Am 29. März 2017 führen wir in Zusammenarbeit mit dem Institut für Berufliche Bildung einen Webcast zum Thema EU-Datenschutz-Grundverordnung durch. Im Rahmen der dortigen Reihe "Business Inside" geben wir Auskunft zu den grundlegenden eränderungen, die die DSGVO mit sich bringen wird. Anschließend besteht die Möglichkeit Fragen zu stellen. Anmelden können Sie sich noch hier (Webinar 3).

Ab Mitte April werden wir voraussichtlich auch eigene Webcasts zum Thema EU-Datenschutz-Grundverordnung anbieten. Über die Einzelheiten werden wir Sie hier im Blog informieren.

 

 

Read More

Eher untypisch für die Jahreszeit erreichten uns schon Anfang/Mitte Dezember zahllose Anfragen für Datenschutzberatung, und dies setzt sich im neuen Jahr fort. Im Mittelpunkt steht der Wunsch nach Beratung im Zusammenhang mit der Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO).

Umsetzung DSGVO noch offen

Es zeichnet sich ab, dass wir allein mit Workshops zu diesem Thema die erste Hälfte 2017 ziemlich ausgelastet sein werden. Vielleicht schlägt sich hier die Tatsache nieder, dass, wie Umfragen behaupten, mehr als die Hälfte der Unternehmen nicht auf die kommende DSGVO vorbereitet sind und nun Nervosität ausbricht? Wir bemerken bei den Anfragen, die uns erreichen, allerdings echtes Interesse und den ernsthaften Vorsatz, Datenschutz und Informationssicherheit auf „qualitativ bessere Füße zu stellen“, wie sich kürzlich jemand ausdrückte.

Workshops zur DSGVO

Wir haben daher unser Angebot ausgebaut und Workshops zur EU-Datenschutz-Grundverordnung (DSGVO) konzipiert. In zwei Workshops von je einem Tag Dauer können Sie die Grundlagen der DSGVO kennenlernen und erfahren, wie Sie die Umsetzung in Ihrem Unternehmen organisieren. Sie können die Workshops einzeln oder zusammen buchen, und selbstverständlich bieten wir auch weiterhin individuell vereinbarte Termine bei Ihnen im Hause an. Auch an dieser Stelle wählen wir unseren in der Beratungstätigkeit bewährten Ansatz, die unternehmensinternen Prozesse in den Mittelpunkt der Betrachtung zu stellen und von dort die nötigen Schritte für besseren Datenschutz zu entwickeln. Weitere Einzelheiten zu den Workshops können Sie hier nachlesen.

DSGVO Praxistipps: Fortsetzung folgt

Wider Erwarten war ich den Januar über noch in einem ziemlich komplizierten Projekt eingebunden, das eigentlich Anfang Dezember erledigt sein sollte. Daher ist leider auch der gute Vorsatz verpufft, die hier begonnene Reihe der Praxistipps zu den Inhalten der DSGVO fortzusetzen. Aber ich bleibe dran ...

Last but not least: seit Beginn des neuen Jahres verstärkt ein neuer Mitarbeiter unser Team. Er studiert Management in einen Theorie-Praxis Studiengang und kümmert sich bei uns zunächst vorrangig um den Aufbau und die Verbesserung unserer eigenen internen Strukturen. Wir werden ihn in Kürze hier noch näher vorstellen.

Die DSGVO stellt eine ganze Bandbereite deutlich erweiterter Rechte für die sogenannten betroffenen Personen bereit. (Von Datenverarbeitung) „Betroffene Personen“ sind Sie und ich – wir alle, die wir direkt oder indirekt aufgrund der über uns bekannten Informationen identifizierbar sind. Der englische Ausdruck „data subject“ klingt insoweit weniger passiv und wurde anders als die deutschen „Betroffenen“ nicht verändert.

Altes BDSG (Recht)

Das bekannteste Recht betroffener Personen aus dem BDSG ist sicherlich das Recht auf Auskunft (§ 34 BDSG). Danach muss das für die Datenverarbeitung verantwortliche Unternehmen auf Anfrage der betroffenen Person Auskunft geben über: die zur Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen - den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, - und den Zweck der Speicherung. Für den Fall des Scorings gelten noch eine Handvoll weitergehender Vorschriften, aber neben dem Anspruch auf Berichtigung und Löschung falscher Daten sind das die Betroffenenrechte des BDSG.
Sofern diese Rechte beansprucht und bei Unternehmen um Auskunft ersucht wurde, war das ernüchternde Resultat oftmals: wer fragt bekommt manchmal Antworten und manchmal auch vollständige.

Neue DSGVO

Die DSGVO hat nun wie erwähnt die Betroffenenrechte erweitert und teilweise in weitgehende Transparenzpflichten für die verantwortlichen Unternehmen verwandelt. Transparenzpflichten insofern, als Unternehmen nunmehr verpflichtet sind, bestimmte Auskünfte zu ihrer Datenverarbeitung von sich aus unaufgefordert den betroffenen Personen zur Verfügung zu stellen.

Im Einzelnen handelt es sich um folgende Rechte, die wir im weiteren Verlauf der Praxistipps DSGVO hier näher betrachten wollen:

• Informationspflicht bei Datenerhebung direkt bei der betroffenen Person (Art. 13 DSGVO)
• Informationspflichten sofern die Daten nicht direkt bei betroffenen Person erhoben werden (Art. 14 DSGVO)
• Auskunftsrecht der betroffenen Person (Art. 15 DSGVO)
• Benachrichtigung im Fall der Verletzung des Schutzes personenbezogener Daten (Art. 34 DSGVO)

Hinzukommen die Rechte, die man als „Verfahrensrechte“ der betroffenen Personen bezeichnen könnte:

- Das Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung und "Vergessenwerden" wie bereits im Praxistipp DSGVO #9: Das Recht auf Vergessenwerden ausgeführt (Art. 17 DSGVO)
- Das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Das Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- In einigen Fällen das Recht auf Widerspruch gegen die Verarbeitung der eigenen personenbezogenen Daten (Art. 21 DSGVO).

Für die Praxis in den Unternehmen bedeutet dies insofern eine Umstellung, als für jeden einzelnen dieser Punkte ein unternehmensinterner Prozess definiert werden muss, der die Einhaltung der Betroffenenrechte sicherstellt. Dasselbe gilt im Übrigen für Behörden - die DSGVO ist auf dieser genauso anwendbar wie auf privatrechtlich organisierte Unternehmen.

Wie genau die Umsetzung der Betroffenenrechte praktisch aussehen kann, thematisieren wir hier in unseren nächsten Beiträgen im Verlauf der nächsten Wochen.

In Art. 17 DSGVO ist nicht nur die Pflicht der Unternehmen zur Löschung nicht mehr benötigter Daten festgelegt, sondern auch das im Vorfeld viel diskutierte „Recht auf Vergessenwerden“. Die Überschrift des Artikels verknüpft beide Vorgaben:

- In den in Art. 17 Abs. 1 lit. (a) bis (f) genannten Fällen muss ein Verantwortlicher (das Unternehmen) personenbezogene Daten löschen
- Die betroffene Person hat das Recht die Löschung zu verlangen
- Hat das Unternehmen Daten öffentlich gemacht, die dann gelöscht werden müssen, muss er dafür Sorge tragen, dass auch Verknüpfungen zu diesen Daten gelöscht werden (Art. 17 Abs. 2 DSGVO).

Diesbezügliche Ausnahmen gelten unter anderem für das Recht auf freie Meinungsäußerung.

In der Praxis ist daher (abgesehen von dem im Praxistipp DSGVO #8: Löschkonzepte beschriebenen Aufbau eines Löschkonzepts) zunächst zu prüfen, ob Daten öffentlich gemacht wurden und an welcher Stelle. Sodann ist weiter zu prüfen, ob eine der in Art. 17 Abs. 3 DSGVO gelisteten Ausnahmen greift und keine Löschung nötig ist. Sofern die betroffene Person eine Löschung verlangt hat und keine Ausnahmen vorliegt, müssen andere Verantwortliche, die die öffentlich gemachten Daten weiterverwendet haben, von der Pflicht zur Löschung informiert werden.

Umsetzung des "Rechts Vergessen zu werden"

In der Unternehmenspraxis sollte im Rahmen des Aufbau eines Löschkonzept ein Prozess mit definiert werden, der bestimmt, wie im Fall der nötig werdenden Umsetzung des „Rechts auf Vergessenwerden“ verfahren wird:

- Wer prüft die rechtlichen Voraussetzungen
- Wer informiert auf welchem Weg ggfls. die anderen Verantwortlichen
- Wie ist ein Informationsfluss zwischen einzelnen Abteilungen gewährleistet
- Wer prüft die technischen Möglichkeiten der Umsetzung und führt sie ggfls. durch.

Es bleibt abzuwarten, welche Rolle das ursprünglich vom Europäischen Gerichtshof beschriebene Recht Vergessen zu werden, in der Praxis von Unternehmen abseits von Google tatsächlich spielen wird. Die Erfahrungen mit Google jedoch zeigen, dass es alles andere als leicht werden wird, in diesem Bereich einen angemessenen Ausgleich der Interessen zu finden - von dem Aufwand der tatsächlichen Umsetzung im Unternehmen einmal ganz abgesehen.

Mit dem Konzept der Erlaubnis der Datenverarbeitung nur zu bestimmen, rechtlich legitimen Zwecken hängt die Pflicht zur Löschung personenbezogener Daten zusammen, die für einen bestimmten Zweck nicht mehr erforderlich sind. Damit sind die Unternehmen – wie auch schon nach BDSG – angehalten, angemessene Konzepte zur Löschung von Daten zu erstellen und umzusetzen.

Außer in Art. 17 DSGVO fordert die DSGVO die Festlegung von Löschungsfristen oder Löschkonzepten auch an anderer Stelle, z.B. in Art. 30 Abs. 1 lit. (f) DSGVO (siehe dazu Praxistipp DSGVO #7: Verzeichnis von Verarbeitungstätigkeiten) oder im Rahmen der Informationspflichten gegenüber den betroffenen Personen (Art. 13 und Art. 14 DSGVO).

Im Rahmen des Ist-Soll-Abgleichs und des anschließenden Aufbaus der Umsetzung der neuen Anforderungen der DSGVO ist daher u.a. zu klären:
- Sind Löschungsfristen für die einzelnen Verfahren, die die Verarbeitung personenbezogener Daten beinhalten, definiert
- Ist sichergestellt, dass für neue Verfahren ebenfalls Fristen definiert und umgesetzt werden
- Wie erfolgt die Löschung technisch
- Wer ist für die Umsetzung der Löschkonzepte personell verantwortlich

Das Erstellen von Löschkonzepten und deren Umsetzung gehört zu den größten Herausforderungen beim Aufbau einer Datenschutzorganisation im Unternehmen. Sprechen Sie uns an, wir können Sie bei dieser Aufgabe mit unserer langen Erfahrung unterstützen.

Das Verzeichnis von Verarbeitungstätigkeiten entspricht dem Verfahrensverzeichnis nach BDSG. Die Pflicht zur Führung bleibt nach Art. 30 DSGVO bestehen.

Es muss unter anderem diese Informationen enthalten:

- Die Zwecke der Datenverarbeitung, die das Unternehmen verfolgt
- Eine Beschreibung der betroffenen Personen, der verarbeiteten Daten und der Empfänger – jeweils in Kategorien
- Die Löschungsfristen und die technischen und organisatorischen Sicherheitsmaßnahmen, jeweils „wenn möglich“.

Auch Auftragsverarbeiter

Neu ist, dass nunmehr auch die Auftragnehmer, die für andere Unternehmen Daten verarbeiten (Auftragsverarbeiter), die Verfahren, die sie für andere durchführen, in einem eigenen Verfahrensverzeichnis dokumentieren müssen (Art. 30 Abs. 2 DSGVO).

Bürokratie?

Klingt wie großer bürokratischer Unsinn, meinen Sie? In manchen Fällen ist die Zusammenstellung der Angaben für ein Verfahrensverzeichnis sicherlich eine Arbeit „für einen, der Vater und Mutter erschlagen hat“, wie mein Vater zu sagen pflegte. Das Verzeichnis der Verarbeitungstätigkeiten hat aber den immensen Vorteil, dass man auf einen Blick eine Übersicht über alles hat, was im Unternehmen läuft. Dass man schon bei der Erstellung ganz schnell sieht, welche Verfahren als rechtlich (und technisch) riskant einzustufen sind. Änderungen und Ergänzungen sind dann leicht einzufügen.

Nachweispflichten erfüllt

Das Verzeichnis stellt damit auch in Zukunft einen wichtigen Baustein zur Erfüllung der in der DSGVO festgelegten Nachweispflichten, z.B. nach Art. 24 Abs. 1 DSGVO, dar. Für die Anpassung der Prozesse für die DSGVO müssen daher die folgenden Punkte geprüft werden:

- Besteht ein Verzeichnis von Verarbeitungstätigkeiten
- Wer ist im Unternehmen für die Vollständigkeit und Aktualität verantwortlich
- Bestehen unternehmensinterne Kontroll- und Genehmigungsverfahren, die das rechtzeitige Erkennen und Umsetzen von notwendigen Änderungen sicherstellen?

Sofern Sie sich die Mühe nicht selbst machen wollen, fragen Sie einfach mal bei uns an. Wir haben jahrelange Übung auf diesem Feld und schreiben diese Listen gerne. Meistens.

Abgesehen von der Vorgabe, personenbezogene Daten nur zu „festgelegten, eindeutigen und legitimen Zwecken“ zu verarbeiten (siehe Praxistipp DSGVO #5: Festlegen des Zwecks), ist auch die Weiterverarbeitung zu anderen Zwecken, die mit dem ursprünglichen nicht vereinbar sind, grundsätzlich untersagt (Art. 5 Abs. 1 lit. (b) DSGVO). Etwas anderes gilt nur, wenn eine Erlaubnis in den von der DSGVO vorgesehenen.

Beispiel:
Die Marketingabteilung möchte personenbezogene Daten, die im Rahmen eines Gewinnspiels erhoben wurden, nach Abschluss des Gewinnspiels für die Versendung eines Newsletters weiter nutzen.

Die Bedingungen für eine zulässige Zweckänderung ergeben sich aus Art. 6 Abs. 4 DSGVO.

Im Rahmen eines funktionierenden Datenschutzmanagements gilt es daher, unternehmensinterne Verfahren aufzubauen, die eine vorgeschaltete Prüfung der Zulässigkeit einer Zweckänderung ermöglichen. Auf unser Beispiel der Marketingabteilung bezogen könnte dies bedeuten, dass die Marketingabteilung durch interne Vorgaben verpflichtet ist, jede Erhebung von Daten und jede geplante Weiterverwendung dem Datenschutzbeauftragten vorab zur Prüfung vorzulegen.

Überflüssige Bürokratie?

Die Empfehlung, derartige Kontroll- und Genehmigungsverfahren für den Umgang mit personenbezogenen Daten im Unternehmen aufzubauen, mag unnötig bürokratisch und pingelig erscheinen. Die Verantwortlichen in Unternehmen sollten aber berücksichtigen, dass der ordnungsgemäßge Umgang mit personenbezogenen Daten, der auf diese Weise sichergestellt werden kann, ein Teil der unternehmensweiten Compliance darstellt. Verstöße gegen die Vorgaben der DSGVO können zudem mit deutlich höheren Bußgeldern als bisher geahndet werden.

Die DSGVO enthält eine ganze Reihe von teilweise recht komplexen Abläufen und Strukturen, die bis Mai 2018 umsetzt sein müssen. Um den in Praxistipp DSGVO #3: IST-SOLL-Analyse empfohlenen Ist-Soll-Abgleich erfolgreich durchführen zu können, muss jedoch erst einmal bekannt sein, welche Inhalte zukünftig das „Soll“ im Datenschutz sind. Wir setzen daher die Praxistipps mit einer Übersicht über ausgewählten Punkten der DSGVO fort, deren Umsetzung zukünftig von Unternehmen sichergestellt werden muss.

Festlegen des Zwecks der Datenverarbeitung

Bei der ersten Erhebung oder sonstigen Verarbeitung personenbezogener Daten muss das Unternehmen die Zwecke festlegen, für die es die Daten verarbeitet. Die Daten dürfen nur für „festgelegte, eindeutige und legitime Zwecke“ erhoben werden (Art. 5 Abs. 1 lit. (b) DSGVO).

Beispiel: Ein Unternehmen erhebt Kundendaten im Rahmen einer neu beginnenden Geschäftsbeziehung.

Die möglichen Zwecke der Datenerhebung und -verarbeitung

- Aufbau und Durchführung einer Kundenbeziehung
- der Pflege der Kundenbeziehung
- die Durchführung eines Vertrags

...

müssen vom Unternehmen festgelegt und dokumentiert werden.

Einhaltung ist nachzuweisen

Nach Art. 5 Abs. 2 DSGVO muss das Unternehmen die Einhaltung dieser Vorgaben nachweisen können.

Außerdem ist die Dokumentation im Rahmen der Informationspflichten nach Art. 13 Abs. 1 lit c oder Art. 14 Abs. 1 lit c DSGVO erforderlich.

Als Mittel für die Umsetzung der Zweckfestlegung bietet sich das Verfahrensverzeichnis an, das in der Terminologie der DSGVO jetzt „Verzeichnis von Verarbeitungstätigkeiten“ heißt und gem. Art. 30 DSGVO auch weiterhin geführt werden muss.

Unternehmensintern ist ein Prozess zu definieren mit dem sichergestellt wird, dass vor jeder neuen Datenerhebung die Prüfung der Zulässigkeit der Zwecke stattfindet und in die Dokumentation übernommen wird.

Read More

Der Aufbau eine Datenschutzorganisation im Unternehmen, die die neuen Anforderungen der DSGVO umsetzt, ist als ein unternehmensinternes Projekt zu betrachten, das entsprechend koordiniert und gesteuert werden muss, um zu einem erfolgreichen Abschluss zu kommen. Die Steuerung kann z.B. dem Datenschutzbeauftragten des Unternehmens übertragen werden. Die Umstellung der internen Prozesse auf die Anforderungen der DSGVO erfordern im ersten Schritt jedoch:

-         Ein uneindeutiges Bekenntnis der Unternehmensführung zur Priorität der Umsetzung von Datenschutz und Informationssicherheit im Unternehmen und

Die klare Kommunikation dieser Ziele gegenüber den Mitarbeitern.

Übrigens ist nach Art. 24 Abs. 1 DSGVO die frühzeitige Einbindung der Datenschutzbeauftragten in alle Fragen, die mit dem Schutz personenbezogener Daten zusammenhängen, nunmehr verpflichtend festgeschrieben.

Keine Pflicht zur Bestellung eines Datenschutzbeauftragten nach DSGVO

Die im BDSG enthaltene Vorschrift, dass alle Unternehmen, in denen mehr als neun Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, verpflichtend einen Datenschutzbeauftragten bestellen müssen, ist in der DSGVO nicht mehr enthalten. Nach Art. 37 Abs. 1 DSGVO besteht eine Pflicht zur Bestellung nur noch in eingeschränkten Fällen. Allerdings haben nach Art. 37 Abs. 4 DSGVO die Mitgliedstaaten das Recht, eigene nationale Vorschriften zu entwickeln, nach denen dann ggfls. doch wieder ein Datenschutzbeauftragter bestellt werden muss. So sieht auch der Anfang September veröffentlichte Entwurf eines Gesetzes zur "Anpassung des Datenschutzrechts an die Datenschutz-Grundverordnung und zur Umsetzung der Richtlinie (EU) 2016/680" die Beibehaltung einer Bestellpflicht für von Datenschutzbeauftragten vor.

Hintergrundinformationen zum Thema Datenschutz als Führungsaufgabe können Sie sofern gewünscht noch einmal in diesen Artikeln nachlesen: Informationssicherheit ist (auch) Kommunikation, Datenschutz ist Führungsaufgabe.

Read More

Im nächsten Schritt muss das Unternehmen den im Rahmen der Bestandsaufnahme festgestellten Ist-Stand zur Datenschutzorganisation nach BDSG mit dem zukünftig geltenden Soll-Zustand nach DSGVO abgleichen - dieses Vorgehen wird mitunter auch "Gap-Analyse" genannt, nach dem englischen Wort für "Lücke", "Spalt". Dieser Ausdruck veranschaulicht noch etwas besser, worum es geht; nämlich um die Feststellung, was getan werden muss, um die Anforderungen der DSGVO zu erfüllen. Auf der Grundlage dieser Analyse erfolgt anschließend das Erarbeiten von Maßnahmen, um den Datenschutz-Soll-Zustand nach DSGVO im Unternehmen aufzubauen. Dieser Schritt ist zugleich der umfangreichste, beinhaltet doch die DSGVO zwar keine grundlegenden Änderungen des „Systems Datenschutz“, wie wir es nach BDSG kennen (vgl. hierzu unseren Beitrag Die neue EU-Datenschutzgrundverordnung: Grundsätze der Datenverarbeitung), aber doch eine ganze Reihe von deutlich gestiegenen Anforderungen an die Transparenz und Dokumentation der Verarbeitung personenbezogener Daten und insbesondere deren Absicherung durch technische und organisatorische Maßnahmen. Auf der Grundlage des Ist-Soll-Abgleichs kann dann auch eine erste Festlegung der Projektschritte für die Umsetzung der DSGVO erfolgen.

Welche Punkte und Anforderungen im Einzelnen zu prüfen und zu bearbeiten sind, erfahren Sie hier im Laufe der folgenden Tage und Wochen, wenn wir unsere Praxistipps mit der Beschreibung der Neuerungen der DSGVO fortsetzen.

Read More

Die im Praxistipp DSGVO #1: Risikoanalyse empfohlene Risikoanalyse lässt sich einfacher durchführen, wenn bekannt ist, welche Prozesse und Verfahren zur Verarbeitung personenbezogener Daten im Unternehmen überhaupt bestehen. Was wie eine Selbstverständlichkeit klingt, ist in der Praxis oftmals nicht selbstverständlich. In vielen Fällen ist in Unternehmen nicht im Detail bekannt, mit welchen Verfahren welche personenbezogenen Daten verarbeitet werden und durch wen. Hinzu kommt, dass auch die Anpassung von Prozessen und Verfahren an die DSGVO nur sinnvoll erfolgen kann, wenn das Unternehmen weiß, auf welche bereits bestehenden Strukturen es aufsetzen kann. Im Gegensatz zum BDSG verfolgt die DSGVO einen ausdrücklich risikobasierten Ansatz, siehe z.B. Art. 24 Abs. 1, Art. 25 Abs. 1 und Art. 32 Abs. 1 DSGVO. Es ist daher empfehlenswert, im Rahmen der Bestandsaufnahme auch auf Prozesse der Compliance und des Informationssicherheitsmanagements, sowie des Qualitätsmanagements zurück zu greifen und zu prüfen, inwieweit diese für die Umsetzung der DSGVO nutzbar gemacht werden können.

Vor  der Planung weiterer Schritte zur Umsetzung der DSGVO sollte daher im Unternehmen eine Aufnahme aller schon bestehender Prozesse und Verfahren erfolgen. Weitere Empfehlungen zum Vorgehen können Sie auch in unserem Artikel Aufbau eines Informationssicherheits-Managements nachlesen, (die sich auf den Aufbau einer Datenschutzorganisation im Unternehmen übertragen lassen).

Brauchen Sie Unterstützung? Gerne planen wir für Sie individuelle Maßnahmen und führen Risikoanalysen und Bestandsaufnahmen für Sie durch. Sprechen Sie uns an.

Read More

Nachdem wir schon vor einer Weile drei Themen der neuen EU-Datenschutzgrundverordnung (DSGVO) hier im Blog etwas näher betrachtet haben (siehe Die neue EU-Datenschutzgrundverordnung: Die Einwilligung - Die neue EU-Datenschutzgrundverordnung: Grundsätze der Datenverarbeitung - Die neue EU-Datenschutzgrundverordnung: Was wird gelten?), wollen wir nunmehr dazu übergehen, die weiteren neue Anforderungen im Wege von Praxistipps aufzubereiten.

Praxistipp DSGVO #1: Die Risikoanalyse

Zu Beginn der Beschäftigung mit der Umsetzung von Maßnahmen für Datenschutz und Informationssicherheit im Unternehmen neigen die Verantwortlichen dazu in Anbetracht der Fülle von Vorschriften, Empfehlungen und technischen Möglichkeiten, den Wald vor lauter Bäumen nicht mehr zu sehen. Daher sollte am Anfang des Aufbaus eines Datenschutzmanagements im Unternehmen immer die Durchführung einer Risikoanalyse stehen. Dies gilt auch im Fall der Umsetzung der DSGVO.

Risiken identifizieren

Dazu müssen zunächst bestehende Risiken identifiziert werden, beispielsweise:

- Diebstahl von Daten durch Fremde
- Diebstahl durch Daten durch die eigenen Mitarbeiter
- Datenverluste durch fahrlässiges Handeln im Unternehmen
- Datenverluste durch technische Fehler
...

Wichtig ist an dieser Stelle die Unterscheidung verschiedener Risiken:

Zum einen die unmittelbaren Risiken für die Rechte von Personen, deren Daten das Unternehmen verarbeitet, und die daraus folgenden (mittelbaren) Konsequenzen für das Unternehmen.

Beispiel: Die Nutzerdaten eines Datingportals werden im Internet öffentlich.

Zum anderen bestehen Risiken für das Unternehmen, die sich aus der Verletzung von Rechten der betroffenen Personen ergeben können, aber auch in anderen Vorfällen begründet sein können, wie z.B.

- Die Verhängung von Bußgeldern und/oder die Untersagung von Verfahren durch die Aufsichtsbehörde
- Zivilrechtliche Haftungsrisiken
- Rufschäden.

Risiken bewerten

Im zweiten Schritt ist dann zu bewerten wie wahrscheinlich es ist, dass sich ein identifiziertes Risiko verwirklicht:

- Da nur Laptops mit verschlüsselten Festplatten eingesetzt werden, können im Fall des Verlustes eines Geräts keine Daten in unbefugte Hände geraten
- In der Vergangenheit sind Vertriebsmitarbeiter mit den Daten des Unternehmens zur Konkurrenz abgewandert
Schließlich müssen Maßnahmen Verringerung oder Vermeidung der Risiken entworfen werden:
- Sofern noch nicht geschehen, werden Laptops und andere mobile Geräte verschlüsselt
- Jeder Zugriff auf Daten im unternehmenseigenen Netzwerk wird protokolliert
- Ein fundiertes Berechtigungskonzept sorgt dafür, dass nur diejenigen Zugriff auf Daten erhalten, die ihn benötigen
- ...

Maßnahmen festlegen und umsetzen

Aufbauend auf der Risikoanalyse können dann die notwendigen nachfolgenden Schritte definiert und umgesetzt werden. Hinzu kommt, dass nunmehr viele Vorschriften der DSGVO Risikoanalysen voraussetzen (siehe z.B. Art. 24 Abs. 1, Art. 25 Abs. 1 und Art. 32 Abs. 1), so dass mit der Durchführung dann gleich eine der neuen gesetzlichen Vorgaben erfüllt ist.

Read More