Mit der neuen Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2016 im Europäischen Amtsblatt erschienen und nach einer Umsetzungsfrist von genau 24 Monaten, also am 25. Mai 2018, in nationales Recht umzusetzen ist, haben sich einige grundlegende Änderungen ergeben. Dies bedeutet, dass Unternehmen sich am besten schon jetzt mit den wichtigsten Änderungen hinsichtlich Datensicherheit vertraut machen, um Sanktionen bei unzureichender Datensicherheit zu entgehen.
Aber was bedeutet dies konkret und was müssen Unternehmen zukünftig beachten?
Die wesentlichen Änderungen zum Schutz der Datensicherheit, die von Unternehmen zu beachten sind, ergeben sich aus Artikel 32 DSGVO. Art. 32 DSGVO ersetzt zukünftig den § 9 des Bundesdatenschutzgesetzes (BDSG). Statt der erhofften Konkretisierung von zu ergreifenden technischen und organisatorischen Maßnahmen zur Sicherstellung eines angemessenen Datenschutzes, wurde eine noch abstraktere und wenig fassbare Vorgabe genannt. Dort heißt es:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; …“
Dies bedeutet für Unternehmen, dass:
- Ein „angemessenes Schutzniveau“- angelehnt an die Schutzbedürftigkeit einzelner gespeicherter personenbezogener Daten - bestimmt werden muss.
- Eine regelmäßige Risikobewertung der technischen und organisatorischen Maßnahmen zu erfolgen hat, die Faktoren bestimmt, die zu einer Beeinträchtigung der Persönlichkeits- und Freiheitsrechte führen kann.
- Die verwendete Technik zum Schutz personenbezogener Daten auf dem „Stand der Technik“ sein muss, d.h. es muss eine kontinuierliche Prüfung stattfinden, dass die verwendete Technik bereits ihre Geeignetheit und Effektivität diesbezüglich unter Beweis gestellt haben muss, z.B. in Form von anerkannten Prüfverfahren.
- Verschlüsselungs- und Pseudonymisierungs- oder Anonymisierungsverfahren eingesetzt werden müssen.
- Bei Eigenentwicklungen bereits in der Planungs- und Entwicklungsphase ein „data protection by design“ sichergestellt wird, d.h. Vorgaben zum Datenschutz und zur Datensicherheit sind von vornherein in der Entwicklung aufzunehmen.
- Darüber hinaus müssen verwendete Systeme ein „data protection by default“ ermöglichen, um sicherzustellen, dass auch weniger IT-affine Nutzer eine Möglichkeit haben, ihre personenbezogenen Daten, die verarbeitet werden, zu schützen.
- Die implementierten Systeme zukünftig nicht nur die bereits bekannten Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit sicherstellen müssen, sondern auch „belastbar“ sein müssen.
- Der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle Fragen zum Schutz personenbezogener Daten einzubinden ist.
- Die Wirksamkeit der erhobenen Maßnahmen regelmäßig getestet wird, z.B. in Form von Penetrationstests.
Was passiert, wenn Unternehmen einen unzureichenden Datenschutz bieten?
Sofern Unternehmen ihren Verpflichtungen nicht nachkommen und unzureichende oder ungeeignete technische oder organisatorische Maßnahmen umsetzen oder die zu erwartenden Risiken und der Folgen nicht abschätzen oder Tests und Dokumentationen unzureichend sind, kann ein Bußgeld von max. 10 Millionen Euro oder bis zu maximal 2 % des weltweit erzielten Jahresumsatzes drohen. Verantwortlich für die Einhaltung der Datensicherheit und des entsprechenden Nachweises ist das Unternehmen und damit der Geschäftsführer, Inhaber, Vorstand etc.
Nutzen Sie mein Know-how
Ich setze mich mit Ihrem Unternehmen auseinander, um den individuellen Bedarf zu ermitteln. Dabei helfe ich Ihnen, Ihre Risiken zu identifizieren und Ihrem Modell entsprechend zu quantifizieren. Wir erarbeiten gemeinsam eine regelkonforme Lösung. Bei der Implementierung unterstütze ich prüfend oder beratend. Rufen Sie mich an oder schreiben Sie mir eine E-Mail.