Nachdem der Schwerpunkt der letzten drei Jahre auf der Umsetzung umfangreicher DSGVO-Projekte lag, gilt es nun, noch verbliebene Lücken zu schließen und die sich durch die ersten Entscheidungen der Datenschutzbehörde ergebenden Erkenntnisse umzusetzen. Zudem liegt einer der zu empfehlenden Schwerpunkte für das laufende Jahr auf der Vorbereitung auf mögliche Behördenkontakte und Audits.
Etablierte Prozesse evaluieren
Mittlerweile haben die meisten Unternehmen die wesentlichen Dokumentationspflichten nach der DSGVO - oftmals mit Fokus auf sensible Bereiche - umgesetzt. Der Schwerpunkt lag dabei vor allem, auf der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten, der Datenschutzhinweise, Einwilligungserklärungen, Auftragsverarbeitungsvereinbarungen mit Dienstleistern und Datenschutz-Folgeabschätzungen. 2019 ist nun Zeit, sich den aufgrund der erfolgten Priorisierung zurückgestuften, weniger sensiblen Verarbeitungen zu widmen und so bestehende Lücken aufzuarbeiten. Zudem gilt es, die IT-Security sowie technische und organisatorische Maßnahmen von Experten prüfen zu lassen und gegebenenfalls an den Stand der Technik anzupassen.
Aufrechterhaltung der Awareness
Unternehmen sollten ihren Fokus auf die aus Zeitgründen oft noch nicht durchgeführte Schulung der eigenen Mitarbeiter zur Awareness-Bildung und Fehlervermeidung legen. Gerade im Umgang mit Anfragen von Betroffenen und bei Data Breaches sind eine entsprechende Sensibilisierung der Mitarbeiter und die Etablierung von raschen Prozessen essentiell. In diesen Bereichen kommt es ohne ausreichende Vorbereitung erfahrungsgemäß zu kritischen Fehlern, die in der Folge weitere Lücken aufdecken und zu einer Eskalation führen können - ein gerade vor dem Hintergrund der verstärkten Aktivität der Datenschutzbehörde ("DSB") ernst zu nehmendes Szenario. Die DSB wird sowohl amtswegig als auch Basis zahlreicher, oft anonymer Beschwerden rasch tätig. Einmal auf den Plan gerufen stellt sie treffsicher krtische Fragen und fordert zur Vorlage der notwendigen Unterlagen und begleitender Nachweise auf. Wenn sie ein Verantwortlicher erst dann mit etwaigen Missständen beschäftigt, kann es bereits zu spät sein.
Vorbereitung auf Audits
Aus den Praxiserfahrungen und der hohen Aktivität der Behörden drängt sich daher eine gezielte Überprüfung der eigenen Abläufe von außen und Vorbereitung auf etwaige Prüfungen durch die DSB auf. Ziel ist es, durch eine lebensnahe, unangekündigte Intervention von außen die bestehenden Prozesse zu testen und die Ergebnisse zu analysieren. Ein sinnvoller erster Schritt besteht dabei darin, durch gesteuerte Anfragen zu prüfen, ob die Beauskunftung und Behandlung von potentiell Betroffenen richtig ablaufen, oder ob hier Mängel bestehen - uninformierte Mitarbeiter, falsche oder (zu wenig - zu viel) verspätete Information bzw Auskünfte. Bereits aus dieser noch relatv einfachen Maßnahme können wir - ebenoso wie im Ernstfall die DSB - ablesen, wie es um die DSGVO Umsetzung bestellt ist und wo Optimierungs- oder Nachholbedarf besteht. Die Übung ist erweiterbar - wie im Kartellrecht üblich, lässt sich das Prüfverfahren der Behörde in (Mock) Dawn Raids simulieren, wodurch eine tiefergehende Analyse des Status Quo und des Organisationsverhaltens möglich wird. All das soll gewährleisten, dass die zur DSGVO- Umsetzung getroffenen Maßnahmen und Investitionen im Ernstfall auch greifen und nicht durch menschliches Versagen ein zu einer potentiellen Geldbuße führendes Verhalten gesetzt wird.
Synergieeffekte - Schutz von Geschäftsgeheimnissen
Auf die mittlerweile im Gesetz gegen den unlauteren Wettbewerb und in der Zivilprozessordnung umgesetzte Geheimnisschutz-RL hat eine bislang nicht hinreichend bekannte datenschutzrechtliche Tangente, aus der sich Abhängigkeiten und Synergien ergeben: Der Kern dieser Bestimmungen zielt darauf ab, welche Maßnahmen ein Unternehmen treffen muss, damit seine Betriebs- und Geschäftsgeheimnisse geschützt werden und bleiben. Nach den neuen Regelungen kommt es insbesondere auf die konsistente Umsetzung angemessener technischer und organisatorischer Maßnahmen an, die selbstverständlich parallel zu den datenschutzrechtlich erforderlichen Maß0nahmen nach Art 32 DSGVO erfolgen kann. Wichtig ist, dass der Schutz eines Geschäftsgeheimnisses auch als berechtigtes Interesse zur Datenverarbeitung dient und auf dieser Basis auch eine entsprechende (längere) Speicherfrist etabliert werden kann. Nicht zuletzt kann und muss die Auskunft an einen Betroffenen im Rahmen des Art 15 DSGVO zur Aufrechterhaltung von Geschäfts- und Betriebsgeheimnissen eingeschränkt werden (vgl §4 Abs 6 DSG). Es ist daher wichtig, dass bei der überfälligen betrieblichen Umsetzung dieses Themas auch der datenschutzrechtliche Aspekt mitbedacht wird.