Verarbeitungsverzeichnis Art. 30 DSGVO Eine Methode zur Selbsterkenntnis?! 09.03.2017 Gerald Spyra, LL.M. Kanzlei Spyra 1
Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Hohe Affinität für die Informationssicherheit Spezialisiert auf den Informations- / Datenschutz, das Software-Medizinprodukterecht und die IT-Forensik. Externer betrieblicher Datenschutzbeauftragter Hobbyphilosoph 2
Achtung Philosophie! (1) Kennen sie diese Sätze? Γνῶθι σεαυτόν Gnṓthi seautó - Apollontempel Nosce te ipsum - (Cicero) Deutsche Übersetzung: Erkenne dich selbst Oder mit einem Wort: Selbsterkenntnis 3
Achtung Philosophie! (2) Nach Platon bedeutet Selbsterkenntnis: Das Wissen um das Nichtwissen. Daraus folgt: Nur wenn man entsprechende Selbsterkenntnis gewonnen hat und um sein Nichtwissen weiß, ist man in der Lage zu sehen, was man (zukünftig) besser machen kann / muss. Und erst wenn man Selbsterkenntnis gewonnen hat, ist man in der Lage, anderen Kenntnis zu verschaffen. Und was hat das alles nun mit Datenschutz bzw. dem Schutz von Daten zu tun? 4
Selbsterkenntnis und Transparenz beim Schutz von Daten Selbsterkenntnis hat viel mit Transparenz zu tun. Transparenz bedeutet u.a. Durchsichtigkeit. Denn erst wenn man (bei sich selber und seiner IT) durchblickt / durchsieht (Selbsterkenntnis hat), ist man in der Lage zu gewährleisten, dass die Datenverarbeitungen regelkonform abläuft. Erst dann ist man auch in der Lage, andere über die relevanten Aspekte der Datenverarbeitung zu informieren Transparenz ist deshalb eine der wesentlichen Säulen des Schutzes von Daten und des Datenschutzes, was sich auch in der Datenschutzgrundverordnung (DSGVO) zeigt. 5
Die Transparenz in der DSGVO Transparenz ist in der DSGVO einer der wesentlichen Grundprinzipien einer ordnungsgemäßen Datenverarbeitung. Oder konkret, in den Worten von Art. 5 Abs. 1 lit. a) DSGVO gesprochen: Personenbezogene Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Amforderung ohne Grundbedingung zu benennen) Die DSGVO beinhaltet damit in Art. 5 den Programmsatz, der sich wie ein roter Faden durch die DSGVO zieht 6
Die Transparenzanforderungen in der DSGVO Transparenzanforderungen lassen sich mittel- und unmittelbar aus vielen Anforderungen der DSGVO ableiten. Ausreichende Transparenz ist z. B. notwendig, um: die Betroffenenrechte der DSGVO zu erfüllen, die von der DSGVO geforderten T O M ( adäquate / erforderliche Sicherheit ) zu treffen oder die Rechtmäßigkeit der Verarbeitung nachweisen zu können (inkl. Rechenschaftspflicht gem. Art. 5 Abs. 2). Auch das von der DSGVO geforderte Verarbeitungsverzeichnis ist eine Ausformung des Transparenzgrundsatzes. Um zu sehen, was sich diesbezüglich mit Geltung der DSGVO ändert, gilt es sich zunächst mit dem alten Verfahrensverzeichnis auseinanderzusetzen. 7
Das alte Verfahrensverzeichnis Das bzw. die alten Verfahrensverzeichnisse (öffentliches und internes) waren (mehr oder) weniger konkret im BDSG geregelt ( 4g Abs. 2). Diese standen im engen Zusammenhang mit der Meldepflicht an die Aufsichtsbehörde ( 4g, 4e BDSG). Das Nichtführen des / der Verzeichnisse war grundsätzlich nicht bußgeldbewährt. Aufgrund des nicht sehr deutlichen Gesetzeswortlauts, der nicht durchsichtigen Verweisungskette, usw., wusste man letzten Endes nicht, was man eigentlich tun musste, Daher kam es, wie es kommen musste. 8
Das alte Verfahrensverzeichnis in der Praxis Gerade beim alten Verfahrensverzeichnis gab es eine extreme Unsicherheit, denn keiner wusste (bis heute) z.b.: was alles personenbezogene Daten sein sollen und welche Verfahren, wie umfangreich beschrieben werden sollen (Microsoft Word ist kein Verfahren ;), wer Verfahrensverantwortlicher ist, wie der Begriff Verfahrensverzeichnis zu verstehen ist (ein oder zwei Verzeichnisse, ob und für was, wann die Ausnahmen (der Meldepflicht) auch für das Verfahrensverzeichnis greifen,... Kurz: Ein eigentlich sinnvolles Werkzeug wurde zum Papiertiger und hatte für viele Unternehmen nur einen geringen Mehrwert. Doch das kann sich nun mit der DSGVO ändern 9
Das neue Verarbeitungsverzeichnis Was ändert sich? Auch wenn das Konstrukt / die Idee weiterhin gleich bleibt, kommen mit der DSGVO einige wesentliche Änderungen: Grds. sind nun alle relevanten Verfahren / Tätigkeiten im Verzeichnis aufzuführen - Keine Ausnahmetatbestände (Wegfall der Meldepflicht); Das Verarbeitungsverzeichnis ist grundsätzlich für (den Verantwortlichen und) die Aufsichtsbehörde bestimmt (kein Jedermannsverzeichnis mehr); Ein Auftragsverarbeiter muss nun die Verarbeitungen für den Verantwortlichen aufführen. Das Fehlen bzw. fehlerhafte Führen des Verarbeitungsverzeichnisses ist nun bußgeldbewährt! Es ist nun auch klar geregelt, wer das Verarbeitungsverzeichnis führen muss. 10
Das neue Verarbeitungsverzeichnis Wer muss es führen? Verantwortlich für das Führen (die Erstellung sowie der Durchführung entsprechenden Aktualisierungen) ist die verantwortliche Stelle! In der Praxis dürfte deshalb nunmehr die Verantwortlichkeit dem Geschäftsführer, Vorstand etc. der verantwortlichen Stelle obliegen. Der Datenschutzbeauftragte sollte bzw. muss aber aufgrund seiner anerkannten Fachkunde unterstützend tätig werden. Und wann muss man es führen? 11
Das neue Verarbeitungsverzeichnis Wann muss man eins führen? Die Pflicht zur Erstellung / Führung besteht (im Umkehrschluss des Wortlauts von Art. 30 Abs. 5), wenn: ein Unternehmen mehr als 249 Mitarbeiter beschäftigt. Bei weniger als 250 Mitarbeitern besteht die Pflicht zur Erstellung / Führung ferner: wenn die Verarbeitung ein (wie auch immer geartetes) Risiko für den Betroffenen in sich birgt und wenn die Verarbeitung nicht nur gelegentlich erfolgt. Oder wenn besondere Datenkategorien Artt. 9, 10 verarbeitet werden sollen (und dieses nicht nur gelegentlich erfolgt). Und was gehört in das Verzeichnis hinein? 12
Das neue Verarbeitungsverzeichnis Was gehört hinein (Verantwortlicher)? Jeder Verantwortliche und ggf. sein Vertreter führen ein (schriftliches / digitales) Verzeichnis aller Verarbeitungstätigkeiten (ihres Zuständigkeitsbereichs), das folgende Angaben enthalten muss: den Namen und die Kontaktdaten des / der (gemeinsam) Verantwortlichen, ggf. des Vertreters sowie des Datenschutzbeauftragten (falls bestellt); die Zwecke der (jeweiligen) Verarbeitung (Tätigkeit); Kategorien betroffener Personen und Kategorien personenbezogener Daten; Kategorien von Empfängern; Empfänger in Drittländern oder internationalen Organisationen inkl. der Länderangabe und von Garantien ; ggf. vorgesehene Fristen für die Löschung; ggf. allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO. Und beim Auftragsverarbeiter? 13
Das neue Verarbeitungsverzeichnis Was gehört hinein (Auftragsverarbeiter)? Jeder Auftragsverarbeiter und ggf. Vertreter führen ein Verzeichnis zu allen Kategorien der für den Verantwortlichen durchgeführten (Verarbeitungs-) Tätigkeiten (Cross-Check mit Verantwortlichen möglich) und enthält folgende Angaben: den Namen und die Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist (ggf. Vertreter) und eines etwaigen Datenschutzbeauftragten; die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden (Fremdverarbeitung); ggf. Übermittlungen von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation (inkl. Drittland inkl. Garantien); ggf. allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. Es gilt dabei, insbesondere den Begriff Tätigkeit zu definieren 14
Das neue Verarbeitungsverzeichnis- Was sind Tätigkeiten? Eine der wesentlichen Fragestellungen, die heute wie auch zukünftig auftreten wird ist, was eine (Verarbeitungs-)Tätigkeit i.s.d. DSGVO eigentlich ist. Das gleiche Problem stellt sich heute bei der Definition des Begriffs Verfahren. Ähnlich wie beim Verfahrensbegriff empfiehlt sich auch zukünftig eine sinnvolle (nicht zu enge aber auch nicht zu weite) Bündelung der Verarbeitungstätigkeiten ausgehend vom basierend auf dem Verarbeitungszweck. Dafür ist es jedoch wiederum notwendig, die Zwecke genau zu definieren. Vermeidung von nicht unerheblichen Bußgeldern, die nunmehr drohen 15
Das neue Verarbeitungsverzeichnis Was droht, wenn die Pflicht ignoriert? Bisher war ein fehlendes Verfahrensverzeichnis grundsätzlich nicht bußgeldbewährt. Doch das wird sich mit Geltung der DSGVO ändern. Nun droht für ein nicht geführtes Verfahrensverzeichnis ein Bußgeld von bis zu 10 Mio. oder 2 % des Vor- Jahresumsatzes (je nachdem was höher ist). Ferner kann fehlende Transparenz weitere Verstöße gegen andere Regelungen der DSGVO zur Folge haben, wodurch in Konsequenz weitere (höhere) Bußgelder drohen. Von daher empfiehlt es sich, diese Pflicht nicht auf die leichte Schulter zu nehmen und das Vorgehen genau planen. 16
Das neue Verarbeitungsverzeichnis Wie sollte ich vorgehen? (1) Man sollte planvoll entsprechend P D C A vorgehen. Alle relevanten Personen mit ins Boot holen und von der Notwendigkeit / dem Mehrwert überzeugen (das Bußgeldargument kann hilfreich sein) und Verantwortlichkeiten klären. Prüfen, ob ein Verfahrens- / Verarbeitungverzeichnis oder sonstige Übersichten vorhanden sind, auf die man aufbauen kann. Da die Datenverarbeitung im Wesentlichen mittels IT erfolgt, sollte man praktisch alle der eingesetzten (internen / externen) IT-Komponenten (Soft- / Hardware) inkl. der T O M erfassen!!! 17
Das neue Verfahrensverzeichnis Wie gehe ich vor? (2) Nachdem die eingesetzte Hard- / Software inventarisiert wurde, gilt es alle Tätigkeiten inkl. der Zwecke zu identifizieren, zu denen die Software eingesetzt wird inkl. der erfolgenden Datenströme. Bündelung der Tätigkeiten entsprechend des Verarbeitungszwecks. Ferner gilt es dabei die Daten / Kategorien der Betroffenen und ggf. Empfänger der Daten zu ergründen. Überprüfung in regelmäßigen Abständen inkl. Aktualisierung (Historie notwendig für Art. 5 Abs. 2). Somit ist das Verarbeitungsverzeichnis DAS Werkzeug zur Analyse, Dokumentation und Gewährleistung von Transparenz! 18
FAZIT Das Verarbeitungsverzeichnis ist ein essenzielles / sinnvolles Instrument zur Schaffung und Gewährleistung von Transparenz und damit zur Schaffung von Selbsterkenntnis. Die Erstellung eines ordnungsgemäßen Verzeichnisses bedeutet einen nicht unerheblichen (Mehr-) Aufwand. Dieser (Mehr-)Aufwand ist jedoch die bittere Pille, die wir schlucken müssen, wenn wir bspw. immer mehr vernetzte, ( smarte ) IT (halbwegs) rechtskonform einsetzen wollen! Nur durch eigene Selbsterkenntnis (Transparenz) sind wir in der Lage, die gesetzlichen Anforderungen zu erfüllen und damit dem Betroffenen (der jeder von uns sein kann), den notwendigen RESPEKT entgegenzubringen 19
Gibt es noch Fragen? Gerald Spyra, LL.M. Rechtsanwalt, externer Datenschutzbeauftragter http://www.recht-technisch.de Kanzlei Spyra Kaiserstr. 7 51688 Wipperfürth Vielen Dank für Ihr Interesse!