Ratgeber DSGVO

Alles, was Sie über die neue DSGVO wissen müssen

Ziel der neuen Datenschutzgrundverordnung (DSGVO) ist es, einen europaweit gültigen, einheitlichen Rahmen für die Verarbeitung und Speicherung personenbezogener Daten zu schaffen. Doch wen betrifft sie, welche Maßnahmen sind zu treffen und welche Konsequenzen drohen bei Nichteinhaltung der Regularien?

Wenn die neue EU-Datenschutzgrundverordnung am 25. Mai 2018 zur Vereinheitlichung des europäischen Datenschutzrechtes in Kraft tritt, sind Unternehmen verpflichtet, personenbezogene Daten mit adäquaten technischen und organisatorischen Maßnahmen zu schützen. Sie müssen jederzeit in der Lage sein, die Rechtsmäßigkeit der Datenverarbeitung gegenüber Aufsichtsbehörden nachzuweisen. Wer die ordnungsgemäße Verarbeitung dieser Daten nicht nachweisen kann oder wichtige Belege verliert, riskiert empfindliche Bußgelder. Doch die erhöhte Dokumentationspflicht stellt Unternehmen vor große Herausforderungen. Dazu stehen immer noch einige ungeklärte Fragen in Raum.

 

 

Fakten vs. Mythen

 

Wen betrifft die DSGVO?

Die neue EU-Datenschutzgrundverordnung unterscheidet prinzipiell nicht nach Unternehmensgröße. Der Mythos, dass kleine Unternehmen oder Einzelunternehmer nicht von den Auswirkungen betroffen sind, hält sich dennoch hartnäckig – was immense Risiken birgt. Denn für Verletzungen des Datenschutzes werden, insofern nicht mit entsprechenden Maßnahmen vorgebeugt wurde, Geldbußen von bis zu 4 Prozent des (konzernweiten) Jahresumsatzes oder bis zu 20 Millionen Euro verhängt.

 

Brauche ich einen Datenschutzbeauftragten?

Laut Artikel 37 der DSGVO brauchen alle Unternehmen, in denen personenbezogene Daten automatisiert verarbeitet werden, einen Datenschutzbeauftragten. Darunter fallen etwa Namen, E-Mail-Adressen, Kontonummern und Standort des Kunden. Unternehmen unter 10 Mitarbeitern müssen keinen Datenschutzbeauftragten einstellen.

 

Was ändert sich?

Es ist richtig, dass Deutschland europaweit teilweise über die strengsten Datenschutzgesetze verfügt. Doch die neue DSGVO soll nicht nur den Datenschutz der EU-Ländern verbessern, sondern insbesondere vereinheitlichen. Das bedeutet für hierzulande ansässige Unternehmen, dass Regelungen teilweise nicht mehr so streng gehandhabt werden, manche aber auch strenger oder ganz neu sind. Dazu gehören:

 

Rechte der Betroffenen

Anfragen von Betroffenen, etwa dazu, welche Daten im Unternehmen hinterlegt sind, müssen innerhalb von 4 Wochen beantwortet werden. Bei Nichteinhaltung droht eine Anzeige beim Landesdatenschutzbeauftragten. Diese Regelung wurde früher weitaus weniger restriktiv gehandhabt.

 

Portabilität der Daten

Personenbezogene Daten müssen auf Wunsch binnen 4 Wochen zu einem anderen Anbieter oder Wettbewerber übertragen werden können. Sie müssen in auslesbarer Form vorhanden sein, sodass sie dem Kunden oder dem Inhaber der Daten zur Verfügung gestellt werden können. Hier ist die größte Herausforderung für Unternehmen, relevante Daten auf einer einheitlichen Plattform oder in einem einheitlichen System zu bündeln, um Daten auf Anfrage im dafür vorgesehenen Zeitraum exportieren zu können.

 

Weitere Prinzipien im Überblick

Zweckbindung

Daten dürfen nur zweckgebunden erhoben und verarbeitet werden. Dazu müssen diese Zwecke im Vorfeld formuliert und die künftige Verwendung der Daten dokumentiert werden. Werden Daten beispielsweise nur zu Vertragszwecken erhoben, dürfen sie nicht zu Werbezwecken verwendet werden.

 

Datenminimierung

So wenig wie möglich, so viel wie nötig: Datenerhebung auf Vorrat ist verboten.

 

Kopplungsverbot

Das Kopplungsverbot betrifft hauptsächlich Webseitenbetreiber. Demnach dürfen potenzielle Kunden nicht zur Abgabe von Daten verpflichtet werden, die für Leistung und Service nicht nötig sind. So darf etwa die Newsletter-Anmeldung für das Zustandekommen eines Vertragsverhältnisses nicht bindend sein.

 

Transparenz

Dieses Prinzip betrifft nicht nur die erwähnte Auskunft auf Anfrage, sondern auch die Nachvollziehbarkeit der Datenerhebung. Dazu braucht es verständliche Datenschutzerklärungen.

 

Vertraulichkeit

Unternehmen sind verpflichtet, die personenbezogenen Daten ihrer Kunden technisch und organisatorisch vor Missbrauch, Verlust und Vernichtung zu schützen. Allerdings sind die nötigen Maßnahmen in der DSGVO nicht präzise formuliert – bieten also allen Unternehmen einen gewissen Spielraum. Am Ende kommt es im Schadensfall darauf an, zu entscheiden, ob die technischen und organisatorischen Schutzmaßnahmen dem drohenden Risiko angemessen waren.

 

Ihre Checkliste

Wie bereits erwähnt, sieht die DSGVO keine speziellen Maßnahmen vor, deren Umsetzung bindend ist. Dennoch sollten Sie die nötigen Vorkehrungen treffen, um auf der sicheren Seite zu sein. Im Folgenden haben wir die wichtigsten Punkte für Sie zusammengestellt:

  • Prüfen Sie die Beauftragung eines Datenschutzbeauftragten.
  • Nehmen Sie, wenn nötig, Anpassungen an der Datenschutzerklärung vor.
  • Erarbeiten Sie Dokumentationsprozesse für den Umgang mit personenbezogenen Daten.
  • Erstellen Sie ein Verzeichnis für die Verarbeitung der Daten.
  • Erarbeiten Sie geeignete Workflows für den Umgang mit Kundenanfragen.
  • Diskutieren Sie intern, bestenfalls mit der Technikabteilung und dem Datenschutzbeauftragten, ob und in welchem Ausmaß die Datenschutzmaßnahmen angepasst werden müssen.
  • Prüfen Sie, ob die Erhebung Ihrer Daten gegen das Kopplungsverbot verstößt und holen Sie diese gegebenenfalls künftig anders ein. Prüfen Sie im Zuge dessen auch die Tätigkeit externer Dienstleister, die für Sie Daten einholen.
  • Um sich vor drohenden Sicherheitsrisiken zu schützen, nennt die DSGVO die Pseudonymisierung und Verschlüsselung personenbezogener Daten. Im Zuge der Pseudonymisierung werden Namen durch zufällige Zahlencodes ersetzt und der Schlüssel in einer Mastertabelle gespeichert. Diese Maßnahme bietet allerdings noch keinen zuverlässigen Schutz, denn die Tabelle muss stets verfügbar sein und darf nicht überschrieben werden. Eine zusätzliche Verschlüsselung ist daher unumgänglich.

 

Vorsicht! Schwachstelle USB-Sticks

Ein, gerade im Rahmen der neuen DSGVO, unterschätztes Risiko bergen USB-Sticks. Beachten Sie: Um den ultimativen Datengau zu vermeiden, muss analysiert werden, auf welchen Datenträgern sensible Informationen liegen. USB-Sticks befinden sich überall im Unternehmen und teilweise sogar bei den Mitarbeitern zuhause. Schlimmer noch: Studienergebnissen zufolge gehen in rund 75 Prozent der Unternehmen hin und wieder USB-Sticks verloren; 80 Prozent der verwendeten Datenspeicher verfügen über keine hardwarebasierte Verschlüsselung. Ein Verlust kann nicht nur empfindliche Strafen hinsichtlich der DSGVO nach sich ziehen, sondern auch dem Kundenverhältnis und der Reputation des Unternehmens schaden. Setzen Sie daher nur verschlüsselte USB-Sticks ein: Ein gutes Qualitätsmerkmal für Verschlüsselung sind freiwillige Herstellerzertifizierungen wie beispielsweise FIPS 197 oder 140-Level3. Sind personenbezogene Daten sicher verschlüsselt – die 256-Bit-AES-Verschlüsselung entspricht dem neuesten Stand der Technik – sind die Informationen selbst bei einem Datendiebstahl oder einer Datenpanne unbrauchbar. In diesem Fall entfällt die Informationspflicht an Betroffene, da keine Gefahr besteht.

Ein Beispiel hierfür ist die Produktserie DataTraveler DTVP3.0 von Kingston Technology. Hier finden Sie weitere USB-Sticks