Sie finden unsere Artikel spannend?
Dann melden Sie sich zu unserem Newsletter an und erhalten Neuigkeiten direkt in Ihre Inbox.
Seit sechs Jahren ist die Datenschutz-Grundverordnung (DSGVO) in Kraft – und doch kämpfen viele Unternehmen weiterhin mit ihrer Umsetzung. Laut einer Studie von Statista aus dem Jahr 2022, begründen rund 88 Prozent der befragten Unternehmen ihre Schwierigkeiten mit der DSGVO damit, dass die Umsetzung nie vollständig abgeschlossen sei. Darüber hinaus empfinden ganze 78 Prozent eine gewisse Rechtsunsicherheit bezüglich der genauen Vorgaben. Was die Realisierung der Verordnung außerdem schwierig macht?
Hinzu kommt, dass im Internet allerlei „alternative Fakten“ zum Thema kursieren, zum Beispiel, dass jedes Unternehmen einen Datenschutzbeauftragten stellen muss (ein:e Datenschutzbeauftragte:r ist nur unter bestimmten Voraussetzungen erforderlich: Artikel 37 DSGVO). Um etwas handfester zu werden, haben wir 7 Praxistipps für den Schutz personenbezogener Daten im Alltag formuliert.
Personen, deren personenbezogene Daten verarbeitet werden, haben ein Auskunftsrecht (Art. 15 DSGVO): Sie können beim Datenverarbeitenden nachfragen, ob dieser ihre Daten verarbeitet (erfasst, erhebt, speichert, einsieht, verändert…). Wenn eine Verarbeitung stattfindet, muss der oder die Verantwortliche über Folgendes Auskunft geben können:
Der Datenverarbeitende sollte zeitnah eine Kopie der personenbezogenen Daten bereitstellen können und dabei auf Vollständigkeit und Korrektheit der Daten achten. Die Kopie kann in Schriftform an die hinterlegte Kontaktadresse geschickt werden. Eine Kopie des Schreibens sollte zu Dokumentationszwecken im Archiv abgelegt werden.
Da die Daten nicht unbefugten Dritten zur Verfügung gestellt werden dürfen, sollte die Identität des Anfragenden überprüft werden. Bei begründeten Zweifeln an der Identität der Person, kann er zusätzliche Informationen zur Bestätigung der Identität fordern (Art.12 Abs. 6 DSGVO). Stellt die Person eine Kopie ihres Personalausweises zur Verfügung, sollte sie darauf hingewiesen werden, dass Daten, die für die Identifizierung nicht notwendig sind (etwa Augenfarbe, Größe), geschwärzt werden können.
Personenbezogene Daten sind nach Art. 5 Abs.1 Buchstabe e nur solange zu speichern, „wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“. Sobald der Verarbeitungszweck erfüllt ist und die gesetzliche oder vertragliche Aufbewahrungsfrist erlischt, sind die Daten zu löschen. Datenverarbeitende sollten festhalten, für welche Zwecke sie die Daten verarbeiten und wann die Frist abläuft.
Datenverarbeitende müssen ein Verzeichnis der Verarbeitungstätigkeiten führen (Art. 30 Abs. 1 DSGVO):
Unbefugte Dritte dürfen nicht auf personenbezogene Daten zugreifen können. Ein Schutz vor unbefugten Zugriffen bietet die Verschlüsselung von Daten. Durch eine angemessene Verschlüsselung werden Daten auf dem eigenen PC für unbefugte Mitbenutzer:innen oder Personen, die sich unerlaubt Zugriff verschaffen wollen, unlesbar gemacht.
Eine Möglichkeit der Dateiverschlüsselung besteht darin, Office-Dokumente mit einem Passwort zu versehen und sensible Informationen zu schwärzen. Nutzende sollten darauf achten, dass auch in den Dokumenteigenschaften entsprechende Daten enthalten sein können. Zur Dateiverschlüsselung gibt es verschiedene Verschlüsselungsprogramme. Um E-Mails besser auf dem Transportweg zu schützen, können Nutzende die Transportverschlüsselung aktivieren (TSL/SSL): Dabei wird die Verbindung zwischen den Servern während der Übertragung verschlüsselt. Bei einer Ende-zu-Ende-Verschlüsselung (beispielsweise PGP oder S/MIME) werden auch die Inhalte der E-Mail verschlüsselt. Sendende und Empfangende der E-Mail müssen beide am Verschlüsselungsverfahren teilnehmen.
Ergänzend führt die Implementierung ganzheitlicher Datensicherheitslösungen, sei es On-Premise oder in einer Hybrid Cloud, zu einer erhöhten Transparenz und tiefergehenden Einblicken, um Cyberbedrohungen zu identifizieren und effektiv zu bekämpfen. Diese Lösungen können Sicherheitsregeln und Zugriffskontrollen fast sofort umsetzen und helfen, gesetzliche Anforderungen zu erfüllen, um die Datensicherheit zu verbessern.
Auch zvoove bietet solche sicheren Cloud-Lösungen an. zvoove One setzt dabei auf Rechtssicherheit und die Einhaltung der DSGVO.
Greifen externe Dienstleister (etwa PC-Techniker:innen) auf den PC zu, besteht das Risiko, dass sie unbefugt Zugriff zu Daten erhalten. Unternehmen haben die Möglichkeit, eine Verpflichtungserklärung aufzusetzen, in der der Dienstleister erklärt, sich auf Einhaltung des Schutzes personenbezogener Daten zu verpflichten und die Grundsätze nach Art. 5 DSGVO einzuhalten. Muster für einen Vertrag zur Auftragsdatenverarbeitung findet man beispielsweise im Internet.
Eine Datenschutzschulung für neue Mitarbeitende ist ein wichtiger Schritt, um die sichere Umsetzung der DSGVO in einem Unternehmen zu gewährleisten. Durch die Datenschutzbelehrung werden die Angestellten über ihre Verpflichtungen und Rechte im Umgang mit personenbezogenen Daten informiert und sensibilisiert.
Sie erfahren dadurch, wie sie Daten sicher behandeln, welche Datenschutzrichtlinien im Unternehmen und allgemein gelten und welche Konsequenzen Verstöße haben können. Durch das anschließende Unterschreiben eines Datenschutzvertrages ist ihre Haftung und Kenntnisnahme gesichert. Dadurch wird das Bewusstsein für Datenschutzbelange geschärft und die Wahrscheinlichkeit von Datenschutzverletzungen verringert.
Mehr Übersicht statt Verwirrung: Es gibt online DSGVO-Checklisten und offizielle Leitfäden, die Unternehmen zur Verfügung stehen, um herauszufinden, welche Datenschutzanforderungen für Sie relevant sind. Diese Checklisten enthalten alle erforderlichen Datenschutzdokumente sowie Informationen zu den jeweiligen rechtlichen Grundlagen. Sie helfen dabei zu identifizieren, welche Unternehmen welche Art von Dokumentation erstellen müssen und bieten zusätzliche Erläuterungen zur Art der Dokumentation sowie zu besonderen Anforderungen bei der Erstellung.
Fazit
Seit dem 25. Mai 2018 müssen Unternehmen, welche personenbezogenen Daten geschäftsmäßig verarbeiten, die Datenschutzgrundverordnung der Europäischen Union einhalten. Zur gleichen Zeit trat das neue Bundesdatenschutzgesetz (BDSG (neu)) in Kraft und löst das BDSG (alt) ab. Für die Praxis bedeutet das unter anderem, dass Datenverarbeitende das Auskunftsrecht Betroffener erfüllen und Daten vor unbefugtem Zugriff Dritter (beispielsweise durch Verschlüsselungsverfahren) schützen müssen. Um sich einen genauen Überblick über die benötigten DGSVO-Voraussetzungen zu verschaffen, helfen Leitfäden, die online eingesehen werden können. Cloud-Lösungen können dabei deutlich zur Sicherheit von sensiblen Daten im Arbeitsprozess beitragen. Die Verarbeitungsprozesse sind zu dokumentieren.
Foto: © Adobe Stock / Rawpixel.com / 86203608
Diesen Beitrag teilen
Weitere Beiträge