Datenschutz

Datenschutzgrundverordnung (DSGVO) & Bundesdatenschutzgesetz

Was ist Datenschutz?

Jeder Mensch hat das Recht geschützt zu werden, vor der unbefugten Erhebung, Speicherung und Weitergabe von Daten, die seine Person betreffen. In der heutigen Zeit haben Sie es ständig mit den personenbezogenen Daten, von beispielsweise Kunden oder Mitarbeitern zu tun. Diese Daten gilt es zu schützen und regelkonform zu verwalten. Spätestens nach dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 ist klar, dass es hier besondere Herausforderungen gibt. Die DSGVO löst die Datenschutzrichtlinie 95/46 EG von 1995 ab. Im Vergleich zu ihrem Vorgänger gilt die DSGVO in der gesamten Europäischen Union (EU). Die Grundprinzipien sind dabei gleich geblieben: Verbot mit Erlaubnisvorbehalt, Datenvermeidung und Datensparsamkeit, Zweckbindung und Transparenz.

Ist Datenschutz wichtig?

Ja! Seit Mai 2018 sind die DSGVO und das neue Bundesdatenschutzgesetz (BDSG) in Deutschland gültig und verbindlich. Das bedeutet auch, dass bei Nichteinhalten Sanktionen drohen. Falls Sie sogar mit Gesundheitsdaten von Patienten arbeiten, ist hier besondere Vorsicht geboten, denn diese sind nach der DSGVO als „besonders sensible Daten“ einzustufen.

Sie sind auf der Suche nach einem digitalen Tool für Ihr Datenschutz-Management? Dann ist das SAVISCON GRC-Cockpit die passende Lösung für Sie. Nehmen Sie gerne Kontakt zu uns auf und erhalten Sie Ihr individuelles Angebot:

Grafik Datenschutz und DSGVO

Seit dem 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) gültig und bestimmt maßgebliche Regelungen im Datenschutz.

Welche Anforderungen gibt es für Unternehmen?

In Deutschland gelten für Einrichtungen, die personenbezogene Daten verarbeiten, die folgenden Gesetze:

  • DSGVO (EU)
  • Bundesdatenschutzgesetz (BDSG)
  • Landesdatenschutzgesetze (LDSG)
  • Telemediengesetz (TMG)
  • Telekommunikationsgesetz (TKG)

Daraus resultieren eine große Anzahl von unterschiedlichen Anforderungen:

  • Daten müssen nach den Grundsätzen Rechtmäßigkeit, Treu und Glauben sowie Transparenz verarbeitet werden
  • Es dürfen nur notwendige Daten erhoben werden
  • Sie müssen bei der Verarbeitung der Daten den Rechten der betroffenen Personen gerecht werden (siehe nächster Absatz)
  • Sie müssen von der betroffenen Person eine Einwilligung zur Datenverarbeitung einholen, die freiwillig und jederzeit widerrufbar ist
  • Ein Verzeichnis über Verarbeitungstätigkeiten von personenbezogenen Daten ist zu führen und Datenpannen sind zu dokumentieren
  • Folgenabschätzung: beim Einführen einer neuen Technologie zur Unterstützung der Datenverarbeitung, sind Sie dazu verpflichtet vorab eine Risikoanalyse durchzuführen
  • Pflicht der Ernennung eines Datenschutzbeauftragten (unter bestimmten Bedingungen)
  • usw.

Werden Sie diesen und weiteren Anforderungen gerecht? Setzen Sie bereits strukturiert Maßnahmen zur Risikovermeidung bzw. -minimierung ein und dokumentieren diese, um sich vor Pannen, Missbrauch und den damit verbundenen Bußgeldern zu schützen?

Wichtig:

Die oberste Leitung Ihrer Organisation ist dazu verpflichtet die Erfüllung der Rechtsvorschriften zum Schutz vor missbräuchlicher Verarbeitung personenbezogener Daten einzuhalten. Das bedeutet, dass Zuwiderhandlungen aufgezeigt und dokumentiert, Maßnahmen zur Vermeidung oder Minimierung eingeleitet und deren Erfolg gemessen werden müssen. Stellen Sie also sicher, dass alle Datenpannen oder Verdachtsfälle auf Non-Compliance in Bezug auf die DSGVO unverzüglich an die Geschäftsführung gemeldet werden.

Übrigens:

Personenbezogene Daten sind nicht nur die offensichtlichen Informationen zu Personen. Wenn Sie eine Webseite betreiben und ein Tracking-Tool (beispielsweise Google-Analytics) integriert haben, erheben Sie ebenfalls personenbezogene Daten. Das erfordert unbedingt das vorherige Einverständnis der Webseitenbesucher. Es reicht keine reine Information darüber, dass Sie sogenannte „Cookies“ speichern, sondern der Nutzer muss dem Tracking aktiv zustimmen.

Die Rechte der Betroffenen:

Auskunftsrecht

Die Betroffenen haben das Recht darauf zu erfahren, ob ihre Daten verarbeitet werden. Falls dies zutrifft, haben sie das Recht darauf Auskunft über die erhobenen Daten und deren Verarbeitungszwecke sowie Herkunft und Speicherungsdauer zu erhalten.

Berichtigung:

Der Betroffene kann verlangen, die erhobenen Daten zu vervollständigen oder zu berichtigen.

Löschung:

Darüber hinaus haben betroffene Personen das Recht darauf, dass ihre Daten gelöscht werden.

Recht auf Datenübertragbarkeit:

Betroffene können beantragen eine Kopie der betreffenden Daten zu erhalten, um diese daraufhin zu einem anderen „Anbieter“ mitzunehmen.

Sind Sie auf diese Themen nicht vorbereitet, können Häufungen von Anfragen erhebliche Personalkapazitäten für der Abarbeitung binden. Wenn Sie dadurch die gesetzlichen Fristen nicht einhalten können, kann das wiederum zu Bußgeldern führen.

Datenschutz-Management

Handeln Sie proaktiv und strukturieren Sie ihren Datenschutz. So sind sie im Falle einer Datenpanne bestmöglich aufgestellt. Dazu können Sie wie folgt vorgehen:

Ist-Analyse:

Recherchieren und analysieren Sie alle gesetzlichen Anforderungen, die für Ihr Unternehmen relevant sind. Ggf. ist es sinnvoll einen externen Dienstleister hinzuzuziehen, der sich mit den Datenschutzthemen Ihrer Branche auskennt. Verschaffen Sie sich einen Überblick über alle Systeme und Prozesse in Ihrer Organisation, die mit personenbezogenen Daten arbeiten. Prüfen Sie: Erfasse ich personenbezogene Daten die nicht notwendig sind? Dokumentiere ich das Einverständnis der Betroffenen? Usw.

Soll-Zustand:

Legen Sie Ihre Ziele fest. Achten Sie darauf, dass Ihre Ziele SMART sind. Also spezifisch (formulieren Sie sie so konkret wie möglich), messbar (bestimmen Sie eine quantitative Messgröße), attraktiv (formulieren Sie so, dass Sie auch motiviert sind das Ziel zu erreichen), realistisch (stellen Sie die Machbarkeit mit den zur Verfügung stehenden Mitteln sicher) und terminiert (definieren Sie einen Endtermin).

Strategie- und Maßnahmenplan:

Erstellen Sie Ihr persönliches Datenschutzkonzept. Wie und in welcher Reihenfolge wollen Sie Ihre definierten Ziele erreichen? Bewerten Sie dazu die Datenschutz-Risiken und starten Sie mit den größten Risiken, die eventuell sogar existenzgefährdend werden könnten. Legen Sie in Ihrem Konzept auch die konkreten Zuständigkeiten fest.

Umsetzen:

Setzen Sie Ihr Konzept um und dokumentieren Sie den Fortschritt.

Prüfen:

Prüfen Sie nach Ablauf der definierten Zieltermine, ob Sie Ihre Ziele erreicht haben. Greifen Ihre Maßnahmen oder müssen Sie diese anpassen? Sind in der Zwischenzeit neue datenschutzrechtliche Anforderungen in Kraft getreten, die Sie in Ihren Strategie- und Maßnahmenplan aufnehmen müssen? Datenschutz ist ein agiler Prozess. Man ist nie fertig, sondern muss sich den Gegebenheiten immer wieder neu anpassen. Prüfen Sie daher in definierten, regelmäßigen Abständen die Wirksamkeit Ihrer Maßnahmen.

Foto personenbezogene Daten

Ausblick:

ePrivacy Verordnung

Die ePVO wird die DSGVO ergänzen und EU-weit gelten. Sie soll das Datenschutzniveau für Nutzer elektronischer Kommunikationsdienste verbessern, ist also wichtig für beispielsweise Webseitenbetreiber. Damit wird sie die in Deutschland bisher geltende ePrivacy-Richtlinie ablösen (durch TMG und TKG abgedeckt). Wann genau die ePVO in Kraft tritt ist noch unklar. Seien Sie vorbereitet!

Technische und organisatorische Maßnahmen

Die technischen und organisatorischen Maßnahmen (TOMs) sind laut Artikel 32 in der DSGVO acht vorgeschriebene Maßnahmen, die gewährleisten sollen, dass mit personenbezogenen Daten ordnungsgemäß umgegangen wird. An diesen TOMs können Sie sich für Ihren Strategie– und Maßnahmenplan orientieren:

Zutrittskontrolle:

Hierbei soll verhindert werden, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben. Dies kann z. B. durch einen Pförtner, oder eine Alarmanlage sichergestellt werden.

Zugangskontrolle:

Hierbei soll verhindert werden, dass Unbefugte Zugang auf die Datenverarbeitungsanlagen haben. Das können Sie z. B. mit einem Passwort- oder Verschlüsselungsverfahren umsetzen.

Zugriffskontrolle:

Hiermit stellen Sie sicher, dass nur befugte Mitarbeiter auf Daten zugreifen und sie lesen können. Auch das Verändern von Daten, das Kopieren oder Entfernen darf nur durch autorisierte Mitarbeiter stattfinden. Dazu können Sie ein Berechtigungskonzept entwickeln, bei dem bestimmte Zugriffsregeln für einzelne Benutzer oder Benutzergruppen gelten.

Weitergabekontrolle:

Es muss gewährleistet sein, dass Daten, die auf elektronischem Wege übermittelt werden, nicht unbefugt gelesen, kopiert, entfernt oder verändert werden. Beispielsweise mit einer zusätzlichen Verschlüsselung der einem Virtual Private Network.

Eingabekontrolle:

Bei der Eingabekontrolle muss nachträglich überprüft werden können, ob und wer Daten geändert oder entfernt hat (Protokollierung).

Auftragskontrolle:

Stellen Sie sicher, dass Daten, die in Ihrem Auftrag verarbeitet werden, auch nur gemäß Ihrer Anweisung verarbeitet werden (Vertrag zur Auftragsverarbeitung).

Verfügbarkeitskontrolle:

Mit einem Datensicherungs- bzw. Backup-Plan sowie einen funktionierenden Firewall sichern Sie sich gegen die Zerstörung oder den Verlust von Daten ab.

Trennungsgebot:

Daten, die zu unterschiedlichen Zwecken erhoben wurden, müssen separat verarbeitet werden (Trennung der Systeme).

Digitales Compliance-Management Tool

Mit dem passenden Compliance-Management können Unternehmen ihren Datenschutz koordinieren und so Risiken vermeiden oder auf ein Minimum reduzieren.

Am effektivsten können Sie ihre Compliance-Strategie mit einem digitalen Tool festhalten, kontrollieren und dokumentieren, das Ihnen bei Bedarf auch Berichte auf Knopfdruck ausgibt. Wir als SAVISCON GmbH bieten mit unserem GRC-COCKPIT ein solches Tool an. Kontaktieren Sie uns gerne für eine individuelle Beratung und ein maßgeschneidertes Angebot:

Mehr zum Thema Datenschutz-Management in unserem Blog:

Sinnbild AVV unterschreiben