Zum 25. Mai 2018 wird das bestehende Bundesdatenschutzgesetz BDSG (alt) durch sowohl das Bundesdatenschutzgesetz BDSG (neu) also auch durch die europäische Datenschutz-Grundverordnung (DS-GVO) abgelöst. 

Zentrale Merkmale des neuen Datenschutzrechtes sind:

• Haftungserweiterung.  Verstöße können mit Bußgeldern in Höhe von bis zu EUR 10.000.000 bzw. von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Jahres sanktioniert werden.
• Rechenschaftspflicht. Sie konkretisiert, den Verantwortungsbereich der "Verantwortlichen". Um die Einhaltung der Pflicht zu  belegen, besteht Nachweispflicht. Das Unternehmen muss nachweisen (können), dass es als Verantwortlicher angemessene und wirksame Maßnahmen ergreift, um die datenschutzrechtlichen Grundsätze und Verpflichtungen der DSGVO umzusetzen. Für Unternehmen mit einem größeren Aufkommen datenschutzrelevanter Verfahren bedeutet dies de facto, dass nur die Etablierung eines Datenschutzmanagements, diese Nachweispflicht ermöglicht.
• Ausnahmen für KMU unter 250 Mitarbeiter wurden derart eingeschränkt, dass nunmehr fast alle freien Berufe, Klein- und Mittelständischen Unternehmen, Behörden und gemeinnützigen Organisationen alle Anforderungen der DS-GVO erfüllen müssen.

Prinzipien der Verarbeitung von personenbezogenen Daten nach DS-GVO

Zu den allgemeinen Prinzipien der Verarbeitung personenbezogener Daten zählen nach Art. 5 Abs. 1 DSGVO:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Verarbeitung auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für den Betroffenen nachvollziehbaren Weise.
• Zweckbindung: Erhebung für festgelegte, eindeutige und rechtmäßige Zwecke, wobei eine Weiterverarbeitung diesen Zwecken nicht zuwider laufen darf.
• Datenminimierung: Beschränkung auf das für den Zweck der Verarbeitung angemessene und sachlich relevante sowie notwendige Maß.
• Richtigkeit: Sachlich richtige und ggf. aktuellste Daten, Maßnahmen zur unverzüglichen Löschung oder Berichtigung unzutreffender Daten.
• Speicherbegrenzung: Speicherung mit Personenbezug höchstens so lange, wie es für die Verarbeitungszwecke erforderlich ist.
• Integrität, Vertraulichkeit, Verfügbarkeit: Geeignete technisch-organisatorische Maßnahmen zum angemessenen Schutz der Daten, insbesondere vor unbefugter oder unrechtmäßiger Verarbeitung, zufälligem Verlust, zufälliger Zerstörung oder Schädigung.

Pflichten des Verantwortlichen

Eine Vielzahl von Vorschriften konkretisiert diese allgemeinen Grundsätze. Im Hinblick auf die rechtliche Zulässigkeit der Datenverarbeitung betrifft das v.a. folgende Punkte:

• „Data Privacy by Design“ und „Data Privacy by Default“, Art. 25 DSGVO: Der Verantwortliche muss geeignete Maßnahmen zur wirksamen Umsetzung der datenschutzrechtlichen Grundsätze ergreifen (etwa zur Datenminimierung). Dabei muss er durch datenschutzfreundliche Voreinstellungen sicherstellen, dass er nur die jeweils erforderlichen Daten verarbeitet.
• Datenschutz-Folgenabschätzung, Art. 35, 36 DSGVO: Der Verantwortliche muss bei einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen vorab eine Analyse der Folgen erstellen. Für die identifizierten Risiken muss er geeignete Maßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren umsetzen.
• Rechtmäßigkeit, Art. 6 DSGVO: Der Verantwortliche muss die Rechtmäßigkeit an den gesetzlich definierten Verarbeitungstatbeständen ausrichten. Dazu zählen v.a. die Voraussetzung einer Einwilligung, Art. 7, 8 DSGVO, Einschränkungen für besondere Datenkategorien und Inhalte, Art. 9, 9a DSGVO, und die Verarbeitung ohne Bestimmung des Betroffenen, Art. 10 DSGVO.
• Übermittlung in Drittländer, Art. 44 DSGVO: Bei der Datenübermittlung in ein Drittland muss der Verantwortliche (samt Auftragsverarbeiter) Garantien für eine rechtmäßige Verarbeitung bieten.
• Zugleich fordert die DSGVO vom Verantwortlichen geeignete Maßnahmen zur datenschutzrechtlichen Information und Kommunikation, insbesondere für den „Fall des Falles“:
• Transparenz, Art. 12 DSGVO: Der Verantwortliche muss Betroffene in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache informieren, und zwar in Bezug auf Name und Kontaktdaten der verantwortlichen Stelle (samt Datenschutzbeauftragtem) sowie Zwecke, ggf. berechtigte Interessen und Empfänger sowie die Drittlandübermittlung
• Verletzung, Art. 33, 34 DSGVO: Verletzungen des Schutzes personenbezogener Daten muss der Verantwortliche an die Aufsichtsbehörde melden. Gegebenenfalls muss er die Betroffenen benachrichtigen.

Technisch-organisatorische Maßnahmen nachweisen

• Im Rahmen der eigentlichen Verarbeitung personenbezogener Daten muss der Verantwortliche geeignete technisch-organisatorische Maßnahmen v.a. in folgenden Bereichen vorsehen, umsetzen und nachweisen können:
• Verantwortung, Art. 24 DSGVO: Der Verantwortliche hat risikobasiert die geeigneten Maßnahmen zum Schutz der von der Verarbeitung betroffenen Daten zu ergreifen. Die Maßnahmen muss er nachweisen und aktuell halten.
• Auftragsverarbeitung, Art. 28 DSGVO: Der Verantwortliche darf nur mit Auftragsverarbeitern zusammenarbeiten, die Garantien dafür bieten, dass sie personenbezogene Daten durch geeignete technisch-organisatorische Maßnahmen schützen. Darüber muss ein Vertrag existieren.
• Datensicherheit, Art. 32 DSGVO: Der Verantwortliche muss risikobasiert durch geeignete Maßnahmen die klassischen IT-Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit bei der Datenverarbeitung sicherstellen.

Erforderliche interne Maßnahmen

Schließlich fordert die DSGVO vom Verantwortlichen die Umsetzung einer Reihe interner Maßnahmen. Die wichtigsten:

• Verzeichnis, Art. 30 DSGVO: Der Verantwortliche muss ein Verzeichnis aller Verarbeitungstätigkeiten führen – ähnlich dem aus dem BDSG bekannten Verfahrensverzeichnis.
• Dokumentation,
• 26, 28, 31, 44 DSGVO: Der Verantwortliche muss neben dem Führen eines Verzeichnisses seiner Dokumentationspflicht nachkommen, z.B. bei Weisungen, Verletzungen oder Garantien im Rahmen der Drittlandübermittlung.
• Datenschutzbeauftragter, Art. 37–39 DSGVO: Der Verantwortliche hat unter bestimmten Vor-aussetzungen einen Datenschutzbeauftragten zu bestellen, dessen Aufgaben v.a. in der Beratung und in der Überwachung des Einhaltens der DSGVO-Vorgaben liegen.
• Recht auf Vergessenwerden, Art. 17 DSGVO: Der Verantwortliche hat nicht nur sicherzustellen, dass personenbezogene Daten nur ausnahmsweise nicht „unverzüglich“ gelöscht werden. Er muss – sofern er die Daten publik macht – auch sicherstellen, dass er Dritte darüber informiert.
• Recht auf Interoperabilität, Art. 20 DSGVO: Der Verantwortliche muss sicherstellen, dass er personenbezogene Daten von Betroffenen in einem gängigen, maschinenlesbaren Format ausgeben kann.

zurück zur Übersicht

Die Notwendigkeit für Datenschutz ergibt sich einer gesamtgesellschaftlichen Entwicklung. Personenbezogene Daten sind Ausdruck des Rechts des Einzelnen auf informationelle Selbstbestimmung: Wer darf wann und was über mich wissen. Dieses Recht ist von stetig steigender Relevanz, weil personenbezogene Daten einen wirtschaftlichen Wert entwickelt haben und handelbares Gut geworden sind. Wie auch in der analogen Welt, muss auch in der digitalen Welt alles von Wert geschützt werden. Daten sind Werte - dies ist der Paradigma unserer Zeit.

Das neue Bundesdatenschutzgesetz (BDSG neu) und die DS-GVO sorgen dafür, dass das Informationsbedürfnis der Unternehmen und das Recht auf informationelle Selbstbestimmung der Betroffenen in Einklang gebracht werden. Die Gesetzgebung schützt die Rechte des Einzelnen, indem es Regeln für den Umgang von Unternehmen/Organisationen/Staat aufstellt.

Der wesentliche Unterschied zwischen altem und neuem (Inkraftreten am 25.05.2018) Datenschutzrecht besteht darin, dass die Anforderungen vom passivem hin zu aktivem Datenschutz verändert wurden. Dies geschieht, indem bei einer Prüfung durch die Aufsichtsbehörde eine Strafe oder eine Haftung nur dann ausgeschlossen werden kann, wenn umfangreiche Nachweise erbracht werden können. Diese zu erbringen, wird de facto kaum möglich sein, ohne ein geschlossenes System - ein Datenschutz-Management-System in die allgemeinen Geschäftsabläufe zu integrieren.

Das bedeutet im eigenen Unternehmen Regel zu definieren, Verantwortlichkeiten festzulegen, Prozesse und Maßnahmen zu konzipieren und umfassend zu dokumentieren ("plan, do, check, act"). 

Wer über ein solches  System verfügt, hat  im Fall einer Prüfung einer Aufsichtsbehörde gute Aussichten. Kann er die Nachweise jedoch nicht erbringen, selbst wenn ggf. die Regeln eingehalten wurden wird dies zu Geldstrafen und oder Nachforderungen führen. 

zurück zur Übersicht

Datenschutz und Datensicherheit sind zentrale Themen zukünftigen Arbeitens - sich darauf einzulassen ist somit ein selbstverständliches Schritthalten mit den allgemeinen gesellschaftlichen und technischen Weiterentwicklungen. Wer Digitalisierung nutzt, muss sich auch mit den Rahmenbedingungen auseinandersetzen. Datenschutz & IT - Sicherheit ist in der digitalen Arbeitswelt Qualitätsmerkmal und Qualitätsfaktor.

Potenziale können sich z.B. ergeben:

• aktive Datenschutz Positionierung im Bereich Marketing /Image
• aktiver Vertrauensaufbau in der Kundenkommunikation 
• Rechtskonformität und DS-Managementsystem in Due Diligence
• wertgebender Factor bei M&A und Venture Capital
• Vertrauenssaufbau für eine aktive Mitarbeiterbindung
• Wettbewerbsvoraussetzung bei öffentlichen Ausschreibungen
• zukunftsfähige Produktentwicklung, die Datenschutz aktiv integriert
• Effizienzprüfung bestehender Datenerhebung und Verwendung
• Wertanalyse Datenportfolio
• Überprüfung oder Stabilisierung interner Managementsysteme 
• Auffinden von Sicherheitsschwachstellen in Ihrem Unternehmen

Beim Auffinden und Entwickeln dieser individuellen Potenziale unterstütze ich Sie gern.

zurück zur Übersicht

• Datenschutzgerechte Datenträgervernichtung
• Einsatz einer Ende-Zu-Ende-Verschlüsselung bei E-Mail-Kommunikation
• Sicherer Abruf der E-Mails vom Mail-Server
• Sichere IT-Infrastruktur zwischen den Standorten
• Nutzung eines sicheren E-Mail-Dienstleisters
• Beanstandungsfreier Einsatz von Google-Analytics
• HTTPS-Verschlüsselung bei Einsatz besonderer Dienstleistungen über die Website
• Einsatz von Leasing-Geräten (z.B. Drucker, Scanner, ... )
• Backup-Konzept der Datenträger
• Zutrittskontrolle 
• Auftragsverarbeiter Überwachung und Auswahl /z.B.: IT Dienstleister
• Einsatz von Videoüberwachung

zurück zur Übersicht