Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Ratgeber

Datenschutzprüfung im Rahmen der DSGVO: Was Unternehmen erwartet

(Foto: Shutterstock-Evlakhov Valeriy)

Die DSGVO ist nun seit mehr als fünf Monaten in Kraft. Ganz langsam nehmen die Befürchtungen, die mit der DSGVO verbunden waren, ab. Die meisten Unternehmen haben ihr Datenschutzkonzept inzwischen zu großen Teilen an die DSGVO angepasst.

Und sind wir doch ehrlich, bis jetzt sind die befürchteten Katastrophen für die allermeisten Unternehmen auch nicht eingetreten. Doch was geschieht, wenn die Aufsichtsbehörden sich nun nach fünf Monaten ebenfalls gesammelt haben und Überprüfungen durchführen?

Datenschutzprüfung durch die Aufsichtsbehörde: Auf diese Fragen müssen Unternehmen sich einstellen

Die ersten Aufsichtsbehörden haben bereits Querschnittsprüfungen durchgeführt. Wir zeigen auf, was Unternehmen dabei zu erwarten haben und mit welchen Fragen sie konfrontiert werden:

1. „Wie haben Sie sich als Unternehmen auf die DSGVO vorbereitet?“

Diese Frage ist noch recht einfach zu beantworten. Entweder hat ein interner Datenschutzkoordinator an Fortbildungen und Schulungen zur DSGVO teilgenommen oder das Unternehmen arbeitet eng mit seinem Datenschutzbeauftragten oder einem Anwalt zusammen.

2. „Auf welcher Rechtsgrundlage verarbeiten Sie personenbezogene Daten?“

Für eine Antwort müssen Unternehmen den Art. 6 DSGVO betrachten. Dort werden verschiedene mögliche Rechtsgrundlagen aufgelistet. Sollten besondere Kategorien personenbezogener Daten verarbeitet werden, muss es dafür eine Rechtsgrundlage in Art. 9 DSGVO geben. Möglichkeiten, die Daten von Arbeitnehmern oder Bewerbern zu verarbeiten, finden sich in Art. 88 DSGVO verbunden mit § 26 BDSG-neu.

3. „Wie stellen Sie die Einhaltung der Betroffenenrechte (auf Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit) sicher?“

Alle Betroffenenrechte zu wahren und hierfür ein Konzept zu erstellen, nach dem die Anträge der Betroffenen auch fristgemäß beantwortet oder erfüllt werden, stellt die meisten Unternehmen vor große Schwierigkeiten. Zunächst muss hierfür genau bestimmbar sein, welche personenbezogenen Daten der betroffenen Personen überhaupt vorliegen und an welchen verschiedenen Orten diese gespeichert sind beziehungsweise anderweitig verarbeitet werden. Für Unternehmen bietet es sich an, eine detaillierte Liste mit allen verarbeiteten Daten zu erstellen. Im zweiten Schritt sollte dann aufgelistet werden, wie diese Daten verarbeitet werden. Das bedeutet, genau festzuhalten, welche Daten mit welchen Programmen und Arbeitsmitteln verarbeitet werden und wo diese gespeichert sind.

Zusätzlich sollte dargestellt werden können, wie die Daten in das Unternehmen gelangt sind und wohin das Unternehmen diese unter Umständen weitergibt. Ein kleiner Ausschnitt dieser Aufstellung könnte folgendermaßen aussehen: „Personaldaten werden im Ordner Personal im Laufwerk T gespeichert. Verarbeitet werden die Personaldaten mit den Programmen der Datev eG und der Personio GmbH. Weitergegeben werden Personaldaten an den Steuerberater des Unternehmens.“

4. „Wie stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen beziehungsweise die Ihrer Dienstleister ein (dem Verarbeitungsrisiko) angemessenes Schutzniveau gewährleisten?“

Um das notwendige Schutzniveau bestimmen zu können, müssen die verschiedenen Datenverarbeitungen im Unternehmen genauer betrachtet und das hinter dieser Verarbeitung stehende Risiko bewertet werden. Zudem müssen Kenntnisse über mögliche Maßnahmen bestehen. Es existieren bereits vielfältige und anerkannte organisatorische und auch technische Maßnahmen. Die verschiedenen Datenverarbeitungen des Unternehmens sind aus dem zu führenden Verarbeitungsverzeichnis ersichtlich. Zu jeder Verarbeitungstätigkeit sollte eine Risikobewertung durchgeführt werden. Die technischen und organisatorischen Maßnahmen sind nicht einzeln im Gesetz aufgezählt. Das würde den Rahmen der DSGVO sprengen.

Für die Aufstellung der technischen und organisatorischen Maßnahmen bietet es sich an, eng mit seinem Datenschutzbeauftragten zusammenzuarbeiten, da er die gängigen Maßnahmen kennen sollte. Alternativ gibt es Handbücher zur DSGVO, die auch technische und organisatorische Maßnahmen beschreiben. In Bezug auf die IT-Sicherheit sind auf der Website des Bundesamtes für Sicherheit in der Informationstechnik sehr umfangreiche Informationen zu finden. Eine Maßnahme, die für fast alle Unternehmen wichtig wäre und die von fast allen Unternehmen nicht richtig gehandhabt wird, ist die Verschlüsselung von E-Mails. Die Transportverschlüsselung stellt nach dem derzeitigen Stand der Technik das absolute Mindestmaß dar. Sobald jedoch sensible Daten per E-Mail weitergegeben werden, muss entweder eine Ende-zu-Ende-Verschlüsselung verwendet werden oder die sensiblen Daten sollten sich in einem separat verschlüsselten Anhang der E-Mail befinden. Das Passwort für den Anhang muss dann natürlich auf einem anderen Kommunikationskanal mitgeteilt werden.

5. „Wie stellen Sie sicher, dass Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen erkannt und für diese eine Datenschutz-Folgenabschätzung durchgeführt wird?“

Es ist existieren keine leicht verständlichen Regeln für die Durchführung einer korrekten datenschutzrechtlichen Risikobewertung. Deshalb ist es für viele Unternehmer schwierig, hierfür einen geeigneten Prozess aufzubauen. Aus diesem Grund wird diese Frage häufig schwer zu beantworten sein. Zudem sind die Grenzen der Datenschutz-Folgenabschätzung noch nicht klar abgesteckt.

6. „Haben Sie Ihre bestehenden Verträge mit Auftragsverarbeitern an die neuen Regelungen der DSGVO angepasst?“

Bitte beachte unsere Community-Richtlinien

Eine Reaktion
Jan-Philip Ziebold

Ergänzender Content - ebenfalls wie ihr hier im Artikel ohne Panikmache - für alle Onliner, speziell auf das wichtigste SALE-Instrument E-Mail-Marketing bezogen: https://www.youtube.com/watch?v=aH3Sw-Rp6pQ

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.