Durchatmen beim Datenschutz

Die DSGVO im betrieblichen Alltag etablieren

| Autor / Redakteur: Andreas Dangl / Peter Schmitz

Bei der DSGVO ist es nicht mit einem einmaligen Kraftaufwand getan. Um eine dauerhafte Kon­for­mi­tät mit den neuen Daten­schutz­re­geln zu erreichen braucht es etablierte Prozesse.
Bei der DSGVO ist es nicht mit einem einmaligen Kraftaufwand getan. Um eine dauerhafte Kon­for­mi­tät mit den neuen Daten­schutz­re­geln zu erreichen braucht es etablierte Prozesse. (Bild: Pixabay / CC0)

Vorbei ist die Schonzeit für Unternehmen, die zweijährige Übergangsfrist der neuen EU-DSGVO ist am 25. Mai 2018 abgelaufen. Wer mit personenbezogenen Daten arbeitet, kämpft ab sofort mit erweiterten und verschärften Pflichten. Unternehmen haben in den vergangenen Jahren viel Zeit und Geld in die Beratung und Umsetzung zum Thema DSGVO investiert, von Durchatmen kann aber auch jetzt noch keine Rede sein.

So manche Organisation führt das verpflichtende Verzeichnis von Verfahrenstätigkeiten in Excel, in dem aufrichtigen Glauben, dass ihre DSGVO-Pflicht damit getan ist. Doch wer garantiert ihre korrekte Wartung? Wer prüft die Einhaltung der Pflichten? Wer zeichnet für die zukünftige DSGVO-Konformität verantwortlich? Welcher Kollege kümmert sich um die Prozesse zu den Betroffenenrechten? Unzureichende Antworten auf diese Fragen können für Unternehmen trotz besten Gewissens zu einem großen Datenschutz-Stolperstein avancieren. Eine zusätzliche Bedrohung im DSGVO-Alltag stellt das Entstehen von weiteren Datensilos dar, die zudem das Ausnutzen des vollen Potenzials der Datenanalyse stark einschränken.

Die DSGVO ist eine Daueraufgabe

Neues eBook „DSGVO und jetzt?“

Die DSGVO ist eine Daueraufgabe

28.05.18 - Mit dem Ende der zweijährigen Übergangszeit muss die Datenschutz-Grundverordnung nun angewendet werden. Die Zeit der Vorbereitung ist vorbei, es beginnt die Phase der dauerhaften Einhaltung der europäischen Datenschutz-Vorgaben. Das eBook „DSGVO und jetzt?“ fasst die wichtigsten Änderungen durch die DSGVO zusammen und gibt Unterstützung zur konkreten Anwendung. lesen

Die nachfolgenden zehn Punkte geben einen Überblick über das nun alltägliche Datenschutz-Prozedere. Folgt man ihnen kann das den Umgang mit der DSGVO erleichtern.

1. Mit einer strukturierten Datenbank arbeiten

Unternehmen müssen Einzelheiten zu allen Personen und Unternehmen angeben, mit denen sie in der Vergangenheit auf Anfrage personenbezogene Daten ausgetauscht haben. Über welche personenbezogenen Daten verfügt ein Unternehmen? Wo sind diese Daten gespeichert? Laut den Vorschriften der DSGVO müssen Unternehmen genau dokumentieren, über welche Daten sie verfügen, woher diese stammen und mit wem sie geteilt wurden. Zu viele Daten befinden sich nach wie vor in unstrukturierten elektronischen Informationen wie E-Mails, SMS, WhatsApp oder auch Fotos. Optimal ist der Einsatz einer strukturierten Datenbank, in der Unternehmen die exponentiell steigende Datenmenge auch zukünftig im Griff behalten.

2. DSGVO-konforme Einwilligungen für die Verwendung personenbezogener Daten einholen

Eine Datenverarbeitung ist nur dann zulässig, wenn eine DSGVO-konforme Einwilligung vorliegt. Die Anforderungen an diese Einwilligungen wurden verschärft: Unter anderem beträgt das Mindestalter 16 Jahre. Die Verwendung von personenbezogenen Daten ist allerdings auch dann gestattet, wenn ein berechtigtes Interesse des Unternehmens an der Datenverwendung besteht. Einwilligungstexte, die schon vor dem 25. Mai erarbeitet wurden, sollten ausschließlich dann verwendet werden, wenn sie auf Rechtskonformität geprüft wurden.

3. Ausmaß und Notwendigkeit der Daten beachten

Jedes „zu viel“ an personenbezogenen Daten stellt ein Risiko für Unternehmen dar. Es dürfen nur die Daten verarbeitet werden, die für den jeweiligen Zweck auch wirklich erforderlich sind. Ein Webshop-Betreiber wird die Namen und Adressen seiner Kunden zwangsläufig benötigen, auch der Besitz der E-Mail-Kontaktdaten kann hier als Argument angeführt werden. Unternehmen sollten sich jedenfalls vergewissern, dass sie keine Daten einholen, die gegen die Grundsätze der Datenminimierung und Zweckbindung verstoßen.

Erste Konkretisierungen zur DSGVO im Juni

Datenschutz-Folgenabschätzung

Erste Konkretisierungen zur DSGVO im Juni

29.06.18 - Von den deutschen Aufsichtsbehörden für den Datenschutz und von dem Europäischen Datenschutzausschuss (EDPB) kommen erste Konkretisierungen für Vorgaben der Daten­schutz-Grundverordnung (DSGVO / GDPR). Dazu gehört eine Liste von Verfahren, bei denen eine Daten­schutz-Folgen­abschätzung (DSFA) durchgeführt werden muss. Es gibt also Handlungsbedarf für Unternehmen. lesen

4. Datenschutz schon bei der Konzipierung und Entwicklung von Software und Hardware berücksichtigen

Das Konzept „Privacy by Design“ stellt eine weitere zentrale Komponente der DSGVO dar. Es bedeutet „Datenschutz durch Technik“ und stellt sicher, dass Datenschutz und Privatsphäre schon in der Entwicklung von Technik beachtet werden. Die Technik ist so angelegt, dass die Privatsphäre von Nutzern geschützt wird und dass Anwender Kontrolle über die eigenen Informationen haben. Alle Projekte, bei denen Unternehmen personenbezogene Daten verarbeiten, müssen also mit diesem Ansatz entwickelt werden. Unternehmen können bestehende Systeme entweder nachrüsten oder durch neue DSGVO-taugliche ersetzen. Der Schutz personenbezogener Daten im Sinne der DSGVO erfolgt am besten durch das frühzeitige Ergreifen technischer und organisatorischer Maßnahmen – sogenannter TOMs – im Entwicklungsstadium. Geeignete TOMs können sein: Pseudonymisierung, Datenminimierung, Transparenz und das fortlaufende Schaffen und Verbessern von Sicherheitsfunktionen.

5. Alle Mitarbeiter in den Datenschutz einbeziehen

Seit Inkrafttreten der neuen EU-DSGVO müssen Unternehmen, die Einzelpersonen regelmäßig und systematisch überwachen (zum Beispiel: Banken oder Versicherungen) wie auch sensible Daten (zum Beispiel: Krankenhaus) oder Daten über strafrechtliche Verurteilungen oder Straftaten verarbeiten, einen Datenschutzbeauftragten ernennen. Generell gilt aber: Datenschutz kann nie nur Aufgabe einer einzelnen Person sein, sondern muss im Berufsalltag von jedem Mitarbeiter gelebt werden. Die Missachtung der Verpflichtung zur Bestellung eines Datenschutzbeauftragten ist mit bis zu 10 Millionen Euro oder 2 Prozent des letztjährigen weltweiten Jahresumsatzes sanktioniert. Grundsätzlich steht es jedem Unternehmen frei, einen Datenschutzbeauftragten zu benennen.

Was denkt der IT-Mittelstand über die DSGVO?

Interview-Podcast zur DSGVO

Was denkt der IT-Mittelstand über die DSGVO?

14.06.18 - Oliver Schonschek von Insider Research traf Dr. Oliver Grün, Präsident des BITMi, auf der neuen CEBIT in Hannover. Im Interview wollten wir wissen: Was denkt der IT-Mittelstand über die DSGVO? Das Interview gibt es in vollem Umfang als Podcast. lesen

6. Nicht ausschließlich auf die ISO/IEC 27001 Zertifizierung verlassen

Auch wenn sich viele Software-Anbieter mit der ISO/IEC 27001 Zertifizierung rühmen – tatsächlich beinhaltet diese nicht alle datenschutzrelevanten Punkte und reicht somit als Nachweis eines angemessenen Schutzes gegen unbefugte Zugriffe auf personenbezogene Daten alleine nicht aus. Unternehmen müssen stattdessen prüfen, ob diese Zertifizierung erweitert wurde, zum Beispiel durch Anpassung der Risikobeurteilungsmethode an die Rechte und Freiheiten gemäß DSGVO. Ein Unternehmen, das eine ISO-Zertifizierung besitzt, ist nicht automatisch nach der Datenschutzgrundverordnung zertifiziert.

7. Risiken und Folgen für Betroffene immer im Voraus bewerten

Die Datenschutz-Folgenabschätzung ist grundsätzlich nichts anderes als die bisher im deutschen Datenschutzrecht schon bekannte Vorabkontrolle. Unternehmen müssen eine Datenschutz-Folgenabschätzung dann durchführen, wenn neue Technologien eingesetzt werden und die Verarbeitung dazu führt, dass für die Rechte und Freiheiten von Einzelpersonen ein hohes Risiko besteht. Wichtig: Auch bei bestehenden Verarbeitungstätigkeiten ist eine Risikobewertung umzusetzen. Vonseiten der Aufsichtsbehörden wurden Leitlinien publiziert, wann eine solche Abschätzung durchzuführen ist.

DSGVO und die Folgen für die Cyber-Sicherheit

Interview-Podcast zur DSGVO

DSGVO und die Folgen für die Cyber-Sicherheit

04.07.18 - Ist die DSGVO ein Meilenstein oder Hemmnis für die Digital Security? Oliver Schonschek von Insider Research traf Kai Grunwitz, SVP EMEA NTT Security, in Frankfurt. Im Interview wollten wir wissen: Welche Folgen hat die DSGVO für die Cyber Security? Das Interview gibt es in vollem Umfang als Podcast. lesen

8. Unmittelbar reagieren, sofern eine Datenschutzverletzung vorliegt

Die EU-DSGVO beinhaltet eine klare Vorgabe bei Datenschutzverletzungen: Wird dem Unternehmen ein Vorfall bekannt, muss unverzüglich und in der Regel binnen 72 Stunden nach Bekanntwerden bei der zuständigen Aufsichtsbehörde eine Meldung gemacht werden. Eine gänzlich versäumte oder unbegründet verspätete Meldung kann ein beträchtliches Bußgeld nach sich ziehen – bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Notwendige Prozesse sollten definiert werden, um im Falle eines Datenschutzverstoßes die betroffenen Personen und die Aufsichtsbehörden innerhalb von 72 Stunden informieren zu können.

9. Verzeichnisse von Verarbeitungstätigkeiten gewissenhaft wählen

Unternehmen benötigen ein flexibles und sicheres Verzeichnis, das sämtliche Verarbeitungsvorgänge im Umgang mit personenbezogenen Daten dokumentiert. Jede Firma muss also ein Verzeichnis von Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. Organisationen benötigen eine klare Regelung, in welcher Tochterfirma personenbezogene Daten verarbeitet und an welche anderen Töchter diese gegebenenfalls weitergereicht werden dürfen. Hier geht es vor allem darum, dass Unternehmen die eigenen Verarbeitungen gut kennen, schließlich ist dies eine der Grundvoraussetzungen für einen datenschutzkonformen Betrieb. Das Verzeichnis muss permanent gewartet und auf dem neuesten Stand gehalten werden. Excel kann hier als kurzfristige Notlösung dienen, für den langfristigen Gebrauch empfehlen sich allerdings professionelle DSGVO-Managementsysteme, in denen datenschutzkonform gearbeitet werden kann.

Ergänzendes zum Thema
 
EU-DSGVO Toolbox

10. Ideale technische Voraussetzungen für das Management der Betroffenenrechte schaffen

So knifflig es auch klingt, ab sofort müssen Unternehmen bei Ausübung des Rechts auf Auskunft die gewünschten Informationen spätestens nach einem Monat übermitteln. Sollten Personen ihr „Recht auf Vergessenwerden“ in Anspruch nehmen, so kann es erforderlich sein, dass die personenbezogenen Daten restlos gelöscht werden. In der Regel reichen die gängigen Löschfunktionen von Betriebssystemen und Datenbanken allerdings nicht aus, um die Anforderungen der EU-DSGVO zu erfüllen, da die Daten nicht tatsächlich physisch gelöscht werden. Datenschutz-Experten empfehlen hierfür eine eigene Software.

Und jetzt?

Bei all den Grundprinzipien und Konzepten, die es einzuhalten gilt, können professionelle DSGVO-Konformitäts-Managementsysteme für Unternehmen bei der Einhaltung der Auflagen einen echten Mehrwert bieten. Vor allem, wenn sie wichtige Elemente wie etwa das Verzeichnis von Verfahrenstätigkeiten standardmäßig verwalten sowie die Prozesse zu den Betroffenenrechten oder Meldungen an die Behörden automatisieren. Der Vorteil solcher Systeme: Absolute Nachvollziehbarkeit der Rechte und Pflichten sowie vollständige Übersicht und Kontrolle über die sensiblen Daten

Der Stichtag für die DSGVO ist unwiderruflich da!

Anwendung Datenschutz-Grundverordnung

Der Stichtag für die DSGVO ist unwiderruflich da!

25.05.18 - Mit dem 25. Mai 2018 endet die Übergangsfrist, die Datenschutz-Grundverordnung (DSGVO / GDPR) gilt unmittelbar und ersetzt in Deutschland zusammen mit dem neuen Bundesdatenschutzgesetz das bisherige BDSG. So klar diese rechtliche Tatsache ist, so offen sind noch viele Punkte bei der Umsetzung. Das Projekt DSGVO ist also nicht abgeschlossen, sondern muss fortgeführt werden. lesen

Über den Autor: Andreas Dangl ist Business Unit Executive der Fabasoft Deutschland GmbH und Spezialist für Cloud Computing.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45404545 / Compliance und Datenschutz )