Do´s and Don´ts der Datenschutzgrundverordnung

Die EU-Datenschutzgrundverordnung kommt am 25.5.2018 und die wenigsten sind vorbereitet. Durch das Marktortprinzip (Ort des Anbietens von Waren und Dienstleistungen) sind alle Unternehmen von der er neuen DSGVO betroffen, die in der EU zur Erreichung Ihres Geschäftszieles personenbezogene Daten vollständig oder teilweise automatisch verarbeiten. Eine wesentliche Neuerung der DSGVO ist die nachhaltige Erhöhung möglicher Bußgelder bis zu € 20 Mio. oder 4% des weltweiten Jahresumsatzes.

Folgende sechs Felder der EU-Datenschutzgrundverordnung (DSGVO) können Geschäfts-führern oder IT-Verantwortlichen (CIOs) in Unternehmen „den Schlaf rauben“. Wer aber folgende Do´s and Don´ts beachtet, ist auch nach dem 25.5.2018 auf der sicheren Seite und kann ruhig schlafen:

Don´ts:
So gut wie alle Unternehmen benötigen einen Datenschutzbeauftragten; dieses ist verpflichtend, wenn die nach Artikel 37 DSGVO festgelegten Voraussetzungen erfüllt sind oder mindestens 10 Mitarbeiter Zugriff auf die personenbezogenen Daten haben. Die Kontaktdaten des Datenschutzbeauftragten müssen allen Betroffenen bekannt gegeben sein.

Sollte ein Unternehmen heute noch nicht über ein Verfahrensverzeichnis (zukünftig Verarbeitungsverzeichnis) sowie eine durch Datenschutzberichte nachweisbare Historie zum Thema Datenschutz haben wird es höchste Zeit, diese Dinge aufzubauen.

Unternehmen, die personenbezogene Daten speichern, müssen neben dem Nachweis zum berechtigten Interesse an deren Verarbeitung auch über dokumentierte Einwilligungs-erklärungen aller Betroffenen verfügen.

Die Verarbeitung und Speicherung von Daten durch Dritte (Sourcing, Cloud) muss bereits heute durch belastbare Auftragsdatenverarbeitungs-Verträge (§11 BDSG, Artikel 28 DSGVO) abgesichert werden. Die in solchen Verträgen zu hinterlegenden Regelungen werden deutlich intensiviert.

Die Behandlung von sensitiven Daten (i.e. Gesundheit, Religion etc…) ist ebenfalls neu geregelt und erfordert bei deren Verwendung eine nachhaltige Prüfung hinsichtlich Artikel 9 der DSGVO. Die Speicherung sensitiver Daten sollte in der Regel vermieden werden.

Datenschutzverstöße müssen ab dem 25.05.2018 innerhalb von 72 Stunden der nationalen Aufsichtsbehörde gemeldet werden. Alle betroffenen Personen sind hierüber zu informieren und über das entstandene Risiko aufzuklären

Do‘s:
Wo immer möglich sollten die Daten anonymisiert werden. Die Pseudonymisierung von Daten führt nicht dazu, dass die Daten nicht länger als personenbezogene Daten angesehen werden. Bereits jetzt sollte jedes Unternehmen die für die Erfüllung der mit der DSVGO verbundenen Informationspflichten (Datenpannen) und Betroffenenrechte (Auskunft, Löschung; Vergessen werden, Datenübertragbarkeit, Widerspruch, Verarbeitungseinschränkung) notwendigen Prozesse und Verfahren sowohl für die interne als auch für die externe Kommunikation etablieren, um Erfahrungen zu sammeln und 2018 nicht in Schwierigkeiten zu geraten.

Alle Geschäftsbeziehungen mit dem Charakter der Auftragsdatenverarbeitung sollten durch entsprechende Verträge (§11 BDSG, Artikel 28 DSGVO) unterlegt werden. Bereits geschlossene ADV-Verträge sind hinsichtlich der DSGVO zu überprüfen.

Jedes Unternehmen sollte bereits jetzt über eine lückenlose Dokumentation der Zutritts-, Zugangs- und Zugriffskontrolle verfügen. Eine regelmäßig durch Tests nachgewiesene Einhaltung der für personenbezogene Daten geltenden Schutzprinzipien (Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit) ist ebenfalls notwendig.

Handeln Sie jetzt, bevor Sie gezwungen werden
Das Verfahren der Vorabkontrolle eines Systems (vor dessen Einführung und bei jedem Change) zur Erfassung und/oder Speicherung von personen-bezogenen Daten sollte ebenfalls dokumentiert und durch entsprechende Protokolle nachgewiesen werden.

Eine Checkliste für die 6 relevanten Felder finden Sie unter:
https://www.scopar.de/fileadmin/media/download/IT-Beratung/SCOPAR-S-DSGVO-Datenschutzgrundverordnung-2018-Beratung.pdf

von Peter K. Albrecht, Mitglied des Beratergremiums der SCOPAR GmbH