Expertentipps
EU-DSGVO - höchste Zeit zu handeln
Fortsetzung des Artikels von Teil 2
Das Recht auf Vergessenwerden
Die Löschpflichten: Das sichere und vollständige Löschen von personenbezogenen Daten ist noch umfassender geregelt. Neben der allgemeinen Verpflichtung, Daten unter bestimmten Voraussetzungen auf den eigenen Systemen zu löschen, beispielsweise wenn sie zur Zweckerreichung nicht mehr erforderlich sind, müssen Unternehmen zukünftig weitere Schritte unternehmen, um dem „Recht auf Vergessenwerden“ im Zeitalter des Internets stärkere Geltung zu verschaffen. So müssen sie, falls sie die Daten öffentlich gemacht haben, angemessene Maßnahmen ergreifen, um andere Unternehmen, die die Daten verarbeiten, zu identifizieren und sodann über das Löschbegehren zu informieren.
Unsere Empfehlung: Sofern noch nicht vorhanden, sollte jedes Unternehmen für seine Datenverarbeitungsprozesse ein klares Löschkonzept vorweisen können. Wie genau die erweiterten Löschverpflichtungen in der DSGVO in der Praxis umgesetzt werden sollen, ist bislang noch weitgehend unklar. Allen Unternehmen, die regelmäßig personenbezogene Daten öffentlich machen, wird daher empfohlen, die aktuellen Entwicklungen in diesem Bereich aufmerksam zu verfolgen. Dies betrifft insbesondere die Stellungnahmen des Europäischen Datenschutzausschusses.
Datenverarbeitung im Auftrag: Die Grundkonzeption der Auftragsdatenverarbeitung bleibt auch unter der DSGVO gleich. Nichtsdestotrotz gilt es, einige wichtige Änderungen zu beachten. So werden Auftragsverarbeiter erstmals für Datenschutzverstöße mit in die Haftung genommen. Während nach dem alten BDSG das Recht auf Schadensersatz ausschließlich der verantwortlichen Stelle gegenüber geltend gemacht werden konnte, normiert die DSGVO eine gesamtschuldnerische Haftung des Auftraggebers und des Auftragnehmers. Des Weiteren müssen Auftragsverarbeiter zukünftig ein Verzeichnis über im Auftrag unternommene Verarbeitungstätigkeiten führen.
Unsere Empfehlung: Egal ob verantwortliche Stelle oder Auftragsverarbeiter - alle datenverarbeitenden Unternehmen sollten in einem ersten Schritt sicherstellen, dass existierende Auftragsdatenverarbeitungs-Verträge bis zum 25.5.2018 auf die DSGVO umgestellt werden. Dabei sollte auf die Qualität der diversen, im Internet angebotenen Muster-Verträge geachtet werden.
Technische und organisatorische Maßnahmen (TOM): Schwachstellen bei der technisch-organisatorischen Datensicherheit wie etwa veraltete Verschlüsselungsstandards sind im Rahmen der DSGVO von nun bußgeldbewehrt, und zwar mit bis zu zwei Prozent des Vorjahresumsatzes. Aus Sicht der datenschutzrechtlichen Praxis ist diese Neujustierung kaum zu überschätzen. Darüber hinaus müssen die TOMs dem „Stand der Technik“ entsprechen, und damit stärker als bisher technischen Innovationen Rechnung tragen, und auf Grundlage einer das Persönlichkeitsrecht von Betroffenen in den Mittelpunkt stellenden Risikobewertung ausgewählt werden. Last but not least muss in Zukunft neben der Erreichung der Schutzziele „Integrität, Vertraulichkeit & Verfügbarkeit“ auch die Belastbarkeit (resilience) der Systeme und Dienste sichergestellt werden.
Unsere Empfehlung: Nützliche Best-Practice-Hinweise gibt die TOM-Liste nach IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI): Wichtig sind beispielsweise Notfallpläne im Rahmen des Business-Continuity-Managements, Identity-and-Access-Management, Rollenberechtigungen nach dem „Need to know“-Prinzip, aktuelle Verschlüsselungsverfahren sowie eine hochverfügbare Speicherung von Daten.
Datenportabilität: Das Recht auf Datenportabilität bzw. Datenübertragbarkeit ist ein weiteres Instrument, das betroffene Personen in die Lage versetzen soll, mit ihren Daten selbstbestimmt umzugehen. Unternehmen müssen personenbezogene Daten auf Antrag in einem gängigen und maschinenlesbaren Format übergeben. Darüber hinaus haben sie die Pflicht, bei technischer Realisierbarkeit die Daten auf Wunsch direkt an ein anderes Unternehmen zu übermitteln. Für die Übergabe und Übermittlung der Daten darf dabei kein Entgelt erhoben werden.
Unsere Empfehlung: Die genaue Reichweite des Rechts auf Datenportabilität (Stichwort: interoperable Formate) kann noch nicht abschließend bewertet werden. Klar ist allerdings schon jetzt, dass es nicht nur für große Internet-Konzerne, sondern auch für mittelständische Unternehmen von hoher Relevanz ist. Beispielsweise könnten Kunden eine Liste von mit einer Kundenkarte getätigten Einkäufen anfordern. Um solche Anfragen umsetzen zu können, müssen die entsprechenden Prozesse und IT-Systeme rechtzeitig angepasst werden.
- EU-DSGVO - höchste Zeit zu handeln
- Verschärfte Bußgelder drohen
- Das Recht auf Vergessenwerden
- Der Datenschutzbeauftragte
Lesen Sie mehr zum Thema
