Datenschutz durch Technik und Voreinstellungen ist eine gesetzliche Verpflichtung im Rahmen der Datenschutz-Grundverordnung. Auch wenn Ihr Unternehmen nicht verpflichtet ist, einen Datenschutzbeauftragten (DSB) zu benennen, können Sie jederzeit einen solchen in Anspruch nehmen.
Die Hauptaufgabe des DSB besteht darin, dafür zu sorgen, dass Ihr Unternehmen die Standards und Vorgaben der DSGVO einhält. Mit dem DSB können Sie Ihre Datensicherheit nahtlos in Ihren Geschäftszyklus einbinden.
Was DSGVO von einem DSB verlangt
Die Bestellung eines behördlichen Datenschutzbeauftragten (DSB) erleichtert die Einhaltung des Grundsatzes der Datensicherheit durch Technik und durch Voreinstellungen erheblich. Die einzige Aufgabe des DSB besteht darin, sich um die Einhaltung der Vorschriften in Ihren Unterlagen zu kümmern. Sie sind Datensicherheitsspezialisten, die Sie über die Datenkonformität Ihrer Organisation auf dem Laufenden halten, aufklären und beraten.
Die DSGVO verlangt, dass der Datenschutzbeauftragte personell angemessen ausgestattet und unabhängig ist und einen direkten Draht zur Geschäftsleitung hat.
Am besten wäre es, wenn Sie im Rahmen der DSGVO einen Datenschutzbeauftragten ernennen würden, wenn Sie dies tun:
Datenschutz durch Design und durch Voreinstellungen
Nach Angaben des Europäischen Datenschutzausschusses gibt es sieben Leitlinien für den Datenschutz durch Technik und durch Voreinstellungen:
Proaktiv und präventiv
Die für die Datenverarbeitung Verantwortlichen (d. h. diejenigen, die andere über die Verwendung der Daten informieren) müssen Datenschutzverletzungen vorhersehen und Maßnahmen ergreifen, um sie zu vermeiden. Beispiele hierfür sind die Verschlüsselung personenbezogener Daten und die Vorbereitung des Personals, das die Daten verwaltet, auf deren Schutz.
Datenschutz als Standard
Die Nutzer müssen wissen und in der Lage sein, sich für die Weitergabe ihrer Daten zu entscheiden und ihren Zugang schnell zu widerrufen. Die für die Datenverarbeitung Verantwortlichen sollten nur die erforderlichen Daten verarbeiten.
End-to-End-Sicherheit
Bevor Unternehmen personenbezogene Daten sammeln, müssen sie sicherstellen, dass Sicherheitsmaßnahmen zum Schutz der Daten während des gesamten Lebenszyklus der Daten vorhanden sind.
Datenminimierung
Die Daten, die Sie sammeln, sollten das absolute Minimum sein, das Ihre Organisation für ihre Arbeit benötigt. Diese Mindestkriterien sollten festgelegt werden, bevor mit der Datenerhebung begonnen wird.
Nutzerzentriert
Wenn Sie den Endnutzer oder Kunden in jeder Phase der Datenkonformität im Blick haben, führt dies unweigerlich zur Einhaltung der Datenkonformität. In der Praxis bedeutet nutzerzentrierte Datensicherheit, dass Sie Ihre Nutzer gründlich schulen, Ihre Datenrichtlinien leicht verständlich machen und Ihre Daten schützen.
Transparenz
Die Nutzer müssen umfassend informiert werden:
Risikominimierung
Das endgültige Konzept für Datensicherheit und Design und Standard umfasst die in Artikel 25 der Datenschutz-Grundverordnung festgelegten Protokolle. Jeder Schritt in Bezug auf personenbezogene Daten muss das Risiko für die Nutzer verringern.
Dienstleistungen im Bereich Datenschutz und Compliance
Die Datenschutznormen sind breit gefächert und unterscheiden sich leicht von Gebiet zu Gebiet, und der Datenschutzbeauftragte muss die Datenschutzgesetze der einzelnen Regionen kennen. Die Entscheidung für einen internen Datenschutzbeauftragten erfordert erhebliche Ressourcen, die von den Kernaktivitäten des Unternehmens im Bereich der Datensicherheit abgezogen werden müssen.