Datenschutz im Sinne der EU-DSGVO

Datenschutz im Sinne der EU-DSGVO

Datenschutz im Sinne des EU-DSGVO

Nach einer Übergangszeit von zwei Jahren ist am 25. Mai 2018 in allen Mitgliedstaaten der EU die Datenschutzgrundverordnung (EU-DSGVO) endgültig in Kraft getreten. Sie verpflichtet Unternehmen und öffentliche Einrichtungen, die personenbezogene Daten teilweise oder vollständig automatisch verarbeiten, dazu, die Grundsätze der EU-DSGVO anzuwenden. Dies gilt auch für Partnerunternehmen, die als sogenannte auftragsverarbeitende Unternehmen für das Hauptunternehmen eine Dienstleistung erbringen und deshalb dessen Daten verarbeiten müssen. Klassische Beispiele sind eine Marketing-Agentur, ein Zulieferdienst oder eine Anwaltskanzlei. Wird ein Verstoß ermittelt und offengelegt, drohen den Unternehmen teilweise hohe Strafen, die bis zu 20 Millionen Euro oder 4% des globalen Vorjahresumsatzes der Organisation betragen können.

Zur Präzisierung und Ergänzung der EU-DSGVO, d.h. für ihre konkrete Anwendbarkeit nach deutschem Recht, wurde das nationale Bundesdatenschutzgesetz (BDSG neu) gleichzeitig überarbeitet. Auch wenn die Regulierungen, die in der EU-DSGVO festgelegt wurden, eine höhere Priorität haben, kann das BDSG neu bei einer fehlenden oder unvollständigen Regelung der EU-DSGVO Ergänzungen vorsehen. Sieht die EU-DSGVO gar keine Regelung für einen bestimmten Sachverhalt vor, kann dieser bei Bedarf im neuen BDSG formuliert werden. In diesem Fall gilt diese neue Regelung allerdings ausschließlich in Deutschland.

Um personenbezogene Daten im Sinne des DSGVO ausreichend schützen zu können, müssen die Maßgaben des Artikels 24 der EU-DSGVO erfüllt werden. In diesem Artikel wird festgelegt, dass Organisationen und Unternehmen dafür die Verantwortung tragen, dass alle organisatorischen und technischen Möglichkeiten ergriffen werden, um einen Schutz der personenbezogenen Daten zu gewährleisten und einen lückenlosen Nachweis darüber zu erbringen, dass eine Verarbeitung gemäß der EU-DSGVO erfolgt ist. Artikel 32 DSGVO spielt hier eine ergänzende Rolle. Er legt fest, dass das Risiko der Datenverarbeitung für Betroffene angemessen sein muss, was auch impliziert, dass eine Verarbeitung den aktuellen Stand der Technik, die anfallenden Implementierungskosten und die Schwere des Risikos berücksichtigen muss.

Umsetzung der Vorschriften der EU-DSGVO im Unternehmen

Für die Umsetzung der Grundlagen der EU-DSGVO sollten ja nach Art und Umfang der Daten Datenschutzbeauftragte bestellt werden, die sich sowohl mit den technischen als auch mit den rechtlichen Aspekten auskennen. Kleinere und mittelständische Unternehmen, abgekürzt KMU, die aufgrund der Unternehmensgröße oder ihres Umsatzes keinen Datenschutzbeauftragten beschäftigen, sollten sich unbedingt die Unterstützung von einem externen Datenschutzexperten besorgen.

Einer der wichtigsten Faktoren ist die Etablierung einer organisationsweit geltender IT-Richtlinien, die helfen, die Sicherheit der Unternehmensdaten zu gewährleisten, indem beispielsweise vor dem Zugriff durch Unbefugte geschützt werden. Alle Mitarbeiter und Auszubildende haben sich an die eingeführten IT-Richtlinien zu halten, um sicherzustellen, dass einem Datenverlust vorgebeugt wird. Im Allgemeinen gelten Mitarbeiter als größtes Risiko für die Gefährdung der Informationssicherheit – also den Schutz von allen gespeicherten Informationen vor Missbrauch – und eine mangelhafte Informationssicherheit – also einen mangelnden Schutz des gesamten Datenmaterials einer Organisation. Außerdem sollten die Mitarbeiter aufgerufene Daten vor fremden Blicken schützen und haben durch die Verwendung sicherer Passwörter dafür zu sorgen, den unbefugten Zugriff durch Dritte zusätzlich zu erschweren.

Auch die Organisation selbst sollte ihre IT-Infrastruktur bestmöglich abzusichern. So sollte es eine hochwertige Antiviren-Software und eine Firewall einsetzen, um die Angriffe von Hackern oder das Einschleusen von Viren zu verhindern. Außerdem sollte das Unternehmen dafür sorgen, dass alle Sicherheitsmaßnahmen kontinuierlich erneuert und angepasst werden. Ideal ist die Implementierung eines kontinuierlichen Verbesserungsprozesses.

Neuheit bei der EU-DSGVO: Die Datenschutz-Folgenabschätzung

Organisationen, die besonders sensible Daten einer Person verarbeiten – beispielsweise Daten über das Geschlecht, fehlender Kreditwürdigkeit, den aktuellen Gesundheitszustand oder Vorstrafen – haben eine besondere Verantwortung im Sinne des EU-DSGVO. Eine Datenschutz-Folgenabschätzung nach Artikel 35 der EU-DSGVO kann als Risikoanalyse angesehen werden, die vom gesamten Unternehmen, nicht von dem Datenschutzbeauftragten allein durchzuführen ist. Sie besteht aus einer systematischen Beschreibung der vorgesehenen Verarbeitungsvorgänge der Daten einschließlich ihres Zwecks. Sie muss eine klare Formulierung darüber enthalten, ob die Art und der Umfang der Datenerhebung sowie der Zweck der Erfassung und Verarbeitung der Daten in diesen speziellen Fall notwendig und angemessen ist.

Anschließend ist eine realistische Bewertung vorzunehmen, um herauszufinden, inwieweit die Verarbeitung der Daten ein Risiko für die Rechte und Freiheiten der Betroffenen darstellt. Es werden die sogenannten Abhilfemaßnahmen ergänzt, die helfen, mögliche negative Effekte für die Betroffenen zu verringern. Solche Abhilfemaßnahmen umfassen verschiedene Methoden zur Steigerung des Schutzes der personenbezogenen Daten. Die Verantwortlichen haben die Pflicht, diese Maßnahmen einzuhalten und schriftlich niederzulegen.

IT-Security – Grundvoraussetzung für den Datenschutz

Besonders die physikalische IT-Infrastruktur, also die jeweiligen Endgeräte und die IT-Systeme, sind der Berührungspunkt, sogenannte Endpunkte (engl. Endpoints) von Datenschutz nach EU-DSGVO und der IT-Security eines Unternehmens. Denn um die Sicherheit gewährleisten zu können, sollten die Endgeräte dem aktuellen Stand der Technik entsprechen. Die Unternehmen sollten also dafür sorgen, dass sie veraltete Computer oder Server durch neue Geräte ersetzen, um die modernen Sicherheitstechniken nutzen zu können. Um die Integrität der Daten zu erhalten und ihre Vertraulichkeit abzusichern, müssen die Unternehmen alles daransetzen, um die Daten vor dem unbefugten Zugriff Dritter – sei es durch Schadsoftware oder durch Hacking – zu schützen.

Ein weiterer Faktor, die eine nicht zu unterschätzende Gefahr für die Sicherheit der Daten eines Unternehmens darstellen, ist die immer stärker werdende Vernetzung im digitalen Zeitalter. Durch jede neue Verbindung steigt das Risiko, durch ein anderes Gerät mit einem Virus infiziert zu werden. Besonders gefährlich sind Schwachstellen im IT-System, das Arbeiten in der Cloud wiederum kann die Sicherheit der Endgeräte maßgeblich gefährden. Zur Gewährung der Vertraulichkeit, Integrität, Belastbarkeit und Verfügbarkeit der Daten können Sicherheitsmaßnahmen zur Pseudonymisierung und Verschlüsselung des personenbezogenen Datenmaterials über eine Software oder im Betriebs¬system eingesetzt werden.

Einmal ist keinmal in der Absicherung der IT-Infrastruktur, denn die eine Strategie zur Verbesserung der IT-Sicherheit und damit auch des Datenschutzes sollte kontinuierlich weiterentwickelt und angepasst werden. Spiegel eines möglichen Risikos ist die Webseite des jeweiligen Unternehmens, beispielsweise durch einen automatisierten Penetrationstest, die als Mittel der Wahl eingesetzt werden können. Sie simulieren Angriffe über das Netzwerk und können gezielt nach Sicherheitslücken suchen. Ein durchgängiges, aber individuelles Sicherheitskonzept kann dann auch dazu beitragen, einen möglichen Verstoß gegen die EU-DSGVO zu vermeiden.

Fazit: Alle müssen mitmachen

Die IT-Security und die Maßgaben der Einhaltung des Schutzes von personenbezogenen Daten nach der EU-DSGVO ergänzen sich und sollten als Ganzes betrachtet werden. Dazu gehört die Entwicklung und Etablierung eines passenden IT-Sicherheitskonzepts, das immer wieder überprüft und angepasst werden sollte.

Alle Mitarbeiter des Unternehmens sollten sich darüber bewusst sein, dass das Thema IT-Sicherheit nicht nur zum Datenschutz, sondern auch vor Hacking-Attacken und Cybercrime schützt. Daher muss die Thematik immer wieder auf die Agenda gesetzt, Schulungen durchgeführt und die Folgen eines Verstoßes für das Unternehmen formuliert werden. Das Unternehmen selbst sollte im Auge behalten, dass sie Verantwortung tragen und alle notwendigen Maßnahmen ergreifen, um sich vor Datendiebstahl, aber auch vor wirtschaftlichen Schäden zu bewahren.

Ob sich das Datenschutzniveau ein Jahr später nach in Kraft treten der EU-DSGVO in den Unternehmen verändert hat, erfahren Sie hier.

Call Now Button