Es ist soweit. Seit dem 25. Mai 2018 muss die neue Datenschutz-Grundverordnung der EU (DSGVO) bei Unternehmen, Website-Betreiber und in den arbeitsabläufen von Unternehmen integriert sein. Fünf lange Jahre arbeiteten alle EU-Gremien an der DSGVO und den entsprechenden Datenschutzreform. Absolut neu in der  DSGVO ist, das Sie Ihre Daten nicht nur nach dem Datenschutzrecht behandeln müssen, sondern Sie auch die gesetzliche Pflicht haben, Ihre Daten technisch zu schützen. Was mit nichten, vorher der Fall war.

Die Datensicherheit bezieht sich explizit auf den Schutz vor Angreifern, Datendiebstahl, Hackern und sonstigen motivieren zum Beispiel Datenmissbrauch oder Datenmanipulation.

Die Verantwortlichkeit für das Unternehmen, das personenbezogene Daten verarbeitet, wird durch eine Nachweispflicht verdeutlicht, die sich auch in den Bußgeldern bis maximal 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes niederschlägt.

Es ist sinnvoll, sich als Unternehmen jetzt – eine Bestandsaufnahme zu machen und zu prüfen, welche datenschutzrechtlichen Maßnahmen im Unternehmen vorhanden und ob sie mit der DS-GVO kompatibel sind. Insbesondere:
  • Wurde bei den Einwilligungen, die von Kunden und anderen Personen für die Verarbeitung personenbezogener Daten eingeholt wurden, auf ein jederzeitiges Widerrufsrecht hingewiesen? Falls nicht, müsste dies nachgeholt werden.
  • Werden besonders umfangreich Daten verarbeitet oder werden hierfür besondere Technologien eingesetzt, die die Rechte der betroffenen Person besonders gefährden, ist eine Risikobewertung im Rahmen einer Datenschutz-Folgenabschätzung notwendig. Diese muss bei vorhandenen Verarbeitungen nachgeholt werden.
  • Sind mit den IT-Dienstleistern Vereinbarungen zur Auftragsverarbeitung geschlossen worden? Falls ja, müssen sie überprüft werden: Genügen die technisch-organisatorischen Maßnahmen bei dem Dienstleister den Anforderungen an das Schutzniveau der Daten? Auch hier muss eine Risikobewertung durchgeführt werden. Falls solche Vereinbarungen bisher nicht geschlossen wurden, sollten sie jetzt bereits unter Beachtung des neuen Rechts formuliert werden.
Der Transparenz wird große Bedeutung zugemessen. Insofern ist über die wesentlichen Verarbeitungen personenbezogener Daten zu informieren, um den Betroffenenrechten dadurch Genüge zu tun.
Die Nachweispflicht verlangt, dass die notwendigen Dokumente und Prozesse zur Einhaltung der DS-GVO vorhanden sind und eingehalten werden:
  • Gibt es einen Prozess zur Einholung, Dokumentation von Einwilligungen, der mit eventuell eingehenden Widersprüchen verknüpft ist?
  • Wie und von wem werden Auskunftsersuchen beantwortet?
  • Wie werden Verletzungen von Datenschutzrechten („Datenpannen“/IT-Sicherheitsvorfälle) innerbetrieblich behandelt?
Für die Beantwortung aller DSGVO Fragen bieten sich Richtlinien an, die auch im Rahmen eines Compliance-Managements erlassen werden können, oder eine Verknüpfung mit einem vorhandenen Qualitätsmanagement.

Verantwortlichkeit zur DSGVO  liegt bei Geschäftsleitung

Eindeutig ist, dass die Leitung des Unternehmens die Verantwortung für die Umsetzung der DS-GVO trägt. Sie ist nicht auf einen betrieblichen Datenschutzbeauftragten delegierbar.

Bewährte Prinzipien nutzen und DSGVO in den Arbeitsprozess integrieren

Eine Zusammenfassung der Datenschutz-Grundverordnung muss als erstes auf die Veränderungen eingehen, die mit personenbezogenen Daten zusammenhängen. Denn in diesem Bereich finden die größten Veränderungen durch die europäische Datenschutz-Grundverordnung statt: Wenngleich auch nicht in dem Maße, wie ursprünglich geplant, wird der Schutz der Daten von Privatpersonen mit der DSGVO erkennbar gestärkt.

Aber Achtung: Insgesamt enthält die DSGVO nirgends eine grundlegende Neuausrichtung des Datenschutzes – vielmehr bleiben die bereits bekannten Datenschutzprinzipien gültig und werden von der Datenschutz-Grundverordnung fortgeführt und ergänzt.  Sie sind die Grundlage für die Neuregelungen, werden allerdings deutlicher ausformuliert und ausgebaut:

  1. Verbot mit Erlaubnisvorbehalt: Dieses Prinzip meint: Jede Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, der Kunde hat eine Erlaubnis erteilt.  Das Verbotsprinzip einer Datenverarbeitung  gilt nach der DSGVO jedoch unterschiedslos für alle Daten mit Personenbezug sprich Kundenbezug. Auch wenn dies bisher bereits nach der alten Datenschutz Grundverordnung ähnlich ausformuliert war.
  2. Zweckbindung: Unternehmen dürfen Daten nur zweckgebunden erheben und verarbeiten. Dafür müssen zu Beginn der Erhebung die Zwecke ausformuliert und die zukünftige Verwendung der Daten dokumentiert werden. Wenn eine Bestellung in Ihrem Onlineshop bei Ihnen eingeht, dürfen Sie die Daten nur zur Erfüllung des Auftrages verwenden.
  3. Datenminimierung: Das Prinzip der Datenminimierung fordert, dass Unternehmen so wenig Daten wie möglich erheben. Es gilt: So wenig wie möglich, soviel wie nötig. Somit sollten Sie nur Daten speichern, die Sie unbedingt benötigen um einen Auftrag abzuarbeiten. Wenn Sie zum Beispiel eine Schufa Abfrage machen um die Bonität Ihres Kunden zu prüfen, sollten Sie genau dies dem Kunden vorher mitteilen.
  4. Transparenz: Die Datenverarbeitung soll für die Betroffenen nachvollziehbar sein. Dies erfordert einerseits verständliche Datenschutzerklärungen, andererseits erhalten Nutzer mit den Neuerungen der DSGVO umfangreiche Rechte: Jedoch ändert sich an diesem Punkt har nicht soviel Sie müssen dem Kunden lediglich über die gespeicherten IInformationen Informieren.
  5. Daten schützen - Vertraulichkeit wahren: Unternehmen haben dafür zu sorgen, dass sie die personenbezogenen Daten ihrer Kunden technisch und organisatorisch schützen – sei es vor unbefugter Verarbeitung oder Veränderung, vor Datendiebstahl oder Vernichtung. Die ausdrückliche Pflicht zu technischen Schutzmaßnahmen ist neu.  Ein Schutz Ihrer Kundendate wird an diesem Punkt enorm wichtig Wenn Angreifer oder Hacker Ihre Daten stehlen, werden Sie unter umständen selbst zum Täter.

DSGVO - Daten schützen: Die Datensicherheit und die Sicherheit personenbezogener Daten

  • Dokumentationspflicht: Ein Schwerpunkt der Datenschutzgrundverordnung liegt auf der Rechenschaftspflicht von Unternehmen, auch Accountability genannt. Anders als bisher sind Unternehmen verpflichtet, die Datenschutz-Compliance durch eine hausinterne Dokumentation belegen zu können. Sie müssen den Behörden jederzeit durch Vorlage eines entsprechendes Verzeichnisses darlegen können, welche Daten zu welchem Zweck gespeichert und auf welche Weise verarbeitet werden und wann das Unternehmen sie löscht.
  • Privacy by Design: Das Prinzip Privacy by Design bedeutet, dass Unternehmen bereits beim technischen Aufbau ihrer Geschäftsprozesse den Datenschutz berücksichtigen müssen. Sie dürfen Maßnahmen zum Datenschutz technisch nicht erst nachträglich (also zweitrangig) implementieren, sondern müssen sie bereits in der Erarbeitungsphase in den Arbeitsprozess integrieren. Produkte und Prozesse sollen also so konzipiert werden, dass sie mit möglichst wenig personenbezogenen Daten auskommen.
  • Privacy by Default: Diese Vorschrift der Datenschutz-Grundverordnung schreibt vor, dass grundsätzlich die datenschutzfreundlichste Variante technisch voreingestellt sein muss. Das erspart es Verbrauchern, sich durch komplexe technische Einstellungen zu kämpfen, um Beschränkungen der Datenverarbeitung zu erwirken.
  • Erlaubnisgrundlagen (Einwilligung, Betriebsvereinbarung): Auch künftig müssen Individuen der Nutzung ihrer persönlichen Daten in den meisten Fällen ausdrücklich zustimmen. Zudem ist die Einwilligung des Arbeitnehmers oder Verbrauchers nur für den anzugebenden Verwendungszweck gültig. Außerdem muss die Einwilligungserklärung verständlich formuliert und grundsätzlich widerrufbar sein. Der Widerruf muss für den Kunden ebenso einfach sein wie die Einwilligung. Die Anforderungen an eine wirksame Einwilligung sind nach der DSGVO gestiegen. Ein grobes Ungleichgewicht zwischen den Beteiligten kann die Freiwilligkeit ebenso ausschließen, wie die Kopplung der Erteilung an den Vertragsschluss.
  • Löschung von Daten: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Zweck notwendig ist. Erlischt die Verarbeitungsbefugnis (etwa weil die Einwilligung widerrufen oder der Vertrag erfüllt wurde), müssen die Daten gelöscht werden.
  • Auskunftsrecht und Recht auf Löschung: EU-Bürger haben das Recht, auf Anfrage zu erfahren, über welche ihrer Daten ein Unternehmen verfügt und wie es diese verwendet. Außerdem können Verbraucher bei Unternehmen einfordern, ihre Daten zu löschen. Das „Recht auf Vergessenwerden“ wird damit gesetzlich festgelegt.

Das verändert sich mit der neuen Datenschutz-Grundverordnung - Was ist zu tun?

  • Wurde bei den Einwilligungen, die von Kunden und anderen Personen für die Verarbeitung personenbezogener Daten eingeholt wurden, auf ein jederzeitiges Widerrufsrecht hingewiesen? Falls nicht, müsste dies nachgeholt werden.
  • Werden besonders umfangreich Daten verarbeitet oder werden hierfür besondere Technologien eingesetzt, die die Rechte der betroffenen Person besonders gefährden, ist eine Risikobewertung im Rahmen einer Datenschutz-Folgenabschätzung notwendig. Diese muss bei vorhandenen Verarbeitungen nachgeholt werden.
  • Sind mit den IT-Dienstleistern Vereinbarungen zur Auftragsverarbeitung geschlossen worden? Falls ja, müssen sie überprüft werden: Genügen die technisch-organisatorischen Maßnahmen bei dem Dienstleister den Anforderungen an das Schutzniveau der Daten? Auch hier muss eine Risikobewertung durchgeführt werden. Falls solche Vereinbarungen bisher nicht geschlossen wurden, sollten sie jetzt bereits unter Beachtung des neuen Rechts formuliert werden.

Doch was ändert sich dann im Mai 2018 mit der Datenschutz-Grundverordnung der EU? Die wichtigsten Veränderungen für Webseitenbetreiber sind folgende:

  1. Die umfassende Dokumentationspflicht der Datenschutz-Grundverordnung
  2. Die komplexeren Erlaubnistatbestände
  3. Die Grundsätze von Privacy by Design und Privacy by Default
  4. Erweiterte Auskunftsrechte und das Recht auf Löschung
  5. Das Recht auf Datenübertragbarkeit
  6. Deutlich umfangreichere Informationspflichten (z. B. für die Datenschutzerklärung einer Website)
  7. Das Kopplungsverbot bei Einwilligungen
  8. Sehr hohe Bußgelder

Einige Punkte haben wir in den vorherigen Abschnitten bereits erläutert. Die beiden Themen: Datenschutzerklärung und Koppelungsverbot werden im Folgenden dargestellt. Denn sie betreffen hauptsächlich Webseitenbetreiber.

 

Welche Schutzziele sind einzuhalten?

Die Zuordnung erfolgt zur Konkretisierung unter Berücksichtigung der bisher in Paragraf 9 BDSG und seiner Anlage vorgenommenen Definitionen:

1. Vertraulichkeit

  • Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle)
  • Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle).
  • Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle).
  • Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungsgebot).

2. Integrität

  • Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle).
  • Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle/Verarbeitungskontrolle).
  •  Maßnahmen, die gewährleisten, dass die Verfahrensweisen bei der Verarbeitung personenbezogener Daten in einer Weise dokumentiert werden, dass sie in zumutbarer Weise nachvollzogen werden können (Dokumentationskontrolle).
  •  Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle).

3. Verfügbarkeit und Belastbarkeit (Widerstandsfähigkeit/ Resilienz von Systemen/ Diensten)

  • Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle).
  • Maßnahmen die gewährleisten, dass technische Systeme, bei Störungen bzw. Teil-Ausfällen nicht vollständig versagen, sondern wesentliche Systemdienstleistungen aufrechterhalten werden.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der technisch-organisatorischen Maßnahmen

  • Maßnahmen, die die Qualität der technischen und organisatorischen Maßnamen ausreischend testen (beispielsweise Penetrationstests, die in das System eindringen, um Sicherheits- und Schutzlücken aufzudecken).
  • Maßnahmen, die prüfen, ob erstellte Backups zur Wiederherstellung verlorener Daten genutzt werden können.

II. Wie ist der Schutzbedarf festzustellen?

Die Risikobewertung muss abwägen, wie wahrscheinlich ein Schadenseintritt ist und welchen Schaden er mit welchen Auswirkungen beim Betroffenen anrichten könnte. Hierfür werden üblicherweise die drei Schutzklassen „normal“, „hoch“ und „sehr hoch“ verwendet. Diese Zuweisung zu den Schutzklassen muss nicht nur für personenbezogene Daten gelten, sondern kann für alle unternehmensrelevanten Informationen verwendet werden.
  • Die Klassifizierung „normal“ gilt zum Beispiel für alle internen Datenverarbeitungen beziehungsweise für Daten, die aus allgemein zugänglichen Quellen stammen. Das Risiko für den Betroffenen ist tolerabel.
  • Hoch“ ist ein Schutzbedarf für Daten, die einen gewissen Vertraulichkeitsgrad erfüllen müssen, weil eine erhebliche Beeinträchtigung der Rechte des Betroffenen möglich ist.
  • Ein „sehr hohes“ Schutzniveau ist zu gewährleisten, wenn eine besonders bedeutende Beeinträchtigung zu befürchten ist.
Welche Maßnahmen müssen ergriffen werden?
Die technischen und organisatorischen Maßnahmen müssen im Verhältnis zum Risiko stehen. Hierbei sind folgende Punkte zu berücksichtigen:
  • Geeignetheit der Maßnahmen
  • Stand der Technik
  •  Kosten der Implementierung
  • Aufwand
Nach der DS-GVO gibt es einige Maßnahmen wie:
  • Pseudonymisierung
  • Verschlüsselung
  • Die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste auf Dauer sicherzustellen
  • Die Verfügbarkeit und den Zugang zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall schnell wiederherzustellen
  • Ein Verfahren einzurichten, das eine regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technisch-organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gewährleistet
  • Sicherstellung, dass die Mitarbeiter, die personenbezogenen Daten verarbeiten, dies nur entsprechend ihrer Aufgabenerfüllung auf Anweisung des Verantwortlichen tun.

Ein tieferer Blick: MINIMISEHIDESEPARATEAGGREGATEINFORM und was sonst wichtig ist: Privacy by Design / Privacy by Default

  1. MINIMISE: Bei diesem Punkt geht es um die Forderung nach Datensparsamkeit. Es sollen keine oder zumindest keine unnötigen personenbezogenen Daten gesammelt und ihre Verarbeitung auf ein Minimum beschränkt werden. Wichtig ist daher also immer die Beantwortung der Frage, ob die Verarbeitung personenbezogener Daten zur Erreichung des jeweiligen Zwecks erforderlich ist oder ob dieser nicht auch auf anderem Weg erreicht werden kann.
  2. HIDE: Der Grundgedanke dieser Strategie ist es, einem Missbrauch personenbezogener Daten in der Form entgegen zu wirken, dass diese schlicht nicht mehr zur Kenntnis genommen werden können. Ziel ist dabei die Schaffung von Unverfolgbarkeit, Unbeobachtbarkeit sowie Unverknüpfbarkeit. An dieser Stelle spielen also beispielsweise die Pseudonymisierung und Anonymisierung personenbezogener Daten eine entscheidende Rolle.
  3. SEPARATE: Diese Empfehlung bezieht sich auf eine verteilte Datenhaltung, sprich Daten zu einer Person sollen möglichst an verschiedenen Orten gespeichert und verarbeitet werden. So kann die Erstellung umfassender Profile verhindert werden.
  4. AGGREGATE: An dieser Stelle geht es darum, dass personenbezogene Daten so früh wie möglich zu Gruppen zusammengefasst werden sollten. Die Rückschlussmöglichkeiten auf einzelne Personen können so minimiert beziehunsweise gänzlich ausgeschlossen werden.
  5. INFORM: Dieser Punkt spiegelt den datenschutzrechtlichen Grundsatz der „Transparenz“ wider. Wenn Personen ein System verwenden, so sollen sie darüber informiert werden, welche Daten über sie gesammelt werden, zu welchem Zweck und mit welchen Technologien. Auch sind sie darüber zu informieren, wie die Daten geschützt werden und ob eine Datenweitergabe an Dritte erfolgt. Ferner ist von Bedeutung, dass sie über ihre Datenzugriffsrechte informiert werden und wie sie diese ausüben können.
  6. CONTROL: Hier geht es um den Aspekt, dass Personen die Kontrolle über diejenigen Daten behalten sollen, welche über sie gesammelt werden. Faktoren wie zum Beispiel die Bearbeitung von Datenschutzeinstellungen über Benutzeroberflächen sowie eine insgesamt benutzerzentrierte Gestaltung spielen dabei eine maßgebliche Rolle.
  7. ENFORCE: Es sollte eine den rechtlichen Anforderungen entsprechende Datenschutzrichtlinie, sprich ein Regelwerk zum Schutz der Privatsphäre der betroffenen Personen vorhanden sein, die auch faktisch umgesetzt wird. Dies impliziert zumindest, dass geeignete technische Schutzmechanismen vorhanden sind, die Verletzungen der Daten verhindern.
  8. DEMONSTRATE: Bei dieser Strategie geht es darum, den Nachweis darüber zu führen, wie datenschutzrechtliche Vorgaben effektiv in das IT-System implementiert worden sind. Diese Strategie geht damit also einen Schritt weiter als die ENFORCE-Strategie.

Datenschutzfolgenabschätzung: Mindestinhalt einer Datenschutz-Folgenabschätzung

Die Datenschutz-Grundverordnung (DSGVO) regelt die Rahmenbedingungen für Datenschutz und Datensicherheit. Hierbei führt sie für die Verarbeitung von personenbezogenen Daten einen risikobasierten Ansatz ein. Dies bedeutet: Je risikoreicher und schadensgeneigter eine Verarbeitung von Daten für Betroffene sein kann, umso höhere Anforderungen stellt die DSGVO an die Anwendung. Immer dann, wenn eine Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder ein sehr hohes Risiko zur Folge hat, hat der Verantwortliche vor deren Einführung eine sogenannte Datenschutz-Folgenabschätzung‎ (DSFA) vorzunehmen und zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte. Über das Instrumentarium der DSFA sollen Risiken beschrieben, bewertet und reduziert werden.
Diesen legt die DSGVO wie folgt fest
  1. Systematische Beschreibung der Verarbeitungsvorgänge und Zwecke
  2. Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Verhältnis zum Zweck der Verarbeitung
  3. Risikobewertung
  4. Geplante Abhilfemaßnahmen zur Bewältigung der Risiken
Verbleibt ein (sehr) hohes Restrisiko, bedeutet dies Folgendes:
  • Der Verantwortliche hat eine DSFA durchzuführen.
  • Ferner hat er vor einem Einsatz einer derartigen Datenverarbeitung die zuständige Datenschutzaufsichtsbehörde zu konsultieren und
  • deren Entscheidung (Einsatz nur nach Ergreifung weiterer Schutzmaßnahmen, Verbot der geplanten Verarbeitung) zu beachten.

Rolle des Datenschutzbeauftragten

Hat eine verantwortliche Stelle freiwillig oder aufgrund gesetzlicher Vorgabe einen betrieblichen Datenschutzbeauftragten bestellt, so legt die DSGVO bezogen auf DSFA Folgendes fest:
  • Die verantwortliche Stelle hat den Rat des Datenschutzbeauftragten einzuholen.
  • Zu den Aufgaben eines Datenschutzbeauftragten gehört auf Anfrage die Beratung im Zusammenhang mit der Durchführung einer DSFA und die Überwachung ihrer Durchführung.

Prozessschritte einer DSFA

  1. DSFA-Team erstellen
  2. Beurteilungsumfang festlegen (Beschreibung des Verarbeitungsvorgangs, inklusive der Datenflüsse und Zwecke der Verarbeitung in Abgrenzung zu ‎anderen (Geschäfts-)Prozessen
  3. Betroffene und Akteure identifizieren (Datenschutzbeauftragten, Betriebsrat und gegebenenfalls Betroffene einbinden)
  4. Prüfung der Notwendigkeit/Verhältnismäßigkeit bezogen auf den ‎Verarbeitungszweck
  5. Rechtsgrundlagen für die Verarbeitung prüfen und dokumentieren
  6. Risikoquellen identifizieren (Beweggründe, Ziele, Eintrittswahrscheinlichkeit
  7. Risikobewertung unter Berücksichtigung ‎möglicher physischer, materieller oder immaterieller Schäden, ‎deren Schwere sowie ‎Eintrittswahrscheinlichkeit
  8. Auswahl geeigneter Abhilfemaßnahmen, unter anderem ‎durch technische und organisatorische Maßnahmen (toMs)‎
  9. verbleibende Restrisiken eruieren und dokumentieren
  10. DSFA-Bericht erstellen
  11. Abhilfemaßnahmen umsetzen
  12. Abhilfemaßnahmen auf Wirksamkeit testen
  13.  Dokumentation des DSFA-Berichts (zum Beispiel im sogenannten Verzeichnis von Verarbeitungstätigkeiten) und ‎der Überprüfung der Wirksamkeit der Maßnahmen
  14. Freigabe der Verarbeitungsvorgänge
  15. DSFA fortschreiben bei Aktualisierungsbedarf.
  • Scoring und Evaluierung, inklusive Profilbildung und Vorhersagen
  • Automatisierte Entscheidungen mit rechtlicher oder im Gewicht vergleichbarer Wirkung
  • Systematische Beobachtung (zum Beispiel von Arbeitsplätzen)
  • Sensible Daten
  • Datenverarbeitung in großem Umfang
  • Datensätze, die abgeglichen oder kombiniert werden
  • Daten von besonders schutzbedürftigen Personen (Beispiel: Arbeitnehmer, Kinder)
  • Innovative Nutzung oder Verwendung von technologischen und organisatorischen Lösungen (z. B. eine Kombination aus Fingerabdruckscan und Gesichtserkennung)
  • Betroffene können ein Recht oder eine Dienstleistung ohne vorgeschaltete Datenverarbeitung nicht in Anspruch nehmen (Beispiel: Eine Bank verlangt die Durchleuchtung von Daten eines potenziellen Kreditkunden vor einer Entscheidung über einen Vertragsabschluss)

Schaden

Ein Mensch kann durch eine Datenverarbeitung physische, materielle und immaterielle Schäden erleiden. Bezogen auf die geplante Anwendung ist zu klären, welche Schäden aus der Datenverarbeitung für Betroffene resultieren können. Beispielhaft nennt die DSGVO hier
  • Diskriminierung
  • Identitätsdiebstahl
  • Rufschädigung
  • Finanzieller Verlust
  • Hinderung der Kontrolle über eigene Daten
  • Profilbildung mit Standortdaten
Wer personenbezogene Daten verarbeiten will, ist verpflichtet, im Verhältnis zum Risiko nach dem Stand der Technik angemessene (nicht: neueste und teuerste) Maßnahmen zum Schutz der Daten zu ergreifen, diese regelmäßig, bei Bedarf sogar unverzüglich zu überprüfen und erforderlichenfalls upzudaten. In der Regel handelt es sich um eine Kombination aus
  • organisatorischen Maßnahmen (zum Beispiel Datenschutzschulung von Mitarbeitern, interne Regelungen zum Datenschutz, Notfallkonzept) und
  • technischen Maßnahmen (zum Beispiel Einsatz von Firewall und Virenscanner und deren zeitgemäßer Update, Verschlüsselung von Daten).

Nachweise erbringen (Dokumentation!)

Die Durchführung einer DSFA ist eine gesetzliche Pflicht. Deren Einhaltung müssen verantwortliche Stellen nachweisen. Der Nachweis ist Bestandteil der Rechenschaftspflicht. Diese verpflichtet verantwortliche Stellen, alle Vorgaben der DSGVO einzuhalten, wirksam umzusetzen, zu überprüfen und bei Bedarf nachzubessern.
Zu dokumentieren sind:
  • die Durchführung und das Ergebnis einer Risikobewertung (normales, hohes, sehr hohes Risiko) und
  • eine daraus abzuleitende DSFA
Führen geeignete technische und/oder organisatorische Maßnahmen dazu, dass für die Daten Betroffener ein (sehr) hohes Risiko in ein normales Risiko reduziert werden kann, ist keine DSFA durchzuführen. So muss ein hoher Schutzbedarf (zum Beispiel biometrische Daten, Personalaktendaten) für sich allein nicht zwingend zu einem hohen Risiko führen, sondern nur dann, wenn gleichzeitig die Eintrittswahrscheinlichkeit für einen Vorfall hoch ist.

Maßnahmen: DSGVO für Unternehmen und Webseitenbetreiber

Möchte man mit der Umsetzung der neuen europäischen Datenschutz-Grundverordnung beginnen, gilt zunächst: Die erforderlichen Maßnahmen fallen je nach Unternehmen unterschiedlich aus. Eine allgemeine Liste die Sie im Internet finden ist fachlich nicht korrekt und gänzlich unseriös. Allgemeine Aussagen lassen sich jedoch trotzdem treffen:

 

  • Etablieren Sie Dokumentationsprozesse für den Umgang mit personenbezogenen Daten.
  • Richten Sie ein Verzeichnis der Verarbeitungstätigkeiten ein.
  • Richten Sie Kommunikationsrouten für Kunden-Anfragen zum Datenschutz ein.
  • Prüfen Sie, ob Sie einen Datenschutzbeauftragten beauftragen müssen.
  • Passen Sie die Datenschutzerklärung auf Ihrer Website an die Neuregelungen an.
  • Beraten Sie sich mit dem Leiter Ihrer Technikabteilung und dem Datenschutzbeauftragten, ob die aktuellen technischen Maßnahmen zum Datenschutz ausreichen. Unter Umständen müssen weitere Maßnahmen eingeleitet oder bestehende Maßnahmen besser in die IT-Infrastruktur integriert werden.
  • Alle erhobenen personenbezogenen Daten, die gegen das Kopplungsverbot verstoßen, müssen fortan anders eingeholt und als freiwillig ausgegebene Daten erhoben werden.
  • Falls Sie externe Dienstleister damit beauftragt haben, personenbezogene Daten für Ihr Unternehmen zu verwalten, sollten Sie mit ihnen klären, ob die getroffenen Vereinbarungen der Datenschutzreform entsprechen. Passen Sie die Vereinbarungen gegebenenfalls den neuen Vorgaben an.
  • Überprüfen Sie, wie Sie in Ihrem Onlineshop die Einwilligungen Ihrer Kunden einholen und passen Sie die Vorgehensweise an die Regelungen der Datenschutz-Grundverordnung an.
  • Bleiben Sie aufmerksam, was die E-Privacy-Verordnung angeht: Sie wird künftig regeln, wie Onlinehändler mit Analyse- und Trackingtools umgehen.
  • Falls Sie unsicher sind, nutzen Sie entsprechende professionelle Beratung.

 

Vielen Dank für Ihr Interesse

Ihr Adrian Janotta