Multimedia

Webinar: DSGVO – wo stehen wir, was haben wir gelernt?

  1. Startseite
  2. Ressourcen
  3. DSGVO – wo stehen wir, was haben wir gelernt?

DSGVO – wo stehen wir, was haben wir gelernt?

Im Mai 2018 ist die DSGVO endgültig in Kraft getreten. Wesentliches Grundanliegen der europäischen Datenschutzgrundverordnung ist die jederzeitige Transparenz und Sicherheit in Bezug auf Datenschutz und Auftragsverarbeitung zum Schutz der persönlichen Daten von EU-Bürgern.

Die Umsetzung der Verordnung stellt für Unternehmen und Auftragsverarbeiter gleichermassen eine grosse Herausforderung dar. Diese gilt es jedoch anzunehmen, schliesslich drohen Reputationsverlust und erhebliche Bußgelder.

Nachlässigkeit kann teuer werden

Mit Blick auf das erste Jahr mit der DSGVO wird offensichtlich, dasses den Datenschützern ernst ist: So fordert die britische Datenschutzbehörde von der Fluglinie British Airways ein Bußgeld von mehr als 200 Millionen Euro, 1,4% des weltweiten Umsatzes des Unternehmens. Unbekannte konnten durch eine Sicherheitslücke im Online-Buchungssystem Kundendaten wie Zugangsdaten, Adressen, Namen und Kreditkartendaten abgreifen. Das bisher höchste DSGVO-Bußgeld in Höhe von 50 Millionen Euro wurde von der französischen Datenschutzbehörde gegen Google verhängt.

In Deutschland wurden die Unternehmen bisher noch weitgehend verschont. Die verhängten Bußgelder im Zusammenhang mit Datenpannen fallen mit durchschnittlich zirka 6.000 Euro - im Einzelfall maximal 50.000 Euro - noch recht gering aus. Doch das Land Berlin bereitet die erste Millionenstrafe vor, so ist auch in Deutschland mit höheren Bußgeldern zu rechnen.

Damit es nicht so weit kommt

Um den Herausforderungen der DSGVO Unternehmen gerecht zu werden, müssen sich die im Unternehmen Verantwortlichen im Wesentlichen die folgenden Fragen stellen:

  • Welche Art von Daten habe ich im Unternehmen?
  • Sind diese Daten risikorelevant?
  • Wie lange müssen diese Daten vorgehalten werden können bzw. wann müssen sie vernichtet werden?
  • Wurden entsprechende Risikobewertungen und Sicherheitskonzepte daraus abgeleitet?
  • Arbeitet das Unternehmen nur mit Dienstleistern zusammen, die die eigenen Anforderungen abdecken können?

Auch die Anforderungen an die Auftragsverarbeiter, wie beispielsweise Iron Mountain, haben sich durch die DSGVO geändert und zugenommen:

  • erhöhter Analyse- und Beratungsbedarf, um gemeinsam mit dem Auftraggeber geeignete Schutzmaßnahmen zu entwickeln – denn das gestaltet sich von Unternehmen zu Unternehmen unterschiedlich.
  • erhöhte Anforderungen an Dokumentations- und Meldepflichten gegenüber dem Kunden und Datenschutzbehörden
  • erhöhte Haftungsregeln für beide Seiten
  • finanzielle Investitionen in Gebäude und Systemsicherheit
  • Mitarbeiterschulungen und Kontrollmechanismen für die genannten Bereiche

All diese Punkte müssen in ihren wesentlichen Bestandteilen in einem verbindlichen Vertrag zur Auftragsverarbeitung nach Artikel 28 DSGVO nachvollziehbar vereinbart werden. Wichtig ist, dassdies von Auftraggeber (dem Verantwortlichen) und Auftragnehmer (dem Auftragsverarbeiter) immer sorgfältig im Hinblick auf die möglichen Bußgelder der Aufsichtsbehörden bei Verstößen gegen die DSGVO-Vorschriften abgewogen wird, denn der finanzielle Rahmen kann je nach Fall und Schwere des Verstoßes bis zu einer Summe von 4% des globalen Jahresumsatzes eines Unternehmens geahndet werden.

 

DSGVO - Zusammenspiel Behörden und Unternehmen

Bereits im ersten Jahr seit Inkrafttreten der DSGVO sind über 150.000 Beschwerden über Verstöße gegen die neuen Datenschutzregeln bei den zuständigen Behörden eingegangen – im Vergleich zu den Vorjahren ein deutlicher Anstieg.

Unternehmen selbst stehen im vorgeschriebenen Austausch mit den Datenschutzbehörden und haben in gewissen Situationen eine Verpflichtung zur Meldung bei den Datenschutzbehörden. Dazu gehören die Meldung eines Datenschutzbeauftragten, die Meldung von Datenpannen oder Datenschutzverletzungen sowie falls nötig einer Folgenabschätzung.

Ein absolutes Mussist nach Art. 30 EU-DSGVO das Führen eines Verzeichnisses von Verarbeitungstätigkeiten. Hierin dokumentiert das Unternehmen sämtliche Verfahren, bei denen personenbezogene Daten verarbeitet werden. Dieses Verzeichnis ist eines der ersten Dokumente, das von den Datenschutzbehörden angefordert wird, wenn eine Untersuchung gestartet wird.

 

8 Gebote der Datensicherheit

Bei der Umsetzung der technisch-organisatorischen Maßnahmen geht es im Wesentlichen um die 8 Gebote der Datensicherheit.

  • Zutrittskontrolle: Unbefugte dürfen keinen Zutritt zu DV-Anlagen gewährt bekommen, mit denen personenbezogene Daten verarbeitet werden.
  • Zugangskontrolle: Unbefugte müssen daran gehindert werden DV-Systeme zu nutzen, mit denen personenbezogene Daten verarbeitet werden.
  • Zugriffskontrolle: Es müssen Vorkehrungen existieren, die gewährleisten, dassBenutzer nur auf personenbezogene Daten zugreifen können, die ihrer Zugriffsberechtigung unterliegen.
  • Weitergabekontrolle: Es müssen Vorkehrungen existieren, die gewährleisten, dasspersönliche Daten bei der elektronischen Übertragung, während des Transports oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dassüberprüft und festgesellt werden kann, an welche Stellen eine Übermittlung persönlicher Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
  • Eingabekontrolle: Es müssen Vorkehrungen existieren, die sicherstellen, dassim Nachhinein nachvollzogen werden kann, wer personenbezogene Daten verändert hat.
  • Auftragskontrolle: Es mussgarantiert sein, dasspersönliche Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen verarbeitet werden.
  • Verfügbarkeitskontrolle: Es musssichergestellt werden, dasspersonenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
  • Trennungskontrolle: Es müssen Vorkehrungen existieren, die gewährleisten, dasszu unterschiedlichen Zwecken erhobene persönliche Daten getrennt verarbeitet werden.

Abschließend ist immer zu bewerten, ob das Unternehmen die entsprechende Organisationskontrolle implementiert hat, also Managementsystem-Zertifizierungen (wie z.B. ISO 9001, ISO 27001, PCI-Dssoder GLP), die gewährleisten, dassdie innerbetriebliche Organisation den besonderen Anforderungen des Datenschutzes gerecht wird, denn der ideale Prozesssollte immer lauten: Analyse, Bewertung, Umsetzung, Kontrolle.