Neue Datenschutzgrundverordnung: Zeit zu handeln

Neue Datenschutzgrundverordnung: Zeit zu handeln

 
05. März 2018

Die neue Datenschutzgrundverordnung (DSGVO) tritt zum 25.5.18 in Kraft. Bei Nichtein­haltung drohen empfindliche Strafen. Das Datenschutz-Anpassungs- und ‑Umsetzungsgesetz (DSAnpUG-EU) erfordert eine konsequente Umsetzung in Unternehmen und Behörden.

Bis 25. Mai 2018 ist es nicht mehr weit und viele Unternehmen und Behörden sind noch immer nicht auf die neuen Vorgaben und Vorschriften ausreichend vorbereitet. Die wesentlichen Inhalte der DSGVO wurden vor kurzem hier dargestellt und erläutert.

Inzwischen ist auch das Datenschutz-Anpassungs- und –Umsetzungsgesetz (DSAnpUG-EU) also das neue Bundesdatenschutzgesetz (BDSG) verabschiedet und ersetzt das bisherige BDSG ebenfalls zum 25.05.2018. Es ergänzt und konkretisiert, in den nationalen Öffnungsklauseln, die DSGVO Dort sind u.a. der Beschäftigtendatenschutz, die Bestellpflicht des Datenschutzbeauftragten (DSB) und die Vorschriften für die öffentlichen Stellen geregelt.

Datensicherheit nachweisen

Was müssen Unternehmen tun, um ihre Datensicherheit nachzuweisen? Die neuen Vorgaben für die Sicherheit der Verarbeitung finden sich hauptsächlich in Art. 5 Abs. 1 lit. f DSGVO sowie in Art. 32 DSGVO. Zudem gelten weitere Bestimmungen wie Art. 24, 25, 36 DSGVO die Datensicherheit.

Dabei sind die folgenden drei Aspekte zu beachten:

  1. Definition von Governance und Verantwortung
  2. Auswahl und Bezeichnung der Anwendungen und Systeme
  3. Definition der organisatorischen Einheiten

1. Definition von Governance und Verantwortung

Als erster Aspekt muss auf der Basis der Umsetzung die Governance und Verantwortung definiert werden. Der § 9 BDSG inklusive Anlage wird dabei durch Art. 32 DSGVO ersetzt. Hier finden sich allerdings lediglich abstrakte Anhaltspunkte zur Umsetzung technischer und organisatorischer Maßnahmen.

Die konkreten Maßnahmen, wie in der Anlage zu § 9 BDSG aufgezählt, werden in Art. 32 Abs. 1 DSGVO – abgesehen von Pseudonymisierung und Verschlüsselung – nicht genannt.

2. Auswahl und Bezeichnung der Anwendungen und Systeme

Als zweiter Aspekt sollte die kritische Auswahl und Bezeichnung der Anwendungen und Systeme, die für die DSGVO-Compliance aufgrund der verarbeiteten Daten relevant sind, erfolgen.

3. Definition der organisatorischen Einheiten

Als dritter Aspekt ist neben dem umsetzungstechnischen Handlungsbedarf, zu definieren, welche organisatorischen Einheiten einzubeziehen sind und welche Prozesse analysiert und ggf. geändert werden müssen. Auf dieser Basis kann eine Projektorganisation und eine Umsetzungsplanung mit Meilensteinen erstellt werden.

Die Gebote aus der Anlage zu § 9 BDSG (von der Zutritts- bis zur Trennungskontrolle) werden durch Begriffe und Beschreibungen ersetzt, die auf den ersten Blick reichlich interpretationsbedürftig erscheinen und die vermutlich noch von den Aufsichtsbehörden bzw. der Praxis konkretisiert werden. Es empfiehlt sich unbedingt, an die Dokumentation der technisch-organisatorischen Maßnahmen nach § 9 BDSG angelehnt, die ergriffenen Maßnahmen zu dokumentieren und sodann kontinuierlich zu aktualisieren. Künftig soll der Blick auf das Risiko, dass dem Betroffenen durch die Verarbeitung seiner Daten entstehen kann, gelegt werden. Es gilt durch angemessene technische und organisatorische Maßnahmen diese Risiken auszuschließen oder zu minimieren.

Bußgelder sind schmerzhaft und sollten vermieden werden

Die bisher relativ geringen Bußgelder des bis dato bestehenden BDSG gehören mit der Neuregelung der Vergangenheit an. Grundsätzlich ist davon auszugehen, dass auch die deutschen Aufsichtsbehörden in absehbarer Zeit den neuen Bußgeldrahmen der DSGVO (bis zu 20 Mio. oder vier Prozent des weltweiten Jahresumsatzes) zumindest ansatzweise ausschöpfen werden. Oberstes Ziel des Managements muss es daher sein, ein effizientes System für die schnelle Reaktion des Unternehmens zu installieren, um damit wirtschaftlichen und Image-Schaden vom Unternehmen abzuwenden.

Auch wenn ein Datenschutzmanagementsystem bei unbeabsichtigten Datenschutzverstößen nicht mit Sicherheit den Vorwurf der Fahrlässigkeit abwehren und es Fehler nicht völlig unterbinden kann, ist dessen Installation und Betrieb jedoch nach Art. 83 Abs. 2 lit. zumindest bußgeldmindernd zu berücksichtigen.

..
Jürgen Hartz
Über
Jürgen Hartz
Jürgen Hartz berät seit 2005 Unternehmen und Behörden in Fragen des Datenschutzes. Zuvor war er jahrzehntelang als Geschäftsführer im deutschen Mittelstand tätig. Sein besonderes Augenmerk liegt darauf, betriebliche Belange und Anforderungen des Datenschutzes unter dem Blickwinkel einer vertretbaren Wirtschaftlichkeit umzusetzen. Als Referent und Moderator ist er bei zahlreichen Datenschutz-Veranstaltungen und beruflichen Fortbildungen tätig. Er ist Vorstandsvorsitzender des BvD e.V. (Berufsverband der Datenschutzbeauftragten und in weiteren Gremien zum Datenschutz aktiv.
Alle Beiträge von Jürgen Hartz