Datenschutz-Grundverordnung DSGVO

Die Datenschutz-Grundverordnung (DSGVO) tritt EU-weit mit 24. Mai 2018 in Kraft.

Ziele der DSGVO

Der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und

insbesondere deren Recht auf den Schutz personenbezogener Daten

sowie der freie Verkehr personenbezogener Daten.

Grundsätze bei der Verarbeitung personenbezogener Daten

Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung,

Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität

und Vertraulichkeit

DSGVO baut grundsätzlich auf dem DSG 2000 auf

Die meisten Regeln der neuen Datenschutz-Grundverordnung (DSGVO) führen die Bestimmungen des DSG 2000 weiter. (z.B. technische Absicherung von Daten, etc.) Daher ist in diesen Bereichen eigentlich kein neuer / zusätzlicher Handlungsbedarf gegeben. Aber, viele Organisationen haben auch schon diese Hausaufgaben noch nicht gemacht oder halbherzig umgesetzt.

Auch haben sich in der Zwischenzeit sehr viele neuen Technologien in die Unternehmen „eingeschlichen“ ohne dass man sich über die Auswirkungen oder den Gefahrenpotentiale Gedanken gemacht hat.

Die ist jetzt rasch nachzuholen.

Paradigma-Änderung durch die DSGVO

• Die Verantwortung der Einhaltung des Datenschutzes wandert von der IT-Abteilung in die Fachabteilungen, die ja genauer Wissen wie die Dienstleistung erstellt wird. (was für Daten werden für die Abwicklung der Dienstleistung gebraucht, wer meiner Mitarbeiter arbeitet mit den Daten, etc.). Damit ist eigentlich die Verantwortung dort angekommen, wo auch die Gestaltungsmöglichkeit liegt. Das Thema ist natürlich für diese Personengruppe neu und überraschend auf den Tisch gekommen.
• Die Sichtweise des Gesetzgebers hat sich von Datenfeldbeschreibungen auf die Darstellung von Verfahren (Prozesse) im Unternehmen gerichtet, die auch die Datenentstehung, deren Verarbeitung und den damit verbundenen Unternehmenszweck berücksichtigt. Damit kann auch dem Kunden leichter klar gemacht werden, warum die Daten benötigt werden (z.B. Adressdaten für die Rechnungsausstellung, etc.).

• Die Rechte der Kunden wurden massiv gestärkt. Jetzt sind die Unternehmen verpflichtet Informationen über die gespeicherten persönlichen Daten Preis zu geben, Daten zu löschen (falls keine gesetzliche Pflicht für die Speicherung besteht), usw.
• Und natürlich die Ausweitung bzw. Erhöhung von Strafen, die vor allem auf Großunternehmen Druck ausüben soll, die mit ihren Geschäftsmodellen aus Daten Geld machen wollen. Leider leiden damit alle Unternehmen (ob klein oder mittel) mit.

Was ist sonst noch neu

• Der Gesetzgeber gibt nicht, so wie früher, genau vor wie etwas zu machen ist. Er definiert nur die gewünschten Ergebnisse und überlässt es dem Unternehmen die geeigneten Umsetzungsmaßnahmen zu wählen. Allerdings muss das Unternehmen auch in der Praxis dann beweisen das die Maßnahmen gewirkt haben.
• Für die Verarbeitung von sensiblen Daten kann die Aufsicht eine Risikoanalyse verlangen, die einerseits das Eintreten des Schadenfalls bewertet und auf der anderen Seite die möglichen Kosten für das Unternehmen beurteilt (Datenschutzfolgen-Abschätzung). Die ist eigentlich ein gutes Tool, da man dadurch systematischen an mögliche Probleme im Unternehmen herangeht.
• Verstärkt wurde auch die Pflicht Datenpannen zu melden, um hier auch einen Überblick über die Gefährdungslage bei den Unternehmen zu erlangen. Speziell bei Angriffen auf die IT der Unternehmen.

NIS – für einige Organisationen die größere Herausforderung

Gleichzeit tritt auch diese Verordnung in Kraft, die den Schutz der Infrastruktur von großen Unternehmen in den Mittelpunkt stellt. Ist für Klein- und Mittelbetriebe kein Thema. NIS steht für „Netz- und Infrastruktursicherheit“ (Cypersicherheit).