INFORMATIONEN

Compliance und Rechenschaftspflicht

Nach der Datenschutz-Grundverordnung (DSGVO) liegt die Verantwortung für die Einhaltung der Vorschriften bei denjenigen, die Daten verarbeiten. Sie müssen den Grundsätzen zustimmen, und es ist Ihre Pflicht, dies nachzuweisen.

Es ist eine Verpflichtung und Notwendigkeit der Gesetzgebung, dass Sie über angemessene Verfahren und Prozesse verfügen, um sicherzustellen, dass die Daten rechtmäßig gehandhabt werden, und dass Sie nachweisen, dass Sie die Vorgaben der DSGVO einhalten (Artikel 24).

In Artikel 25 wird auch die Notwendigkeit eines „Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen“ definiert, und Artikel 32 bezieht sich auf die „Sicherheit der Verarbeitung“.

Diese Papiere enthalten zwar einige Bestimmungen zur Abwägung der Kosten gegenüber dem Risiko, das eine Datenschutzverletzung für den Einzelnen darstellt, doch scheint es fraglich, ob die Kosten als akzeptable Entschuldigung für ihre Nichtberücksichtigung gelten werden, da es für viele Sicherheitsprobleme bereits Lösungen gibt.

Was bedeutet das für die KMU?

In Übereinstimmung mit der DSGVO müssen Sie interne Verfahren für die ordnungsgemäße Verarbeitung von Daten bereitstellen und sicherstellen, dass Ihre Mitarbeiter qualifiziert sind, diese Verfahren zu erkennen und zu befolgen, und dass Sie prüfen, ob sie dies auch tun.

Auf beiden Ebenen können Sie den Datenschutz in Ihr Unternehmen integrieren. Dies bezieht sich auf Computernetzwerke, Anwendungen und Websites, aber auch auf den physischen Schutz von Papier.

Es handelt sich zwar nicht um eine starre Vorschrift, aber im Falle eines Verstoßes sind Sie gut beraten, nach technischen Möglichkeiten zu suchen, die die Verwendung der Daten einschränken. Alle hilfreichen Methoden sind hier Anonymisierung, Pseudonymisierung und Verschlüsselung.

Sie sollten die Verfahren überprüfen, um sicherzustellen, dass Sie nur die personenbezogenen Daten erfassen, die Sie benötigen, und diese nur so lange wie nötig aufbewahren („Datenminimierung“).

Hohe Priorität sollte die Stabilität des Computernetzes haben, d. h. es muss sichergestellt werden, dass es repariert und auf dem neuesten Stand ist. Verwenden Sie die neuesten Produktversionen und keine raubkopierte Software.

In Artikel 32 heißt es: „Im Falle eines physischen oder technischen Ereignisses muss die Möglichkeit bestehen, die Verfügbarkeit und den Zugang zu personenbezogenen Daten rechtzeitig wiederherzustellen.

Dies legt eindeutig nahe, dass Sie eine sichere (und getestete) Sicherungsmethode für elektronisch gespeicherte Dokumente benötigen (unabhängig davon, ob diese in Ihren eigenen Räumlichkeiten oder auf dem Cloud-Server eines Anbieters aufbewahrt werden), aber es kann auch so übersetzt werden, dass Sie Sicherungskopien von Informationen haben sollten, die auf Papier aufbewahrt werden, damit Sie die fehlenden Daten wiederherstellen können, wenn ein physisches Ereignis wie eine Überschwemmung oder ein Brand eintritt.

Um die Sicherheit Ihres Netzes und Ihrer Website regelmäßig zu überprüfen und zu kontrollieren, sollten Sie Unternehmen beauftragen, die von den derzeitigen IT- und Technikanbietern unabhängig sind.

Überlegen Sie, ob Sie mit den Verkäufern Wartungsvereinbarungen für alle Maschinen treffen können, die es ihnen ermöglichen, alles auf dem neuesten Stand zu halten, und stellen Sie sicher, dass diese Arbeiten durchgeführt werden.

Aufzeichnung der Datenverarbeitung

In Artikel 30 werden die Kriterien für die Aufbewahrung der Daten genannt. Dies ist der Beitrag, der zu all der Unsicherheit beigetragen hat, warum sich die DSGVO auf Unternehmen mit weniger als 250 Beschäftigten bezieht (was sie tut).

Das bedeutet, dass es für kleine und mittlere Unternehmen nicht angemessen wäre, Aufzeichnungen über die Datenverarbeitung zu führen, es sei denn, sie sind dazu verpflichtet:

  • Personenbezogene Daten enthalten Informationen, die ein hohes Risiko (für den Einzelnen) darstellen;
  • Sie verarbeiten die Ergebnisse ständig.
  • Sensible persönliche Daten werden von Ihnen gespeichert.
  • Sie sammeln Informationen über unrechtmäßige Verurteilungen.
  • Vieles davon ist offensichtlich, und allein Punkt 3 ist ein sehr stichhaltiges Argument dafür, dass Sie Ihre Archive und Akten durchsehen und alle eindeutigen personenbezogenen Daten (wie z. B. Rasse/ethnische Zugehörigkeit) löschen sollten, es sei denn, Sie haben einen berechtigten Bedarf daran.

    Was jedoch äußerst vage ist, ist Punkt 2. In Artikel 30 heißt es: „Die Verarbeitung erfolgt nicht regelmäßig“, aber sowohl die Datenschutz-Grundverordnung als auch die Erwägungsgründe sagen nichts darüber aus, was „nicht gelegentlich“ bedeutet. Wenn man der Meinung ist, dass ein wöchentlicher Rechnungslauf „nicht gelegentlich“ ist, so hat das kleine Unternehmen, auch wenn es nur einen Mitarbeiter hat, nun die Pflicht, Aufzeichnungen über die Datenverarbeitung aufzubewahren.

    Es gibt noch eine Menge Fragen:

    Bezieht sich der Datenverarbeitungsgrad auf die gesamte Datenverarbeitung des Unternehmens oder wird die Häufigkeit jeder einzelnen Datenverarbeitungstätigkeit separat betrachtet? Wenn Sie also am Ende des Monats Rechnungen einholen, in der Mitte des Monats Bestellungen nachgehen und jede dritte Woche verkaufen, können Sie dann ständig Daten verarbeiten, wenn Sie jeden Monat drei Datenverarbeitungsaufgaben durchführen? Oder führen Sie monatlich drei verschiedene Datenverarbeitungstätigkeiten durch, von denen eine als gelegentlich angesehen werden kann?

    Müssen Sie über alle Ihre Datenverarbeitungsvorgänge Buch führen oder nur über diejenigen, die „nicht gelegentlich“ anfallen, wenn Sie als „nicht regelmäßig“ arbeitender Datenverarbeiter eingestuft werden?

    Wir haben mit der ICO darüber gesprochen, und sie hat zugestimmt, dass es zum jetzigen Zeitpunkt keine Klärung darüber gibt, was genau „nicht gelegentlich“ ist. Es bleibt zu hoffen, dass eine Arbeitsgruppe oder ein Erwägungsgrund zu gegebener Zeit mehr Klarheit in diese Frage bringen wird. In der Zwischenzeit ist es kompliziert zu bestimmen, wie ein kleines Unternehmen weiterarbeiten kann. Der beste Rat ist vielleicht, sich darüber klar zu werden, wie die Datenanalyse jetzt dokumentiert werden sollte, aber diese Techniken nicht durchzusetzen, bis mehr Klarheit in diesem Bereich möglich ist.

    Verhaltenskodizes und Lizenzen

    In den Artikeln 40-43 wird erläutert, wie Organisationen Ethikkodizes und Beglaubigungssysteme nutzen sollten, um die Kriterien der Datenschutz-Grundverordnung besser zu erfüllen und nachzuweisen, dass sie dies auch tun. Solche Systeme gibt es derzeit noch nicht, obwohl sie zweifellos im Laufe der Zeit entstehen werden.

    Es gibt andere Systeme, die hilfreich sein können, um Aspekte der Spezifikationen der Datenschutz-Grundverordnung zu erfüllen. Die ISO 27000-Reihe (ISO 27000 Series) könnte zum Beispiel dabei helfen, die Kriterien für die elektronische Informationssicherheit zu erfüllen.