Im Allgemeinen ist es ganz einfach und meistens sind sich alle einig: Daten sollen geschützt werden. Wenn es dann aber darum geht, konkret festzulegen, wofür einzelne Datensätze verwendet werden oder an wen diese weitergegeben werden dürfen, treffen unterschiedliche Interessen aufeinander. Wenn es dann keine einheitlichen Regelungen gibt, wird es kompliziert.
Datenschutz als Schnittstelle
Wenn es darum geht, datenschutzkonforme Prozesse zu gestalten, sollten alle an einem Strang ziehen.
Nehmen wir an, es geht um den Umgang mit Bewerbungsunterlagen. Die HR-Abteilung fragt, wie lange sie diese aufbewahren darf. Sie benötigt sie nach dem Erteilen der Absage an den Bewerber nicht mehr. Wird nun der Datenschutzbeauftragte eingebunden, wird er darauf hinweisen, dass es zur Abwehr von etwaigen Rechtsansprüchen aus dem Allgemeinen Gleichbehandlungsgesetz sinnvoll sein kann, die Unterlagen noch für bis zu 6 Monate aufzubewahren. Die IT kann schließlich dafür sorgen, dass eine Software implementiert wird, die die Bewerbungsunterlagen nach erteilter Absage an den Bewerber sperrt und 6 Monate später automatisch löscht. Damit ist der Prozess automatisiert und lässt wenig Raum für Fehler.
Praxistipp: Der Datenschutzbeauftragte sollte frühzeitig mit einbezogen werden. Er verfügt über Kenntnisse aus dem rechtlichen, technischen und fachlichen Umfeld und weiß, wie er am besten vorgeht, um die Prozesse gemeinsam mit den entsprechenden Fachabteilungen datenschutzkonform zu gestalten.
Datenschutz braucht Struktur
Wenn bei jeder Fragestellungen eine neue Diskussion entfacht, fehlen klare Regelungen. Ein gutes Datenschutzmanagementsystem sorgt dafür, dass jeder für seinen Bereich weiß, wie er mit den personenbezogenen Daten, die ihm begegnen, umgehen muss. Die Beschäftigten wurden entsprechend geschult und wissen, wo sie die Richtlinien, Löschkonzepte und Standard Operating Procedures (SOP) finden können. Und natürlich auch, an wen sie sich bei Fragen, Datenpannen oder Betroffenenanfragen wenden sollen.
Die bereitgestellten Unterlagen sollten möglichst spezifisch für die einzelnen Abteilungen formuliert sein, denn die HR-Abteilung verarbeitet ganz andere Daten und muss andere Löschfristen berücksichtigen als der Vertrieb oder die Entwicklung.
Praxistipp: Eine große Hilfe hierbei ist das Verzeichnis von Verarbeitungstätigkeiten (VVT). Dort werden alle Datenverarbeitungen dokumentiert. Darunter fällt auch die Angabe, zu welchem Zweck die Daten verarbeitet werden, welche Daten von welchen Personengruppen verarbeitet werden, wer Zugriff auf die Daten hat und wann sie wieder gelöscht werden. Damit lassen sich Datenflüsse gut abbilden und nachvollziehen. Dies bildet die Grundlage für die Erstellung von Richtlinien und SOPs.