Datenschutz-Grundverordnung (DSGVO): Ist-Analyse und Readiness-Check[Gesponsert]

DSGVO-Guide: Welche Bereiche sind eigentlich betroffen?

| Autor: Oliver Schonschek

DSGVO: Vor der Umsetzung steht die Übersicht.
DSGVO: Vor der Umsetzung steht die Übersicht. (Bild: © SBphotos - stock.adobe.com)

Bevor Unternehmen feststellen können, wo sie eigentlich bei der Umsetzung der Datenschutz-Grundverordnung (DSGVO / GDPR) stehen, müssen sie wissen, welche Bereiche im Unternehmen davon überhaupt betroffen sind. Dieser Guide nennt die wichtigsten Punkte.

Viele Umfragen zeigen, dass es bei der Umstellung auf die Datenschutz-Grundverordnung (DSGVO / GDPR) noch einiges zu tun gibt: Eine Studie von IDC zum Beispiel ergab, dass 23 Prozent der Befragten nicht wissen, wo ihre Daten gespeichert werden, 27 Prozent können nicht genau sagen, wer Zugriff auf personenbezogene Daten hat, und 34 Prozent sind die Löschfristen nicht bekannt.

Offensichtlich muss noch für mehr Transparenz in der Datenschutzorganisation gesorgt werden. Diese ist sowohl bei der ersten Ist-Analyse als auch später bei der Prüfung, ob und wo die Umsetzung vollständig gelungen ist, zwingend erforderlich. Dabei stellt sich die Frage, was alles im Unternehmen überprüft werden muss, welche Bereiche, Prozesse und Verfahren also von der DSGVO betroffen sind. Die folgenden Schritte helfen dabei, die notwendige Übersicht zu gewinnen.

Schritt 1: Wo werden personenbezogene Daten verarbeitet?

Zuerst sollten die Unternehmen sich klarmachen, dass es bei der DSGVO um personenbezogene Daten geht. Dies scheint vielleicht ein überflüssiger Hinweis zu sein, doch häufig besteht Unklarheit darüber, welchen sachlichen Anwendungsbereich die DSGVO überhaupt hat. Dies findet man in Artikel 2 DSGVO. Daten ohne Personenbezug sind insbesondere nicht betroffen von dieser Verordnung.

Allerdings sollten Unternehmen nicht leichtfertig über den Personenbezug von Daten entscheiden. Die DSGVO sagt „personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.

Es zeigt sich, dass deutlich mehr Daten personenbezogen sein können, als man dies anfangs vielleicht glauben würde. Im Idealfall verfügt ein Unternehmen bereits über ein Verfahrensverzeichnis, wie es das Bundesdatenschutzgesetz (BDSG) bereits verlangt. Dort findet man unter anderem die Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung, eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien, Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können, Regelfristen für die Löschung der Daten, eine geplante Datenübermittlung in Drittstaaten, sowie eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

Gibt es noch kein solches Verzeichnis, ist dies ein idealer Punkt, mit dem sich die notwendige Übersicht schaffen lässt. Ein solches Verzeichnis von Verarbeitungstätigkeiten wird auch in der DSGVO nach Artikel 30 verlangt. Es gehört zu den Dokumentationspflichten, ist aber auch ein wertvolles Instrument für sämtliche Prüfungen im Datenschutz.

So hilft die Open Telekom Cloud bei der Umsetzung der DSGVO

Datenschutz-Grundverordnung (DSGVO): Hinweise zur Umsetzung

So hilft die Open Telekom Cloud bei der Umsetzung der DSGVO

04.12.17 - Die Datenschutz-Grundverordnung (DSGVO / GDPR) stellt mehrere neue Anforderungen an Cloud Computing. Die Open Telekom Cloud zeigt, wie sich diese erfüllen lassen. lesen

Schritt 2: Wie steht es um die rechtliche Grundlage der Verarbeitung?

Da die Verarbeitung personenbezogener Daten nur dann erfolgen darf, wenn es eine rechtliche Grundlage gibt, muss diese für jedes Verfahren hinterfragt werden. Wichtig ist nun, die Voraussetzungen nach DSGVO zugrunde zu legen. Eine der Grundlagen, wie sie in Artikel 6 DSGVO genannt werden, muss erfüllt sein, darunter zum Beispiel die Einwilligung der betroffenen Person oder die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist.

Gibt es keine entsprechende rechtliche Grundlage, muss für diese gesorgt werden, oder die entsprechende Verarbeitung personenbezogener Daten ist nicht zulässig.

Hier sollte auch an die Dienstleister gedacht werden, die man mit einer Datenverarbeitung beauftragt hat (Auftragsverarbeitung, Artikel 28 DSGVO). Es stehen in aller Regel Änderungen an den Verträgen an. Ein Beispiel können die von dem Unternehmen genutzten Cloud-Services sein, die eine Form von Auftragsverarbeitung darstellen. Es muss sichergestellt werden, dass die entsprechenden Verträge rechtzeitig DSGVO-konform sind.

Schritt 3: Welche Datenschutzdokumente gibt es bereits?

Neben dem Verfahrensverzeichnis kann es weitere Dokumente zur Datenschutzorganisation in dem Unternehmen geben, insbesondere Datenschutz-Richtlinien und Betriebsvereinbarungen, also Vorgaben, wie der Datenschutz in bestimmten Verfahren und Bereichen zu organisieren ist. Diese Richtlinien sollten nun überprüft werden, ob sie angepasst werden müssen.

Das wird insbesondere der Fall sein in Bereichen, wo sich die Vorgaben verschärft haben (wie Meldepflichten bei Datenschutzverletzung, Löschpflichten) oder wo es neue Anforderungen gibt (wie die Datenübertragbarkeit, Artikel 20 DSGVO, weitere Betroffenenrechte, Forderungen wie Privacy by Design).

Zu jeder Forderung der DSGVO muss es eine Entsprechung in internen Richtlinien und Maßnahmen geben, um den Datenschutz nach DSGVO zu gewährleisten. Diese Richtlinien und Maßnahmen müssen zudem geschult werden, damit sie auch umgesetzt werden.

Schritt 4: Wie sieht es mit der Technik und der Datensicherheit aus?

Die (automatisierte) Verarbeitung personenbezogener Daten findet in Verbindung mit IT statt, interner IT im Firmennetzwerk, mobiler und lokaler IT der Mitarbeiter und Niederlassungen sowie externe IT bei Dienstleistern und Partnern, wozu auch Cloud Computing gehört. Zu der IT gehören Speichermedien genauso wie Server, Netzwerkkomponenten, Endgeräte, Betriebssysteme, Datenbanken und Applikationen.

Um die Sicherheit der Verarbeitung (Artikel 32 DSGVO) beurteilen zu können, müssen Unternehmen wissen, wo und wie die Daten gespeichert, verarbeitet und genutzt werden und zu welchem Zweck dies geschieht. Der richtige Ort, dies festzuhalten, ist das bereits erwähnte Verfahrensverzeichnis, in der DSGVO Verzeichnis von Verarbeitungstätigkeiten genannt.

Jede Verarbeitung personenbezogener Daten und jedes entsprechende IT-System muss „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ durch geeignete technische und organisatorische Maßnahmen abgesichert werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, so die DSGVO.

Unternehmen sollten also im Rahmen ihrer Ist-Analyse und späteren Readiness-Kontrolle prüfen, ob das Konzept für die Datensicherheit dies auch wirklich berücksichtigt, ob also zum Beispiel der Stand der Technik wirklich beachtet wurde und in Zukunft wird. Alle Abweichungen zur DSGVO, die in den Schritten 1 bis 4 gefunden werden, müssen behoben werden. Nur so kann die Umstellung auf die DSGVO gelingen.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45098540 / DSGVO - Datenschutz Grundverordnung)