Suchen

Aktuelles zur DSGVO im Oktober Unternehmen brauchen klare Datenschutzvorgaben

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Im Gespräch mit Peter Schaar, Bundesdatenschutzbeauftragter a.D., wird deutlich: Die Aufsichtsbehörden und die zuständigen Ministerien müssen eine einheitliche, klare Linie verfolgen, damit die Unternehmen in Deutschland eine bessere Umsetzung der DSGVO (Datenschutz-Grundverordnung) erreichen können. Das entstehende Standard-Datenschutzmodell (SDM) kann dabei helfen.

Firmen zum Thema

Die Datenschutz­aufsichts­behörden des Bundes und der Länder (DSK) arbeiten an einem in einzelne Bausteine gegliederten Katalog zum Standard-Daten­schutz­model, das die Umsetzung der DSGVO vereinfachen soll.
Die Datenschutz­aufsichts­behörden des Bundes und der Länder (DSK) arbeiten an einem in einzelne Bausteine gegliederten Katalog zum Standard-Daten­schutz­model, das die Umsetzung der DSGVO vereinfachen soll.
(© krissikunterbunt - stock.adobe.com)

Zahlreiche Umfragen zum aktuellen Stand der Umsetzung der DSGVO zeigen, dass es vielen Unternehmen in Deutschland noch nicht gelungen ist, eine Compliance mit der Datenschutz-Grundverordnung zu erreichen. Doch woran liegt das? Ein Gespräch mit Peter Schaar, Bundesdatenschutzbeauftragter a.D., das in voller Länge als Interview-Podcast weiter unten zu finden ist, liefert mehrere Gründe. Zum einen können die Prioritäten bei Unternehmen noch nicht richtig sein, wenn zum Beispiel kommende Compliance-Vorgaben wie das Geheimnis­schutz­gesetz innerhalb von Unternehmen höher eingestuft werden als der Datenschutz.

Schwerwiegender ist aber wohl, dass verschiedene Aufsichtsbehörden und die Ministerien zu bestimmten DSGVO-Themen abweichende Meinungen formulieren und veröffentlichen. Hier muss es mehr Klarheit und Einheitlichkeit geben. Zudem sollten Unternehmen Instrumente wie das Verzeichnis von Verarbeitungstätigkeiten (Verfahrensverzeichnis) und die Datenschutz­folgen­abschätzung nicht als lästige Pflicht sehen, sondern sogar freiwillig angehen, denn diese Instrumente bieten sich als Inventur der Datenverarbeitung und als Risikoanalyse im Datenschutz sehr gut an. Details dazu nennt Peter Schaar in dem Interview-Podcast.

Oliver Schonschek spricht mit Peter Schaar, Bundesdatenschutzbeauftragter a.D.

Weitere Instrumente zur DSGVO werden entwickelt

Mit dem Standard-Datenschutzmodell (SDM) wird eine Methode bereitgestellt, mit der Verantwortliche und Aufsichtsbehörden bei der Entwicklung, bei der Datenschutzberatung und bei der Prüfung von Datenverarbeitungen beurteilen können sollen, ob personen­be­zogene Daten datenschutzkonform verarbeitet werden. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat nun empfohlen, dieses Modell zur Erprobung anzuwenden. Die ersten Bausteine stehen zur Verfügung.

Die DSK hatte im April 2018 beschlossen, dass der in einzelne Bausteine gegliederte Katalog zum Standard-Datenschutzmodell sukzessive zunächst von einzelnen Aufsichtsbehörden veröffentlicht und zum Test durch Anwender freigegeben werden sollen. Bisher wurden die folgenden Bausteine erarbeitet und veröffentlicht:

  • Datenschutz-Management
  • Planung / Spezifikation
  • Dokumentation
  • Protokollierung
  • Trennung
  • Löschen
  • Aufbewahrung

Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein, sagte dazu: „Bisher arbeiten schon viele Anwender im Bereich der IT-Sicherheit mit dem Grundschutz des Bundesamts für Sicherheit in der Informationstechnik, der über die letzten Jahrzehnte erstellt und verfeinert wurde. Für das Standard-Datenschutzmodell läuft das Arbeiten mit den datenschutzspezifischen Bausteinen nun an. Wir brauchen das Feedback aus der Praxis: Wie verständlich sind die Bausteine? Decken sie die meisten Konstellationen ab? Was fehlt? Diese Informationen wollen wir in der nächsten Version berücksichtigen.“

Wichtig ist dabei der Hinweis, dass die Bausteine bisher noch nicht in der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder abgestimmt sind. Man empfiehlt den Anwendern, ihre Erfahrungen bei der Erprobung der Bausteine den Datenschutzbehörden mitzuteilen und somit zur Weiterentwicklung von Methode und Maßnahmen beizutragen.

Dennoch: Auch denn das Standard-Datenschutzmodell (SDM) noch nicht verabschiedet ist, die Umsetzung der DSGVO wird in Zukunft dadurch unterstützt werden können, sobald es freigegebene Bausteine gibt und damit eine klare, einheitliche und gemeinsame Linie der Aufsichtsbehörden.

Aufsichtsbehörden treffen sich mit der Wirtschaft

Nicht nur das Standard-Datenschutzmodell (SDM) ist ein Anlass für den Praxisaustausch zwischen Unternehmen und Aufsichtsbehörden. Die Aufsichtsbehörden bieten mehrere Gelegenheiten für einen Austausch zur DSGVO. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) zum Beispiel hatte eine Informations­ver­an­stal­tung „125 Tage DSGVO - Beispiele aus der täglichen Praxis“. Nach den Vorträgen war eine Podiumsdiskussion vorgesehen, die das Publikum einbezieht und anschließend in einen Informationsaustausch mit allen Beteiligten, inklusive Publikum, übergeht.

Auch der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V., der Landes­be­auf­trag­te für den Datenschutz und die Informationsfreiheit Baden-Württemberg sowie der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht luden zum Dialog mit den Aufsichtsbehörden ein. Solche Dialoge sind für beide Seiten, die Aufsicht und die Unternehmen, sehr wichtig.

Internetkriminelle könnten DSGVO für sich nutzen

Nicht nur die Unternehmen und die Aufsichtsbehörden befassen sich mit der DSGVO. Europol sieht auch einen Einfluss auf die Cyber-Kriminellen, aber einen anderen, als man erwarten und erhoffen würde. So erklärt Europol in einer aktuellen Einschätzung von Cybercrime: „Nach der DSGVO müssen Verstöße innerhalb von 72 Stunden gemeldet werden. Kriminelle können versuchen, die Opfer zu erpressen. Dies ist zwar nicht neu, aber es ist möglich, dass gehackte Unternehmen es vorziehen, ein geringeres Lösegeld an einen Hacker zu zahlen als die hohe Geldbuße, die von den Behörden verhängt werden könnte.“

Es zeigt sich: Die Entwicklung rund um die DSGVO ist noch lange nicht abgeschlossen. Neue Instrumente werden noch eingeführt, einheitliche Vorgaben werden entstehen, auch durch den Europäischen Datenschutzausschuss. Nicht zuletzt muss aber auch an die Folgen für die IT-Sicherheit gedacht werden. Wir werden weiterhin über den Fortgang zur DSGVO berichten.

(ID:45562596)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research