Datenschutz
Seit dem 25. Mai 2018 ist die neue Datenschutz Grundverordnung der Europäischen Union (engl.: GDPR = General Data Protection Regulation) anwendbar. Sie regelt den Schutz von personenbezogenen Daten EU-weit einheitlich. Im Fokus der Neuregelungen stehen die Rechte des Einzelnen an seinen Daten. Diese Rechte gehen einher mit neuen Verpflichtungen der Datenverarbeiter:
- Auskunftspflicht über vorhandene Daten
- Meldepflicht bei Datenpannen
- Nachweispflicht für den angemessenen Schutz gehaltener Daten
- Nachweispflicht für die Zweckbestimmung gehaltener Daten
- Nachweispflicht für die Verarbeitungsverfahren
- Nachweispflicht für die Einwilligung zur Verarbeitung
- Verfahren zur Umsetzung des Rechts auf Vergessenwerden / Löschung
Damit Unternehmen und Behörden im Stande sind diesen Pflichten nachzukommen, müssen sie die notwendigen Prozesse sowie Schutz- und Compliance-Maßnahmen vorhalten und im Falle einer Datenpanne in einem Audit nachweisen können. Maßnahmen des proaktiven Schutzes sind eine zweite Maxime der Neuregelungen.
Wer personenbezogene Daten besitzt oder auf bestimmte Weise verarbeitet, wird verpflichtet einen Datenschutzbeauftragten zu bestellen (Art. 39) und einen Prozess für die Datenschutz Folgenabschätzung zu etablieren (gemeint ist die Abschätzung der Folgen eines Datenlecks für die betroffene Person).
Wen betrifft die DSGVO?
Die Verordnung betrifft alle Unternehmen und Organisationen, die im europäischen Raum personenbezogene Daten verarbeiten. Dabei ist der Unternehmenssitz nicht mehr maßgebend für die Anwendung des Rechts.
Erweiterte Definition des Begriffs "Datenverarbeitung"
Zur Datenverarbeitung zählt neben dem Speichern im Grunde jede Handhabung elektronischer Daten, wie zum Beispiel das Übertragen (Art. 4).
Erweiterte Definition von "personenbezogene Daten"
Personenbezogenen Daten sind zum Beispiel IP-Adressen, Postanschriften, E-Mailadressen, Telefonnummern, Kontoinformationen, Fotos sowie jegliche Informationen, die Rückschlüsse über das Berufs- oder Privatleben einer Person zulassen (Art. 4).
Handlungsbedarf
Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. wies bereits in einer Pressemitteilung im März 2016 darauf hin, dass auch kleine und mittelständische Unternehmen aktiv werden müssen, da die DSGVO "drastische Sanktionen für Verstöße gegen den Datenschutz" vorsieht. Für bestimmte Verstöße sind bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens zulässig. Unabhängig vom Jahresumsatz sind bis zu 20 Mio. Euro Bußgeld möglich (Art. 83). Da auch Verstöße in den Bereichen Governance, Transparenz und Meldeverpflichtung zu erheblichen Bußgeldern führen können, kann Nachbesserungsbedarf auch in Unternehmen bestehen, die ihre Daten aus technischer Sicht bereits bestmöglich schützen. Tritt einmal ein Sicherheitsvorfall ein, wird zukünftig Meldepflicht bestehen. Unternehmen müssen durch adäquates Monitoring in der Lage sein, einen Sicherheitsvorfall selbst festzustellen, um der Meldepflicht nachkommen zu können. Ist ein Sicherheitsvorfall aufgetreten, ist die zuständige Aufsichtsbehörde berechtigt ein Audit durchzuführen und Nachweise für den Vorfall selbst und für installierte Gegenmaßnahmen zu verlangen. Hierfür ist ein dokumentiertes und gelebtes Informationsmanagement notwendig.
Ruhe bewahren und die nächsten Schritte planen
Der Verordnungstext weist darauf hin, dass die zu ergreifenden Maßnahmen angemessen sein müssen. Wir legen dies so aus, dass bei der Anpassung dem unternehmensspezifischen Risiko Rechnung getragen werden kann und nicht jedes Unternehmen gezwungen ist sehr große Investitionen zu tätigen. Vor Mai 2018 sollten alle Unternehmen über ihre Verarbeitungsprozesse und Risiken Bescheid wissen. Beste Vorraussetzungen für die DSGVO-Compliance schaffen sie mit der Umsetzung folgender Maßnahmen:
- Bestandsaufnahme personenbezogener Daten
- ggf. erstellen eines Verzeichnisses der Verarbeitungstätigkeiten für personenbezogenen Daten (Art. 30)
- Risiko Assessment: Bestandsaufnahme existierender Risiken je Datenbestand
- insbesondere bei automatisierter Datenerhebung: Compliance Review und Compliance Monitoring
- Security by Design & Default (Artikel 25), Dokumentation der Sicherheit der Verarbeitung über den ganzen Lebenszyklus der Information (Artikel 32)
- Dokumentation der Verantwortlichkeiten und Beschreibung der zugewiesenen Rollen (Controller, Processor, ggf. IT-SiBe, ggf. Datenschutzbeauftragter, ggf. Auftragsverarbeiter)
- Bestenfalls: Security Information and Event Management
- erstellen eines Incident Response Plans