Datenschutz

    Maßnahmen für Unternehmen zur EU-Datenschutz-Regelung

    Ab Mai 2018 gilt eine neue EU-Datenschutzgrundverordnung (DSGVO), die damit das Bundesdatenschutzgesetz (BDSG) ablöst.
    Für Unternehmen bedeutet das im Umgang mit personenbezogenen Datenerhebungen auf mehr Kontrolle, Sparsamkeit und Transparenz zu achten.

    Quellen: www.heise.de und www.dsgvo.de.

    Die wesentlichen Fakten der EU-Datenschutzgrundverordnung für Unternehmen sind:

    • personenbezogene Datenerhebungen erfordern künftig festgelegte, eindeutige und rechtmäßige Zwecke
    • bei Konflikten gilt juristisch künftig die Bestimmungen des Marktlandes. Bisher galt das Sitzlandprinzip, z.B. bei Facebook die europäische Zentrale in Irland.
    • Für eine Datenerhebung ist immer eine Zustimmung abzufragen, die jederzeit widerrufen werden kann. Dabei darf eine Dienstleistung nicht an der Einwilligung für die Datenverarbeitung gekoppelt sein.
    • der Artikel 12 legt strengere Informationspflichten für datenverarbeitende Unternehmen fest. Unternehmen müssen den Nutzern die Rechtsgrundlage zur Verarbeitung der Daten ebenso mitteilen, wie die Dauer der Speicherung und was mit den Daten passiert (auch bei Datenverarbeitung über externe Stellen).
    • neu ist das Recht auf 'Vergessen werden' von personenbezogenen Daten über Löschansprüche direkt bei der speichernden Stelle. Für Daten, die Unternehmen selbst über eine Person veröffentlicht haben, besteht künftig sogar die Pflicht auch andere Stellen, die diese Daten ebenfalls verarbeiten, über den Löschungsanspruch des Betroffenen zu informieren.
    • Artikel 18 regelt das Recht auf Datenverfügbarkeit und Portabilität. Hieraus entsteht ein Anspruch des Verbrauchers auf die eigenen personenbezogenen Daten in einem gängigen Format. Diese Übermittlung gilt auch für den Datenabgleich unter Anbietern, soweit dies technisch möglich ist. Mit dieser Regelung will die EU zugleich die Entwicklung interoperabler Format fördern, die eine Datenübertragbarkeit ermöglichen.
    • Artikel 22 fordert von Unternehmen eine Rechenschaftspflicht über geeignete technische und organisatorische Maßnahmen in der Verarbeitung von personenbezogenen Daten. Evtl. bringt dies auch haftungsrechtliche Konsequenzen mit sich. Bisher galt bei Rechtsverletzungen die Beweislast des Betroffenen. Mit dem neuen Gesetz kommt es zu einer Beweislastumkehr der datenverarbeitenden Stelle. Um die Einhaltung der Pflichten nach außen besser dokumentieren zu können, werden hier zunehmend Zertifizierungsverfahren oder Verhaltensregeln erforderlich sein.
    • Unternehmen sind gefordert neue Vorgaben zur Datensicherung zu treffen, unabhängig vom Schutzbedarf der Daten und der wirtschaftlichen Zumutbarkeit technischer und organisatorischer Maßnahmen. Zu gewährleisten ist die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste, mit denen personenbezogene Daten verarbeitet werden. Denkbar sind hier Zertifizierungen nach derzeit aktuellen Standards der Informationssicherheit. Bei risikoreicher Datenverarbeitung wird gefordert eine Datenschutz-Folgenabschätzung durchzuführen (über Aufsichtsbehörde).

    Warum ist es im Unternehmen wichtig sich mit Datenschutz auseinanderzusetzen?

    Die sich damit ergebenen Änderungen müssen bis Mai 2018 umgesetzt sein. Die Zeit bis zum Stichtag sollte gut genutzt werden, da die Änderungen in einigen Bereichen erheblich sind. Auch wenn die Inhalte der Neuregelungen noch sehr unkonkret formuliert sind, ist es wichtig bereits heute in entsprechende Maßnahmen zu investieren.

    Welche Maßnahmen sind hilfreich:

    1. Verschaffen sie sich einen Überblick über alle DV-Vorgänge mit personenbezogenen Daten
    2. Dokumentieren Sie diese Vorgänge und schaffen Sie sich ein klares Digitalbild für Ihr Unternehmen
    3. Entscheiden sie bewusst welche Vorgänge für ihr Unternehmen wirklich relevant sind
    4. Erstellen sie ein Konzept über die Informationssicherheit in der eigenen Datenverarbeitung. Dazu befassen sie sich auch mit dem ungünstigsten Fall in ihrer Informationssicherheit (Worst Case).
    5. Konzipieren sie daraus Richtlinien für die künftige Verarbeitung von personenbezogenen Daten.
    6. Setzen sie sich mit Zertifizierungsangeboten auseinander und bereiten sie diese vor.
    7. Reflektieren sie diese Maßnahmen regelmäßig und passen Sie die Inhalte immer wieder nach aktuellen Erfordernissen an. Es gilt das Thema des Datenschutzes im Unternehmen fix zu verankern.

    Bei der Umsetzung der Maßnahmen hilft es die Vorteile für das Unternehmen zu erkennen

    • Transparenz über DV-Vorgänge und Daten (digitale Klarheit)
    • schriftliche Belege über Daten und Vorgänge (digitale Entscheidungsgrundlage)
    • Datensouveränität im Unternehmen
    • Datensparsamkeit im Unternehmen
    • Integrität beim Kunden durch bewussten Umgang mit seinen personenbezogenen Daten
    • Souveräner Umgang mit Kooperationspartnern, da sie wissen, was auf digitaler Ebene zu erwarten ist.
    • eigene Handlungsfähigkeit bei Angriffen

    Informationsmanagement Mühlacker - Ellen Langenstein

    siehe auch Blogartikel zur Cybersicherheit

    Tags: Datenschutz, Informationssicherheit, Integrität