Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© Gajus
Wer schreibt, der bleibt: Enthaften Sie sich durch nachweisbar gelebten Datenschutz
Zuletzt aktualisiert am 30. Januar 2024
Viele Organisationen sind, was die praktische Umsetzung des Datenschutzes betrifft, ziemlich gut aufgestellt. Datenschutz wird im Alltag an vielen Stellen einfach gelebt, ohne dass dies in irgendeiner Form dokumentiert wird. Diese gut eingeübten Verhaltensweisen sind häufig das Ergebnis langjähriger Erfahrung und individueller, anlassbezogener Optimierung. Und daher leider eher ein Zufallsprodukt als ein gelenkter Prozess.
Was Sie ohne Dokumentation riskieren
Das unternehmerische Risiko dabei ist nicht zu unterschätzen: Die gesetzliche Nachweispflicht kann ohne gelenkte Dokumentation nicht erfüllt werden. Das Wissen um den Datenschutz befindet sich nur in den Köpfen von einigen Mitarbeitenden. Sobald sich die personelle Zusammensetzung verändert (z. B. durch Eintritt ins Rentenalter, Kündigung oder Neueinstellungen), gerät der Wissenstransfer in Gefahr. Gelebter Datenschutz ist dann nicht mehr selbstverständlich.
Das Risiko erhöht sich in dem Maße, wie die Anzahl der Wissensträger sinkt. Im Extremfall ruhen das Wohl und Weh des Unternehmens auf dem Wissen und der Erfahrung einer Person. Aus der IT (Datensicherheit) ist dieses Phänomen durchaus bekannt.
Sie wollen up to date bleiben?
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unseren Fachartikel zur datenschutzkonformen Umsetzung des Hinweisgeberschutzgesetzes.
Unsere Empfehlung
Vor diesem Hintergrund empfehlen wir den Verantwortlichen in den Organisationen mit Verweis auf die ohnehin bestehende Rechenschafts- und Nachweispflicht gemäß DSGVO bzw. KDG, das vorhandene Know-how bzw. die gelebte Praxis in Form von Arbeitsanweisungen und Vorgaben etc. zu verschriftlichen. Damit schaffen sie auch die Grundlagen für eine fortlaufende Verbesserung des Datenschutzes in der Organisation. Insbesondere, weil auf diese Weise ebenso Lücken und offene Aufgaben erkennbar werden.
Aktuelles EuGH-Urteil
Wie wichtig und vorteilhaft die Erfüllung dieser Rechenschafts- und Nachweispflicht auch für Sie ist, zeigt ein aktuelles Urteil des EuGH vom 14. Dezember 2023 zum Thema Schadensersatzpflicht bei immateriellen Schäden infolge eines erfolgreichen Cyberangriffs.
- Der Gerichtshof bestätigt zum einen, dass die bloße Befürchtung eines Datenmissbrauchs ausreicht, um einen Anspruch der Betroffenen auf immateriellen Schadenersatz gem. Art. 82 DSGVO zu begründen.
- Zum anderen stellte er klar, dass Verantwortliche nicht automatisch von ihrer Schadenersatzpflicht befreit sind, wenn der Schaden auf einen Cyberangriff durch Dritte zurückzuführen ist.
- Vielmehr müssen Verantwortliche auch in diesem Fall nachweisen, dass sie für den Umstand, der den Schaden verursacht hat, in keiner Weise verantwortlich sind.
Diesen Nachweis können Verantwortliche nach Ansicht des Gerichtshofs auch ohne teures Sachverständigengutachten führen, wenn dokumentiert ist, dass die von ihnen getroffenen technischen und organisatorischen Sicherheitsmaßnahmen nach aktuellem Stand der Technik geeignet und dem Risiko für die Betroffenen angemessen (im Sinne von Art. 24 und 32 DSGVO bzw. § 26 KDG und §§ 5 ff. KDG-DVO) waren.
Fazit
Mit anderen Worten: Mit der nachweisbaren Erfüllung der Datenschutzverpflichtungen können Sie sich als Verantwortliche:r erfolgreich vor Haftungsansprüchen der Betroffenen schützen, sich damit auch persönlich enthaften und zugleich einen wichtigen Beitrag zur Compliance in Ihrer Organisation leisten. Fehlen diese Nachweise, wird es für Sie als Verantwortlichen schwer – wenn nicht sogar unmöglich – sich zu enthaften. Außerdem wird auch nur so die Grundlage für eine nachhaltige qualitative Verbesserung des gelebten Datenschutzes in Ihrer Organisation gelegt.
Wir unterstützen Sie!
Wir unterstützen Sie bei Beauftragung auf diesem Weg nicht nur als Berater mit aktuellen Informationen, sondern auch mit vorgefertigten Dokumenten, anpassbaren Vorlagen und selbstverständlich auch mit individuellen Lösungen. Das Zauberwort der Angemessenheit eröffnet hier den Spielraum, sich zunächst auf das Wesentliche zu beschränken, um anschließend in einen kontinuierlichen Verbesserungsprozess einzusteigen, der die gesetzlichen und organisatorischen Veränderungen in gebührender Form einbezieht.
Dabei begreifen wir uns nicht als „Ruderer im Einer“, sondern suchen immer auch die Synergien schaffende Zusammenarbeit mit anderen Abteilungen in Ihrer Organisation – von der IT über das Qualitätsmanagement bis hin zur Compliance. Auf Wunsch ziehen wir auch weitere Spezialist:innen aus unserem Team oder Geschäfts- und Kooperationspartner:innen hinzu. Alle in einem Boot als Team auf dem Weg zu gemeinsamen Zielen.