DSGVO – Was ist zu tun?

Sarah/ Juni 20, 2018

Datenschutz beschäftigte mich im letzten halben Jahr ziemlich intensiv, darum möchte ich noch einen zweiten Beitrag darüber schreiben. Ein paar Themen sind sich beim letzten nämlich nicht mehr ausgegangen.

Grundsatz der „Integrität und Vertraulichkeit“ (Artikel 5)

So setze ich mich für mein Unternehmen auch mit der Meldepflicht bei der Datenschutzbehörde auseinander, wenn wir ein in Artikel 5 festgelegtes Schutzziel verletzen sollten. Hier wird geregelt, dass man Daten vor unbefugter Verarbeitung schützen muss. Das bedeutet etwa, den Schreibtisch am Abend leer zu hinterlassen, personenbezogene Daten in versperrbaren Kästen aufzubewahren und Bürotüren zuzusperren. Gar nicht so leicht, das alles den kreativen Köpfen mit ihrem persönlich geordneten Chaos am Schreibtisch abzuverlangen. Doch so könnten in Zeiten des Smartphones unbefugte Personen schnell ein Foto von Daten machen, die sie nichts angehen.

Das zweite Schutzziel besteht in der unrechtmäßigen Verarbeitung. Um Mitarbeitern näherzubringen, was sie mit den Daten von Kunden tun dürfen und was nicht, gibt’s Schulungen, ein Sicherheitshandbuch und definierte Prozesse, die den Arbeitsablauf klar regeln. Klingt zwar fast übertrieben bürokratisch, ist aber in großen Unternehmen Gang und Gebe.

Des Weiteren haben Betriebe die personenbezogenen Daten vor unbeabsichtigtem Verlust, Zerstörung und Schädigung zu nutzen. Das ist gar nicht so einfach, darum sind hier Worst Case Szenarien zu erstellen. Was tut man denn, wenn ein Mitarbeiter sein Handy verliert? Hier wäre es wichtig als Mitarbeiter sofort dem IT Kollegen Bescheid zu geben und die Daten am Handy von der Ferne zu löschen.

Meldepflicht bei Datenschutzverletzungen (Artikel 33)

In der DSGVO (Artikel 33) steht zudem, dass Verletzungen dieses Schutzes der Daten bei der Datenschutzbehörde gemeldet werden müssen. Und zwar binnen 72 Stunden – leider steht nicht drinnen, dass das nur für Arbeitstage gilt und sich die Frist durch Wochenende oder Feiertage verlängert. Wir dürfen gespannt sein, wie die Datenschutzbehörde das auslegt.

Wichtig ist auch, dass die Meldung bestimmte Infos zu beinhalten hat. Neben der Art der Verletzung, der Anzahl der betroffenen Personen und Daten muss man auch bekannt geben, welche Maßnahmen man getroffen hat, um den Schaden gering zu halten. Es wäre also ein bisschen spät erst bei Auftreten eines Problem darüber nachzudenken, wie man es jetzt bekämpfen könne, bzw. ob man überhaupt Möglichkeiten dazu hat. Die DSGVO verlangt hier von den Unternehmen vorbereitet zu sein. Als Privatperson finde ich die Transparenz und Prävention die sich daraus ergeben gar nicht mal so schlecht 😉

Der Vertrag mit dem Auftragsverarbeiter (Artikel 28)

Einen weiteren herausfordernden Punkt sehe ich im Artikel 28. Wenn ich ein anderes Unternehmen mit einem Dienst beauftrage und es dadurch die Daten meiner Kunden oder Mitarbeiter verarbeitet, muss ich einen datenschutzrechtlichen Vertrag abschließen. Das liegt in meiner Verantwortung als Auftraggeber und die ist nicht ohne. Sollte mein Auftragnehmer ein weiteres Subunternehmen benötigen, um den Dienst anbieten zu können, muss ich das absegnen. Dazu gehört, dass ich mich selbst vergewissere, dass auch dieser Subauftragnehmer datenschutzkonform handelt. Meine Frage ist hier, wie ich das als Laie so genau beurteilen kann. Diese Konstellation tritt durchaus häufig auf.

Am Wifi hab ich zudem den Tipp bekommen, als Verantwortlicher seinen Auftragnehmern einen eigenen Vertragsentwurf zu senden und nicht deren Vertrag zu unterzeichnen. Einige nutzen hier ihre Chance und legen eine nicht ganz datenschutzkonforme Variante vor. Die Letztverantwortung hierfür hat aber der Auftraggeber.

Analyseraster für Unternehmen

Der vorhin bereits angesprochene Artikel 5 der DSGVO mit den Grundsätzen ist sozusagen das Herzstück der DSGVO. Es geht hier darum, sich die richtigen Fragen zu stellen.

  • Besitze ich die Daten rechtmäßig? (Rechtmäßigkeit)
  • Ist mein Vorgehen für den Kunden transparent? (Transparenz)
  • Für welchen Zweck erhebe ich die Daten? (Zweckbindung)
  • Brauche ich die Daten? (Datenminimierung)
  • Sind die Daten richtig/aktuell? (Richtigkeit)
  • Wie lange speichere ich die Daten? (Speicherbegrenzung)
  • Sind sie vor Verlust, Zerstörung etc geschützt? (Integrität und Vertraulichkeit)
  • Wie kann ich nachweisen, dass ich die DSGVO einhalte? (Rechenschaftspflicht)

Auf diese Fragen sind Antworten zu finden und ich vermute mal, dass die meisten Unternehmen noch nicht auf alles eine korrekte Antwort hatten, bevor sie sich mit der DSGVO auseinandergesetzt haben. Am Anfang steht somit die Analyse der Daten im Unternehmen, dann kann man einen Maßnahmenplan erstellen und zur Umsetzung schreiten – wie eben bei jedem Projekt.

Conclusio

Lehrreich war für mich während der Vorbereitungen auf die DSGVO vor allem die Umsetzung der Transparenz. Dieser Grundsatz schreibt unter anderem vor, dass die Kunden informiert werden müssen, wer ihre Daten sonst noch erhält. Was dazu geführt hat, dass ich unsere Auftragsverarbeiter, etwa den Anbieter unserer Website mal ein bisschen ausgefragt habe, was er bei einer Online-Kursanmeldung denn alles an Daten speichert.

„Nerven“ tut mich wiederum das Recht auf Widerspruch, das die Kunden haben. Fotografieren wir etwas Kinder in der Kinderbetreuung und würden den Eltern die Fotos gern zur Verfügung stellen geht das nicht. Denn wenn Mama A später irgendwann mal sagt, wir sollen alle Fotos von ihrem Kind A löschen, könnten wir das nicht gewährleisten, weil Mama B damals dieses Foto, auf dem auch Kind A drauf ist, bekommen hat, da ihr eigenes Kind B ebenfalls beim gemeinsamen Spielen abgelichtet ist.

Somit empfinde ich die DSGVO nicht nur als spannend und gleichzeitig mühsam, sondern in einigen Fällen geht’s für mich in die falsche Richtung. Überrascht hat mich beim Lesen der DSGVO, dass doch einiges ganz klar geregelt ist und wir als Unternehmen keinen Spielgraum haben, gleichzeitig ist vieles auch noch offen – hier dürfen wir sehr gespannt sein, wie die Datenschutzbehörde bestimmte Fragestellungen auslegt.

Hinterlasse eine Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*
*