Nachweis, Nachweis, Nachweis!

Ich kann gar nicht oft genug predigen, dass Sie unbedingt an die Nachweispflicht denken müssen! Nicht nur, dass die DSGVO diese voraussetzt. Sie können tatsächlich auch einen (potentiellen) Kunden verlieren, wenn Sie keine Nachweise vorlegen können! Und natürlich sollten diese die aktuelle Rechtslage abbilden. Ich habe kürzlich für einen Mandanten ein Audit bei einem Dienstleister in spe durchgeführt. Nicht nur das bereits anhand des an der Eingangstür angebrachten Videoüberwachungsschildes deutlich erkennbar war, dass sich im Unternehmen niemand mit den Informationspflichten nach Art. 13, 14 DSGVO auseinandergesetzt hatte. Es war nämlich unvollständig und zudem falsch ausgefüllt. Es konnte auch für keinen der in der DSGVO geforderten Prozesse ein Nachweis erbracht werden. Wenn Sie behaupten, dass Sie einen DSB benannt haben, sollten Sie die Benennung nachweisen können. Dazu reicht es eben nicht aus, dass Sie diesen auf der Webseite benannt haben. Schlecht ist es auch, wenn Sie dem Auditor eine Verpflichtungserklärung zur Einhaltung des Datengeheimnisses nach Art. 5 BDSG (alt) vorlegen. Auch hier musste ich zu dem Ergebnis kommen, dass der Datenschutz bei dem Dienstleister noch nicht hinreichend angekommen war. Und dies bereits in den ersten Minuten. Ähnliche Bereiche sind die Nachweise für das Vorliegen eines Schulungskonzepts, Teilnahme an Schulungen (idealerweise mit Nachweis, wer wen zu welchem Thema wann geschult hat).

Apropos Prozesse: Es reicht als Nachweis für einen vorhandenen Prozess nicht die allgemeine Richtlinie zum Datenschutz zB in Bezug auf den Umgang mit Datenpannen, in der es heißt „Datenpannen sind zu melden“. Wer hat denn was zu melden? An wen? Wie schnell? Auf welche Art und Weise?

Es muss also vielmehr ein geregeltes Verfahren/eine Arbeitsanweisung geben, die den Mitarbeiter befähigt, zu erkennen, was genau er wie tun muss, wenn dieses oder jenes eintritt. Hier sind konkrete Handlungsanweisungen erforderlich! Sie erleichtern es den Mitarbeitern ungemein, wenn Sie klar sind. Unklarheiten führen zur Verwirrung und die führt zur Unsicherheit. Das können Sie in Bezug auf Datenpannen gerade nicht gebrauchen.

Und bei der Gelegenheit denken Sie (risikobasiert) bitte daran, dass eine Datenpanne oder ein Incident vorliegen kann und der Server nicht erreichbar ist. Dann nützt es nix, wenn diese Handlungsanweisungen nur auf dem Server liegen, an den Sie oder die Mitarbeiter nicht mehr rankommen. Manchmal hat die analoge Welt auch etwas für sich.

Schreibe einen Kommentar