PlanetNTF

Die richtigen Prozesse in Gang setzen

Wie sieht ein DSGVO-konformes Datenschutzmanagement aus?

Die EU-Datenschutz-Grundverordnung oder auch DSGVO mehr ist am 14. April 2016 durch das EU-Parlament beschlossen worden. Sie gilt ohne Wenn und Aber und grundsätzlich ab dem 25. Mai 2018 für jedes Unternehmen aus jeder erdenklichen Branche, das selbst oder im Auftrag von anderen personenbezogene Daten verarbeitet. Bereits im letzten GBS Blogartikel gab ich einen kurzen Überblick über die Ziele der neuen Verordnung, deren veränderten Spielregeln und umfangreichen Informationspflichten für den Umgang mit den Daten anderer. Nun gilt es noch andere wichtige Aspekte der DSGVO zu beleuchten.

DSGVO und der Datenschutz durch Technik

Unternehmen müssen sicherstellen, dass die von ihnen zur Verarbeitung personenbezogener Daten eingesetzten Systeme und Prozesse, von Beginn an datenschutzfreundlich ausgestaltet sind („privacy by design“). Vorgeschrieben ist nunmehr, bei der Auswahl von Sicherheitsmaßnahmen den „Stand der Technik“ ebenso zu berücksichtigen wie die mit der Datenverarbeitung verbundenen Risiken für die betroffenen Personen. Unternehmen, die in großem Umfang zum Beispiel Gesundheitsdaten verarbeiten, müssen mittels einer Datenschutz-Folgenabschätzung im Vorfeld der Datenverarbeitung die Risiken abwägen und die Sicherheitsmaßnahmen dokumentieren.

Information und Transparenz

Abgesehen von den deutlich ausgeweiteten Verpflichtungen im Bereich der technischen und organisatorischen Sicherheitsmaßnahmen bestehen nunmehr recht umfangreiche Informationspflichten gegenüber denjenigen, deren Daten das Unternehmen verarbeitet. Bisher müssen Unternehmen denjenigen, deren Daten sie verarbeiten, nur auf Anfrage Auskunft geben, um welche Daten es sich handelt und an wen Sie übermittelt werden. Zukünftig müssen beispielsweise schon bei der ersten Erhebung von Daten („wie heißen Sie? Wo wohnen Sie? Was ist Ihre Telefonnummer? …“) den betroffenen Personen zahlreiche Informationen über den weiteren Umgang des Unternehmens mit diesen Daten zur Verfügung gestellt werden, so. u.a. die Zwecke der Datenverarbeitung, die Löschungsfristen, die getroffenen Datensicherheitsmaßnahmen und die mögliche Übermittlung der Daten an Dritte oder ins Ausland. Auch müssen die Unternehmen – anders als nach dem noch gültigen BDSG – die von ihrer Datenverarbeitung betroffenen Personen im Fall von Datenpannen nicht nur benachrichtigen, wenn besonders sensible Daten betroffen sind, sondern immer sofern ein hohes Risiko für die Beeinträchtigung der Rechte der betroffenen Person besteht.

Haftung

Für Unternehmen, die als Auftragsdatenverarbeiter für andere Unternehmen tätig sind, verschärft die DSGVO die Haftung. Neben generell strengen Anforderungen an den Einsatz von Auftragsdatenverarbeitern, haftet mit der Datenschutz-Grundverordnung nicht nur das auftraggebende Unternehmen sondern auch grundsätzlich auch der Auftragnehmer gegenüber den Betroffenen auf Schadensersatz, sollte es zu Datenverlusten und zur Verletzung von Rechten kommen. Ein Unternehmen entgeht der Haftung nur, wenn es nachweisen kann für die Ursache des Schadens in keinerlei Hinsicht verantwortlich zu sein. Für beide, Auftraggeber wie Auftragnehmer, ergibt sich daraus die Notwendigkeit sich viel detaillierter als bisher mit der Regelung der gegenseitigen Pflichten zu beschäftigen und vor allem deren Einhaltung zu kontrollieren.

Womit ist bei Datenschutzverstößen zu rechnen?

Die derzeit noch gültigen Bußgelder für Verstöße gegen Datenschutzgesetze sind gerade für große Unternehmen Kleingeld. Auch das ändert sich mit der DSGVO. Die Aufsichtsbehörden müssen sicherstellen, dass die Verhängung von Geldbußen „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist“. Je nach Art des Verstoßes gegen Datenschutzvorschriften und Sicherheitsmaßnahmen können nach der DSGVO Geldbußen bis zu 20 Millionen Euro oder 4% des „gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres“ eines Unternehmens verhängt werden, „je nachdem, welcher Betrag höher ist“.

Was Unternehmen jetzt schon tun können

Im Herbst 2016 scheint die Umsetzungsfrist des 25. Mai 2018 noch in weiter Ferne. Unternehmen tun allerdings gut daran, jetzt mit den Arbeiten für die Umsetzung der DSGVO zu beginnen, denn die Tücke steckt wie immer im Detail. Der erste Schritt muss dabei eine Aufnahme der aktuellen Situation des Unternehmens in puncto Datenschutz und Informationssicherheit sein. Dabei steht die Frage im Mittelpunkt, welche personenbezogenen Daten sich wo befinden und wie sie technisch-organisatorisch gesichert sind. Letztlich ist die IST-Analyse also eine Prozessanalyse aller Prozesse im Unternehmen, die personenbezogene Daten beinhalten. Sobald dieser IST-Stand erfasst ist, wird deutlich wo Nachbesserungen erforderlich sind und es lässt sich von dort aus der SOLL-Zustand entwerfen und aufbauen. In Bezug auf die Umsetzung der DSGVO geht es dabei nicht nur um die Anpassung der alten Prozesse an das neue Recht, sondern auch um die Schaffung gänzlich neuer Abläufe. Dies gilt insbesondere für die neuen Transparenz- und Informationspflichten der DSGVO gegenüber den Personen, die von der Datenverarbeitung des Unternehmens betroffen sind, aber auch für die gestiegenen Anforderungen an die Dokumentation von IT-Prozessen.

Prozesse weisen den Weg

Das Stichwort „unternehmensinterne Prozesse“ weist dabei den Weg: der Aufbau eines Datenschutzmanagementsystems, das den Anforderungen der neuen DSGVO standhält, ist am einfachsten, wenn er sich an den unternehmensinternen Prozessen entlang arbeitet und diese verändert und anpasst.

Die Mühe wird belohnt

Die Vorbereitung auf die Veränderungen im Datenschutzrecht hat viele Vorteile. Unternehmen, die umgehend starten, verbessern schon jetzt ihre Compliance in puncto Datenschutz und Informationssicherheit, müssen nicht später der neuen Rechtslage hinterherhinken und weder Bußgelder noch Diskussionen mit den Datenschutzaufsichtsbehörden riskieren. Darüber hinaus kann eine gute Vorbereitung auf die DSGVO als Nebeneffekt auch die Grundlage für eine ISO-Zertifizierung oder die Erlangung einer anderen technischen oder datenschutzrechtlichen Zertifizierung sein – diese wiederum können als einfacher Nachweis für die Einhaltung der Vorgaben der DSGVO im Hinblick auf die technischen Sicherheitsmaßnahmen dienen.

Neue DSGVO – Fazit

Sie meinen, nun müssen Sie sich auch noch mit neuen Gesetzen beschäftigen, weil Brüsseler Bürokraten so gerne Unternehmen mit Vorschriften belästigen? Versuchen Sie einmal einen anderen Blick: Datenschutzmaßnahmen und gute Standards in der IT-Sicherheit sind eine Investition in das Vertrauen Ihrer Kunden und in die wirtschaftliche Zukunft Ihres Unternehmens. Firmen konnten in der Vergangenheit Datenschutzmaßnahmen und deren Dokumentation ungestraft im „einmal-über-den-Daumen-gepeilt-Verfahren“ bearbeiten. Diese Zeiten gehen definitiv zu Ende. Es gilt daher, unternehmensinterne Prozesse sorgfältig zu analysieren und zu ordnen und Stück für Stück tragfähigen Datenschutz im Unternehmen zu etablieren.

Neue EU-Datenschutz-Grundverordnung: Unternehmen im Zugzwang

Die jahrelangen, kontroversen Verhandlungen zur EU-Datenschutz-Grundverordnung sind abgeschlossen. Ab Mai 2018 werden die datenschutzrechtlichen Vorgaben ausschließlich durch die DSGVO geregelt. Zu welchen Ergebnissen ist das Europäische Parlament gekommen? Welche Ziele werden verfolgt? Welche veränderten Spielregeln und umfangreichen Informationspflichten für den Umgang mit den Daten anderer müssen beachtet werden? Dies erfahren Sie im ersten Beitrag unserer zweiteiligen Artikelreihe von Gastautorin Dr. Bettina Kähler, Unternehmensberaterin und Anwältin mit Schwerpunkt auf Datenschutz und Datensicherheit.

Der Beitrag Neue DSGVO: Kein Datenschutz nach Pi mal Daumen erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Beschlossene Sache – Neue DSGVO

Jahrelange Verhandlungen sind beendet

Mit Blick auf die technische Entwicklung liegt das Jahr 1995 gefühlte 100 Jahre zurück. Handys existierten als klobige Fernsprechanlagen, und die grenzenlosen Möglichkeiten des Internets wie wir es heute kennen, steckten in den Anfängen. Ganz zu schweigen von Facebook und den zahlreichen anderen, unbegrenzten Möglichkeiten der virtuellen Welten, die ebenso unbegrenzt unsere persönlichen Daten verschlingen.

1995 war auch das Jahr, aus dem die letzte Reform des europäischen Datenschutzrechts datiert. Je weiter sich 1995 entfernte und die technische Entwicklung in unsere Gegenwart hinein rückte, desto weniger konnten die Möglichkeiten der Gesetze dieser standhalten. Es wurde höchste Zeit für eine grundlegende Reform, um europaweit für einen angemessenen Schutz von personenbezogenen Daten und Rechtssicherheit für Unternehmen zu sorgen. Nach einem über vierjährigen, intensiven und in weiten Teilen hochkontroversen Verhandlungsprozess verabschiedete das Europäische Parlament im April dieses Jahres schließlich die neue EU-Datenschutz-Grundverordnung, kurz DSGVO. (mehr)

Die Rechtsform der Verordnung bedeutet in diesem Zusammenhang, dass die EU-Verordnung das jeweilige nationale Datenschutzrecht ersetzt und in jedem Mitgliedsstaat direkt und unmittelbar geltendes Recht wird. Das Bundesdatenschutzgesetz (BDSG) und alle anderen Vorschriften zum Datenschutz sind ab Mai 2018 – von wenigen Ausnahmen abgesehen – Geschichte. Die datenschutzrechtlichen Vorgaben werden dann ausschließlich durch die DSGVO geregelt.

Das Ziel

Die Verordnung vereint mehrere und durchaus unterschiedliche Ziele: Sie soll die Datenschutzrechte von EU-Bürgern stärken, das Vertrauen der Öffentlichkeit in die digitale Wirtschaft wiederherstellen und unsere persönlichen Daten durch Einführung neuer Datenschutzprozesse und -kontrollen in Unternehmen besser schützen. Die DSGVO wurde zwar in diesem Jahr vom Europäischen Parlament verabschiedet, doch die Umsetzungsfrist läuft bis zum 25. Mai 2018. Bis dahin müssen Unternehmen ihre Datenschutzprozesse auf das neue Recht angepasst haben. Eine weitere Frist gibt es nicht!

Stichtag 25. Mai 2018

Eine so grundlegend neue gesetzliche Regelung wirft viele Fragen auf, zumal die DSGVO zwar an altbekannten Grundsätzen des Datenschutzes festhält, aber daneben auch zahlreiche bisher unbekannte Anforderungen festschreibt, die Unternehmen künftig zu beachten haben. Wir möchten Ihnen mit diesem Beitrag die zentralen Änderungen vorstellen und der Frage nachgehen, was diese für die Unternehmen bedeuten.

Für wen gilt die Verordnung?

Die DSGVO erfasst alle Unternehmen und Behörden, die in irgendeiner Form, sei es off- oder online, automatisiert oder teilautomatisiert, mit personenbezogenen Daten arbeiten. Grundsätzlich gilt sie also für jedes Unternehmen aus jeder erdenklichen Branche, das selbst oder im Auftrag von anderen personenbezogene Daten verarbeitet. Dabei geht es nicht nur um die Merkmale, die eine Person direkt identifizieren (Name, Anschrift oder Name, Geburtsdatum), sondern auch die Angaben, die sie mittelbar identifizierbar machen, wie z.B. IP-Adressen, Cookies, RFID-Tags, Standortdaten.

Der physische Unternehmenssitz verliert seine Bedeutung

Spielregeln sind klar

Ausschlaggebend für die Anwendung der EU-Datenschutz-Grundverordnung ist ferner, dass ein datenverarbeitendes Unternehmen eine Niederlassung in der EU hat. Neu ist insoweit jedoch, dass zusätzlich auch Unternehmen mit Sitz außerhalb der EU die Vorgaben der Verordnung beachten müssen, wenn sie sich mit ihrem – kommerziellen oder nicht-kommerziellen – Angebot an EU-Bürger richten oder, z.B. im Rahmen des Webtracking, deren Verhalten überwachen.

Was bleibt …

Etwas vereinfacht ausgedrückt kann man sagen, die DSGVO behält die grundlegenden Spielregeln für den Umgang mit den Daten anderer bei, die bisher auch galten.
Zusammengefasst lauten diese wie folgt:

• Du darfst die persönlichen Daten anderer nur für deine Zwecke nutzen, wenn es dir der Eigentümer der Daten erlaubt oder du die Erlaubnis eines Gesetzes dafür hast

• Du darfst nur so viele Daten nehmen, wie du für einen bestimmten (Geschäfts-) Zweck brauchst

• Du darfst die Daten nur solange aufbewahren, wie du sie für den erlaubten Zweck brauchst. Ausnahmen gelten beispielsweise, wenn du mit den Daten nachweisen musst, dass du genug Steuern bezahlst

• Du musst technische und organisatorische Maßnahmen treffen, um die Daten, die du von anderen benutzt, gegen Missbrauch und Verlust zu sichern.

… und was ist neu?

Verglichen mit dem in Deutschland derzeit noch geltenden Datenschutzrecht beinhaltet die DSGVO erheblich ausgeweitete Anforderungen an Unternehmen, personenbezogene Daten technisch und organisatorisch gegen Verlust, Veränderung und Manipulation zu schützen. Neu ist dabei auch, dass die Sicherheitsmaßnahmen nicht nur unternehmensintern umgesetzt, sondern auch dokumentiert und regelmäßig überprüft werden müssen. Unternehmen werden daher ab jetzt deutlich mehr Überlegung und Aufwand in die nunmehr vorgeschriebenen Risikoanalysen, Verfahrensdokumentationen, Datenschutzrisiko-Folgeabschätzungen und datenschutzfreundlichen Techniken investieren müssen.

EU-Datenschutz-Grundverordnung: Antwort auf Missstände

Die in der DSGVO formulierten Anforderungen an die technische Absicherung personenbezogener Daten und an die Dokumentationspflicht lesen sich in Teilen wie eine Antwort auf die Missstände und Regelungslücken der vergangenen Jahre. Zwei Beispiele machen dies deutlich:

Schutzziele

Die nach der DSGVO zu implementierenden technischen und organisatorischen Sicherheitsmaßnahmen orientieren sich an den klassischen Schutzzielen der IT-Sicherheit, der Vertraulichkeit, der Integrität und Authentizität (der personenbezogenen Daten). Die Unternehmen müssen eine Sicherheitspolitik etablieren, die auf der Grundlage einer Risikoanalyse u.a. die nachfolgend genannten Punkte umfasst:

• die Fähigkeit, die Vertraulichkeit, Vollständigkeit, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten „auf Dauer sicherzustellen“,

• die Fähigkeit, die Verfügbarkeit und den Zugang zu Daten rasch im Falle eines physischen oder technischen Vorfalls, der sich auf die Verfügbarkeit, Vollständigkeit und Vertraulichkeit der Informationssysteme und -dienste auswirkt, wiederherzustellen,

• zusätzliche Sicherheitsmaßnahmen im Falle der Verarbeitung sensibler personenbezogener Daten, um ein situationsbezogenes Risikobewusstsein sicherzustellen, und die Fähigkeit, Präventiv- und Abhilfemaßnahmen sowie abmildernde Maßnahmen zeitnah gegen festgestellte Schwachstellen oder Vorfälle zu ergreifen, die ein Risiko für die Daten darstellen könnten,

• ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen, -verfahren und -pläne, die aufgestellt werden, um die Wirksamkeit auf Dauer sicherzustellen.

Ausblick

Lesen Sie in der nächsten Woche im GBS Blog über die vielen Vorteile, sich rechtzeitig auf die Veränderungen im Datenschutzrecht vorzubereiten. Unternehmen, die umgehend starten, verbessern schon jetzt ihre Compliance in puncto Datenschutz und Informationssicherheit, müssen nicht später der neuen Rechtslage hinterherhinken und weder Bußgelder noch Diskussionen mit den Datenschutzaufsichtsbehörden riskieren. Denn bald werden verschärfte Haftungregeln greifen und die Sanktionen bei Datenschutzverstößen werden erheblich sein.

Unternehmensberatung für Datenschutz und Informationssicherheit

Die PrivCom Datenschutz GmbH Hamburg, wurde Ende 2002 gegründet. Das Unternehmen berät unter der Leitung von Dr. Bettina Kähler, große, mittlere und kleine Firmen sowie Organisationen der öffentlichen Verwaltung, Verbände u. ä. zu allen Fragen des Datenschutzes. Dabei steht die Verbindung von rechtlichen und technischen Lösungen – ohne die Datenschutz nicht effizient realisierbar ist – im Fokus.

Der Beitrag Neue EU-Datenschutz-Grundverordnung: Unternehmen im Zugzwang erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.