zu beachtende Minimal-Anforderungen in einem Leitfaden zusammenzufassen sind, den zukünftig alle Unternehmen vorzuweisen haben.
Hierin werden sämtliche Vorgaben, abzugebende Erklärungen hinsichtlich der eigenen Organisation, sowie Folgenabschätzung der Verarbeitung, Verpflichtungen und Vertragsvorlagen abgebildet, welche in jedem Falle zu beachten und zu bedienen sind.
Sämtliche dazu erforderlichen Schritte werden im Internet durch das Datenschutz-Kit dargestellt und können nach erfolgtem Login auf seiner Oberfläche bearbeitet werden. Bereits bestehende Verträge und Erklärungen können hinzugeladen werden. Das Datenschutz-Kit versioniert die Bearbeitungen sämtlicher Dokumente, sodass sowohl die Entwicklung als auch der jeweilig erreichte Status eines jeden Datenschutz-relevanten Vorganges gemäß den bestehenden Anforderungen der Datenschutzgrundverordnung nachvollziehbar zur Verfügung steht.
eLearning im Datenschutz-Kit integriert
Auch das Datenschutz-Kit gestattet, wie bereits vom Compliance-Kit her bekannt, einen direkten Zugriff auf eLearning, also unser Datenschutz-Schulungsmodul. Die Auswahl ist hier jedoch auf die Basis-Schulung beschränkt.
Focus des Datenschutz-Kits
Das Datenschutz-Kit ist ungeeignet für Unternehmen, deren Geschäftstätigkeit unabhängig von der Unternehmensgröße die Erhebung und Verarbeitung, insbesondere die Analyse sensibler personenbeziehbarer Daten umfasst. Hierzu werden Anforderungen an die Ausstattung des Unternehmens gestellt, die über Minimal-Forderungen weit hinausgehen. Das Datenschutz-Kit ist keine geeignete Arbeitsgrundlage für bereits ernannte interne oder externe Datenschutzbeauftragte. Die im Datenschutz-Kit zugrunde gelegten Minimal-Forderungen sind in keinem Falle ausreichend, ein datengetriebenes Unternehmen datenschutzkonform aufzustellen.
Das Datenschutz-Kit hält eine Schnittstelle für eine Minimal-Zertifizierung bereit.
Nachweisanforderungen der EU-Datenschutzgrundverordnung
Nur wer sein Datenschutz-Niveau in irgendeiner Weise nachweisen kann – so die EU Datenschutzgrundverordnung – darf zukünftig auf neue Verträge hoffen. In der neuen Verordnung besteht eine Bußgeld-verstärkte Anforderung an Auftraggeber, sich über ein angemessenes Datenschutz-Niveau seines Auftragsnehmers informiert haben zu müssen.
Dies bedeutet eigentlich: entweder auditieren diese ihre zukünftigen, auch kleinen potentiellen Vertragspartner, bevor sie einen Vertrag über die Verarbeitung von personenbeziehbaren Daten überhaupt abschließen dürfen. Oder aber dieser zukünftige Vertragspartner kann ein vertrauenswürdiges Zertifikat vorlegen. Ansonsten wäre der Vertragspartner von einer Vertragsvergabe ausgeschlossen. Das wird nicht ganz einfach für die vielen ganz kleinen Unternehmen, Start-Ups, Sozial-Dienste, Vereine und Vereinigungen, dergleichen mit ihren oft nur begrenzt verfügbaren Mitteln darzustellen.
So wird es wohl darauf ankommen, welche Energie die Datenschutz-Behörden und später die Gerichte auf die Durchsetzung dieser Norm verwenden. Unser Datenschutz-Kit ist darauf vorbereitet, auf Basis der zugrunde gelegten Mindest-Forderungen zu einem späteren Zeitpunkt eine Minimal-Zertifizierung aufsetzen zu können.
Voraussetzung wird die Überprüfung der in Selbsthilfe erfolgten Ausrichtung der datenverarbeitenden Prozesse des eigenen Unternehmens sein, also die erfolgreiche Umsetzung des neuen Datenschutzrechts entlang jenes Leitfadens, der unserem Datenschutz-Kit zugrunde liegt.
Schlussbetrachtung
Angesichts einer anspruchsvollen Datenschutz-Gesetzgebung, deren Einführung seit zwei Jahren angekündigt wurde, erschien es für uns als externe Datenschutzbeauftragte nicht mehr ausreichend, unsere Mandanten wie bisher auf die jeweilig gültigen Anforderungen lediglich hinzuweisen.
Wir sahen uns veranlasst, Werkzeuge entwickeln und zur Verfügung stellen zu müssen, damit Unternehmen die angekündigten Datenschutz-Anforderungen überhaupt erfüllen können. Dazu war es notwendig, Vorschriften zunächst zusammenzufassen, um sie dann zentral bearbeiten und schließlich deren erfolgte Bearbeitung dokumentieren zu können. Abgerundet wird dies durch eLearning, ein Instrument der Sensibilisierung von Mitarbeitern, ohne die sich der Datenschutz in den Unternehmen nicht implementieren lässt.
Dieser Aufgabenstellung diente zunächst die Entwicklung unseres Compliance-Kits als Arbeitsgrundlage für Datenschutz-Profis.
Um auch kleinere Unternehmen an die Erfordernisse des Datenschutz-Rechts heranführen zu können, ohne deren reduzierte wirtschaftliche und organisatorische Voraussetzungen dabei aus den Augen zu verlieren wurde es notwendig, ein Datenschutz-Kit als ein Instrument der Selbsthilfe hinzuzufügen.
In dieser Woche wurden unsere bisherigen Datenschutz-Kit Kunden freigeschaltet. Somit sind auch für diesen Kreis der kleinen Mandate die Voraussetzung geschaffen, der bevorstehenden Geltung der EU-Datenschutzgrundverordnung ab dem 25. Mai 2018 zu entsprechen.
Weitere Informationen
Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer DatenschutzbeauftragterTelefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.