- Dass die EU-Datenschutzgrundverordnung (EU-DSGVO) vor der Tür steht, dürfte den Unternehmensentscheidern und CISOs mittlerweile durch zahlreiche Publikationen bekannt sein.
- Was sind die zentralen Fragen, mit denen sich Unternehmenslenker im Kontext der EU-DSGVO beschäftigen?
- Die Konformität ist über alle Geschäftsprozesse hinweg eine tragende Säule der Datenschutz-Strategie.
- Crisp Research beantwortet die FAQs zur DSGVO und gibt Entscheidern die “15 Prinzipien des Datenschutzes” an die Hand.
Es vergeht kein Tag an dem nicht mindestens einmal “EU-DSGVO” erwähnt wird. Die neue Datenschutzgrundverordnung der Europäischen Union beherrscht unlängst die Schlagzeilen sämtlicher Magazine und steht auf der IT-Security-Agenda ganz oben. Die meisten Unternehmen wissen noch nicht, was wirklich mit dem Inkrafttreten der EU-DSGVO am 25. Mai auf sie zukommt. Konkrete Handlungsempfehlungen, wie man sich auf die Verordnung einstellen sollte, sind Mangelware. Unter folgendem Link finden sich Handlungsempfehlungen von Crisp Research. Auch die Frage nach der Konformität, inwieweit innerhalb unternehmenseigener Geschäftsprozesse der Datenschutz garantiert werden kann, ist oftmals eine unbeantwortete Frage.
Dieser Artikel soll Führungskräften die FAQs rund um das Thema EU-DSGVO beantworten und die Prinzipien der Konformität des Datenschutzes näher bringen.
Fragen über Fragen – Die Unsicherheit ist zu spüren
Doch bevor ein solcher Prinzipien-Leitfaden in sämtliche Geschäftsmodelle und -prozesse gegossen wird, sollte grundsätzlich einmal um das Thema EU-DSGVO aufgeräumt werden und die häufigsten Fragen von Unternehmenslenkern aufgegriffen und beantwortet werden. Die Vielzahl an Fragen, die oftmals unbeantwortet bleiben, zeigen dass die wenigsten sich fit für die EU-DSGVO fühlen.
Wer ist innerhalb der eigenen Organisation für die Einhaltung des Datenschutzes verantwortlich?
Eine Reihe von Neuerungen gehen im Zuge der EU-DSGVO einher, so auch zur Haftung von Unternehmen und deren Führungskräften. Demnach sind die Geschäftseigentümer grundsätzlich für die Einhaltung des Datenschutzes verantwortlich. Vor allem ist es wichtig, dass diese Führungskräfte ein Mandat erhalten, risikobasierte Entscheidungen zu treffen. Zudem gehört es zu ihren Aufgaben, Datenschutz- und Risikobewertungen regelmäßig durchzuführen und zu bearbeiten.
Was ist ein Datenschutzbeauftragter und muss ich einen benennen?
Die Bestellung des Datenschutzbeauftragten liegt maßgeblich in den Kerntätigkeiten der CISOs. Dabei kommt es vor allem darauf an, in welchem Umfang und Kontext personenbezogene Daten verarbeitet und erhoben werden. Falls ein Unternehmen außerhalb der Kriterien liegt, ist es den ihnen freigestellt einen Datenschutzbeauftragten zu bestellen. Freigestellt sind Unternehmen, die….:
- …nicht regelmäßige und systematische Überwachung betreiben
- ….keine umfangreiche Verarbeitung besonderer Daten vornehmen, die einer Datenschutzfolgeabschätzung unterliegen
- …..keine personenbezogene Daten zum geschäftsmäßigen Zweck erheben
Grundsätzlich benötigt der Datenschutzbeauftragte eine entsprechende berufliche Qualifikation, bei der insbesondere Fachwissen zum Thema Datenschutz und IT-Sicherheit zum Tragen kommt.
Was sind die Kernaufgaben eines Datenschutzbeauftragten?
Kernaufgaben eines Datenschutzbeauftragten sind maßgeblich die Unterrichtung und Beratung der Management-Ebene, zudem kommt die Schulung der Mitarbeiter dazu. Auch die Überwachung der Einhaltung und Support-Anfragen von betroffenen Personen, deren Daten verletzt wurden, ist eine zentrale Aufgabe des Datenschutzbeauftragten. Darüber hinaus muss der Datenschutzbeauftragte die Rechenschaftspflichten (Art. 5 (2), Art. 28, Art. 30 & Art. 35 DSGVO) der Unternehmen einhalten, die eine Datenschutzfolgeabschätzung (systematische Beschreibung der geplanten Verarbeitungsvorgänge) vornehmen müssen. Vor dem Hintergrund der Datenschutzfolgeabschätzung sind neben den Unternehmen und Datenschutzbeauftragten auch Cloud Anbieter gefragt, hinreichend Garantie für die Einhaltung der EU-DSGVO-Anforderungen zu geben.
Wann dürfen Unternehmen personenbezogene Daten verarbeiten?
Neben den altbekannten Datenschutz-Pflichten, wie dem Transparenzprinzip und dem Einwilligungsprinzip, die weiterhin Bestandteil der EU-DSGVO sind, kommen auch neue Pflichten für Unternehmen im Bereich des Datenschutzes hinzu. Generell muss bei der Nutzung von personenbezogenen Daten sichergestellt sein, dass von Unternehmensseite die Daten weder verloren gehen, zerstört oder verfälscht werden. Aber vor allem gilt das Verbot mit Erlaubnisvorbehalt (Art.6 EU-DSGVO).
Was gilt bei dem Einwilligung-Prinzip zu beachten?
Bei dem Verbot mit Erlaubnisvorbehalt muss grundsätzlich eine Einwilligung der betroffenen Person, deren Daten erhoben und verwendet werden, vorliegen. Falls keine Einwilligung vorliegt, muss eine Rechtsvorschrift einschlägig sein, die einem Unternehmen erlaubt, personenbezogene Daten zu nutzen. Resultierend ergibt sich eine starke Einschränkung bei der Datennutzung von personenbezogenen Daten durch Unternehmen. Ein geläufiges Verfahren an dieser Stelle ist das “Double-Opt-In-Verfahren”, welches die Zustimmung, wie zum Beispiel von Newslettern oder dem Erhalt von Informationen in zwei Schritten beschreibt.
Welche Pflichten haben Unternehmen noch zu beachten?
Die Grundsätze der EU-DSGVO, also die grundlegenden Pflichten, sind zunächst in Artikel 5 der EU-DSGVO geregelt. Darüber hinaus sollten vor allem die Regelungen der Artikel 25 und 32 beachtet werden. Hier sind die Maßnahmen zur Sicherheit und zum Stand der Technik (Art. 32 EU-DSGVO) sowie die Beachtung von Privacy by Design und Privacy by Default (Art. 25 EU-DSGVO) besonders wichtig für die korrekte Umsetzung.
Sollten Unternehmen sich im Falle einer Datenschutzpanne darauf vorbereiten, dass betroffene Personen ihre Rechte wahrnehmen?
Ja! Die EU-DSGVO bietet betroffenen Personen eine Reihe von Rechten für die Verwaltung und Nutzung ihrer personenbezogenen Daten. Diese sind in den Artikeln 12-23 geregelt und geben Aussage darüber, wie transparente Informationen, Kommunikation und Modalitäten für die Ausübung im Kontext der Betroffenenrechte zu beachten sind. So zum Beispiel das “Recht auf Vergessenwerden” vor dem Hintergrund des Aufbewahrungsschemas, das “Recht auf “Datenübertragbarkeit”, das “Recht Daten zu korrigieren oder zu ändern” und des Weiteren das “Recht auf Zugriff darauf, welche persönlichen Daten verarbeitet werden”, um die wichtigsten zu nennen.
Wie hat eine ordnungsgemäße Datenschutzerklärung auszusehen?
Eine Datenschutzerklärung ist unerlässlich, kann jedoch erst nach Abschluss einer Datenschutzfolgenabschätzung ordnungsgemäß durchgeführt werden. Das Ergebnis der Datenschutzfolgeabschätzung muss zudem klar und transparent sein.
Auch muss diese Datenschutzfolgeabschätzung einen Einblick in die eigentlichen Datenverarbeitungsaktivitäten geben.
Eine gute Datenschutzerklärung ist in leicht verständlicher Form verfasst.
Sie enthält die folgenden Elemente:
- Eine Einführung des Datenverarbeiters (“über uns”)
- Eine Erklärung der persönlichen Daten, die verarbeitet werden
- Eine Beschreibung der Zwecke, für die diese personenbezogenen Daten verarbeitet werden
- Eine Erklärung für die Dauer der Aufbewahrungsfristen
- Eine Beschreibung der Datenprozesse
- Ein Hinweis darauf, an wen bzw. an welche Stelle/Behörde betroffene Personen sich im Falle einer Beschwerde, einer Frage oder wenn eine betroffene Person ihre Rechte ausüben möchte, wenden können (“kontaktieren Sie uns”)
Wie habe ich meine IT-Sicherheitsarchitektur zu gestalten?
Unternehmen sind einer Vielzahl von Angriffen ausgesetzt. Manche sind weniger erfolgreich, andere wiederum können zum Totalausfall einer ganzen Infrastruktur führen. Eine robuste IT-Sicherherheitsarchitektur sollte Standard einer jeden Infrastruktur sein. Stellt man sich ein Schachbrett bildlich vor, dient die IT-Sicherheitsarchitektur als Bauer und bildet eine erste Verteidigungslinie gegenüber Cyber-Angriffen, um Bedrohungen aus dem Cyber-Raum wirksam zu begegnen. Hier folgende Hinweise:
- Daten sollten grundsätzlich verschlüsselt sein
- Unternehmenseigene Applikationen sollten vor Angriffen geschützt sein
- Angriffstolerante Systeme wie Virenscanner, VPN-Netze und Firewalls sollten äußere Angreifer abwehren
Wer kann helfen, Daten innerhalb der Unternehmen gemäß der DSGVO zu schützen?
Um den Anforderungen der EU-DSGVO gerecht zu werden, sollten sich CEOs und CISOs für die Planung und Umsetzung relevanter Maßnahmen Hilfe von Fachleuten ins Haus holen. In solch kurzer Zeit bis zum Inkrafttreten der Verordnung können Datenschutz, IT-Security sowie der EU-DSGVO selbst nur von erfahrenen Sparringspartnern in Einklang mit der Digital-Strategie gebracht werden.
Vor allem IT-Sicherheit und Compliance gehören zum Kerngeschäft eines Cloud-Providers. Klein und mittelständische Unternehmen sollten sich die Fragen stellen, ob sie zu den Kosten der Cloud-Lösung in der Lage wären, in ihren eigenen Rechenzentren selbst die Sicherheit für die Daten und Compliance gewährleisten zu können. Doch die Suche eines geeigneten Security-Providers ist ein schwieriges Unterfangen. Allerdings gibt es einige Indikatoren, mit denen sich der richtige Cloud- Sicherheits-Provider finden lässt.
Am meisten Vertrauen darf mal wohl denen schenken, welche mit langjähriger Erfahrung am Markt aktiv sind. Bedeutet, dass vor allem Kundenanzahl und Security-Umfang eine enorme Rolle spielen. Darüber hinaus sollten Cloud-Provider eine vollständig integrierte Cloudsicherheitslösung mit einem globalen Servernetzwerk anbieten, welches durch datenbasierte Algorithmen und Automatismen gestützt wird.
Aber auch die menschliche Komponente darf nicht vergessen werden. Ein Security Service Support bzw. ein Security Operation Center (SOC) sollte rund um die Uhr zur Verfügung stehen.
Wie verhält sich die Cloud-Technologie zur DSGVO?
Die EU-DSGVO spielt vor allem vor dem Hintergrund des Cloud Computing eine besondere Rolle. Denn im technischen Sinn ist Cloud Computing nichts weiter als Auftragsdatenverarbeitung (Art. 28 EU-DSGVO) – ein zentraler Punkt bei der EU-DSGVO.
Durch Einhaltung folgender Schritte die EU-DSGVO-Konformität erlangen – Die “15 Prinzipien des Datenschutzes”.
Datenschutz ist und bleibt ein brisantes Thema für Unternehmen. Ein grundlegender Paradigmenwechsel zeichnet sich ab. Vor allem könnten hohe Bußgeldstrafen, neben dem monetären Aspekt, Unternehmen auch Imageschäden zufügen.
Viel Zeit bleibt den Unternehmen nicht mehr. Nun gilt es mit Einführung der EU-DSGVO im eigenen Unternehmen Datenschutzlücken zu schließen, um Strafen und Sanktionen aus dem Weg zu gehen. Dazu sollte auch nach Inkrafttreten ein Leitfaden mit Prinzipien dazu dienen, dass Datenschutzpannen verhindert werden und die Konformität in alle Prozesse Einzug hält.
Ein Fundament für jede Datenschutz-Strategie bilden diese 15 Prinzipien: