Vier Umsetzungsschritte zur Etablierung operativer Prüfschritte für die Gestaltung datenschutzkonformer Verarbeitungen
Akademische Diskussionen über die Auslegung der gesetzlichen Vorschriften aus DSGVO und lokalen Datenschutzgesetzen füllen bereits Bücher – aber wie schaffe ich es als verantwortliche Stelle, dass die viel diskutierten Grundsätze und Rahmenparameter im täglichen Geschäft Umsetzung finden? Die Antwort klingt banal, stellt aber die Operationalisierung der datenschutzrechtlichen Anforderungen sicher und bietet einen praktischen Baustein für die Erfüllung der Nachweispflicht: Die Etablierung eines Prozesses zur datenschutzkonformen Produktgestaltung.
In Fachbereichen und IT-Abteilungen basiert ein Großteil aller Abläufe auf festdefinierten Prozessen, bspw. zur Entwicklung von Produkten oder Durchführung von Kundenkommunikation. Hier muss angedockt werden! Jedem Anstoß zur Gestaltung von neuen Prozessen, in denen Daten verarbeitet werden, sowie bei geplanten Veränderungen solcher Verarbeitung, empfiehlt es sich den Datenschutzprüfprozess voran zu stellen. Wie kann aber ein solcher Datenschutzprüfprozess aussehen und aufgebaut werden? Das Vorgehen kann zunächst in vier Schritte unterteilt werden.
Schritt 1: Definiere die Prüfschritte
Zunächst werden die einzelnen Prozessschritte definiert. Dafür bedarf es einer engen Kollaboration von Datenschutz- und Rechtsabteilung, Prozessexperten und IT-Abteilung. Eine sprechende Beschreibung der geforderten Ergebnisse und der dorthin führenden Aktivitäten, kann nur entstehen, wenn die rechtlichen Anforderungen in operative Sprache übersetzt werden. Dabei dürfen die Prüfschritte gerne kleinteilig sein. Desto einfacher ist die Durchführung der Prüfung. Vorne in der Prozesskette wird z. B. die „Prüfung, ob personenbezogene Daten verarbeitet werden sollen“ oder auch die „Prüfung, ob besondere Kategorien von personenbezogenen Daten betroffen sind“ stehen. Nicht unerheblich sind die darauf folgenden Aktivitäten zur „Definition des Zwecks der Verarbeitung“ und der „Prüfung der Erforderlichkeit der Datenverarbeitung“. Die Prozessschritte sind abschließend definiert, wenn alle Anforderungen der anwendbaren Datenschutzgesetze Einfluss gefunden haben. Dies wird unterschiedlich sein, je nach Struktur des Unternehmens, Verantwortlichkeiten und genereller Prozessreife.
Schritt 2: Detailliere den Prozess und stelle Hilfestellungen für alle Schritte zur Verfügung
Der so entstandene Prozessentwurf wird im zweiten Schritt derart detailliert, dass möglichst alle Prozessschritte mittels Checklisten, Beispielen und Templates greifbar und leicht verständlich unterfüttert werden. Denkbar sind hier u.a. Listen mit Beispielen zu personenbezogenen Daten, Erläuterungen der Rechtsgrundlagen, aber auch Templates für Lösch- und Sperrkonzepte. Das Ziel ist es die Abstraktheit des Gesetzes zu verlassen und konkrete Abnahmekriterien, was die Form der Prüfergebnisse jedes Schrittes betrifft, zu formulieren. Für die Durchführung der Prozessschritte ist es nun noch notwendig, die Zuständigkeiten klar zu definieren. Hier kann u. a. auf die RACI-Matrix zurückgegriffen werden: Wer ist verantwortlich für die Durchführung (R – Responsible)? Wer ist verantwortlich für das Ergebnis (A – Accountable)? Wer berät bei der Durchführung (C – Consulted)? Wer muss informiert werden (I – Informed)?
Nun drängt sich vielleicht die Frage danach auf, warum nach diesem Aufwand erst 2 von 4 Schritten geschafft sind. Allerdings darf nicht unterschätzt werden, dass die zwei fehlenden Schritte für das Ergebnis fast noch wichtiger sind als die Prozessdefinition. Denn was bringt uns ein aufwändig definierter Prozess, der nur in der Schublade liegt?
Schritt 3: Befähige alle Stakeholder den Prozess anzuwenden
Nach Fertigstellung des Prozesses kann ein Schulungskonzept helfen, die ausreichende Information und das Training der Anwendung des Prozesses bei allen betroffenen Bereichen sicherzustellen. Machen Sie hier nicht den Fehler, die neue Vorgehensweise einfach nur zu verteilen statt sie zu veranschaulichen und einzuüben. Trockenübungen an einfachen Prozessen steigern das Verständnis und nehmen Ängste. Ein möglicher Ansatz ist hier z. B. auch die Etablierung von Experten, die in den Abteilungen als Experten weiterhelfen können. Alles steht und fällt damit, dass in der Breite der Organisation bekannt ist, wann der Datenschutzprüfprozess anzuwenden ist und wer als Experte beratend hinzugenommen werden kann.
Schritt 4: Etabliere Mechanismen zur kontinuierlichen Verbesserung
Und nun? Immer noch nicht fertig? Im besten Falle wird der neue Prozess nun von der Organisation verstanden und angewendet. Das heißt, wenn immer neue oder geänderte Verarbeitungen geplant werden, ist den Beteiligten klar, dass der Prozess durchzuführen ist und wo sie weiterführende Informationen, Beschreibungen und Templates finden. Bei Prozessabschluss ergibt sich aus der Summe der Ergebnisse eine Verarbeitungsdokumentation, die den Anforderungen an die DSGVO genügt. Datenschutzkonform sollte die entstandene Verarbeitung der Natur nach auch sein. Auf diesem Ergebnis sollte sich aber dennoch nicht ausgeruht werden: Eine kontinuierliche Überprüfung der Prozessschritte, Templates und Durchführungsqualität bietet eine Vielzahl an Vorteilen. Einerseits können äußeren Faktoren, bspw. Urteile oder Empfehlungen der Aufsichtsbehörden einen relevanten Input für einzelne Prüfschritte mit sich bringen. Andererseits bringt die Verwendung von Templates zumeist Feedback an die Gestaltung und Anwendbarkeit mit sich, das zur Optimierung genutzt werden kann. Kennzahlen zur Prozessqualität oder auch Mitarbeiterfeedback sind eine hervorragende Quelle zur Bewertung, ob der Prozess tatsächlich gelebt wird. Letztendlich sollte auch an dieser Stelle die Überwachungspflicht des Datenschutzbeauftragten und seiner Organisation dahingehend ausgelegt werden, die Prozesskonformität und Qualität der Dokumentation zu überprüfen.
Durch die Etablierung eines Datenschutzprüfprozesses kann die operative Anwendung der Datenschutzgesetze in die Organisation getragen und die Dokumentationsqualität erhöht werden. Dabei wird auf den Prozess selbst der Grundsatz der kontinuierlichen Verbesserung angewendet, um eine effiziente Anwendbarkeit in der Linienorganisation zu ermöglichen und die Mitarbeiter zur eigenverantwortlichen Prüfung der Grundsätze der DSGVO zu befähigen.