DSGVO - 25.05.2018 / Nun gilt es...

Datenschutzgrundverordnung (DSGVO/DS-GVO)

Die EU-Datenschutzgrundverordnung (DSGVO) trat bereits am 25. Mai 2016 in Kraft und wird nun nach einer Übergangszeit von 2 Jahren ab 25. Mai 2018 anwendbar. Die Gesetzesänderung bzw. -erweiterung zum BDSG hat enorme Auswirkungen auf den bisherigen Umgang mit personenbezogenen Daten. Neben den hohen Strafen bei Nichteinhaltung müssen, um der DSVGO zu entsprechen, detaillierte Datenschutzkonzepte ausgearbeitet, dokumentiert und etabliert werden. Wir stehen Ihnen als IT Dienstleister bei der Umsetzung der DSVGO neben unserer Beratungsleistung mit technologischen Hilfsmitteln zur Seite und unterstützen Sie bei der Umsetzung der gesetzlichen Forderungen. 

Wir haben Ihnen einen Überblick erstellt der Ihnen zeigt was hinter DSGVO steckt, wer davon betroffen ist und welche Auswirkungen dies Unternehmensintern hat. Es soll Ihnen erleichtern mit der Thematik umzugehen.

Grundsätzlich sind alle Unternehmen, Institute, Kanzleien, Vereine, Behörden und anderen Organisationen die personenbezogene verarbeiten, betroffen und müssen die Vorgaben der DSGVO umsetzen. Auch gilt, wer sich bisher nach der BDSG richten musste, muss sich zukünftig nach der DSGVO richten.

Grundsätzlich gilt es die Definition von personenbezogenen Daten zu verinnerlichen bzw. festzustellen was Daten zu personenbezogenen Daten macht. Per Definition sind alle Daten die zur Identifikation von Personen genutzt werden, personenbezogenen Daten.

  • Name
  • E-Mail Adresse (Stichwort Newsletterversand)
  • Social-Media Beiträge
  • Daten hinsichtlich physischen, physiologischen oder genetischen Zustandes einer Person
  • medizinische Daten
  • kultureller Hintergrund
  • Position allgemein bzw. geschäftliche Position
  • Bankinformationen
  • Cookies
  • IP-Adresse

Um zu Erkennen ob und inwieweit personenbezogene Daten im Unternehmen vorhanden sind und welche Rechtsgrundlage dazu besteht, gibt es einige Punkte die hilfreich bei der Ermittlung bzw. Identifizierung der problematischen Daten sind. Hilfreich hierzu ist ein Absatz aus der GS-DVO:

Art 2(1) DSGVO Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Wichtig ist hier das es irrelevant ist wie die Daten entstand sind, sofern sie in einem digitalen System gespeichert werden, fallen sie unter die DSGVO.

  • Die digitalen Orte der personenbezogenen Daten sind zu ermitteln (E-Mails, Dokumente, Datenbanken, Wechselmedien, Metadaten, Protokolldateien, Sicherungen)
  • Grundsätzlich gilt, das das Vorhalten personenbezogener nicht erlaubt ist, es sei denn ein Gesetz/Rechtsvorschrift erlaubt dies oder es besteht eine Einwilligung der betreffenden Person. Das heisst es ist zu prüfen, ob die Haltung dieser Daten rechtskonform ist oder auf welcher Grundlage, Gesetzen oder vertraglichen Bedingungen diese Daten gespeichert werden.
  • Welcher Schutz liegt für die personenbezogenen Daten vor
  • Welche Prozesse existieren intern wie extern die diese Daten verarbeiten, konkret welche Dienstleistungsbeziehungen bestehen in diesem Zusammenhang (Auftragsverarbeitungsvertrag)
  • Sind die genannten Themen und Verantwortlichkeiten dokumentiert?
  • Je nach Unternehmensgröße Ernennung eine Datenschutzbeauftragten (sobald mehr als 9 Mitarbeiter mit automatisierter Datenverarbeitung zu tun haben bzw. sobald eine Beschäftigtenanzahl von 20 erreicht ist)
  • Anpassung der Prozesse und Strukturen die mit personenbezogenen Daten arbeiten (Speicherung, Verarbeitung, Übertragung, Wiederherstellung, Archivierung, Aufbewahrung, Beseitigung/Löschung); Datenklassifizierung nach Typ, Sensivität/Nutzung, Besitz/Verwaltungsberechtigung, Administration
  • Implementierung von Informationspflichten, Betroffenenrechten, und Löschkonzepten
  • Anpassung der Datenschutzorganisation: Datenschützer/Hauptverantwortlicher ist der Geschäftsführer/Manager der die einzelnen verantwortlichen Stellen unterstützt
  • Aktionsplan bei Datenpannen
  • Organisation von Meldepflichten
  • Anpassung der Dienstleistungsbeziehungen
  • Aufbau der Dokumentation
  • Anpassung der IT Sicherheit
  • je nach Unternehmensgröße die Anpassung der Betriebsvereinbarungen

Art 1(2) DSGVO Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

Art 32 DSGVO Diese Passage gibt eine umfangreiche Vorschriften wie die Sicherheit der Verarbeitung der Daten zu gewährleisten ist.

Prävention / Verhindern von Angriffen auf Daten

  • Physischer Schutz der Dateneinheiten / Serverraum / Rechenzentren
  • Netzwerksicherheit: Firewalls
  • Schutz vor Datenverlust: RAID Systeme / Hochverfügbarkeitssysteme / Datensicherung
  • Zugriffskontrolle
  • Verschlüsselung (DSGVO Art. 32(1a))
  • Datensicherung

Überwachung und Erkennung von Systemeinbrüchen

  • Systemüberwachung
  • Einbruchserkennung
  • Wiederherstellung
  • Zugriffskontrolle

Nach Art. 33 DSGVO muss die Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden an die jeweilig zuständige Aufsichtsbehörde gemeldet werden. Es sollte im Vorfeld definiert werden wer, wann und wie mit der Behörde kommuniziert wird.

Bestimmte Informationen müssen protokolliert bzw. gemeldet werden

  • Art der Verletzung des Schutzes personenbezogener Daten
  • Zweck der Verarbeitung
  • Klassifizierung der personenbezogenen Daten
  • ungefähren Zahl der betroffenen Personen bzw. der betroffenen Datensätze
  • Namen der Kontaktperson im Unternehmen
  • Nennung der vermutlichen Folgen
  • Nennung der ergriffenen Maßnahmen
  • Dokumentation der Datenschutzverletzung

Bei Nichterfüllung der Meldepflichten können nach Art. 83 (4a) DSGVO Bussgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes des vorherigen Geschäftsjahres erhoben werden.

Vom bayrischen Landesamt wurde folgender Fragebogen entwickelt, der ggf. bei einem Datenschutzaudit zugrunde gelegt werden könnte:

https://www.lda.bayern.de/media/dsgvo_fragebogen.pdf