Es ist 5 vor 12: Last Minute-Vorbereitung für die EU-DSGVO

Jetzt wird´s eng: Auf den DSGVO-Stichtag im Mai sind noch längst nicht alle Unternehmen vorbereitet. Was fehlt: der ganzheitliche Blick auf alle personenbezogenen Daten im Unternehmen.  Doch was kann man jetzt in der Kürze der Zeit noch tun? Den Kopf in den Sand stecken? Nein! Auch Last Minute lässt sich noch einiges vorbereiten.

Doch warum fangen Unternehmen überhaupt so spät an, sich auf die DSGVO vorzubereiten? Karin Maurer, GDPR-Leader DACH bei IBM, hat eine Antwort:

„Es ist schwierig, das Thema als Projekt im Unternehmen richtig aufzusetzen. Denn es handelt sich um ein interdisziplinäres Thema. Da reicht es nicht, dass der Datenschutzbeauftragte sich kümmert. Vielmehr müssen alle Abteilungen samt CEO mitspielen. Außerdem wird der Zeitaufwand unterschätzt.“

Wer jetzt noch nichts oder wenig unternommen hat, sollte mit einem Verfahrensverzeichnis – oder Verarbeitungsverzeichnis – beginnen. Damit kann gegenüber einer Datenschutzbehörde dokumentiert werden, wo im Unternehmen personenbezogene Daten anfallen und in welchen Prozessen diese Daten eine Rolle spielen.

Das Verfahrensverzeichnis: Mehr als ein notwendiges Übel

Artikel 30 der EU Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen zum Führen eines „Verzeichnisses von Verarbeitungstätigkeiten“. Dieses muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden. Es ist die Grundlage, um die notwendigen Informationen im Hinblick auf die Rechenschafts- und Dokumentationspflichten zusammenzustellen und auf Anfrage verfügbar zu haben.

Zu den Rechenschaftspflichten, die die DSGVO vorsieht, gehören:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

In einem Praxisleitfaden zur DSGVO erklärt der Bitkom: Mit dem Verarbeitungsverzeichnis kann die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und die Freiheiten der betroffenen Person in Bezug auf Art, Umfang und Umstände sowie Zwecke der Verarbeitung im Rahmen der Datenschutz-Folgenabschätzung abgeleitet werden. Das Verarbeitungsverzeichnis dient zur Identifizierung der Rechtsmäßigkeit der Verarbeitungen, insbesondere im Hinblick auf erteilte Einwilligungen. Die Dokumentation der getroffenen technischen und organisatorischen Maßnahmen ist Bestandteil des Verzeichnisses und somit erste Quelle für die Beurteilung der Angemessenheit der Maßnahmen.

Es ist für den Verantwortlichen und den Datenschutzbeauftragten eine nahezu unverzichtbare Sammlung aller Informationen zu den Verarbeitungen von personenbezogenen Daten.

Das Verarbeitungsverzeichnis ist somit gleichermaßen Grundlage zur Erfüllung unternehmerischer Pflichten eines Verantwortlichen oder eines Auftragsverarbeiters und Hilfsmittel der Tätigkeit von deren Datenschutzbeauftragten.

Das Problem: Wo liegen welche Daten?

„Es gibt zwei Ansätze: Bottom up und Top Down“ sagt Karin Maurer. Die Expertin empfiehlt eine Kombination: Neben dem planerischen Top-down-Ansatz und Interviews mit Mitarbeitern ist auch ein gleichzeitiger Bottom-up-Ansatz durch die IT nötig.  Sie muss sich auf zwei Kernkomponenten der Verordnung vorbereiten: die Anfragen nach aktueller Dokumentation und das Löschen von personenbezogenen Daten.

Personenbezogene Daten liegen häufig in Excel-Spreadsheets auf verteilten Fileservern oder unstrukturiert in E-Mails. Die Herausforderung: Wo liegen welche Daten im Unternehmen und wie müssen sie entsprechend behandelt und geschützt werden? Karin Maurer sagt dazu:

„Entsprechende Tools, die wissen, wie eine Kreditkartennummer und eine deutsche oder österreichische Telefonnummer aufgebaut sind, unterstützen Unternehmen bei der Recherche nach personenbezogenen Daten, sowohl in strukturierten als auch in unstrukturierten Datenquellen“.

Der Information Governance Catalog von IBM beispielsweise umreißt die gesamte Herkunft von Feldern aus Anwendungen, Berichten oder Data Warehouses mit Verweis auf die Quellensysteme – und alles über eine einzige Benutzerschnittstelle. Karin Maurer meint dazu:

„Wenn Unternehmen wissen, woher Daten stammen und was damit geschieht, während sie zahlreiche Systeme durchlaufen, können Sie Vertrauen in die Vollständigkeit und Richtigkeit der Daten aufbauen. Die Validierung und Rückverfolgbarkeit von Daten sind ein kritischer Faktor, um gesetzliche Bestimmungen einzuhalten, die fordern, dass Unternehmen die Richtigkeit ihrer Daten bestätigen“.

Der Kunde muss explizit „Ja oder Nein“ sagen

Wichtig sind ferner die Artikel 7 und 8 der DSGVO: Sie fordern eine explizite Zustimmung des Kunden zur Verwendung seiner Daten. Es reicht nicht mehr aus, Website-Besucher beispielsweise auf die Verwendung von Cookies hinzuweisen. Die EU-DSGVO verlangt eine explizite Zustimmung des Kunden und erlaubt die Verwendung von Cookies nur, wenn der Nutzer seine Zustimmung durch die Setzung eines Häkchens und die damit erfolgende elektronische Unterzeichnung vorgenommen hat. Diese ist dann auch zu dokumentieren.

Im Rahmen von DSGVO müssen Kunden explizit in die Verwendung ihrer Daten einwilligen.

Dabei kann es Personen geben, die damit einverstanden sind, dass ihre persönlichen Daten für alle Zwecke und Aktivitäten verarbeitet werden. In vielen Fällen wollen Kunden jedoch ihre Einwilligung einschränken. Folgendes Beispiel: Der Business-Kunde A eines Online-Shops möchte beispielsweise einen Newsletter abonnieren – aber an seine private E-Mail-Adresse geschickt bekommen, und Kunde B erklärt sich damit einverstanden, dass seine Adresse an bestimmte Autohäuser weitergeleitet wird. Kunde C wiederum will eine E-Mail erhalten, wenn ein neues Smartphone verfügbar ist. Aber: Kunde C ist erst 15 Jahre alt, damit ist die Einwilligung eines Elternteils nötig.

Mit entsprechenden Tools (wie dem Consent Management) lassen sich Einwilligungen erfassen und verwalten, wie es die DSGVO verlangt.

In einer Einwilligungsposition kann dabei angegeben werden, ob und wann die Einwilligung erteilt oder verweigert wurde, wessen Daten verarbeitet werden sollen und wer die Einwilligung erteilt, verweigert oder widerrufen hat. Es lässt sich dokumentieren, ob eine uneingeschränkte oder nur teilweise Einwilligung erteilt wurde. Im Falle einer teilweisen Einwilligung gibt es für Kunde B beispielsweise die Möglichkeit, die Autohändler aufzulisten, die die Adresse erhalten dürfen.

Datendiebstahl – es kann jeden treffen

Gehackt, bestohlen, verloren oder Crash: Die Möglichkeiten, dass personenbezogene Daten in unbefugte Hände gelangen, sind vielseitig und teuer. Pro kompromittiertem Datensatz belaufen sich die Kosten auf durchschnittlich 149 Euro. Dies ist das Ergebnis einer von IBM Security gesponserten Umfrage des US-amerikanischen Ponemon Institute unter 35 deutschen Unternehmen.

Artikel 33 und 34 der DSGVO regeln den Umgang bei Datenpannen. Dabei sieht die DSGVO eine abgestufte Meldepflicht vor:

  1. Eine Meldung an die Aufsichtsbehörde hat immer zu erfolgen, es sei denn, dass die Datenpanne „voraussichtlich nicht zu einem Risiko“ für den Betroffenen führt.
  2. Eine Benachrichtigung der betroffenen Person muss dagegen nur dann erfolgen, wenn ein hohes Risiko für deren Rechte und Freiheiten besteht.

Auch ist eine Information des Betroffenen nicht erforderlich, wenn geeignete technische und organisatorische Maßnahmen vorhanden sind, die den unbefugten Zugang auf die personenbezogenen Daten praktisch nicht ermöglichen – als explizites Beispiel ist die Verschlüsselung genannt.

Ebenso kann auf eine Benachrichtigung des Betroffenen verzichtet werden, wenn wirksame Maßnahmen zur Schadensbegrenzung ergriffen wurden und diese das hohe Risiko, das zum Zeitpunkt der Datenpanne bestand, eliminiert haben. Wie dieses Szenario in der Praxis ablaufen kann, muss insbesondere von Seiten der Aufsichtsbehörden allerdings noch geklärt werden. „Hier warten wir gespannt auf die ersten Rechtsprechungen“, sagt Maurer.

Die Strafen sind hart

Eines jedoch steht fest: Die Meldung der Datenpanne muss innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde erfolgen. Ein Überschreiten der Frist ist nur in begründeten Fällen möglich. Meldungen nach Art. 33 DSGVO umfassen u. a. die Art der Datenpanne, die Kategorien von betroffenen Daten, die Anzahl der Betroffenen und der Datensätze, eine Einschätzung der Folgen für den Betroffenen sowie die Maßnahmen zur Ursachenbeseitigung bzw. zur Schadensminimierung beim Betroffenen

Ein Security Information und Event Management (SIEM) kann Firmen hierbei unterstützen, indem es Unregelmäßigkeiten aufzeigt, die durch Angriffe auf IT-Systeme entstehen. Informationen aus einzelnen Quellen werden dabei zu einem Gesamtbild korreliert. Abweichungen von diesem Gesamtbild werden in Echtzeit erkannt und von Security Analysten ausgewertet.

Verstöße gegen die Pflichten aus Art. 33, 34 DSGVO, beispielsweise bei unterlassener oder nicht rechtzeitiger Meldung oder Verletzungen der Dokumentationspflicht, können durch die Aufsichtsbehörde mit einem Bußgeld in Millionenhöhe sanktioniert werden.

Fazit: Keine Panik

Unternehmen, die heute schon den Datenschutz ernst nehmen, werden bei der DSGVO-Umsetzung und mit Unterstützung entsprechender Tools wenig Probleme haben.

Für Maurer steht fest: „Ein Verfahrensverzeichnis ist der beste Beginn mit der Umsetzung. Denn es dokumentiert, dass man die wesentlichsten Schritte eingeleitet hat – auch wenn man damit noch nicht fertig ist.“

 

Jeder Kunde ist für die Einhaltung der geltenden Gesetze und Verordnungen, einschließlich der Datenschutz- Grundverordnung der Europäischen Union, selbst verantwortlich. Es obliegt allein den Kunden, sich von kompetenter juristischer Stelle zu Inhalt und Auslegung aller relevanten Gesetze und gesetzlichen Bestimmungen beraten zu lassen, die ihre Geschäftstätigkeit und die von ihnen eventuell einzuleitenden Maßnahmen zur Einhaltung dieser Gesetze und Bestimmungen betreffen.

4 comments

Kommentare sind sehr willkommen