Information Security Officers (ISO) klingt gut, oder? Die Einhaltung des Datenschutzen in einem Unternehmen, das mit personenbezogenen Daten arbeitet birgt viele Herausforderungen.
Der Gesetzgeber hat mit der DS-GVO Unternehmen mit mehr als 250 Arbeitnehmern einiges an Arbeit in Sachen Dokumentation auferlegt. Jeder interne Prozess, der die Verarbeitung, Weitergabe und/oder Speicherung von personenbezogenen Daten zu Folge hat, muss genauestens dokumentiert werden, ferner sind geplante Löschfristen und die entsprechende Rechtsgrundlage festzuhalten.
Unternehmen mit nur einem Datenschutzbeauftragten und Mitarbeiterzahlen ab 600+, können diese Aufgabe meiner Meinung nach kaum in der vorgegebenen Frist und im gebotenen Detail schaffen.
Nachstehend ein kurzer Einblick:
Das in der DSGVO verlangte Verarbeitungsverzeichnis nach Art. 30 DSGVO enthält die Pflicht des Verantwortlichen,
ein Verzeichnis der Verarbeitungstätigkeiten zu führen.
Gemäß Art. 30 Abs. 2 DSGVO ist auch der Auftragsverarbeiter einer solchen Pflicht unterworfen.
Angaben des Verantwortlichen (Art. 30 Abs. 1 DSGVO)
- Name und Kontaktdaten des Verantwortlichen, seines Vertreters und des Datenschutzbeauftragten
- Zwecke der Verarbeitung
- Kategorien betroffener Personen und personenbezogener Daten
- Kategorien von Empfängern
- Übermittlungen von personenbezogenen Daten an ein Drittland
- Fristen für Löschung
- Beschreibung der technischen und organisatorischen Maßnahmen
Angaben des Auftragsverarbeiters (Art. 30 Abs. 2 DSGVO)
- Name und Kontaktdaten des Auftragverarbeiters und des Verantwortlichen, ihrer Vertreter und des Datenschutzbeauftragten
- Kategorien von Verarbeitungen
- Übermittlungen von personenbezogenen Daten an ein Drittland
Man kann sich leicht vorstellen, welchen Aufwand diese Informationsfülle bedeutet.
Mein Fazit bis dato lautet: Der juristische Laie wird Schwierigkeiten haben, die Prozesse eines Unternehmens gemäß der Datenschutzgrundverordnung korrekt zu kategorisieren und Löschfristen im Sinne des Gesetzes anzuwenden. Der Rat eines Volljuristen ist erforderlich und damit auch die verbundenen Kosten. Die DSGVO ist, so gut sie es mit dem Datenschutz meint, eine Arbeitsbeschaffungsmaßnahme für Juristen.