Warum Unternehmen den Kriterienkatalog zur Querschnittsprüfung des LDI Niedersachsen als Hilfestellung annehmen sollten.
Gern gesehene Transparenz
Bereits letztes Jahr hat Barbara Thiel, die Landesbeauftragte für den Datenschutz Niedersachsen (kurz: LFD Niedersachsen) bekannt gegeben, dass 50 mittelgroße und große Unternehmen in Niedersachsen einer Prüfung bezüglich ihres Datenschutzniveaus unterzogen werden und den hierzu verwendeten ausgehändigten Fragebogen veröffentlicht. Nun scheint nach Angaben der LFD Niedersachsen die Prüfung vor dem Abschluss zu stehen (https://lfd.niedersachsen.de/startseite/datenschutzreform/ds_gvo/kriterien-querschnittspruefung-179455.html).
Die Ergebnisse der Überprüfungen sind natürlich in allererster Linie für die unmittelbar betroffenen Unternehmen bedeutsam. Doch auch andere Unternehmen aus ganz Deutschland sind wohl gespannt, wie die Prüflinge abgeschnitten haben. Was allerdings noch interessanter als die konkreten Ergebnisse sein dürfte, ist das Dokument, das die LFD Niedersachsen im August 2019 veröffentlicht hat – den „Kriterienkatalog zur Querschnittsprüfung in der Wirtschaft 2018/2019.“ Wie aus dem Titel schon hervorgeht handelt es sich um einen Katalog der von der Behörde bei der Bewertung der Prüfung genutzten Kriterien.
So können Unbeteiligte einen Blick hinter die Kulissen erhaschen. Nachdem zunächst lediglich verschiedene Statistiken zu Datenschutzverletzungen (hierzu unser Blogeintrag: https://www.skysystems.biz/blog/ein-jahr-datenschutz-grundverordnung-was-bisher-geschah) oder privaten Umfragewerten vorlagen, wie es mit der Umsetzung bei Unternehmen aussieht (hierzu unser Blogeintrag: https://www.skysystems.biz/blog/whatsapp-what-else), kann der Kriterienkatalog der LFD Niedersachsen als eine umfassende Äußerung zum Verständnis einer offiziellen Stelle zu den von der DSGVO gestellten Aufforderungen begriffen werden.
Das Hauptanliegen der Landesbeauftragen war ihr zufolge, „zu identifizieren, ob es bei den verantwortlichen Stellen noch Nachholbedarf gibt.“ Gleichzeitig wolle sie „das Bewusstsein für Datenschutz im Allgemeinen und die Vorschriften der DSGVO im Speziellen stärken.“ Es gehe nicht vorrangig darum aktiv nach Fehlern zu suchen, um Bußgelder zu verhängen, vielmehr stünden die Aufklärung, die Sensibilisierung und die Information im Vordergrund – Kooperation statt Konfrontation. (https://lfd.niedersachsen.de/startseite/allgemein/presseinformationen/fragen-zur-ds-gvo-an-50-unternehmen-166110.html)
Aufmerksame und motivierte Unternehmen sollten diese transparente Vorgehensweise seitens der LDI Niedersachsen begrüßen und den Kriterienkatalog als Gradmesser annehmen, um den eigenen Fortschritt zu überprüfen, potenzielle Problemfelder auszumachen und bei Bedarf die eigenen Prozesse anpassen. Im Folgenden wird zu diesem Zweck der Inhalt des Dokuments aufgearbeitet und eingeordnet, um interessierte Unternehmen dabei zu unterstützen die Informationen optimal zu nutzen.
Ein Prüfungsschema auf dem Silbertablett
Der Kriterienkatalog ist in zehn große Themengebiete unterteilt, die mehrheitlich auf die praxisrelevantesten Anforderungen der DSGVO zurückgehen.
1. Vorbereitung auf die DSGVO
Bei diesem Punkt handelt es sich noch um eine recht abstrakte Frage nach den Vorbereitungshandlungen im Unternehmen. Das Ziel der LFD Niedersachsen war es, einen Überblick über den vom jeweiligen Unternehmen gewählten Ansatz zu bekommen. Dabei wurde anscheinend besonders darauf geachtet, ob die Umsetzung der DSGVO auch als das gesamte Unternehmen berührende Thema angepackt wurde, das es ist, also ob auch alle wesentlichen Unternehmensbereiche am Projekt beteiligt waren und sind. Darüber hinaus deutet sich hier schon an, was sich auch in den übrigen Fragen herauskristallisieren wird, und zwar, ob die geplanten Maßnahmen auch wirklich umgesetzt wurden (z.B. in Form von Schulungen) – oder mit anderen Worten, ob nicht nur geredet, sondern auch gehandelt wurde. Auch Unternehmen, die sich nun selbst evaluieren wollen, sollten sich zu Beginn Zeit nehmen und das große Ganze, wie den eigenen Ansatz, die geplanten und bereits durchgeführten Maßnahmen sowie die einbezogenen Abteilungen betrachten. Die folgenden, etwas konkreteren Themenfelder, sollten daraufhin jeweils im Lichte dieser ersten Einschätzung betrachtet werden.
2) Verzeichnis von Verarbeitungstätigkeiten
Die Frage zu diesem Punkt betrifft das Verzeichnis von Verarbeitungstätigkeiten (kurz: VVT). Auch hier schien es der LFD Niedersachsen weniger um detaillierte Feinarbeit in jedem Einzelfall als um einen generellen Überblick zu gehen, da sie lediglich eine Übersicht der dokumentierten Verfahren und nur ein vollständiges Verfahren als Muster sehen wollte. Diese mussten jedoch (logischerweise) vollständig sein. Vorrangige Kriterien waren hier, neben der Erfüllung der formellen rechtlichen Vorgaben aus Art. 30 Abs. 1 DSGVO, die regelmäßig überprüfte Aktualität des Verzeichnisses sowie die Dokumentation der Standardverfahren, wie z.B. die Bürokommunikation. Für Selbstprüfer gilt also kurz gesagt: Steht das DSGVO-konforme Grundgerüst, sind die Standardverfahren bereits dokumentiert und wird durchgehend am VVT gearbeitet?
3) Zulässigkeit der Verarbeitung
Die angekündigte kooperative Linie setzt sich auch bei der Frage zu der Zulässigkeit der Verarbeitung fort. Hier wird nicht nach Fehlern bei Einzelfällen gesucht, sondern das grundsätzliche Erscheinungsbild betrachtet – die Plausibilität der Rechtsgrundlagen, die sprachliche Gestaltung der Einwilligungserklärungen sowie die Nennung der Pflichtangaben. Auch in diesem Fall gilt für die Selbstprüfer also, dass es der Aufsichtsbehörde in Niedersachsen zum jetzigen Zeitpunkt nicht auf die Beachtung dogmatischer Feinheiten, die sich ohnehin noch im Laufe der Zeit herausbilden werden, oder konkrete Einzelfallanwendungen anzukommen scheint, sondern auf die Beachtung der grundsätzlichen gesetzlichen Vorgaben.
4) Betroffenenrechte
Frage 4 betrifft den Umgang mit den Betroffenenrechten (Art. 12 bis Art. 20 DSGVO). Bezüglich des Umgangs mit diesen Rechten hat die LFD Niedersachsen zwar nur eine Skizze der im Unternehmen hierzu vorgesehenen Prozesse angefordert, allerdings detaillierte Nachweise der Erfüllung der Informationspflichten. Neben den ohnehin deutlich in der DSGVO genannten Kriterien hinsichtlich der Informationspflichten, deren Vollständigkeit überprüft wurde, scheint es der LFD Niedersachsen auch bei diesem Punkt wichtig zu sein, dass das Unternehmen sich konkret mit der DSGVO beschäftigt hat. Sichtbar wird dies daran, dass sie je Betroffenenrecht die nachvollziehbare und auf das Unternehmen bezogene Anwendung der DSGVO erwartet (beispielhaft weist sie dazu auf einen internen Handlungsleitfaden hin). Die verantwortlichen Unternehmen sollten sich zunächst individuell Gedanken gemacht haben, welche Anforderungen für ihre Situation gelten und wie sie diese ordnungsgemäß erfüllen wollen (vgl. auch Frage 1).
Selbstprüfende Unternehmen können an diesen Kriterien entlang prüfen und so ermitteln, ob und inwieweit sie zu Erfüllung der jeweiligen Betroffenenrechte und Informationspflichten vorbereitet sind.
5) Technischer Datenschutz
Die Erwartung der LFD Niedersachsen, dass die Unternehmen die Datenschutzthematik grundsätzlichen verstanden haben müssen wird umso deutlicher bei der Frage zu den technisch-organisatorischen Maßnahmen (siehe Punkt 5) des Dokuments). Denn hiernach wird in den Kriterien ausdrücklich gefragt. Erklären lässt sich dieser Ansatz wohl mit dem Gedanken, dass eine effektive Umsetzung und der damit einhergehende Datenschutz besser gewährleistet werden könne, wenn die umsetzenden Unternehmen verstanden haben, was sie da überhaupt tun.
Interessant ist, dass die LFD Niedersachsen hier zunächst nicht nach konkreten Nachweisen fragt, sondern sich darlegen lässt, welcher Ansatz im Unternehmen verfolgt wird, um den technischen Datenschutz zu erfüllen. Die Reihenfolge der Fragen sowie die dazu gereichten Kriterien lassen die dazu notwendige Vorgehensweise ermitteln – risikobasierte Ermittlung eines angemessenen Schutzniveaus, fortlaufende Anpassung an den jeweiligen Stand der Technik, Konzeption und Dokumentation des datenschutzkonformen Einsatzes dieser Technik, durchgehend datenschutzfreundliche Grundeinstellung (des Unternehmens und der Technik). Was genau der Stand der Technik ist, lässt sich natürlich nie sagen, weshalb die LFD die Einordnung was der Stand der Technik ist, als dynamisch beschreibt. Als Untergrenze versteht sie die anerkannten Regeln der Technik (z.B. DIN-Normen) und als Obergrenze die neuesten technischen und wissenschaftlichen Erkenntnisse. Von den Unternehmen scheint sie einen gewissen Pioniergeist zu erwarten. Sie sollen sich aktiv mit der technischen Entwicklung beschäftigen und marktfähige Techniken, die einen hohen Sicherheitsstandard bieten, nutzen, auch wenn diese sich noch nicht in der Praxis durchgesetzt haben (diese Aussage begrenzt sie jedoch wieder auf das im Einzelfall technisch machbare). Einen konkreten Nachweis erwartet die Aufsichtsbehörde dann aber schon noch, und zwar in Form eines Rollen- und Berechtigungskonzeptes für die IT-Anwendungen.
Hier bedarf es bei den selbstprüfenden Unternehmen etwas mehr kritischer Selbstreflektion. Zunächst muss das konkrete angemessene Schutzniveau im eigenen Unternehmen ermittelt werden. Daraufhin müssen die IT-Anwendungen, die zur Verarbeitung personenbezogener Daten eingesetzt werden, identifiziert werden. Und schließlich muss geschaut werden, ob diese auch noch dem „Stand der Technik“ entsprechen. Sofern dies der Fall ist, muss überprüft werden, ob auch die übrigen Kriterien erfüllt werden, wie der Einsatz eines Rollen- und Berechtigungskonzept und die datenschutzfreundlichen Standardeinstellungen.
6) Datenschutz-Folgenabschätzung
Die sechste Frage befasst sich mit der Datenschutz-Folgenabschätzung. Die LFD Niedersachsen prüft in diesem Fall zunächst die Vorgehensweise mit der ermittelt wird, ob eine derartige Abschätzung durchgeführt werden muss und achtet in dieser Hinsicht auf den vollständigen Prüfungsumfang, die Prüfungsmethode, die dafür verantwortliche Person im Unternehmen und die Dokumentation des Vorgangs. Für den Fall, dass bereits eine Datenschutz-Folgenabschätzung im Unternehmen durchgeführt wurde, prüft die Aufsichtsbehörde eine beispielhafte Dokumentation. Wie die Erforderlichkeit einer Datenschutz-Folgenabschätzung ermittelt werden kann, lässt sich den Kriterien entnehmen. Auch hier bietet es sich an, die Prüfungsmethode in einem Konzept zu regeln und dabei die genannten Kriterien als Hilfestellung zu nutzen. Sofern bereits eine Datenschutz-Folgenabschätzung durchgeführt wurde, kann die Vorgehensweise anhand der detailreichen Auflistung relevanter Punkte überprüft werden.
7) Auftragsverarbeitung
Auch das Thema Auftragsverarbeitung wird von der Aufsichtsbehörde unter die Lupe genommen. Zur Bewertung hat sie sowohl einen Mustervertrag als auch einen beispielhaften konkret geschlossenen Vertrag. Große Überraschungen bei den Kriterien gibt es hier nicht. Die Verträge sollten an die neue Rechtslage angepasst sein und den doch recht klaren gesetzlichen Vorgaben des Art. 28 DSGVO. Darum sollten hier die Selbstprüfer „einfach“ die vorhandenen (Muster-)Verträge anhand der Kriterien überprüfen.
8) Datenschutzbeauftragter
Frage 8 befasst sich mit dem Datenschutzbeauftragten. Bezüglich der Person des Datenschutzbeauftragten ging es der LFD Niedersachsen grundsätzlich um drei Gesichtspunkte, die organisatorische Einbindung (hier vor allem eine potenzielle Befangenheit), die Fachkunde und die Bekanntgabe (sowohl an die Aufsichtsbehörde als auch an die Öffentlichkeit). Auch hier gilt für die Selbstprüfer, dass die genannten Kriterien eine gute Vorlage bieten, um die Situation im eigenen Unternehmen zu überprüfen. Dieser Punkt wird am Besten in Zusammenarbeit mit dem Datenschutzbeauftragten bearbeitet (das gilt natürlich auch für alle übrigen Punkte).
9) Meldepflichten
Frage 9 betrifft die Meldepflichten im Hinblick auf Datenschutzverstöße und vor allem den damit zusammenhängenden Prozess. Wie schon bei den anderen Fragen scheint es der LFD Niedersachsen vor allem darum zu gehen, dass das geprüfte Unternehmen verstanden hat worum es geht und sich auf den Ernstfall vorbereitet hat. Im Ergebnis bedeutet das, dass auch hier ein durchdachtes, schriftliches Konzept den Anforderungen der Aufsichtsbehörde mehr als genügen würde. Der Mindestinhalt dieses Konzeptes lässt sich aus den Kriterien ableiten: Regelung der Verantwortlichkeiten, Berücksichtigung der 72-Std.-Frist, Sensibilisierung der Mitarbeiter und tatsächliche Dokumentation der Datenschutzverstöße. Die LFD Niedersachsen liefert den aufmerksamen und motivierten Unternehmen einmal mehr eine kleine Übersicht, die wahlweise als Checkliste für ein bereits bestehendes Konzept oder als Vorlage für ein noch zu erstellendes Konzept, genutzt werden kann.
10) Dokumentationen
Die letzte Frage ist ebenso wie die erste Frage eher allgemeiner Natur. Hier geht es um die in Art. 5 Abs. 2 DSGVO festgelegte Rechenschaftspflicht und die zur Erfüllung dieser Pflicht unabdingbare Dokumentation. Ob und wie die Einhaltung der einzelnen, konkreten Pflicht dokumentiert wird, wurde von der Aufsichtsbehörde bereits jeweils im Rahmen der Fragen zu diesen Pflichten abgefragt. Diese letzte, explizite Frage kann man daher als zusätzlichen Hinweis auf die enorme Wichtigkeit der ordentlichen und vollständigen Dokumentation deuten. Einziges Kriterium zu dieser Frage ist in Übereinstimmung mit dieser Deutung, ob „eine Dokumentation zu jeder der abgefragten Pflichten vorhanden ist“. Aus dem Kriterienkatalog folgt, dass mindestens folgende Unterlagen vorhanden sein sollten:
- Verzeichnis von Verarbeitungstätigkeiten (Dokumentation der einzelnen Verfahren)
- Einwilligungsformular (Muster)
- Datenschutzerklärung auf der Webseite
- interner, konkret auf das Unternehmen bezogener Handlungsleitfaden hinsichtlich der Informationspflichten und Betroffenenrechte
- Informationsdokument nach Art. 13, 14 DSGVO
- Rollen- und Berechtigungskonzept
- Datenschutz-Folgenabschätzung (Dokumentation)
- AV-Vertrag (Muster)
- Meldeformular Datenschutzbeauftragter
- Konzept zur Einhaltung von Meldepflichten
Sollte eine Selbstprüfung erwogen werden, lohnt sich ein Blick auf diese Liste, um mögliche Defizite oder Schwerpunkte bereits im Voraus auszumachen. Doch auch wenn man keine Selbstprüfung erwägt, jedoch ein „unbekanntes“ Dokument auffällt, sollte man zumindest diesen Teilbereich überprüfen.
Fazit
Insgesamt lässt sich festhalten, dass der Kriterienkatalog zum eigenen Vorteil genutzt werden kann. Der Aufsichtsbehörde scheint es zunächst darum zu gehen, dass die Unternehmen sich ernsthaft mit dem Thema Datenschutz auseinandersetzen. Das bedeutet jedoch keineswegs, dass schlampig gearbeitet werden könne. Denn auch wenn die LFD Niedersachsen bei dieser Prüfung viel Wert auf das Datenschutzverständnis gelegt hat, erwartet sie bei den Dokumenten und Prozessen dennoch Vollständigkeit, was durch die detaillierte Abfrage der in der DSGVO genannten Kriterien deutlich wird.
Vereinfacht liegt dem Ansatz der LFD Niedersachsen eine eigentlich selbstverständliche Vorgehensweise zugrunde, die sich folgendermaßen darstellen lässt:

Diese Vorgehensweise lässt sich sowohl auf das „Gesamtprojekt Datenschutz“ anwenden, welches sich zum Beispiel anhand der Punkte 2) bis 9) in einzelne Unterprojekte gliedern lässt, bei denen die Vorgehensweise wiederum angewendet werden kann. Hiermit ist nicht gesagt, dass dies keinen oder wenig Aufwand erfordert. Auch ist damit nicht gesagt, dass die drei Schritte strikt nacheinander ausgeführt werden müssen. In der Praxis müssen sie häufig simultan ausgeführt werden. Doch die Umsetzung und Dokumentation fallen um einiges leichter, wenn man als Unternehmen verstanden hat, worum es geht, ein Konzept hat und dieses Konzept auch umsetzen möchte. Im Ergebnis läuft dies auf ein aktives Datenschutzmanagement im gesamten Unternehmen hinaus. Nicht mehr und nicht minder scheint die LFD Niedersachsen zu erwarten. Was im Detail bei den jeweiligen Anforderungen beachtet werden muss ergibt sich dabei natürlich primär aus der DSGVO. Die Kriterien des Katalogs stellen aber eine Hilfestellung dar, der von den Selbstprüfern sorgfältig durchgegangen werden sollte. Neben den Details scheint es der Aufsichtsbehörde jedoch auf drei, für einen aktiven und funktionierenden Datenschutz im Unternehmen elementare Voraussetzungen anzukommen:
- abstraktes Verständnis
- konkrete, aktive Anwendung
- vollständige Dokumentation
Bevor man sich als Selbstprüfer also daran macht, seinen aktuellen Stand anhand der detailreichen Einzelfragen zu überprüfen, sollte man sich zunächst Zeit nehmen, um zu evaluieren, ob man diese drei Voraussetzungen grundsätzlich erfüllt und auch in Zukunft darauf achten, dass man diese nicht aus den Augen verliert.
Unternehmen sollten den Kriterienkatalog der Querschnittsprüfung daher in zweierlei Hinsicht als Kooperationsangebot der Aufsichtsbehörde annehmen. Zum einen als Denkanstoß für den grundsätzlichen eigenen Ansatz, der zur Umsetzung des Datenschutzes gewählt wurde und zum anderen als Checkliste zur Überprüfung der bisher umgesetzten und zukünftig umzusetzenden Maßnahmen. Wer sich eigenverantwortlich und gewissenhaft anhand des Kriterienkatalogs einer Selbstprüfung unterzieht, ist nicht nur für den Ernstfall gewappnet, sondern kann darüber hinaus auch viel für sein eigenes Datenschutzmanagement lernen und dieses verbessern.