Die neue Datenschutzgrundverordnung (DSGVO) tritt zum 25.5.18 in Kraft. Bei Nichteinhaltung drohen empfindliche Strafen. Das Datenschutz-Anpassungs- und ‑Umsetzungsgesetz (DSAnpUG-EU) erfordert eine konsequente Umsetzung in Unternehmen und Behörden.
Bis 25. Mai 2018 ist es nicht mehr weit und viele Unternehmen und Behörden sind noch immer nicht auf die neuen Vorgaben und Vorschriften ausreichend vorbereitet. Die wesentlichen Inhalte der DSGVO wurden vor kurzem hier dargestellt und erläutert.
Inzwischen ist auch das Datenschutz-Anpassungs- und –Umsetzungsgesetz (DSAnpUG-EU) also das neue Bundesdatenschutzgesetz (BDSG) verabschiedet und ersetzt das bisherige BDSG ebenfalls zum 25.05.2018. Es ergänzt und konkretisiert, in den nationalen Öffnungsklauseln, die DSGVO Dort sind u.a. der Beschäftigtendatenschutz, die Bestellpflicht des Datenschutzbeauftragten (DSB) und die Vorschriften für die öffentlichen Stellen geregelt.
Was müssen Unternehmen tun, um ihre Datensicherheit nachzuweisen? Die neuen Vorgaben für die Sicherheit der Verarbeitung finden sich hauptsächlich in Art. 5 Abs. 1 lit. f DSGVO sowie in Art. 32 DSGVO. Zudem gelten weitere Bestimmungen wie Art. 24, 25, 36 DSGVO die Datensicherheit.
Dabei sind die folgenden drei Aspekte zu beachten:
Als erster Aspekt muss auf der Basis der Umsetzung die Governance und Verantwortung definiert werden. Der § 9 BDSG inklusive Anlage wird dabei durch Art. 32 DSGVO ersetzt. Hier finden sich allerdings lediglich abstrakte Anhaltspunkte zur Umsetzung technischer und organisatorischer Maßnahmen.
Die konkreten Maßnahmen, wie in der Anlage zu § 9 BDSG aufgezählt, werden in Art. 32 Abs. 1 DSGVO – abgesehen von Pseudonymisierung und Verschlüsselung – nicht genannt.
Als zweiter Aspekt sollte die kritische Auswahl und Bezeichnung der Anwendungen und Systeme, die für die DSGVO-Compliance aufgrund der verarbeiteten Daten relevant sind, erfolgen.
Als dritter Aspekt ist neben dem umsetzungstechnischen Handlungsbedarf, zu definieren, welche organisatorischen Einheiten einzubeziehen sind und welche Prozesse analysiert und ggf. geändert werden müssen. Auf dieser Basis kann eine Projektorganisation und eine Umsetzungsplanung mit Meilensteinen erstellt werden.
Die Gebote aus der Anlage zu § 9 BDSG (von der Zutritts- bis zur Trennungskontrolle) werden durch Begriffe und Beschreibungen ersetzt, die auf den ersten Blick reichlich interpretationsbedürftig erscheinen und die vermutlich noch von den Aufsichtsbehörden bzw. der Praxis konkretisiert werden. Es empfiehlt sich unbedingt, an die Dokumentation der technisch-organisatorischen Maßnahmen nach § 9 BDSG angelehnt, die ergriffenen Maßnahmen zu dokumentieren und sodann kontinuierlich zu aktualisieren. Künftig soll der Blick auf das Risiko, dass dem Betroffenen durch die Verarbeitung seiner Daten entstehen kann, gelegt werden. Es gilt durch angemessene technische und organisatorische Maßnahmen diese Risiken auszuschließen oder zu minimieren.
Die bisher relativ geringen Bußgelder des bis dato bestehenden BDSG gehören mit der Neuregelung der Vergangenheit an. Grundsätzlich ist davon auszugehen, dass auch die deutschen Aufsichtsbehörden in absehbarer Zeit den neuen Bußgeldrahmen der DSGVO (bis zu 20 Mio. oder vier Prozent des weltweiten Jahresumsatzes) zumindest ansatzweise ausschöpfen werden. Oberstes Ziel des Managements muss es daher sein, ein effizientes System für die schnelle Reaktion des Unternehmens zu installieren, um damit wirtschaftlichen und Image-Schaden vom Unternehmen abzuwenden.
Auch wenn ein Datenschutzmanagementsystem bei unbeabsichtigten Datenschutzverstößen nicht mit Sicherheit den Vorwurf der Fahrlässigkeit abwehren und es Fehler nicht völlig unterbinden kann, ist dessen Installation und Betrieb jedoch nach Art. 83 Abs. 2 lit. zumindest bußgeldmindernd zu berücksichtigen.