Datenschutz-Kit Rundbrief
08.06.2018
[IITR – 8.6.18] Die vergangenen Wochen haben uns sehr viele Anfragen erreicht. In der Hitze des Gefechts um den 25. Mai 2018 haben viele das Datenschutz-Kit erworben, um ihr Unternehmen im Datenschutz abzusichern. Was für viele vielleicht etwas zu kurz gekommen ist: wer steht eigentlich hinter dem Datenschutz-Kit und für was stehen wir? Wir haben daher mit folgendem Rundbrief unsere Mandanten informiert, den wir hier in Auszügen veröffentlichen möchten.
Wer wir sind
Nach Abschluss meines Jura-Studiums in 2009 habe ich mit der IITR Datenschutz GmbH ein Beratungsunternehmen im Datenschutz aufgebaut. Dies folgte der Überlegung, sich durch Spezialisierung auf ein Thema zu einem führenden Anbieter in dem Bereich entwickeln zu wollen. Diese IITR Datenschutz GmbH stellt die Belange der Unternehmen in den Vordergrund und versucht dabei, durch praktikable Lösungen die (zunehmend komplexen) datenschutzrechtlichen Anforderungen zu erfüllen. Andererseits stellt Datenschutz durch die rasante technologische Entwicklung in der Datenverarbeitung eine gesellschaftlich wichtige Aufgabe dar.
Ich selbst habe mich auf die Betreuung von Tochterunternehmen von US-Konzernen spezialisiert. Bald kam ein bundesweites Netzwerk von Regionalpartnern hinzu, mit welchem wir vor allem mittelständische Häuser im Datenschutz unterstützen konnten.
Wie das Datenschutz-Kit entstand
Wir sind über Empfehlungen von Kanzleien sowie unsere Webseite im Internet gewachsen. Über letztere erreichten uns – vermehrt seit den Jahren 2013/2014 – Anfragen von kleineren Unternehmen bis rund 20 Beschäftigte. Die strukturierte Unterstützung als Datenschutzbeauftragte für Unternehmen unterhalb dieser Größe konnten oder wollten sich viele kleinere Unternehmen jedoch nicht leisten.
Daher beschlossen wir im Jahr 2014, unsere an sich für die größeren mittelständischen Kunden gedachten Produkte und Dokumentvorlagen zu bündeln und als so genanntes „DSB-Kompakt“ (später Datenschutz-Kit) anzubieten.
Es war – wenn Sie so wollen – ein Seiten-Produkt gedacht für kleine Unternehmen, Verbände und Organisationsformen, um auch diesen eine bezahlbare Lösung zur Erfüllung der datenschutzrechtlichen Anforderungen an die Hand geben zu können. Von Beginn an war das Produkt so konzipiert, die erforderlichen Werkzeuge zur Verfügung zu stellen, um den Datenschutz innerbetrieblich in Eigenleistung bewältigen zu können. So konnten wir den Preis drastisch reduzieren. Was es Ihnen zeigt: unser Datenschutz-Kit ist kein neues Produkt. Wir arbeiten bereits seit einigen Jahren mit dieser Lösung.
Umbau des Datenschutz-Kits an die Anforderungen der EU-Datenschutzgrundverordnung
Eine zentrale Neuerung der EU-Datenschutzgrundverordnung war die Schaffung der Anforderung, die eigene Datenschutzkonformität strukturell nachweisen zu können (so genannte „Rechenschaftspflicht“). In anderen Worten: Unternehmen müssen beweisen, dass Sie durchgängig Datenschutz betreiben. Wir haben uns daher früh damit beschäftigt, wie diese Anforderung mit halbwegs vertretbarem Aufwand in der Praxis umgesetzt werden kann.
Im Jahr 2016 haben wir mit den Vorarbeiten begonnen, die zukünftigen Voraussetzungen und rechtlichen Regelungen in ein praktikables Format umzuwandeln, sowie dazu eine webbasierte Datenschutz-Plattform zu konzipieren, in der sowohl die geltenden Vorschriften als auch die bearbeiteten Dokumente hinterlegt werden. Diese Datenschutz-Plattform stellt ein Dokumenten-Management-System dar welches ermöglicht, Dokument-Vorlagen herunterzuladen sowie ausgefüllte Dokumente hochzuladen und dabei mit einer Versionierung, also einem Zeitstempel, zu versehen. Anschließend findet eine dokumentierte Speicherung statt.
Die Entwicklung dieser Web-Plattform wurde notwendig, weil die Nachweisverpflichtungen der EU-Datenschutzgrundverordnung äußerst rigide sind und der Datenschutz vor allem bei großen Mandaten nach unserer Überzeugung ohne ein Dokumenten-Management-System nicht mehr bewältigt werden kann.
Es war naheliegend, diesen Ansatz auch für kleine Unternehmen aufzugreifen und damit unser Datenschutz-Kit ebenfalls um die Möglichkeiten unserer Web-Plattform zu erweitern. Dies ist die Grund-Konzeption des Ihnen vorliegenden Datenschutz-Kits. Inhaltlich ist das Datenschutz-Kit im Übrigen an den „Mindestanforderungen“ orientiert, wie Sie aus dem Umfeld der bayerischen Datenschutz-Aufsichtsbehörde veröffentlicht wurden.
Unterschied zu unserem Compliance-Kit
Die „große Schwester“ des Datenschutz-Kits stellt unser Compliance-Kit dar, welches ein wesentlich umfangreicheres, auf ISO-Strukturen aufbauendes Datenschutz-Handbuch beinhaltet. Es stellt das Werkzeug für interne sowie externe Datenschutz-Profis in den größeren mittelständischen Unternehmen dar und wird beispielsweise von unseren Regionalpartnern für die Betreuung ihrer Mandate verwendet.
eLearning und Nutzung des Datenschutz-Kits
Ergänzt wird das Datenschutz-Kit um unsere eLearning-Plattform (die wir ebenfalls im Jahr 2014 entwickelt hatten und mit deren Hilfe bislang über 80.000 absolvierte Schulungen dokumentiert werden konnten). Eine ausführliche Anleitung zur Nutzung des Datenschutz-Kits finden Sie in diesem Video.
Wofür wir stehen
Wir haben einen bestimmten Blick auf das Datenschutzrecht unserer Gesellschaft. Wir beteiligen uns mit mehreren Blogs an der datenschutzrechtlichen Diskussion. Ich selbst bin als Beirat der Zeitschrift ZD des Beck-Verlages aktiv. Ferner vertrete ich in Deutschland als „Country-Leader“ der IAPP (International Association of Privacy Professionals) den mit 40.000 Mitgliedern weltweit größten Verband von Datenschutz-Experten. Die IAPP setzt sich für eine strukturierte Ausbildung von Datenschutz-Spezialisten ein und veranstaltet im Herbst eine deutschsprachige Konferenz in München. Wir stehen dafür ein, Datenschutz für Unternehmen handhabbar zu gestalten.
Wie steht es um die Zertifizierung?
Die EU-Datenschutzgrundverordnung sieht die Möglichkeit von Datenschutz-Zertifizierungen vor. Wir sind hier seit gut zwei Jahren in Gesprächen mit der deutschen Akkreditierungsstelle DAkkS sowie den Datenschutz-Aufsichtsbehörden, um zertifizierbare Standards gerade auch für KMUs zu ermöglichen. So waren wir der Erste, welcher einen Antrag zur Schaffung eines Zertifizierungsrahmens gestellt hat. Indes: viele Punkte sind – auch unter den Behörden – noch ungeklärt. Und so ist derzeit noch offen, ob und wann hier staatlich anerkannte Standards verfügbar sein werden. Das Datenschutz-Kit sieht die Möglichkeit einer externen Auditierung vor, diese ist in der Web- Plattform bereits implementiert. Wir bleiben hier in jedem Fall am Ball.
Wie geht es insgesamt weiter mit dem Datenschutz?
Sie haben vielleicht von den ersten Abmahnungen gelesen, die es rund um die Nutzung von „Google Fonts“ gab. Generell gilt: soweit personenbezogene Daten (darunter auch IP-Adressen) Ihrer Webseiten-Besucher an andere fremde Dienste-Anbieter weitergegeben werden, bedarf dies der Zustimmung der Besucher. Speziell für Google Fonts gibt es eine technisch einfache Alternativlösung. Es bleibt abzuwarten, wie die Gerichte hier entscheiden werden.
Für großen Wirbel sorgt derzeit die Entscheidung über Facebook-Fanpages. Eine einfache Lösung gibt es hier nicht. Wer auf Nummer sicher gehen will sollte derzeit seine Fanpage deaktivieren. Eine gute Zusammenfassung der Situation finden Sie hier.
Schließlich zu einer Veröffentlichung der Behörden, wann so genannte Datenschutz-Folgenabschätzungen durchzuführen sind. Den derzeitigen Sachstand haben wir unter diesem Link zusammengefasst.
Uns alle haben in den letzten Wochen zahlreiche E-Mails erreicht, man möge doch nochmals seine Einwilligung in die Zusendung von Newslettern erteilen. Über den fragwürdigen Sinn dieser „Re-Opt-Ins“ finden Sie hier einen pointierten Beitrag.
Wie geht es weiter mit dem Datenschutz-Kit?
Die online verfügbaren Dokumente werden wir laufend aktualisieren. Jeweils zum Jahreswechsel erhalten Sie dann künftig zudem eine aktualisierte Fassung der gedruckten Unterlagen für Ihren Datenschutz-Kit-Ordner sowie eine neue Urkunde für das Folgejahr.
Wo stehen Sie nun mit dem Datenschutz-Kit?
Es kursieren Zahlen, dass sich bislang nur 15 % der deutschen Unternehmen ausreichend auf die EU-Datenschutzgrundverordnung vorbereitet hätten. 35 % seien in Vorbereitungsmaßnahmen, 50 % seien nicht vorbereitet. Aktuell verspüren auch die Datenschutz-Aufsichtsbehörden eine ähnliche Überlastung. Mein persönlicher Eindruck ist, dass die Praxis in der Breite noch nicht analysiert und erkannt hat, was die neu geschaffene „Rechenschaftspflicht“ für die Unternehmen wirklich bedeutet und dass dies an sich nur mit datenbankgestützten Systemen sauber abgebildet werden kann. Ich versuche damit also vorsichtig zu sagen, dass Sie bei Umsetzung der im Datenschutz-Kit adressierten Themen vergleichsweise weit vorne aufgestellt sein dürften.
Ich darf dabei nochmal folgende Themen hervorheben:
- Ausrollen von Datenschutz-Schulungen über das webbasierte Datenschutz-Kit
- Interner Erlass der Datenschutz-Richtlinie (Kapitel 3)
- Dokumentation Ihrer Verarbeitungstätigkeiten (Kapitel 4)
- Datenschutzrechtliche Bindung von Dritt-Dienstleistern (Kapitel 5)
- Dokumentation Ihrer IT-Sicherheitsmaßnahmen (Kapitel 6)
- Aktualisierung Ihrer Webseiten-Datenschutz-Erklärung (Kapitel 8)
Die Anleitung hierzu finden Sie in diesem Video.
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.