Bis zum 25. Mai 2018 muss die bereits rechtsverbindliche EU-Datenschutz-Grundverordnung (EU-DSGVO) in Behörden und Unternehmen umgesetzt sein. Ab diesem Tag gelten massiv verschärfte Pflichten zur Wahrung des Schutzes personenbezogener Daten. Nicht nur aufgrund drohender Bußgelder von bis zu vier Prozent des weltweiten Umsatzes besteht ein großer Handlungsdruck.
Die neue EU-DSGVO räumt erstmals jeder Person das Recht ein, ihre personenbezogenen Daten in einem strukturierten gängigen Format anzufordern und durch die Portabilität eine bessere Kontrolle über ihre Daten zu erlangen. Im Gegensatz zu den bisherigen Regelungen des deutschen Datenschutzrechtes macht die EU-DSGVO konkrete Vorgaben zum Stand der Technik und den Anforderungen an die Prozessorganisation zur Datenerhebung, -verarbeitung und –speicherung. Dazu zählen beispielsweise Details zur Verschlüsselung und Pseudonymisierung von Daten. Ist Ihre Organisation schon fit für die EU-DSGVO? An folgenden Kriterien können Sie sich orientieren:
- Technische und organisatorische Sicherheitsmaßnahmen sind unter einem risikobasierten Ansatz zu treffen. Ist bekannt, in welchen Prozessen und Systemen personenbezogene Daten gespeichert sind und ob diese in Drittländer übermittelt werden?
- Dokumentationsanforderungen beim Einsatz von IT-Systemen: Wird für alle IT-Systeme, sowohl on-premise als auch in der Cloud, ein Verzeichnis aller Verarbeitungstätigkeiten geführt?
- Es gelten umfassende Rechenschaftspflichten hinsichtlich Einhaltung und Dokumentation der getroffenen Maßnahmen. Ist für die IT-Systeme ein dem Stand der Technik entsprechendes Management-System implementiert, um die Sicherheit bei der Verarbeitung personenbezogener Daten unter den Aspekten Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit zu gewährleisten und zu dokumentieren?
- Dokumentationsanforderungen beim Einsatz von IT-Systemen müssen erfüllt werden. Welche Verarbeitung personenbezogener Daten in den IT-Systemen stellt ein Risiko für die Rechte und Freiheiten natürlicher Personen dar? Kann dies ermittelt, nach Risiko-Management-Grundsätzen behandelt und dokumentiert werden?
- Umfassende Rechenschaftspflichten sind hinsichtlich der Einhaltung und Dokumentation der getroffenen Maßnahmen zu beachten.
- Die Erfüllung von Meldepflichten gegenüber den zuständigen Aufsichtsbehörden, gegebenenfalls auch Betroffenen, bei Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden muss gewährleistet sein.
- Beim technischen Datenschutz müssen neue Vorgaben, wie Berücksichtigung des Datenschutzes bei der Produktentwicklung (Privacy by Design) und bei Voreinstellungen (Privacy by Default) beachtet werden.
- Informationspflichten und Betroffenenrechte wie das Recht auf „Vergessen werden“ oder auch das Recht auf Datenübertragbarkeit: Existieren entsprechende Prozesse, um die in IT-Systemen gespeicherten Daten innerhalb von einem Monat mitzuteilen?
Nutzen Sie die noch verbleibenden Monate, um ein EU-DSGVO-konformes Datenschutz-Management-System umzusetzen – auch im Hinblick auf die voraussichtlich ebenfalls in 2018 anknüpfende E-Privacy-Verordnung der EU-Kommission.
