EU-DSGVO
Wie setze ich die DSGVO am besten um?
Es herrscht Hektik in der IT-Abteilung: Ein Cyberangriff wurde festgestellt. Zwar wurden keine geschäftskritischen Daten gestohlen, allerdings sind einige Logdateien entwendet worden. Eine Datenschutzverletzung liegt vor: Innerhalb von 72 Stunden muss eine Meldung an die Aufsichtsbehörde erfolgen.
Mit der EU-DSGVO müssen Organisationen jederzeit Auskunft darüber geben können, welche personenbezogenen Daten sie erheben, wie sie diese verarbeiten und mit welchen Maßnahmen sie diese schützen. Die Pflege von Personal- und Kundendatenbanken, die Buchhaltung oder der Versand eines Newsletters sind Beispiele für datenschutzrelevante Verfahren. Sogar dynamische IP-Adressen fallen in den Bereich der personenbezogenen Daten, wie der Bundesgerichtshof (BGH) im Mai 2017 entschied. Obwohl der Stichtag immer näher rückt, ist bei vielen Organisationen die Unsicherheit noch groß. Denn gerade in diesem Bereich existiert ein nur schwer zu durchdringender Dschungel an Gesetzestexten und Verordnungen. Viele Verantwortliche wollen also zunächst abwarten. Allein das Szenario der IP-Adressen zeigt jedoch: Es gibt so gut wie keine Organisation, die in so einem Falle nicht betroffen wäre. Hinzu kommt, dass für eine fristgerechte Umsetzung der gesetzlichen Vorgaben die Zeit davonläuft. Bei Verstößen gegen die Verordnung drohen hohe Strafen.
Was ist zu tun?
Auftragsverarbeiter sind verpflichtet, spätestens 72 Stunden, nachdem sie von einem Datenschutzverstoß erfahren haben, diesen an die Aufsichtsbehörde zu melden. Die Meldung umfasst: die Art der Datenschutzverletzung (u.a. welche Daten und wie viele Personen
betroffen sind), die Kontaktdaten des Datenschutzbeauftragten, die Beschreibung der wahrscheinlichen Folgen der Verletzung und eine Beschreibung der Maßnahmen zur Behebung des Datenschutzverstoßes (oder gegebenenfalls zur Abmilderung der möglichen Schäden für die Betroffenen). Zusätzlich fordert die EU-DSGVO maßgebliche und vor allem dokumentierte Vorkehrungen, um Datenschutzverletzungen vorzubeugen. Um all diese Informationen jederzeit verfügbar zu haben, sollten sich Organisationen diese vier Fragen stellen:
- Welche Verarbeitungen beinhalten personenbezogene Daten?
- Welche Risiken können durch die Veröffentlichung der personenbezogenen Daten entstehen?
- Mit welchen technischen und organisatorischen Maßnahmen (TOM) werden diese Daten geschützt?
- Wie wird die Nachweispflicht bei der Verarbeitung der personenbezogenen Daten gewährleistet?
„Wir machen das mit Office“
In vielen Chefetagen verweist man beim Thema Datenschutz gerne auf Office-Anwendungen, wenn es um die Dokumentation von Verarbeitungen geht. Diese Variante erscheint auf den ersten Blick kostengünstig. Ein Mitarbeiter dokumentiert manuell alle datenschutzrelevanten Verarbeitungen. Diese Dokumentation ist jedoch ein langwieriger und fehleranfälliger Prozess, denn häufig müssen Daten in verschiedenen Dokumenten parallel gepflegt werden. Auf den zweiten Blick erweist sich die Office-Variante somit als aufwändig und teuer. Mitarbeiter investieren endlose Stunden in die Pflege der Dokumente und vernachlässigen schlimmstenfalls ihre Kernaufgaben. Zudem führen die verschärften Meldefristen der EU-DSGVO im Ernstfall zu einem besonderen Problem, denn die Meldung an die Aufsichtsbehörde muss innerhalb von 72 Stunden erfolgen.
„Der Berater wird’s schon richten“
Viele Unternehmen greifen bei der Dokumentation der Verarbeitungen und der Erstellung des Verarbeitungsverzeichnisses auf externe Berater zurück. Diese bieten den Vorteil, dass sie das entsprechende Know-how in die Organisation einbringen. Somit erspart man sich zusätzliche Schulungen der eigenen Mitarbeiter. Jedoch haben Beratungsfirmen oft ein Interesse daran, möglichst viele Consultingtage zu verkaufen, denn das bedeutet mehr Umsatz. Zudem besteht die Gefahr, dass nach dem Abschluss des Projektes das Know-how nicht im Unternehmen bleibt. Was also tun, wenn sich eine Verarbeitung ändert oder neue hinzukommen? Mit externen Beratern machen sich Organisationen sehr schnell abhängig und müssen bei jeder Änderung wieder auf diese Berater zurückgreifen – falls sie noch verfügbar sind. Andernfalls muss ein neuer Berater gefunden werden, und das Spiel geht von vorn los. Am Ende ist auch diese Vorgehensweise nicht die günstigste Variante.
- Wie setze ich die DSGVO am besten um?
- Zielführendes Datenschutzmanagement
Lesen Sie mehr zum Thema
