Worum geht es in der DSGVO?
Ziel der DSGVO ist der Schutz personenbezogener Daten. Weil die bisherigen Bestimmungen nicht dazu geführt haben, das in den meisten Unternehmen irgendetwas in dieser Richtung passiert, sind die neuen Regelungen sehr viel konkreter – und im Schadensfall mit schmerzhafteren Strafen für die Nichteinhaltung belegt.
Kurz zusammengefasst geht es in der DSGVO einfach nur darum, dass Sie sich Gedanken machen,
- bei welchen Abläufen im Unternehmen Sie
- aus welchem Rechtfertigungsgrund
- welche Arten von personenbezogenen Daten verarbeiten,
- ob Sie sich dazu Dritter bedienen,
- wie Sie diese Daten speichern,
- welches Risiko dabei jeweils besteht und
- mit welchen technischen Maßnahmen Sie diese Daten entsprechend dem festgestellten Risikoniveau schützen.
Formale Anforderungen
- Ihre Überlegungen und Feststellungen sowie die ergriffenen Maßnahmen müssen Sie in vorgegebener Form dokumentieren.
- Unnötige Nutzungen personenbezogener Daten ohne ausreichenden Rechtfertigungstatbestand müssen Sie einstellen.
- Dort, wo der gegenwärtige Schutz nicht ausreicht, müssen Sie tätig werden und den Schutz verbessern.
Was sind personenbezogene Daten?
Personenbezogene Daten sind zum Beispiel:
- Personaldaten ihrer Mitarbeiter
- Bewerbungen
- Ansprechpartnerdaten Ihrer Geschäftspartner (Namen, Mailadressen, Telefonnummern, Anschriften etc.)
- Kreditkartendaten und ähnliches
- Alle personenbeziehbaren Daten aus ihren Geschäftsprozessen, wenn Sie für private Kunden arbeiten, z.B. medizinische Daten, Kaufhistorie, Interessen
- Empfängerlisten von Newslettern
- Website-Logs (sofern nicht anonymisiert)
Vorsicht – die Bedrohung ist ungezielt
Leider ist die größte Gefahr meist gar nicht, dass Sie gezielt angegriffen werden, sondern dass Sie Opfer einer ungezielten, internetweiten „Schleppnetz“-Kampagne zur Erbeutung personenbezogener Daten werden oder einfach ein Versehen aus mangelndem Sicherheitsbewusstsein bei einem Mitarbeiter passiert. „Wir sind doch kein lohnendes Ziel“ ist also keine praktikable Ausrede für Nichtstun.
Die DSGVO als Chance
Die IT-Sicherheit ist auch aus Unternehmenssicht extrem wichtig – und bisher oft nicht ausreichend umgesetzt. Begreifen Sie die DSGVO daher durchaus auch als Chance: wenn Sie personenbezogene Daten identifizieren und schützen, können Sie das bei der Gelegenheit gleich für Ihre sonstigen Daten auch tun – die Schutzmechanismen sind die gleichen.
Schutzmaßnahmen
Maßnahmen zum Schutz könnten zum Beispiel sein:
- Bedarfsorientierte Rechtevergabe auf Daten, Dokumente, Verzeichnisse, Anwendungen statt „alle dürfen weil es so einfacher ist“
- Regelungen treffen, wer wir mit welchen Daten arbeiten darf und wie damit umzugehen ist
- Einführung von technischen Maßnahmen zu Device Control und Data Leakage Prevention, so dass Daten nicht mehr einfach aus dem Unternehmen „mitgenommen“ werden können
- Verschlüsselung von personenbezogenen Daten unabhängig von der technischen Netzadministration
- Verschlüsselung des Email-Verkehrs
- Absicherung der Firewall durch restriktive Konfiguration
- Einführung von Verfahren zur Erkennung von Spähangriffen
- Verbesserung des Sicherheitsbewusstseins Ihrer Anwender durch Workshops
Bei der Umsetzung dieser Schutzmaßnahmen beraten und unterstützen wir Sie natürlich gerne.
Achtung Auftragsdatenverarbeitung
Besondere Beachtung erfordert es, wenn Sie personenbezogene Daten für Ihre Kunden im Auftrag verarbeiten oder wenn Sie selbst sich zur Verarbeitung personenbezogener Daten Dritter Unternehmen bedienen. Hierfür gilt dann der Tatbestand der „Auftragsdatenverarbeitung“ – entsprechende Vertragliche Regeln sind hier in beiden Fällen verpflichtend zu treffen, die bestimmten Anforderungen genügen müssen.
Auch für Daten, die Sie außer Haus verarbeiten lassen, sind Sie sicherheitstechnisch verantwortlich. Achtung – Auftraggeber und Auftragnehmer haften neuerdings bei Datenschutzvorfällen gemeinsam (gesamtschuldnerisch) gegenüber geschädigten Personen! Achten Sie daher darauf, in ihren ADV-Verträgen die Zuständigkeiten und Verantwortungsbereiche klar zu regeln, damit Sie im Innenverhältnis im Schadensfall eine klare Rechtslage haben.
Weitere vertiefende Informationen zur DSVGO
Weitere vertiefende Informationen, Anweisungen, Vorlagen etc. möchten wir hier nicht zum x-ten Male wiederholen, sondern empfehlen Ihnen die Lektüre folgender Seiten bzw. Dokumente:
- Die Bitkom bietet ein umfangreiches PDF-Dokument mit den wichtigsten Fragen und Antworten zur EU-DSGVO – für den Einstieg in das Thema stellt es praktisch eine Art Pflichtlektüre für die Unternehmensverantwortlichen dar:
https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/161109-EU-DS-GVO-FAQ-03.pdf - Auf der Website der Bitkom werden weitergehende Leitfäden zu den jeweiligen Themen (Verarbeitungsverzeichnis, Risikoabschätzung Auftragsverarbeitung etc.) zum Download angeboten:
https://www.bitkom.org/Themen/Datenschutz-Sicherheit/Datenschutz/EU-DSGVO/Datenschutzkonforme-Datenverarbeitung.html
Darin enthalten sind auch konkrete Beispiele für Verarbeitungsverzeichnisse und eine Mustervertragsanlage zur Auftragsverarbeitung. - Einen guten Überblick gibt die Website „eRecht24“:
https://www.e-recht24.de/datenschutzgrundverordnung.html
Dort kann man Mitglied werden und sich mit Hilfe eines Generators ein rechtssicheres Impressum bzw. eine rechtssichere Datenschutzerklärung generieren lassen.
Inhaltsverzeichnis:
- Was ist die Datenschutzgrundverordnung? (Video)
- Gilt die EU-DSGVO eigentlich schon?
- Für wen gilt die DSGVO?
- An wen wendet man sich bei Verstößen?
- Wichtig für alle Händler: Was ist denn nun neu?
- Neue und alte Grundsätze
- Recht auf Vergessenwerden
- Recht auf Datenübertragbarkeit (Datenportabilität)
- Auch neu: Die Rechenschaftspflicht
- Einwilligungen einholen