Und die Welt steht immer noch …
03. Oktober 2018
Seit 25. Mai greift die neue Datenschutz-Grundverordnung (DSGVO). Auf dieses Datum haben Unternehmen und Behörden seit Monaten intensiv hingearbeitet. Aber was passiert jetzt?
Die neue Verordnung verspricht besseren Schutz von personenbezogenen Daten, bessere Kontrolle und erweiterte Rechte für natürliche Personen, aber auch mehr Pflichten für Verantwortliche und Auftragsverarbeiter.
Die Zeit nach dem „D-Day“…
Seit dem 25. 5. ist die Anzahl der E-Mails mit Hinweisen auf neue Datenschutzerklärungen oder zur Einholung der Einwilligung von betroffenen Personen schlagartig zurückgegangen. War der ganze Aufwand umsonst und ist der Hype rund um die DSGVO nun zu Ende?
Definitiv nein! Eine datenschutzkonform agierende Organisation sollte die nachfolgenden Aufgaben bereits erfüllt haben:
- Lückenlose Erfassung aller Verarbeitungstätigkeiten und laufende Pflege des Verarbeitungsverzeichnisses
- Etablierung von Prozessen zur Abwicklung der Betroffenenrechte
- Durchführung von Datenschutz-Folgenabschätzungen bei Verarbeitungen mit hohem Risiko
- Einhaltung der Meldepflichten bei Datenschutzverletzungen
- Laufende Dokumentation von Maßnahmen und Entscheidungen
- Gewährleistung eines Schutzniveaus durch technische und organisatorische Maßnahmen
- Berücksichtigung von „Privacy by Design“ und
„Privacy by Default“ bei der Entwicklung neuer Produkte - Laufende Überprüfung und Anpassung von Kunden- und Lieferantenverträgen
- Schulung von Mitarbeiterinnen und Mitarbeitern
- Überwachung der Einhaltung der Verordnung durch die/den Datenschutzbeauftragte(n)
Dieser Auszug zeigt, dass es nach wie vor essenziell ist, das Thema Datenschutz weiterhin zu verfolgen.
Datenschutz-Compliance
Es liegt in der Verantwortung jeder einzelnen Organisation, für Transparenz und Sicherheit zu sorgen. Doch wie können die Bemühungen im Bereich Datenschutz den Kunden und Konsumenten vermittelt werden? Eine Datenschutz-Zertifizierung ist ein geeignetes Instrument, um Datenschutzkonformität im eigenen Unternehmen nachzuweisen. Darüber hinaus bringt eine Zertifizierung durch eine unabhängige Zertifizie- rungsstelle auch den einen oder anderen Wettbewerbsvorteil mit sich. Strebt man als Unternehmen eine solche Zertifizierung an, kommt man an einem etablierten Datenschutzmanagementsystem (DSMS) nicht vorbei. Ein DSMS ist ein auf ständige Leistungsverbesserung ausgerichtetes, zur systematischen und klaren Lenkung und Leitung erforderliches Konzept, um eine Organisation in Bezug auf den Datenschutz erfolgreich führen und betreiben zu können. Sollten bereits andere Managementsysteme im Unternehmen vorhanden sein, empfiehlt sich ein integrierter Ansatz.
Das Recht auf Auskunft
Welche Daten hat meine Versicherung über mich gespeichert? Was weiß mein KFZ-Händler über mich? Was machen Social Networks mit meinen Daten? Seit dem 25.5. müssen solche Fragen verbindlich beantwortet werden. Der Umgang mit Betroffenenanfragen sowie die proaktive Bereitstellung von Informationen zu den geplanten und/oder bestehenden Datenverarbeitungen sind wesentliche Anforderungen der DSGVO. Bereits bei der Erhebung von personenbezogenen Daten muss die betrof- fene Person über Zweck, Rechtsgrundlage, Empfänger, Speicherdauer/Löschfristen etc. informiert werden. Zusätzlich haben betroffene Personen die Möglichkeit, eine Bestätigung darüber zu verlangen, ob sie betref- fende personenbezogene Daten verarbeitet werden (Art 15 DSGVO). Eine solche Anfrage muss grundsätzlich innerhalb eines Monats beantwortet werden.
Herausforderung Löschverpflichtung
Das Löschen von personenbezogenen Daten ist aufgrund der technischen Komplexität vermutlich die Königsdisziplin der DSGVO. Bevor man jedoch mit der Implementierung von Löschkonzepten beginnt, ist die Erhebung der rechtlichen Rahmenbedingungen erforderlich.
Grundsätzlich unterscheidet man zwischen zwei Arten der Löschung:
- antragsunabhängig: vom Löschanspruch unabhän- gige Löschpflicht des Verantwortlichen (Verarbei- tungszweck entfällt, Aufbewahrungsfrist endet etc.)
- antragsabhängig: Löschanspruch der betroffenen Person (Widerruf der Einwilligung, begründeter Widerspruch gegen die Verarbeitung etc.)
In beiden Fällen hat die Löschung jedenfalls unver- züglich zu erfolgen. Bei einer Löschung auf Antrag muss der Verantwortliche die betroffene Person spä- testens innerhalb eines Monats über die ergriffenen Maßnahmen informieren. Eine Löschung ist immer dann durchzuführen, wenn der zugrunde liegende Verarbeitungszweck erfüllt wurde. Will ein Verantwortlicher seiner Prüf- und Rechenschaftspflicht nachkommen, ist ein dokumentiertes Löschkonzept unbedingt erforderlich.
Datenschutzorganisation
Ob Auskunft, Löschung, Datenschutz-Folgenabschätzung oder der Prozess für die Meldung von Datenschutzverletzungen – um die komplexen Anforderungen der DSGVO im betrieblichen Alltag zu verankern, ist vor allem bei großen Organisationen der Einsatz einer Datenschutzorganisation, die Zuweisung von Verantwortungen sowie der Einsatz von Managementsystemen unumgänglich. Das BRZ hat in den letzten Monaten intensiv daran gearbeitet, die Anforderungen der DSGVO effizient umzusetzen. Zur Erfüllung der Dokumentationsanforde rungen, aber auch zur Nachverfolgung der Fristen werden interne Tools wie zum Beispiel der elektronische Akt (ELAK) verwendet. Des Weiteren bietet das BRZ in der Rolle des Auftragsverarbeiters seinen Kunden verschiedene Möglichkeiten zur Weiterleitung von Betroffenenanfragen. Diese können bei Bedarf direkt mittels ELAK oder standardisiertem Formularservice an das BRZ weitergeleitet werden.