Die DSGVO legt Unternehmen und Behörden als Verantwortlichen umfangreiche Pflichten auf. Als FISI wirst du diese Anforderungen in der Praxis umsetzen müssen: beim Einrichten von Systemen, beim Kauf von Software, beim Umgang mit Kundendaten.
Privacy by Design bedeutet dass Datenschutz bereits bei der Entwicklung und Konzeption von Systemen berücksichtigt wird – nicht erst im Nachhinein.
Privacy by Default bedeutet dass die datenschutzfreundlichste Einstellung der Standard sein muss. Nutzer müssen aktiv weniger datenschutzfreundliche Optionen wählen – nicht umgekehrt.
Beispiel: Eine neue App darf standardmäßig keine Standortdaten teilen – der Nutzer muss das aktiv einschalten.
Jeder Verantwortliche muss ein Verarbeitungsverzeichnis führen – eine interne Dokumentation aller Datenverarbeitungsvorgänge. Es enthält für jede Verarbeitung:
Name und Kontaktdaten des Verantwortlichen
Zweck der Verarbeitung
Kategorien der betroffenen Personen und der Daten
Empfänger der Daten (auch Drittländer)
Geplante Löschfristen
Beschreibung der technischen und organisatorischen Maßnahmen (TOM)
Das VVT ist nicht öffentlich – es wird auf Anfrage der Aufsichtsbehörde vorgelegt.
Verantwortliche müssen angemessene technische und organisatorische Maßnahmen ergreifen um ein dem Risiko entsprechendes Schutzniveau zu gewährleisten.
Technische Maßnahmen (Beispiele):
Verschlüsselung der Daten (Transport und Ruhezustand)
Zugriffskontrollen und Authentifizierung
Regelmäßige Backups
Firewalls, Virenscanner, Patch-Management
Organisatorische Maßnahmen (Beispiele):
Mitarbeiterschulungen zum Datenschutz
Berechtigungskonzepte (Need-to-Know)
Clean-Desk-Policy
Vertraulichkeitsvereinbarungen
Datenschutzrichtlinien und Prozesse
Wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, muss vorab eine Datenschutz-Folgenabschätzung durchgeführt werden.
Typische Fälle für eine DSFA: Systematische Überwachung öffentlicher Bereiche (Videoüberwachung), Verarbeitung besonderer Datenkategorien im großen Umfang, Profiling von Personen.
Unter bestimmten Bedingungen muss ein Datenschutzbeauftragter (DSB) bestellt werden:
Behörden und öffentliche Stellen (immer)
Unternehmen deren Kerntätigkeit die umfangreiche regelmäßige Überwachung von Personen erfordert
Unternehmen die im großen Umfang besondere Datenkategorien verarbeiten
In Deutschland zusätzlich: Unternehmen mit mehr als 20 Personen die regelmäßig automatisiert personenbezogene Daten verarbeiten
Der DSB berät und überwacht – er ist nicht für den Datenschutz verantwortlich (das bleibt der Verantwortliche). Der DSB ist weisungsungebunden und darf nicht abberufen werden weil er seine Aufgaben erfüllt.
Meldung an die Aufsichtsbehörde (Art. 33): Innerhalb von 72 Stunden nach Bekanntwerden – es sei denn die Verletzung ist voraussichtlich nicht riskant für Betroffene.
Benachrichtigung der Betroffenen (Art. 34): Wenn die Verletzung voraussichtlich ein hohes Risiko für die Betroffenen darstellt, müssen diese unverzüglich informiert werden.
Datenpanne entdeckt
│
▼
Risikobewertung
│
┌────┴───────────┐
Kein Risiko Risiko vorhanden
│ │
Internes Meldung an Aufsichtsbehörde
Protokoll (72 Stunden)
│
Hohes Risiko?
┌──────┴──────┐
Nein Ja
Betroffene informierenWenn ein Unternehmen personenbezogene Daten durch Dritte verarbeiten lässt (z.B. Cloud-Anbieter), muss ein AVV geschlossen werden. Er regelt was der Auftragsverarbeiter mit den Daten tun darf – und was nicht.
Privacy by Design: Datenschutz von Anfang an einbauen
Privacy by Default: Datenschutzfreundlichste Einstellung muss Standard sein
VVT: Interne Dokumentation aller Verarbeitungstätigkeiten (Art. 30)
TOM: Angemessene technische und organisatorische Schutzmaßnahmen (Art. 32)
DSFA: Bei hohem Risiko vorab durchführen (Art. 35)
DSB: Pflicht für Behörden und bestimmte Unternehmen (Art. 37)
Datenpanne: Meldung an Aufsichtsbehörde innerhalb 72 Stunden (Art. 33)
AVV: Pflicht bei Einbindung von Auftragsverarbeitern (Art. 28)