Datenschutz - Sicher muss es sein!Grundsätzlich hat in der Datenschutz-Grundverordnung das Thema IT-Sicherheit einen höheren Stellenwert erhalten als bisher im BDSG. Dort wurde es im Wesentlichen über §9 BDSG mit den technisch-organisatorischen Maßnahmen sowie der Anlage zu Ziffer neun von Zutrittskontrolle bis Verfügbarkeitskontrolle und Mandanten-Trennung geregelt. In der Datenschutzgrundverordnung wird in Art. 5 gefordert, dass personenbezogene Daten in einer Weise verarbeitet werden müssen, die eine angemessene Sicherheit der Daten gewährleistet und auch der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, vor Verlust, Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische Maßnahmen sichergestellt wird. Die DS-GVO fordert, dass sich die technisch, organisatorischen Maßnahmen künftig nach dem Stand der Technik richten. Bereits bei der Planung und Umsetzung von Datenverarbeitungsverfahren muss das von ihnen ausgehende Risiko für Persönlichkeits- und Freiheitsrechte berücksichtigt werden. Unter bestimmten Voraussetzungen ist eine Datenschutz-Folgenabschätzung vor Inbetriebnahme des Verfahrens durchzuführen. Diese ersetzt die frühere Vorabkontrolle und die Dokumentation wird umfangreicher ausfallen. Auch fordert die Datenschutz-Grundverordnung Anonymisierung und Verschlüsselung als explizit geeignete Maßnahmen zum Datenschutz. Auf die Pseudonymisierung wird in der DS-GVO nicht mehr eingegangen. Die alten Begriffe wie Zutritts-, Zugangs-und zu Zugriffskontrollen sind entfallen. Neue Begriffe wie Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sind als Sicherheitsziele definiert und bei der Verarbeitung zu gewährleisten. Die Qualität der technischen und organisatorischen Maßnahmen muss künftig angemessen geprüft, getestet und dokumentiert werden. Dies kann zum Beispiel durch interne oder externe Penetrationstests erfolgen. Neu sind Begriffe wie Data Protection by Design und Data Protection by Default. Hierbei soll durch geeignete technische Maßnahmen der Grundsatz der Datenvermeidung umgesetzt werden. Data Protection bei Default soll sicherstellen, dass durch geeignete Voreinstellungen bei IT Systemen gewährleistet wird, dass nur die Daten verarbeitet werden die für den Zweck erforderlich sind. Sind Sie weitestgehend gut aufgestellt? Dann überprüfen Sie sich selbst einmal anhand des Fragenkatalogs der Landesbeauftragten Niedersachsens. Wichtig: Vergessen Sie nicht Ihre Mitarbeiter und ggfs. Dienstleister mitzunehmen. Prozesse und Verfahren niederzuschreiben, die nicht gelebt werden, schafft keinen Datenschutz und keine Sicherheit. Am besten dürften sich, besonders für kleine Unternehmen und mittlere Unternehmen, Awareness-Schulungen zum Datenschutz und zur Datensicherheit anbieten. Hierfür halte ich besonders Präsenzschulungen des Datenschutzbeauftragten für zielführend, wenn diese auf das Unternehmen und deren Verarbeitungen ausgerichtet werden. Zumal die Mitarbeiter so auch den DSB persönlich kennenlernen (oft ist das nämlich nicht der Fall) und sich bei Fragen und Vorkommnissen auch an diesen wenden. DSB BestellpflichtBei der Pflicht zur Bestellung eines Datenschutzbeauftragten wird in der DS-GVO zwischen öffentlichen und nichtöffentlichen Stellen unterschieden. Öffentliche Stellen sind grundsätzlich verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn durch sie personenbezogene Daten verarbeitet werden. Nicht-öffentliche Stellen, also Unternehmen, Vereine und Verbände müssen nach Art 37 DG-GVO einen Datenschutzbeauftragten bestellen, wenn "… die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder die Kerntätigkeit des Verantwortlichen oder des Auftrags Verarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 oder von personenbezogenen Daten über strafrechtliche Verurteilung und Straftat gemäß Art. 10 besteht". Gerade die Frage nach der Kerntätigkeit dürfte noch Freiraum für Diskussionen lassen. Soweit die DS-GVO. Deutschland hat an dieser Stelle von der Öffnungsklausel Gebrauch gemacht und im Anpassungs- und Umsetzungsgesetz-EU (BDSG-neu), das ebenfalls am 25.05.2018 in Kraft tritt, die Bestellpflicht strenger geregelt. In § 38 BDSG-neu haben Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten zu benennen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Unternehmen, die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder zum Zweck der Markt- und Meinungsforschung verarbeiten, haben unabhängig von der Anzahl der Mitarbeiter einen Datenschutzbeauftragten zu benennen. Für deutsche Unternehmen also keine große Änderung. Datengeheimnis AdeDas alte Datengeheimnis nach §5 BDSG existiert ab dem 25.05.2018 nicht mehr. Die alten Formulare werden obsolet. Dennoch empfiehlt es sich, auch für die Nachweispflicht im Hinblick auf die sog. Accountability, eine geeignete schriftliche Verpflichtung und Unterweisung zum Umgang mit personenbezogenen Daten im Unternehmen vorzunehmen. Erste Musterentwürfe finden sich bereits im Internet. Einer neuen Verpflichtung am 25. Mai 2018 bedarf es nicht. Bei einer großen Zahl von Beschäftigten würde das nur in unnötige Bürokratie ausufern. Nicht zu vergessen: die Mitteilungspflicht der Kontaktdaten Ihres DSB an die zuständige Aufsichtsbehörde. Diese Pflicht ergibt sich aus Art. 37 Abs. 7 DSGVO. Eine fehlende oder fehlerhafte Meldung ist ebenfalls bußgeldbewehrt. Wie genau und in welchem Umfang die Meldungen zu erfolgen haben bleibt abzuwarten. Schreiben Sie aber jetzt noch keine Briefe oder E-Mails. Die Aufsichtsbehörden arbeiten derzeit an Online-Meldeformularen bzw. Plattformen, damit die Meldungen einfach und strukturiert ausgeführt werden können. Das wird auch eine interessante Datenbank, vor allem wenn man diese Länderübergreifend auswerten würde. Tipp: Besuchen Sie von Zeit zu Zeit die Webseiten Ihrer Aufsichtsbehörde. Über die Webseite des Zentralarchivs für die Tätigkeitsberichte der Landesdatenschutzbeauftragten finden Sie die Tätigkeitsberichte, weitere Informationen und die aktuellen Webadressen aller Aufsichtsbehörden. Dieser Artikel wird Ihne in Zusammenarbeit von Raz-Lee Security GmbH und dem Datenschutzbeauftragten Jürgen Hartz präsentiert. Raz-Lee Security ist führender internationaler Anbieter von Sicherheits-, Auditing-und Compliance (SOX, PCI, HIPAA, etc.) Lösungen für die IBM i. Zu Raz-Lee-Kunden zählen Unternehmen aller Größen, von KMUs bis zu Unternehmen mit Hunderten von Systemen, in allen vertikalen Märkten und Branchen. Finanzinstitute wie Banken und Versicherungen sind besonders zahlreich unter der Raz-Lee Klientel vertreten. Jürgen Hartz ist als externer Datenschutzbeauftragter für verschiedene mittelständige Unternehmen bestellt. Er war viele Jahre im Kundendienst in leitenden Funktionen bei internationalen Unternehmen tätig. Zuletzt über 10 Jahre Alleingesellschafter und Geschäftsführer eines Kundendienstunternehmens für Consumerelektronik mit über 120 Mitarbeitern. Seit 2005 berät er Unternehmen in den Fragen des Datenschutzes. Betriebliche Belange und Anforderungen mit den gesetzlichen Vorschriften in Einklang zu bringen ist die besondere Herausforderung dieser Aufgabe. Dabei kommt ihm die eigene unternehmerische Tätigkeit der vergangenen Jahre zu Gute. Als Referent und Moderator ist er bei zahlreichen Datenschutzveranstaltungen aktiv. Er ist stellv. Vorstandvorsitzender des BvD e.V. (Berufsverband der Datenschutzbeauftragten) und in verschieden Gremien tätig. Jürgen Hartz ist per E-Mail über info@jhartz.de erreichbar.
|