Datenschutz nach DSGVO

Der Datenschutz nach DSGVO (Datenschutzgrundverordnung) wird am 25. Mai 2018 scharf gestellt. Was ändert sich in Deutschland bezüglich des Bundesdatenschutzgesetzes 89? Welche Massnahmen müssen getroffen werden und was nötig um die Anforderungen zu erfüllen ohne hohe Strafen zu fürchten?

EU-Betriebe welche ihre Aufgaben bezüglich des bestehenden Datenschutzes erledigt haben, erwarten kleine Änderungen und Anpassungen. Diejenigen Firmen welche den Datenschutz bisher nicht Ernst genommen haben, die erwartet einiges an Nachholbedarf.

Die DSGVO beinhaltet personenbezogenen Datenschutz. Das heißt, alles was mit Namen, Bilder oder Hinweise um Personen eindeutig zu identifizieren ist, fällt darunter und gilt als schützenswert. Entsprechend dieser breiten Definition, tangiert dies viele Bereiche im aktuellen Geschäftsumfeld.

Dabei hat jede Person das Recht auf Auskunft über seine Daten, das Recht auf Berichtigung, Weiterverarbeitung, Löschung oder sogar der Übertragung.

Hier die die wichtigsten Pfeiler des Datenschutz nach DSGVO:

Dokumentationspflicht

Die Dokumentationspflicht und Protokollierung von personenbezogenen Daten, ist schon heute Pflicht.

Betroffene Parteien sind Mitarbeiter, Kunden Lieferanten, von welchen wir personenbezogene Daten besitzen. Diese Daten sind besonders schützenswert. Es drohen bei Verstoss der neuen Richtlinie Strafen von 4% des Jahres Umsatzes bis zu 20 Millionen Euro.

Die Rechte der betroffenen Personen sind:

  • Auskunftsrecht (über die Form der Speicherung, Weitergabe)
  • Löschung
  • Berichtigungsrecht
  • Widerspruchsrecht
  • Recht auf Datenübertragung

Verarbeitungsverzeichnis

Es wird eine Erstellung eines Verarbeitungsverzeichnisses verlangt (siehe auch interne organisatorische Maßnahmen) .

  • Bezeichnung der Daten (Name, Adresse, Handynummer, etc)
  • Rechtsgrundlage zur Speicherung der Daten (Gesetzliche Aufbewahrungsfrist, oder Einverständnis)
  • Quelle der Daten
  • Datenverarbeitung (Bezeichnung der Programme)
  • Zugriffsgruppendefinition auf Daten
  • Weitergabe der Daten
  • Löschung unter Berücksichtigung der gesetzlichen Aufbewahrungsfrist
  • Bezeichnung von sensiblen und schützenswerten Daten
  • TOM (Technische und organisatorische Massnahmen) um Daten zu schützen (Zugangsberechtigung)

Interne betriebliche Prozesse

Welche internen betrieblichen Massnahmen sind nötig?

  • Auflistung und Dokumentation von personenbezogenen Daten (IT, HR, Adress DB, etc.), siehe auch Verarbeitungsverzeichnis
  • Information und Schulung bezüglich der Auskunftspflicht der Mitarbeiter
  • Datenfolgeabschätzung (Riskmanagement) bei neuer Installation von Software

Externe betriebliche Massnahmen

Welche externen betrieblichen Massnahmen sind nötig?

Das Stichwort hierfür heisst Auftragsdatenverarbeitung, also wenn personenbezogenen Daten zum Beispiel für Marketingaktionen den Betrieb verlassen. Dazu benötigt man vom Auftragsnehmer folgende verbindliche Angaben:

  • Seine technischen und organisatorischen Aktionen (TOMs) betreffend Sicherheit
  • Weisungen des Auftragsgebers müssen eingehalten werden
  • Schriftlicher Auftragsdatenverarbeitungsvertrag (ADV) muss existieren
  • Verarbeitungsverzeichnis muss vorliegen (technische Verarbeitung, Programme etc)
  • Regelung zur Meldepflicht

Datenschutzbeauftragter

Ab neun Mitarbeitern ist die Ernennung eines Datenschutzbeauftragten Pflicht. Hierfür kann auch ein externer Dienstleister bestellt werden.

Aufgaben sind:

  1. Einwirkung auf die Geschäftsführung (beide sind strafrechtlich belangbar)
  2. Datenschutzfolgeabschätzung durchführen (Risikomanagement)
  3. Auskunftspflicht gegenüber personenbezogenen Daten
  4. Schulung der Mitarbeiter bezüglich des Datenschutzes

Die Beschreibung des externen Datenschutzverarbeiters finden sie hier.

Meldepflicht

Die Verletzung von personenbezogenen Daten muss dem Datenschutzbeauftragten und der Geschäftsleitung gemeldet werden. Dabei ist eine Prüfung nötig, inwiefern eine Person geschädigt wurden. Besteht kein Risiko (z.B. Ausschluss von Datendiebstahl oder Datenverlust), muss dies auf jeden Fall dokumentiert werden, wie man den Entscheid begründet.

Bei groben Verstössen gilt eine knappe Frist von lediglich 72 Stunden, bei welcher der Bundesbeauftragte (Aufsichtsbehörde) informiert werden muss. In  schwerst wiegenden Fällen ist auch eine Meldung an die geschädigte Person oder den Betroffenen, Meldung zu erstatten.

Dabei helfen vorgefertigte Prozesse (wie Formulare) um diese kurze Zeitspanne einzuhalten.

IT-Konzeptbeschreibung

Technische Maßnahmen sind auch ein erheblicher Teil der Dokumentation und des Verarbeitungsverzeichnisses.

Dabei geht es um folgende Themen:

– Software nach Datenschutz aufsetzen.
– Datensicherungskonzept (Backupplan)
– Sicherheitskonzept (TOMs (Zutrittsregelung etc.)
– Berechtigungskonzept (Netzwerkrechte)
– Minimalisierung (Reduktion der benötigen Daten)
– Löschkonzept (wie lange werden Daten gespeichert, wann werden diese gelöscht)