Datenschutz richtig kommunizieren (1)

kommunizieren


Wie kommunizieren Sie Datenschutz? Bei der Betrachtung der datenschutzrechtlichen Anforderungen stehen meist die diversen Dokumentationspflichten des Verantwortlichen, beispielsweise die Bereitstellung von Datenschutzinformationen gemäß Art. 13 DS-GVO , die vertragliche Einbindung externer Dienstleister im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DS-GVO oder die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO im Fokus. Gleichwohl diese Dokumentationspflichten einen zentralen Aspekt der datenschutzrechtlichen Normierungen darstellen, kann in der alltäglichen Datenschutz-Praxis die richtige Kommunikation dieser Thematik einen sehr großen Einfluss auf die erfolgreiche Umsetzung der gesetzlichen Anforderungen nehmen.


Erwartungen der unterschiedlichen Akteure

Mit Blick auf die Normen der DS-GVO ergeben sich drei wesentliche Akteure, deren Interessen und Erwartungen in Einklang gebracht und bei einer Kommunikation angemessen zu berücksichtigen sind.

Als erste Gruppe sind die Verantwortlichen zu benennen. Gemäß Art. 4 Nr. 7 DS-GVO handelt es sich hierbei um eine natürliche oder juristische Person, welche allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Der Verantwortliche ist für die Einhaltung der datenschutzrechtlichen Verpflichtungen in seinem Verantwortungsbereich zuständig. Bietet ein Unternehmen oder eine Behörde eine Internetseite, eine Präsenz in einem sozialen Netzwerk oder eine App an, so entscheidet diese(s) über den Zweck (z.B. Informationsportal für die Zielgruppe) und die Mittel (Bereitstellung einer Internetseite, einer Präsenz in einem sozialen Netzwerk oder einer App) der Verarbeitung personenbezogener Daten. Das Unternehmen bzw. die Behörde ist im Rahmen dieser Verarbeitung für die Einhaltung der datenschutzrechtlichen Normierungen verantwortlich.

Darüber hinaus sind die sogenannten betroffenen Personen anzuführen. Als betroffene Person bezeichnet die DS-GVO im Rahmen des Art. 4 Nr. 1 diejenigen natürlichen Personen, deren personenbezogene Daten verarbeitet werden. Den betroffenen Personen stehen insbesondere in Kapitel III der DS-GVO zahlreiche Rechte zu, beispielsweise die Bereitstellung transparenter Informationen über die jeweilige Datenverarbeitung, das Auskunftsrecht sowie das Recht auf Löschung. Über die Wahrnehmung der Rechte ist es den betroffenen Personen zumindest partiell jederzeit möglich, die Einhaltung des Datenschutzes durch den Verantwortlichen zu überprüfen.

Abschließend zu nennen sind die jeweils zuständigen datenschutzrechtlichen Aufsichtsbehörden des Bundes, der Länder bzw. der evangelischen und katholischen Kirchen. Ihre Aufgaben sind insbesondere die Durchsetzung und Überwachung sowie die Sensibilisierung hinsichtlich der datenschutzrechtlichen Anforderungen. Zur Durchsetzung können sich die Aufsichtsbehörden eines breiten Spektrums von Sanktionsmöglichkeiten, wie beispielsweise der Verhängung von Bußgeldern oder der Untersagung von Verarbeitungstätigkeiten bedienen.

Das Interesse bzw. die Erwartung aller genannten Akteure besteht zunächst in einer datenschutzkonformen Verarbeitung personenbezogener Daten, unterscheidet sich jedoch zunehmend im Detail. Während seitens der Verantwortlichen das Datenschutzrecht oftmals als „Verhinderer“ wahrgenommen wird, streben diese nach praxisnahen Lösungen, die den datenschutzrechtlichen Anforderungen (weitestgehend) entsprechen, jedoch zugleich die Geschäftstätigkeit nicht einschränken. Hierunter leiden oftmals insbesondere die datenschutzrechtlichen Dokumentationspflichten, wobei vor allem im Rahmen der digitalen Kommunikationswerkzeuge und den diesbezüglichen öffentlich einsehbaren Datenschutzinformationen die Folgen für die Verantwortlichen fatal sein können.

Betroffene Personen informieren sich mittels der verpflichtend bereitzustellenden Angaben über die Zwecke sowie die Durchführung der Datenverarbeitungen. Sie setzen diesbezüglich insbesondere eine Nachvollziehbarkeit der Datenverarbeitungen voraus, wobei sie seitens des Verantwortlichen eine hohe Sensibilität bezüglich datenschutzrechtlicher Anforderungen erwarten. Lässt die Darstellung der Datenschutzinformationen eine solche Sensibilität vermissen, beispielsweise da die bereitgestellten Angaben offensichtlich falsch sind oder gar datenschutzwidrige Verarbeitungen abbilden, wenden sich betroffene Personen zunehmend an die jeweils zuständigen Aufsichtsbehörden.

Die Aufsichtsbehörden müssen im Falle derartiger begründeter Eingaben tätig werden, können stets jedoch auch anlasslose Kontrolle durchführen. Dabei setzten die Aufsichtsbehörden seitens des Verantwortlichen stets ein hohes Bewusstsein für die durchgeführten Datenverarbeitungen voraus. Eine solche sollte sich insbesondere aus der Aktualität, Vollständigkeit und Richtigkeit der datenschutzrechtlichen Dokumentationen ergeben. Den Ansatzpunkt einer Überprüfung digitaler Kommunikationswerkzeuge stellen dabei zunächst die bereitgestellten Datenschutzinformationen sowie eine Plausibilitätskontrolle anhand technischer Untersuchungen dar. Für die Kommunikation folgt hieraus zwangsläufig, dass die Interessen des Verantwortlichen in Einklang mit den Erwartungen betroffener Personen und Aufsichtsbehörden zu bringen sind, um sich nicht der permanenten Gefahr einer entsprechenden Sanktionierung auszusetzen.


Datenschutz intern kommunizieren

Zunächst einmal ist festzuhalten, dass „Datenschutz“ nicht eine Aufgabe einer einzelnen Person des Verantwortlichen, beispielsweise des Datenschutzbeauftragten ist, sondern erst durch das Zusammenwirken aller Beteiligten erfolgreich bewältigt werden kann.

Die Leitungsebene trägt die Verantwortung für das datenschutzkonforme Agieren der gesamten Stelle. Ihr obliegt die Delegation datenschutzrechtlicher Handlungserfordernisse an weitere Führungskräfte bzw. an die Beschäftigten. Sie hat dafür Sorge zu tragen, dass nach den Regelungen des Art. 37 DS-GVO und §§ 5, 38 BDSG (Bundesdatenschutzgesetz) ein Datenschutzbeauftragter benannt und in die notwendigen Prozesse eingebunden wird. Weitere Führungskräfte haben die Aufgabe, die Einhaltung der datenschutzrechtlichen Anforderungen in ihrem Bereich zu überwachen, entsprechende Mängel zu beheben und die Kommunikation zwischen Beschäftigten, Leitungsebene und Datenschutzbeauftragten zu fördern. Aufgabe der Beschäftigten ist das datenschutzkonforme Handeln im Rahmen ihrer alltäglichen Arbeit, in Form der Umsetzung von Richtlinien, Arbeitsanweisungen sowie der Beachtung der im Rahmen von Sensibilisierungen dargestellten Handlungserfordernisse. Der Datenschutzbeauftragte berät alle Beteiligten, überwacht und fördert die Einhaltung der datenschutzrechtlichen Anforderungen. Darüber hinaus steht er betroffenen Personen und Aufsichtsbehörden als Ansprechperson zur Verfügung. Der Datenschutzbeauftragte ist dabei nicht zur Umsetzung der datenschutzrechtlichen Pflichten zuständig, dies obliegt allein dem Verantwortlichen.

Die Vielzahl der unterschiedlichen Beteiligten verdeutlicht, dass die Umsetzung datenschutzrechtlicher Anforderungen im Wesentlichen von der erfolgreichen Kommunikation untereinander abhängt. Das bedeutet jedoch auch, dass die Kommunikationsmöglichkeit unter den Beteiligten jeweils in beiden Richtungen eröffnet sein muss. Wird beispielsweise innerhalb einer Stelle durch die Leitungsebene eine Richtlinie zum Umgang mit personenbezogenen Daten verabschiedet, welche sich in der Praxis als nicht vollständig umsetzbar erweist, muss es den Beschäftigten möglich sein, derartige Schwachpunkte offen gegenüber den Führungskräften, der Leitungsebene und dem Datenschutzbeauftragten zu kommunizieren. Wird eine solche offene Kommunikation durch verschiedene Faktoren gehemmt, führt dies dazu, dass eine solche Richtlinie leerläuft und daraus datenschutzrechtliche Risiken erwachsen.

Besonders die Kommunikationskanäle zum Datenschutzbeauftragten sollten stets geöffnet sein. Einerseits ist dies zwingend erforderlich, damit der Datenschutzbeauftragte seinen Aufgaben nach Art. 39 DS-GVO angemessen nachkommen kann, andererseits wird hierdurch eine Möglichkeit geboten, vertrauliche Anliegen direkt mit dem Datenschutzbeauftragten zu klären, bevor datenschutzrechtliche Konflikte zu eskalieren drohen. Die Erfahrungen aus der Praxis zeigen, dass insbesondere im Rahmen des Beschäftigtendatenschutzes grundsätzlich ein nicht zu unterschätzendes Konfliktpotenzial besteht.

Seitens des Datenschutzbeauftragten ist darüber hinaus sicherzustellen, dass eine regelmäßige Erreichbarkeit gewährleistet wird. Dies setzt insbesondere bei externen Datenschutzbeauftragten nicht zwingend eine permanente Anwesenheit voraus, die Möglichkeit zum Austausch sollte jedoch durch E-Mail-Kommunikation, Telefonate oder Videokonferenzen sowie ergänzend durch angemessene Reaktionszeiten eröffnet werden. Der Datenschutzbeauftragte sollte neben seiner fachlichen Expertise entsprechend den Anforderungen des Art. 37 Abs. 5 DS-GVO auch die notwendigen sozialen Kompetenzen als wesentliche Voraussetzung einer zielführenden Kommunikation aufweisen. Auch wenn für den Verantwortlichen keine rechtliche Verpflichtung zur Benennung eines Datenschutzbeauftragten besteht, sollte sowohl für die Beschäftigten als auch für betroffene Personen eine Ansprechperson benannt werden, um auch in diesem Fall eine zentrale Anlaufstelle bieten zu können. Die Pflicht zur Umsetzung der datenschutzrechtlichen Anforderungen besteht für den Verantwortlichen ohnehin unabhängig von der gesetzlichen Pflicht zur Benennung eines Datenschutzbeauftragten.

Ebenfalls gegenüber Dienstleistern und Auftragsverarbeitern sind datenschutzrechtliche Anliegen und Verpflichtungen entsprechend zu kommunizieren. Dies kann beispielsweise über Verschwiegenheitsvereinbarungen oder Verträge zur Auftragsverarbeitung realisiert werden. Letztgenannte sind verpflichtend abzuschließen, sofern der Dienstleister personenbezogene Daten weisungsgebunden im Auftrag des Verantwortlichen verarbeitet oder ein Zugriff des Dienstleisters auf personenbezogene Daten nicht ausgeschlossen werden kann. Im Zusammenhang mit einer Internetseite betreffen dies beispielsweise den Hosting-Anbieter oder im Falle der Zugriffsmöglichkeit auf personenbezogene Daten der Nutzenden ebenfalls den technischen Betreuer. Insbesondere im Zusammenhang mit der Erstellung und Entwicklung von Internetseiten und Apps empfiehlt es sich darüber hinaus, bereits innerhalb der Leistungsvereinbarung Ergänzungen zur datenschutzkonformen Beschaffenheit aufzunehmen. Wird sodann im Rahmen der Abnahme festgestellt, dass nicht sämtliche datenschutzrechtlichen Anforderungen erfüllt werden, liegt ein Mangel vor. Der Dienstleister ist in diesem Falle auf eigene Kosten zur Nachbesserung verpflichtet.

Auch die Art und Weise der Kommunikation hat deutliche Auswirkungen auf die Effektivität der Umsetzung datenschutzrechtlicher Anforderungen und das Bewusstsein der Beschäftigten. Dessen müssen sich sowohl die Leitungsebene als auch der Datenschutzbeauftragte permanent bewusst sein. Als Negativ-Beispiele aus der Praxis zu benennen sind hierbei folgende Zitate von Führungspersonen verschiedener Verantwortlicher im Zusammenhang mit datenschutzrechtlichen Thematiken: „Der vom Datenschutz ist heute da. Wer hat denn hier Lust auf eine Datenschutzschulung?“, „Für die Veröffentlichung der Internetseite benötigen wir noch so eine Datenschutzerklärung. […] das sollte mit Copy & Paste ja schnell machbar sein.“ oder „Datenschutz ist ja ein wirklich sehr trockenes Thema. […] Ich wünsche viel Erfolg bei dem heutigen Ganztagesseminar!“. Derartige Äußerungen verkennen offensichtlich die Wichtigkeit der Thematik und bestätigen das durch die Medien geprägte Bild, nach welchem es sich bei Datenschutz um ein praxisfernes Übel handelt. Wenn die Führungsperson eines Verantwortlichen derart kommuniziert und agiert, aus welchen Gründen sollten die Beschäftigten dann anders handeln? Datenschutzrechtliche Verstöße sind auf diese Art und Weise bereits vorherzusehen.


Datenschutz extern kommunizieren

Welche besonderen Anforderungen gelten in der Kommunikation datenschutzrechtlicher Aspekte gegenüber Exernen? Das erfahren Sie in unserem Blog-Beitrag der nächsten Woche!

Dieser Beitrag war ein Bestandteil der Jahrestagung des Sächsischen Museumsbundes e.V. unter dem Titel „Museen und digitale Kommunikation“
am 21. März 2022 in Hoyerswerda.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Mitgliedschaften des Dresdner Instituts für Datenschutz