Im Bundesanzeiger Verlag erschienen ist das Buch „Datenschutz-Compliance nach der DS-GVO“ von den Autoren Kranig, Sachs und Gierschmann. Die Herren Thomas Kranig und Andreas Sachs sind vielen sicherlich bereits als Präsident und Stellvertreter des BayLDA bekannt, Markus Gierschmann ist Datenschutzbeauftragter und -auditor. Die Autoren dieses Buches, die aus der unmittelbaren Aufsichtspraxis und der prozess- orientierten Beratungsbranche stammen, versuchen mit diesem Buch allen Anwendern der DS-GVO, Orientierung auf dem steinigen Weg zur Datenschutz-Compliance zu geben

AN WEN RICHTET SICH DIESE HANDLUNGSHILFE?

Diese Handlungshilfe richtet sich laut den Autoren, an Unternehmen der Privatwirtschaft, die als „Verantwortliche Stelle“ personenbezogene Daten verarbeiten. „Verantwortlicher“, wie es nun in der DS-GVO heißen wird, im Sinne der Verordnung ist eine natürliche oder juristische Person, die „über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet“. Auftragsdatenverarbeiter – nun schlicht Auftragsverarbeiter genannt – sind hingegen nicht zentrale Zielgruppe dieses Buches.
Das Buch richtet sich vor allem an die kleinen und mittelständischen Unternehmen (KMU) um diesen den Einstieg in die Materie zu erleichtern. So bietet es dann auch einen ersten Überblick über die notwendigen Schritte zur Umsetzung der neuen Gesetzgebung. Wie so oft bei solchen Handlungsempfehlungen, erhebt sie keinen Anspruch auf Vollständigkeit, sondern soll vielmehr als eine erste Orientierung dienen.

WAS BEINHALTET DAS WERK?

Das Buch gliedert sich im Großen und Ganzen in drei Teile: Teil I ist eine Einführung in die DS-GVO, Teil II beschreibt die erforderlichen Maßnahmen zur Sicherstellung der Datenschutz-Compliance und Teil III stellt die Überwachung der Datenschutz-Compliance durch die Aufsichtsbehörden dar.
Teil I gibt eine kurze Einführung in die DS-GVO und erläutert ihre wesentlichen Anforderungen an den Verantwortlichen. Besonderes Augenmerk wird dabei auf die zukünftigen Anforderungen der Rechenschaftspflicht („Accountability“) und deren Nachweis gelegt. Der Fokus der Handlungshilfe ist das „Was ist zu tun“. „Wie es zu tun“ ist, hängt hingegen stark von den Gegebenheiten im Unternehmen und der individuellen Verarbeitung ab und tritt daher in diesem Buch in den Hintergrund. In Teil II wird also erklärt „was zu tun ist“ und umfasst die Gestaltung einer Aufbauorganisation für die Etablierung einer effektiven Datenschutz-Governance sowie die dargestellten Kernprozesse „Verarbeitung personenbezogener Daten“, „Sicherstellung der Betroffenenrechte“ und „Handhabung von Datenschutzverletzungen“. DArüber hinaus wird prozessübergreifend der risikobasierte Ansatz der DS-GVO beleuchtet. Dokumentation ist dabei ein elementarer Baustein für die Einhaltung und Nachweiserbringung der DS-GVO. Ein weiterer entscheidender Faktor für eine wirksame Sicherstellung des Datenschutzes spielt der Mensch, der durch geeignete Maßnahmen über das notwendige Bewusstsein und die Fähigkeiten verfügen sollte. Datenschutzaudits sollen schließlich die Wirksamkeit der technischen und organisatorischen Maßnahmen überprüfen; Datenschutzzertifikate stellen dabei eine Sonderform dar. Zur dauerhaften und systematischen Erfüllung der Rechenschaftspflicht bietet sich laut den Autoren ein Datenschutz-Managementsystem an.
Teil III beschreibt die Rolle und Aufgaben der Aufsichtsbehörde. In Kapitel 12 sind Prüffragen enthalten, die einen Eindruck vermitteln, wie Aufsichtsbehörden im Rahmen von Prüfungen die Einhaltung der DS-GVO kontrollieren könnten. Das Buch schließt mit Kapitel 13 und einem Ausblick für Verantwortliche und Aufsichtsbehörden und bietet Verantwortlichen einen Vorschlag, wie sie ihrer Rechenschaftspflicht nachkommen können.

BRINGT DAS UNSEREM UNTERNEHMEN ÜBERHAUPT WAS?

In jedem Fall! Alleine Kapitel „5 Datenschutzprozesse (Ablauforganisation)“ bringt jedem Unternehmen, dass versucht sich möglichst schnell auf die kommende Verordnung einzustellen echten Mehrwert. Die Diagramme und Workflows helfen enorm dabei, die Prozesse für das eigene Unternehmen umzusetzen. Sei es nun die generelle „datenschutzkonforme Verarbeitung“ oder die „Auftragsverarbeitung“ bzw. „Übermittlung in Drittländer“ im Speziellen. Aber z. B. auch aus den Kapiteln „Datenschutzdokumentation“ und „Datenschutzsensibilisierung, -training und -schulungen“ lassen sich Unmengen an wertvollen Erfahrungen auf das eigene Unternehmen übertragen. Letztlich sind auch die Prüffragen der Aufsichtsbehörden sicherlich ein sehr interessanter Einblick aus der anderen Richtung des Themas und können ebenfalls sehr gut dabei helfen, die eigenen Prozesse im Hinblick auf die EU-DSGVO auf Fordermann zu bringen.