Leitfaden DSGVO – Thema: EDV, Meldefrist und Dokumentation

IT / EDV auf „aktuellen Stand der Technik“ bringen

Art. 25 DSGVO schreibt es ausdrücklich vor: Der Datenschutz ist durch Technikgestaltung und datenschutzfreundliche Voreinstellungen auf dem Stand der Technik zu gewährleisten. Einzig eine Definition, was denn der Gesetzgeber mit „Stand der Technik“ genau meint, fehlt leider.

Versetzen Sie sich am besten in die Lage eines Prüfers bei der Behörde, der Ihr Unternehmen als Fall auf seinen Tisch bekommt und sich die Frage stellen muss, ob Ihr Unternehmen auf dem Stand der Technik Datenverarbeitung durchführt. So können Sie selbstkritisch selbst einschätzen, ob Sie an dieser Stelle DSGVO-konform sind oder nicht.

Fortentwicklung des Datenschutzrechts / Meldungen der Aufsichtsbehörden verfolgen

Da das Gesetz sich derzeit noch „einschleift“ und konkrete Einzelfragen naturgemäß erst im Laufe der Zeit geklärt werden, sollte verfolgt werden, wie sich Behörden zu einzelnen Fragen äußern.

Nicht zu vergessen ist in diesem Zusammenhang, dass der EU-Gesetzgeber in der DSGVO für alle EU-Mitgliedstaaten bewusst Öffnungsklauseln im Gesetzeswerk gelassen hat, welche durch die nationalen Gesetzgeber eigenständig im Detail zu regeln sind. In Deutschland hat sich der Gesetzgeber diese Chance nicht nehmen lassen und ein neues Bundesdatenschutzgesetz erarbeitet. Interessanterweise ist dieses neue BDSG, welches nur Lücken der DSGVO schließen sollte, umfangreicher geworden, als das alte BDSG, welches bis dahin das datenschutzrechtliche Grundwerk in Deutschland gewesen ist.

Meldefrist

Die Meldefrist wurde bereits zuvor erwähnt, aber wird aufgrund der Wichtigkeit auch noch einmal gesondert aufgeführt. Dies ist die Pflicht gemäß Art. 33 DSGVO, einen Datenschutzverstoß gegenüber der gemäß Art. 55 DSGVO zuständigen Datenschutzbehörde innerhalb von 72 Stunden ab Kenntniserlangung zu melden. Die Meldepflicht gilt allerdings nicht, wenn Sie nach Prüfung des Vorfalls zu dem Schluss kommen, dass die Verletzung beim Betroffenen voraussichtlich nicht zu einem Risiko für dessen Rechte und Freiheiten führt. Jeder einzelne Verstoß ist also dahingehend zu prüfen, ob dieser zu melden ist. In jedem Fall ist er zu dokumentieren zusammen mit den ergriffenen Maßnahmen, um zukünftige Verstöße dieser Art zu unterbinden.

Bei Datenschutzverstößen laufen sehr kurze Meldefristen. Deshalb ist unbedingt zu empfehlen, den Ablauf im Unternehmen vorher zu durchdenken. Es ist festzulegen, welche Abläufe wann in Gang gesetzt werden sollen. Vor allem den Verantwortlichen im Unternehmen zu benennen, dem der einzelne Vorfall zur Prüfung vorzulegen ist. Schon allein die nicht rechtzeitige Meldung des Verstoßes kann ein Bußgeld nach sich ziehen.

Beim Vorliegen eines Datenschutzverstoßes trifft Sie daneben unter Umständen auch die Pflicht zur Information des Betroffenen, dessen Rechte ja verletzt wurden.

Es empfiehlt sich die Verwendung eines Mustervordrucks „Meldung Datenpanne“, der bereits vorgehalten werden sollte und dann nur noch abgearbeitet werden muss. In dem Meldeformular müssen die in Art. 33 Abs. 3 DSGVO genannten Informationen enthalten sein.

Dokumentation

Die Rechenschaftspflicht ist ein Grundsatz der DSGVO, dem unbedingt Folge zu leisten ist. Daher ist es in keinem Fall schädlich Datenverarbeitungsprozesse im Unternehmen zu dokumentieren. Gerne kann dann im Verarbeitungsverzeichnis auf diese Dokumentation, wie auch immer sie aussehen mag, verwiesen werden. Somit kommen Sie der Verpflichtung nach, die Maßnahmen der Datensicherheit im Verarbeitungsverzeichnis zu beschreiben.

Fazit

Auch der Versicherungsmakler, wie alle Unternehmer in Deutschland, steht in der Pflicht zur Einhaltung des Datenschutzes. Dabei stellt der Versicherungsmaklervertrag stets die Rechtsgrundlage für die Verarbeitung dar (Art. 6 Abs. 1 Buchst. b) DSGVO). Zudem sollten Einwilligungen in die Verarbeitung der Daten von den Kunden eingeholt werden und geprüft werden, ob mit Dienstleistern ein Auftragsdatenverarbeitungsvertrag (ADV/AVV) abzuschließen ist. Die Dokumentation aller datenschutzrechtlichen Anstrengungen ist zu empfehlen. Ein Verarbeitungsverzeichnis muss unbedingt erstellt werden.

Um den Nachweispflichten nachzukommen müssen also diverse Dokumente erstellt werden. Dafür gibt es verschiedene Programme und Pakete, die dabei unterstützen.

https://www.experten.de/2018/09/03/dsgvo-leitfaden-thema-der-datenschutzbeauftragte/

https://www.experten.de/2018/09/06/dsgvo-leitfaden-thema-verzeichnis-und-datenschutz-folgenabschaetzung/

https://www.experten.de/2018/09/11/leitfaden-dsgvo-thema-technisch-organisatorische-massnahmen/

https://www.experten.de/2018/09/13/leitfaden-dsgvo-thema-einwilligung-auftragsdaten-und-rechte/

https://www.experten.de/2018/09/14/leitfaden-dsgvo-thema-mitarbeiter-rechenschaftspflicht-und-cyber/

Bilder: (1) © Sergey Nivens / fotolia.com (2) © Kanzlei Michaelis Rechtsanwälte Partnerschaftsgesellschaft