Im Rahmen von Planung und Umsetzung der DSGVO in allen Arten von Unternehmen und sonstigen Organisationen unterstütze ich bei den folgenden Aktivitäten mit technischer und Datenschutz-Expertise:
- Erstellung von Datenschutzfolgeabschäzungen (DSFA)
- Entwicklung technisch-organisatorischer Maßnahmen und deren Umsetzung in der Organisation
- Erstellung von Datenschutzerklärungen
- Meldung von DSGVO-relevanten Datenpannen an die zuständige Aufsichtsbehörde und die betroffenen Individuen.
- Ergreifung von Maßnahmen zum Schutz „besonderer Kategorien von personenbezogenen Daten“ (Z.B. Gesundheitsdaten)
- Gestaltung von Datentransfers ins außereuropäische Ausland
- Übernahme der Rolle des Datenschutzbeauftragten
- DSGVO-konforme Ausgestaltung von WEB-Auftritten
- DSGVO-konforme Ausgestaltung von Cloud-Anbindungen
- Rechtssicheren Löschung, Anonymisierung und Pseudonymisierung von Daten.
- Vertragsgestaltung zwischen Auftragsverarbeitern und Kunden
- Definition und Implementierung von DSGVO-Maßnahmen zur Mitarbeiterüberwachung
- DSGVO-sicherer Videoüberwachung Mit Videoüberwachung-Maßnahmen
- Backup und Archivierung
Die DSGVO – darum geht es
Mit der DSGVO werden die Grundlagen zur Verarbeitung von Daten innerhalb der EU einheitlich geregelt. Unternehmen erhalten mehr Pflichten, Verbraucher mehr Rechte. So wurde beispielsweise das umgangssprachliche „Recht auf Vergessenwerden“ definiert. Verbraucher erhalten einen Anspruch darauf, dass ihre personenbezogenen Daten gelöscht und nicht weiterverarbeitet werden. Dieses Recht greift zum Beispiel, wenn sich die Zwecke, für die die Daten erhoben wurden, erübrigt haben oder die Einwilligung in die Verarbeitung widerrufen wird.
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union soll einerseits sicherstellen, dass EU-Bürger datenschutzrechtlich geschützt sind und zum anderen soll sie den freien Datenverkehr innerhalb des EU-Binnenmarkts gewährleisten. Missachten datenverarbeitende Unternehmen diese Bestimmungen, drohen ihnen empfindliche Strafen.
Doch auch für Verbraucher bringt die neue Datenschutzverordnung einige Änderungen mit sich: Während sich Unternehmen an strengere Auflagen halten müssen, werden Verbraucherrechte deutlich gestärkt.
Einen Überblick liefern die folgenden kurzen Abschnitte
Besonderheit 1:
Es geht bei der DSGVO nicht nur um das Ergebnis – auch der Prozess und die Dokumentation sind wichtig – Eine unvollständiges, fehlendes oder fehlerhaftes Verzeichnis der Datenverarbeitungsverfahren kann somit zu empfindlich hohen Bußgeldern führen; selbst dann, wenn es keine Datenpanne gegeben hat und noch niemand geschädigt wurde.
Besonderheit 2:
Die DSGVO gilt nach dem Marktortprinzip. Danach ist der Unternehmenssitz einer Firma oder einer anderen Organisation nicht relevant, wenn es um die Verarbeitung personenbezogener Daten von EU-Bürgern im Rahmen von Aktivitäten innerhalb des EU-Marktes geht. Deshalb sind auch die großen Unternehmen wie z.B. Google, Facebook und Twitter von der DSGVO betroffen.
Was sind personenbezogene Daten i.S.d. DSGVO?
„Personenbezogene Daten“ umfassen laut DSGVO u.a. Namen, Kontakt- und Post-adressen, Bilder, elektronische Nachrichten, Beiträge in sozialen Netzwerken, IP-Adressen, medizinische Informationen. Von herausragender Bedeutung ist der Schutz dieser Daten. Daher räumt die DSGVO Verbrauchern verschiedene Rechte ein.
Verbraucherrechte und Unternehmerpflichten
Die Durch die DSGVO festgelegten Rechte und Pflichten sind die beiden Seiten einer Medaille. Die durch die DSGVO erweiterten Rechte für Verbraucher haben in vielen Fällen ihre Pendants in erweiterten Pflichten für datenverarbeitenden Organisationen.
So verpflichtet die DSGVO Unternehmen fortan grundsätzlich zu mehr Transparenz und Offenheit gegenüber Verbrauchern: Werden Daten über eine Person erhoben, muss diese Person sofort und vollumfänglich darüber informiert werden. Z.B. beim Besuch einer Webseite oder Registrierung der Email-Adresse für einen Newsletter-Versandt („Informationsrecht“)
Das Unternehmen muss für die Erhebung der Daten des Users eine freiwillige, schriftliche Erlaubnis eingeholen. Diese Erlaubnis muss transparent, verständlich und auf den konkreten Einzelfall bezogen sein. Darüber hinaus kann der Verbraucher seine Zustimmung jederzeit zurückziehen.
Weiterhin gewährleistet das „Auskunftsrecht“ der DSGVO die Möglichkeit für den Verbraucher, in angemessenen Abständen Auskunft über die erhobenen Daten anzufordern.
Das Rechts auf „Berichtigung und Löschung“ für betroffene Verbraucher verpflichtet eine datenverarbeitende Organisation, personenbezogene Daten auf Verlangen ohne Verzögerung zu ergänzen, korrigieren oder bei begründetem Widerruf zu löschen.
Verbraucher werden durch das Recht auf „Datenübertragbarkeit“ in die Lage versetzt, ihre Daten ohne viel Aufwand mit wenigen Klicks auf eine andere Anwendung (z.B. eine andere soziale Plattform) übertragen zu können, um so leicht und schnell den Anbieter wechseln zu können.
Spezielle Pflichten für datenverarbeitende Unternehmen
Nicht in direktem Zusammenhang mit den erweiterten Rechten für Verbraucher stehet die generelle Pflicht Kontrolle der Verarbeitungsprozesse personenbezogener Daten.
Mit anderen Worten:
Unternehmen stehen in der Pflicht, jederzeit genau wissen zu müssen und darüber Auskunft geben zu können, wo und wie personenbezogene Daten im Unternehmen gespeichert und verarbeitet werden.
Dazu gehört auch das wissen darübern, welche inndividuellen Daten in welcher Art und Weise Daten verarbeitet werden und wie der Schutz der Privatsphäre vollständig in den Verarbeitungsprozess integriert ist, z.B. durch Verschlüsselung („Privacy by Design“) .
Ein weiterer Punkt ist die „Zweckbestimmtheit“: Personenbezogene Daten dürfen nur „für festgelegte, eindeutige und legitime Zwecke“ erhoben werden.
Weitere verpflichtende Grundsätze in diesem Zusammenhang sind:
- Das Löschen fehlerhafter oder veralteter Daten.
- Dem „Zweck angemesse“ Datenverarbeitung „Datensparsamkeit“
- Daten dürfen nur dann eine Identifizierung ermöglichen, wenn es für ihre Verarbeitung erforderlich ist.
- Gleiches darf die Speicherdauer nur so langs sein, wie es für die Verarbeitung der Daten im S. d. DSGVO notwendig ist.
Unternehmen benötigen den genauen Überblick
Alle DSGVO-bedingten Anforderungen haben eines gemeinsam:
Unternehmen benötigen zu deren Erfüllung einen genauen Überblick über die von ihnen gespeicherten Daten.
Zur Erfüllung der DSGVO-Vorgaben stellt es die Hauptaufgaben einer Organisation dar, genau zu analysieren, in welchem Ausmaß wessen Daten wo gespeichert und verarbeitet werden. Hierzu bietet es sich an und, und ist auch gefordert, sämtliche verarbeiteten Daten sollten in übersichtliche, einheitliche und transparent nachvollziehbare Kategorien einzuordnen.
Wird ein Datenschutzverstoß festgestellt, müssen Unternehmen diesen spätestens innerhalb von 72 Stunden melden – Das funktioniert nur auf der Basis einer aktuell gehaltenen Dokumentation – und man keinen Überblick hat.
Die DSGVO und die Cloud
Bei der Übermittlung von personenbezogenen Daten an einen Datenverarbeiter in einem außereuropäischen Drittland muss auf angemessene Datenschutzstandards beim Datenverarbeiter geachtet werden.
Das betrifft insbesondere zu auf Anbieter für Cloud Content Management. Die Anzahl deutscher Unternehmen, die solche Services nutzen, nimmt stetig zu. Dabei sind sich viele der besonderen Herausforderung nicht oder nicht in vollem Umfang bewusst: Sie müssen nämlich sicherstellen, dass die Binding Corporate Rules (BCR) des ausgewählte Cloud-Anbieters mit der DSGVO in Einklang stehen. Die BCR stellen Datenschutzverpflichtungen dar, die von internationalen Datenschutzbehörden zertifiziert werden. Auf der sicheren Seite sind natürlich solche Unternehmen, die ihre Daten auf Servern in der EU speichern lassen, was in vielen Fällen dem Cloud-Gedanken zuwiderlaufen dürfte.
Privacy by Design
„Privacy by Design“ stellt ein weiteres Kernkonzept der DSGVO dar. Deren Sinn ist, dass der Datenschutz und die Privatsphäre bereits während der technischen Entwicklung von Systemen und Verarbeitungswerkzeugen berücksichtigt werden, und nicht erst im Nachhinein nach Fertigstellung der datenverarbeitenden Systeme.
Der Datenschutzbeauftragte
Ein in der Datenschutzwelt gängiges Meme spricht dem Datenschutzbeauftragten in naher Zukunft den Status der wichtigsten Person in einem Unternehmen zu…
… für manche Unternehmen mag dies sogar zutreffen.
Größere Unternehmen und Organisationen, die mit der Verarbeitung besonders sensibler Daten betraut sind, müssen nicht nur ihre Prozesse anpassen, sondern auch personelle Maßnahmen ergreifen: In Form der Bestellung eines eigens ausgebildeten Datenschutzbeauftragten. Der Inhaber dieser Rolle ist innerhalb einer Organisation für die Überwachung und Einhaltung der DSGVO-Vorgaben verantwortlich. Daneben gehören Mitarbeiterschulungen und die Zusammenarbeit mit den Aufsichtsbehörden zu den Pflichten des Datenschutzbeauftragten.
Eine “Falle” stellt regelmäßig die Tatsache dar, dass Datenschutzbeauftragte erst dann bestellt werden, wenn die DSGVO es vorschreibt: Nämlich ab einer Anzahl von 20 mit der Verarbeitung personenbezoigener Daten im Unternehmen befasster Personen.
Diese Regel ist jedoch irreführend, da die umfangreichen Regeln der DSGVO auf alle Unternehmen gleich welcher Größe und Einzelpersonen zutreffen, zu deren Aufganben die die -auch nichtautomatisiert- Verarbeitung und Speicherung von personenbezogenen Daten gehören.
Dadurch bietet es sich für jedes Unternehmen an, Datenschutzbeauftragte zu bestellen, selbst dann, wenn das Unternehmen grundsätzlich nicht dazu verpflichtet ist. Dadurch sind die Zuständigkeiten klar geregelt.
Zudem sollten Unternehmen Datenschutzerklärungen aufsetzen. Diese enthält Sicherheitsrichtlinien und Schutzmaßnahmen. Auf der Basis einer solchen Datenschutzerklärung gewährleistet das Unternehmen neben der Überwachung der DSGVO-Vorgaben die von der DSGVO geforderte Transparenz für die Verbraucher.
Verfehlungen sind somit leichter festzustellen und nachzuweisen, Verantwortlichkeiten besser zuzuordnen. Die Reaktionsgeschwindigkeit nimmt drastisch zu – ein großer Vorteil.
Hohe Strafen bei Verstößen
Verstöße gegen von der DSGVO auferlegte Regeln ziehen Geldstrafen in Höhe von bis zu vier Prozent des Bruttoumsatzes nach sich.
Um im Falle eines Falles Bußgeldhöchstsätze zu vermeiden, muss ein betroffenes Unternehmen eng mit den Aufsichtsbehörden zusammenarbeiten.
Jegliche transparente Dokumentationen ist dabei hilfreich und hilft, entstandene Probleme schnell zu identifizieren und zu beheben
Die DSGVO als Chance
Die meisten Unternehmen weltweit nehmen die DSGVO als große mit bürokratischen Aufwand verbundene Herausforderungen dar: Hohe Kosten, um noch höhere Bußgelder zu vermeiden.
Doch was nach reiner Risikominimierung aus Angst vor hohen Kosten klingen mag, sollten betroffene Unternehmen als Chance begreifen: Sie können ihre Flut an Daten organisieren und standardisieren, ihre Organisation optimieren und als Ergebnis der Umsetzung der DSGVO-Maßnahmen ihre Organisationsstruktur und Prozess sogar verschlanken. Das Ergebnis dieser Mammutaufgabe besteht in der Chance zur Kostensenkung und der optimierten Verarbeitung und Analyse von Kundendaten.