Kenne die Regeln DSGVO

Gelungener Workshop bei der IHK Heilbronn

Heute berichten wir von unserem Datenschutzworkshop, den wir bei der IHK Heilbronn gehalten haben. Ein bisschen machen wir das auch, um uns selbst zu loben 🙂

Am Freitag, den 17.05.2019 haben wir einen Workshop mit dem Titel „Praxisworkshop Datenschutz“ gehalten und einen arbeitsreichen Vormittag mit 30 Teilnehmern aus verschiedenen Branchen erlebt. Der Workshop war zum einen als Fortbildungsmaßnahme für betriebliche Datenschutzbeauftragte und zum anderen für Interessierte konzipiert, die bereits ein Wissensfundament haben und praxistaugliche Best Practice Beispiele kennenlernen wollten.

Zuerst kommt das Eigenlob 🙂

Wir sind schon ein bisschen stolz darauf, dass uns die Workshopteilnehmer so positiv bewertet haben. Das bestärkt uns in unserer Arbeit und in unserem praxisnahen Vorgehen, eine sehr schöne Sache.

Referent A:
Datenschutzbeauftragter
Rechtsanwalt Thomas Lang
(www.datenschutzadvokat.de)

Referent B:
Datenschutzbeauftragter
Diplom-Betriebswirt (FH) Fabian Henkel
(www.externer-datenschutzbeauftragter-stuttgart.de)

Feedback der Workshop Teilnehmer

Inhalte des Workshops

1. Schwerpunkt: Einstieg und kurze Wiederholung von Basics
Zu diesem Thema gibt es nicht viel zu berichten, ein paar Basics um auf Betriebstemperatur zu kommen.

2. Schwerpunkt: Technische und Organisatorische Maßnahmen
Hier hat sich ein großer Bedarf an Hinweisen und Inhalten herauskristallisiert:

  • In welcher Detailtiefe muss ich die TOMs dokumentieren?
  • Was gehört alles rein?
  • Wie baue ich die Dokumentation am besten auf?
  • Und welche Tipps gibt es, um mit den gängigen Bordmitteln oder Open Source Software Anwendungen auf einen grünen Zweig zu kommen?

Wir hatten den Eindruck, viele praxistaugliche Tipps an die Frau und den Mann gebracht zu haben. Selbstverständlich durften individuelle Fragen gestellt werden, diese haben wir im Rahmen der zeitlichen Möglichkeiten beantwortet.

3. Schwerpunkt: Beschäftigtendatenschutz
Nach der Pause haben wir uns dem Thema Beschäftigtendatenschutz gewidmet. Welche Verarbeitungsvorgänge sind über §26 BDSG abgedeckt? Wann brauche ich eine Einwilligung und wie stelle ich deren Wirksamkeit sicher (keine Nachteile für den Mitarbeiter)?

Beispiel: Fingerprintzutrittskontrollsystem
Hier gibt §26 eigentlich keine Berechtigung her, ein solches System ist nicht für die Durchführung eines Beschäftigungsverhältnisses notwendig. Interessensabwägung sehen wir auch kritisch, da wir sehr sensible biometrische und damit schützenswerte Daten verarbeiten würden. Daher raten wir zur Einwilligung, was aber auch seine Tücken haben kann. Diese ist aber nur gültig, wenn der Mitarbeiter dies rein freiwillig macht und keine Nachteile erlangt. Am einfachsten ist es, eine Alternative in Form eines Schlüssels oder einer Chipkarte anzubieten. Und notfalls muss der Mitarbeiter eben klingeln, das könnte im Rahmen der freien Arbeitszeiteinteilung aber schon wieder gegen die Freiwilligkeit sprechen.

4. Schwerpunkt: Bewerbermanagement
Von der Informationspflicht nach Art. 13 DSGVO bis hin zum sauberen Löschkonzept, ich denke das Thema flutschte durch. Und übrigens, es ist keine gute Idee, Bewerbungen im Haus per Email herumzureichen, auf diese Weise werden Sie der Pflicht zur Löschung nur ganz schwer nachkommen können. Richten Sie ein Laufwerk für Bewerbungen ein und machen Sie Ordner für verschiedene Abteilungen und den entsprechenden Leserechten, vom Laufwerk kopieren ist natürlich auch keine gute Idee. Besser wäre ein Dokumentenmanagementsystem mit einer automatischen Erinnerung zum Löschen, dann kann man sich diesen Ballast aus dem Kopf streichen.

5. Schwerpunkt: Auftragsverarbeitung
Wer zählt als Auftragsverarbeiter? Was macht eine Dienstleistung zur Auftragsverarbeitung? Und wer zählt zu den Berufsgeheimnisträgern und ist damit aus der Nummer raus? Dies waren die ersten Fragen, die geklärt wurden.

Danach ging es um die Inhalte, und natürlich kamen wir hier auch wieder auf die technischen und organisatorischen Maßnahmen zu sprechen. Wie detailliert sollen diese vom Dienstleister dokumentiert werden, reicht eine simple Checkliste? Was mache ich wenn der Dienstleister gar keine TOMs liefert?

Um die letzten beiden Fragen zu beantworten, eine simple Checkliste reicht aus unserer Sicht nicht aus. Hier ist eine Nachvollziehbarkeit eigentlich nicht gegeben, und wenn dann nur ganz oberflächlich. Die bayerische Datenschutzbehörde hat vor ein paar Jahren ein Bußgeld verhängt, weil der Auftraggeber seiner Prüfpflicht und Sorgfaltspflicht nicht nachgekommen ist. Stein des Anstoßes war eine Ankreuzliste, mit denen der Auftragnehmer seine TOMs nachgewiesen hatte. Also Vorsicht. Lieber ein bisschen pedantisch sein.

Wenn der Auftragnehmer keine TOMs liefert, dann sucht man sich besser einen anderen. Auch hier gilt es, lieber ein bisschen genauer hinzuschauen und sich nicht abspeisen zu lassen. Schließlich sollte jedes Unternehmen mittlerweile eine Dokumentation seiner TOMs haben, ansonsten wäre es nicht DSGVO compliant (ansonsten heißt es leider Finger weg). Und wenn ein Unternehmen die TOMs dokumentiert hat, kann es diese auch ganz einfach dazu legen.

6. Schwerpunkt: Informationspflichten
Hier gab es wertvolle Tipps zur einfachen Umsetzung der Informationspflichten, die in Artikel 13 und 14 (bzw. 21) verlangt werden. Außerdem gab es noch Hinweise, wie mit Anfragen Betroffener umgegangen wird. Dazu erhielten die Teilnehmer entsprechende Muster, damit es bei der nächsten Anfrage eines Betroffenen klappt. Eigentlich ist dieses Thema einfach in den Griff zu kriegen, viele Unternehmen haben aber ihre Schwierigkeiten beim umsetzen.