Montag, 29. Januar 2018

Rezension: Datenschutz-Compliance nach der DS-GVO

Kranig / Sachs / Gierschmann, Datenschutz-Compliance nach der DS-GVO, 1. Auflage, Bundesanzeiger 2017

Von RA, FA für Verwaltungsrecht, FA für Arbeitsrecht, FA für IT-Recht Christian Stücke, Helmstedt



Mit dem Inkrafttreten der DS-GVO fangen die Uhren des Datenschutzrechts neu an zu ticken. Das deutsche, nationale Datenschutzrecht sieht sich in der Situation, plötzlich nicht mehr alles regeln zu müssen, da dies durch die Verordnung selbst geschieht, die nicht in nationales Recht umgesetzt werden muss. Zwar kann man nicht sagen, dass die DS-GVO keinen Stein des Datenschutzrechtes mehr auf dem anderen lässt, gleichwohl stehen gravierende Änderungen an. Entsprechend groß ist der Bedarf an praxisgerechten Handlungshilfen.

Diesem Bedarf widmet sich der vorliegende Band in Bezug auf Compliance. Hier treten bereits mehrere Probleme auf: zum einen ist der Begriff der Compliance an sich unscharf. Er umschreibt gesetzmäßiges Verhalten, das sich also in der vorliegenden Anwendungskonstellation an der DS-GVO orientieren soll. Handeln nach den Vorgaben des Gesetzes (bzw. der Verordnung) setzt aber wiederum voraus, dass es - idealerweise natürlich "aus Europa" - Leitlinien (etwa des europäischen Datenschutzausschusses) gibt oder auch einschlägige Rechtsprechung, um die zahllosen unbestimmten Rechtsbegriffe näher auszufüllen. Diese ist aber derzeit schlicht noch nicht vorhanden. Dieses Dilemma suchen die Autoren auf die einzig richtige Weise zu lösen - nämlich möglichst eng am Verordnungswortlaut.

Zur bestmöglichen Einhaltung der Compliance entwickeln die Verfasser Handlungsstrukturen, Checklisten und Prüffragebögen, die in Anlehnung an das sog. Deming-Rad (Plan-Do-Check-Act - PDCA) bei Planung, Betrieb, Bewertung und zur Verbesserung von Datenschutzvorgängen genutzt werden können. Verarbeiter, die mit personenbezogenen Daten umgehen, sollen bei der Suche nach gesetzeskonformen Verfahren und deren Realisierung unterstützt werden.

Nach einer kurzen Einführung in die DS-GVO widmen sich die Autoren den Aspekten der Sicherstellung der Datenschutz-Compliance. Breiten Raum nehmen dabei die als "Kernprozesse" bezeichneten Bereiche der datenschutzkonformen Datenverarbeitung, Sicherstellung von Betroffenenrechte sowie die Handhabung von Datenschutzverstößen dar. Auch dabei wird jeweils zunächst die Rechtslage anhand der Verordnungsbestimmungen kurz vorgestellt, um sogleich Handlungsempfehlungen - häufig in tabellarischer Form als  aufbereitete Checkliste - zu geben. So finden sich etwa leicht umsetzbare Handhabungen bei Auskunftsverlangen Betroffener oder im Falle geltend gemachter Berichtigungsansprüche.

Das Kapitel zum Risikomanagement sensibilisiert hinsichtlich der zu erwartenden Folgen und Risiken von Datenschutzverstößen. Dies ist auch für die Erstellung bzw. den Umgang dringend erforderlich. Aber auch hierfür enthält das Werk gelungene Handreichungen, um griffige Risikomanagementprozesse implementieren zu können.

Sehr kompliziert sind die Bestimmungen zur Datenschutzdokumentation. Die Verantwortlichen haben Dokumente zu expliziten und implizierten Nachweispflichten zu führen. Bei Erstellung dieser Dokumente können die Verfasser auf die sehr strukturierten (tabellarischen) Zusammenstellungen im vorliegenden Werk bauen. Das Risiko, "etwas zu übersehen" wird dadurch erheblich minimiert.

Natürlich muss Datenschutz auch tatsächlich von Mitarbeiterinnen und Mitarbeitern im Unternehmen gelebt werden. Schulungen sind dabei unumgänglich, um Datenschutzbewusstsein zu wecken und zu verbessern. Auch diese Schulungen bzw. Trainings sind Teil der Datenschutzcompliance und erfahren verdienter Weise Aufmerksamkeit. Natürlich können Inhalte im Rahmen des Bandes nicht vorgeschlagen oder gar Empfehlungen für Schulungen abgegeben werden. Der Zielrichtung des Werkes entsprechend werden aber Empfehlungen für Jahresplanungen, Einbau von Zertifizierungen und den Erhalt von Feedback der Teilnehmenden gegeben.

Großen Raum nehmen die Kontrollmechanismen ein, die letztlich den Nachweis der Umsetzung der DS-GVO führen. Die in der Theorie festgehaltenen Compliance-Standards müssen sich eben auch in der Praxis bewähren. Zur Überprüfung sind Audits unumgänglich. Das betreffende Kapitel führt nicht nur in die Ziele von Auditierungen ein, sondern gibt Handlungsempfehlungen bei Vorbereitung, Durchführung und Nachbereitung. Eckpunkte für die Erstellung von Audit-Checklisten oder einer Audit-Agenda werden so detailliert erläutert, dass eine Umsetzung in spezifischen Audit-Bereichen leicht fällt. Hinweise zu Datenschutzzertifikaten runden die Ausführungen ab. Sehr löblich sind die in einem eigenständigen Kapitel gehaltenen Erwägungen rund um die Errichtung und den Unterhalt eines Datenschutz-Managementsystems (DSMS). Löblich schon deshalb, weil ein solches DSMS von der DS-GVO nicht vorgeschrieben wird, gleichwohl aber auf Verbandsebene zur Erfüllung von Nachweispflichten für unabdingbar gehalten wird.

Das dritte, abschließende Kapitel des Werkes widmet sich der Überwachung der Datenschutz-Compliance durch Aufsichtsbehörden. Deren Aufgaben und Befugnisse werden kurz vorgestellt. Sodann wird ein Katalog von Fragen vorgestellt, die durch Aufsichtsbehörden zum Zwecke der Überprüfung der Einhaltung der DS-GVO gestellt werden könnten. Diese Fragen sind natürlich keinesfalls in irgendeiner Weise "amtlich" vorgegeben. Dem entsprechend liefern die Autoren mit den Fragen eine Orientierungshilfe dazu, was abgefragt werden könnte, auch um den Erwartungshorizont der Aufsicht ein wenig zu verdeutlichen. Die Fragekomplexe orientieren sich wieder an die PDCA-Struktur, die sich bis hierher gleichsam als roter Faden durch das Buch zieht.

Fazit: Am 25.5.2018 müssen die Vorgaben der DS-GVO umgesetzt sein. Auf Datenschutzpraktiker kommt dabei eine Herkulesaufgabe zu. Umso besser ist es, bei der Umsetzung auf gut strukturierte, praxisorientierte Handlungshilfen wie dem "Kranig, Sachs, Gierschmann" zurückgreifen zu können. Den mit der Erledigung dieser Herkulesaufgabe betrauten Personen kann die Anschaffung des Werkes uneingeschränkt empfohlen werden.