Technisch-organisatorische Maßnahmen

Mit dem Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) kommen neue Anforderungen an die Datenschutzkontrollen und die Datensicherheit. Mit diesem Artikel soll Ihnen aufgezeigt werden, worauf bei der Erstellung der technisch-organisatorischen Maßnahmen (TOMs) zu achten ist.

Umsetzungsplan nicht vorhanden

Obwohl viele Unternehmen in Befragungen immer wieder mitteilen, dass Sie gut über die DSGVO informiert sind, gibt es für viele immer noch Probleme in der praktischen Umsetzung. Anhaltspunkte liefert nun auf rechtlicher Ebene das Datenschutz-Anpassungs- und Umsetzungsgesetz EU.

Vorbereitung auf erweiterte Datenschutzkontrollen

Für die Datensicherheit müssen fortan auf Basis einer Risikobewertung Maßnahmen getroffen werden. § 64 BDSG-neu liefert für Maßnahmen nun eine Übersicht.

  1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),
  2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),
  3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),
  4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),
  5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),
  6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
  7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),
  8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt
    wird (Transportkontrolle),
  9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),
  10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),
  11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),
  12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggeberverarbeitet werden können (Auftragskontrolle),
  13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit). Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden.

Neue Kontrollen und neue Bezeichnungen bei den TOMs

Auf den ersten Blick scheinen die aus dem BDSG bekannten Kontrollen der Zutrittskontrolle und der Weitergabekontrolle zu fehlen. Des Weiteren finden sich einige neue Kontrollen, die die Pflichten des Verantwortlichen zur Kontrolle deutlich erweitern.

  • Zuverlässigkeit, Datenintegrität und Wiederherstellbarkeit sind neu.
  • Begrifflich neu sind Transport-, Übertragungs-, Datenträger- ud Benutzerkontrolle.

Bei einem genaueren Blick auf die Beschreibung der vorgenannten vier Kontrollen stellen Sie fest, dass die Weitergabekontrolle darin zu finden ist. Die Zutrittskontrolle wurde nun mit der Zugangskontrolle zusammengefasst, da diese Unterscheidung oftmals Probleme verursachte.

Die Speicherkontrolle, die bisher unter dem Punkt Zugriffskontrolle mitbehandelt wurde, ist nun separat genannt.

Ein Vorteil für die bessere Vorbereitung, Umsetzung und Überwachung der Kontrollen ist, dass die Datenschutzkontrollen nun genauer unterteilt sind. Es kann sich ja um verschiedene Maßnahmen mit dazugehörigen Sicherlösungen handeln.

Dabei müssen Unternehmen bei den neuen Kontrollen genau hinschauen, die bei der Umsetzung der DSGVO helfen:

  • Sie müssen gewährleisten, dass gespeicherte personenbezogene Daten nnicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität).
  • Weiterhin müssen sie die Wiederherstellung der eingesetzten Systeme im Störungsfall gewährleisten (Wiederherstellbarkeit).
  • Auch müssen Sie gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit).

Dies ist im Moment häufig bei Unternehmen eine Schwachstelle der technisch-organisatorischen Maßnahmen.

Pflicht ist die Zuverlässigkeit, die Datenintegrität und die Wiederherstellbarkeit

Immer wieder werden durch Cyberangriffe Unternehmen auf den Prüfstand gestellt und zeigen starke Mängel, was geeignete Maßnahmen nach Attacken und Störungen für die Wiederherstellbarkeit betrifft. Um für die DSGVO vorbereitet zu sein, müssen ebenso Mängel bei der Zuverlässigkeit von IT-Systemen als auch bei der Datenintegrität behoben werden.

Für Fragen bezüglich der technisch-organisatorischen Maßnahmen schreiben Sie uns eine E-Mail an dsb@anka.eu oder rufen Sie uns an.

Warum jeder einen Datenschutzbeauftragten braucht

Im digitalen Zeitalter nehmen Cyberangriffe auf Unternehmen, die sensible Daten führen, stetig zu. Mehr Sicherheit in der EU soll nun durch die DSGVO geschaffen werden, wo jedes Unternehmen ab Mai 2018 die Regelungen einhalten muss. Sie müssen nun aber nicht in Panik verfallen. Wer frühzeitig seinen bisherigen Datenschutz überprüft und an die neuen Datenschutzvorschriften anpasst, der braucht die deutlich höheren Sanktionen der DSGVO nicht zu fürchten. Dazu sollten Sie den Datenschutzbeauftragten in Ihrem Unternehmen integrieren.

Auf was müssen sich die Unternehmen einstellen?

Bereits im 25. Mai 2016 trat die EU-Datenschutzgrundverordnung in Kraft. Allerdings kommt diese erst zwei Jahre später (25. Mai 2018) zur Anwendung. Sie umfasst alle Vorgänge, bei denen personenbezogene Daten von EU-Bürgern verarbeitet werden. Hier in Deutschland sollten Sie die Datenschutzregelungen entsprechend dem Bundesdatenschutzgesetz (BDSG) umsetzen. Diese werden im Mai 2018 dann weitestgehend ersetzt, obwohl der Kern der Datenschutzgrundsätze bestehen bleibt. Jedoch stehen auch zahlreiche Änderungen an. Die Pflicht zum Datenschutz besteht nicht nur, wenn Ihr Unternehmen sich mit Onlinegeschäften auseinandersetzt, sondern beispielsweise schon, wenn die Personalabteilung die personenbezogenen Daten Ihrer Mitarbeiter elektronisch verarbeitet. Es wird auch weiterhin ein deutsches Bundesdatenschutzgesetz geben, da die EU-DSGVO 50 sogenannte Eröffnungsklauseln enthält, wonach die Mitgliedsstaaten einzelne Vorschriften anders handhaben können. Das deutsche Bundesdatenschutzgesetz ist bereits verkündet.

Die EU-DSGVO bestimmt nicht nur den sachlichen Bereich der Vorschriften, sondern auch vielmehr noch den räumlichen Bereich. Dies bedeutet, dass sogar Unternehmen wie Facebook, WhatsApp und andere Unternehmen der Global-Player künftig die EU-DSGVO beachten müssen, wenn Sie Daten von EU-Bürgern verarbeiten.

Welche Dokumente und Prozesse müssen Sie in Ihrem Unternehmen kontrollieren und anpassen?

  • Verträge
  • Dokumentation der Datenverarbeitungsprozesse im Unternehmen
  • Einwilligungserklärungen
  • Anpassung der Betriebsvereinbarungen an DSGVO
  • Vorlagen und Prüflisten
  • Datenschutzerklärungen
  • Prozesse zum Widerruf der Einwilligung
  • Vereinbarungen zur Auftragsdatenverarbeitung
  • Prozesse bei Datenpannen
  • Prozesse zur Umsetzung von Widersprüchen
  • Verfahren, um Daten in gängigen elektronischen Formaten übertragen zu können
  • Schulungen und Fortbildungen zum Thema EU-DSGVO und Datenschutz
  • Monitoring nationaler und internationaler Gesetzgebung
  • Einführung von Privacy Impact Assessment
  • Compliance-Gefährdungsanalyse zur Festlegung geeigneter technisch-organisatorischer Maßnahmen

Wie gehe ich dabei vor?

  1. Damit das Datenmanagement in allen Abteilungen, die personenbezogene Daten verarbeiten, rechtzeitig funktioniert, muss mit einer Bestandsaufnahme Ihres Unternehmens frühzeitig begonnen werden.
  2. Das Unternehmen sollte daher einen internen oder einen externen Datenschutzbeauftragten benennen, der dafür sorgt, dass der Umgang mit den sensiblen Daten immer nach aktueller Rechtslage geschieht.
  3. Setzen Sie sich – auch die Geschäftsführung – inhaltlich mit der EU-DSGVO auseinander. Sie finden hier Hilfe für die Auslegung und Information zur DSGVO.
  4. Damit sich Ihre Mitarbeiter der neuen Datenschutzpraxis bewusst werden, organisieren Sie Schulungen für Ihre Mitarbeiter und beziehen Sie diese mit ein. Ihre Mitarbeiter müssen ab Mai 2018 die neuen Vorschriften beachten.
  5. Führen Sie Gefährdungsanalyse durch, um Risiken zu identifizieren und zukünftig zu minimieren.
  6. Überprüfen Sie die Datenverarbeitungsprozesse und die Dokumente in Ihrem Unternehmen
  7. Dokumentieren Sie die Herkunft und Empfänger der Daten, die Sie verarbeiten.
  8. Bis zum 25.Mai 2018 müssen die neuen Regelungen umgesetzt sein, damit Sie die hohen neuen Sanktionen (Bußgeld bis zu 4 % des Gesamtumsatzes) nicht fürchten müssen.
  9. Informieren Sie alle Abteilungen über die Neuerungen. Dies ist eine Sache für alle und nicht nur für den Datenschutzbeauftragten (Hinwirkung auf den Datenschutz) und die Geschäftsführung (Sie zahlen die Sanktionen)

Wen müssen Sie alles informieren?

Die DSGVO bringt viele Änderungen mit sich. Dazu sollten auch noch andere Abteilungen als der Datenschutzbeauftragte und die Geschäftsleitung informiert sein. Dazu gehören:

  • Betriebsrat
  • Forschung und Entwicklung
  • Personalabteilung
  • Finanzen
  • Recht und Compliance
  • IT-Security

Was sind jetzt nochmal genau die Veränderungen dieser DSGVO?

  • Neue Begriffsdefinitionen
  • Neue Regelungen für die Verarbeitungen und Weiterverarbeitung von personenbezogenen Daten zu anderen Zwecken als den ursprünglichen Zweck der Erhebung.
  • Die Einwilligungserklärung muss nun freiwillig, spezifisch informiert und durch eine eindeutige Handlung erfolgen, welche auch elektronisch abgegeben werden kann.
  • Dokumentations- und Nachweispflicht für abgegebene Einwilligungen
  • Überdies besteht ein Koppelungsverbot für Einwilligungen
  • Der Betroffene/Nutzer muss dazu die Einwilligungohne Begründung” und “jederzeit” widerrufen können.
  • Zukünftig müssen dem Betroffenen eine Reihe an Informationen zur Seite gestellt werden. Dazu gehören beispielweise Informationen wie die Dauer der Speicherung der Daten ist oder auf welche Grundlage sich die Datenverarbeitung stützt.
  • Es gibt einen neuen Portabilitätsgrundsatz. Betroffene können nun bei Ihnen die personenbezogenen Daten anfragen, die Sie erhoben haben. Dann müssen Sie dem Betroffenen diese in einem gängigen und elektronischen Format bereitzustellen und auf Wunsch auch direkt an Dritte zu übermitteln.
  • Geben Sie Daten an dritte Unternehmen weiter, die nicht aktuell sind, so sind Sie in der Pflicht, über die sachliche Unrichtigkeit aufzuklären.

Weitere Änderungen der DSGVO

  • Der Nutzer ist in einem separierten Abschnitt (deutlich getrennt) über das Widerspruchsrecht bei Datenschutzerklärungen aufzuklären.
  • Nun gibt es die Möglichkeit, das zwei Parteien gemeinsam Daten verarbeiten. Verantwortlichkeiten werden nun vertraglich geregelt und beide sind zur Einhaltung der Richtlinie verpflichtet (Stichwort: Joint Controllership).
  • Der Auftragsdatenverarbeiter wird nun doch für seinen Verantwortungsbereich stärker in die Pflicht genommen.
  • Datenverarbeiter müssen ab Mai 2018 schriftliche bzw. elektronische Dokumentationen für Ihre Verarbeitungen darlegen und der Aufsichtsbehörde auf Verlangen vorzeigen.
  • Die Risikoabschätzung bezüglich der technisch-organisatorischen Maßnahmen muss dokumentiert werden.
  • Anstatt der Vorabkontrolle ist nun eine Datenschutz-Folgenabschätzung durchzuführen. Dazu sollte vorab ein Risikomanagement durchgeführt werden.
  • Der Mai 2018 bringt erweiterte Benachrichtungs- und Meldepflichten bei Datenschutzpannen.
  • Die zuständige Aufsichtsbehörde für ein Unternehmen richtet sich europaweit nach dem Hauptsitz bzw. der Niederlassung, die generell über die Datenverarbeitung entscheidet.
  • Für die Geschäftsführung sicherlich der wichtigste Grund für den Datenschutz. Die drastische Erhöhung der Geldbußen für Verstöße auf bis zu 4 Prozent des weltweiten Umsatzes pro Verstoß. Die EU-DS-GVO stützt sich auf den weltweit erzielten Jahresumsatz des vorangegangenen Geschäftsjahres des gesamten Unternehmens (Konzerns). Wirtschaftlich betrachtet, ist dies ein Grund, warum man nun besser doch einen internen oder externen Datenschutzbeauftragten beschäftigen sollte.

Im Mai 2018 kommt die DSGVO. Das haben Sie jetzt oft genug gehört und gelesen. Das Thema Datenschutz ist immer medienpräsenter. Doch machen Sie es auch zu Ihrem Thema. Suchen Sie sich rechtzeitig Hilfe, da das “Juristendeutsch” nicht immer verständlich ist. Die Umsetzung für ein Unternehmen benötigt Zeit. Bitkom z.B. bietet zum Datenschutz weitere Informationen.

Wir befassen uns auch mit dem Thema Datenschutz und würden Sie gerne unterstützen. Stellen Sie uns eine Anfrage über dsb@anka.eu, über das Kontaktformular oder rufen Sie uns an.

Die Informationspflicht des Verantwortlichen

Bei einer Datenpanne können zum Beispiel finanzielle Verluste oder die Offenlegung privater Informationen drohen. Daher trifft den Verantwortlichen nach Maßgabe des Art. 34 Abs. 1 DSGVO eine Benachrichtigungspflicht gegenüber dem Betroffenen. Um erhebliche wirtschaftliche und immatrielle Konsequenzen durch die Verletzung des Schutzes personenbezogener Daten abzuwenden, können Betroffene durch die Benachrichtigung auf bestehende Risiken präventiv tätig werden. Art. 34 Abs. 1 DSGVO beinhaltet die vom Gesetzgeber vorgeschriebene Informationspflicht und konkretisiert die Anforderungen an diese.

Der Zeitpunkt der Benachrichtigung

In Art. 34 Abs.1 DSGVO heißt es:

Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.

Wie so oft werden dabei vom Gesetzgeber unbestimmte Rechtsbegriffe wie hohes Risiko benutzt. Es ist nicht genau bestimmt, wann ein hohes Risiko vorliegt. Mit Hilfe einer Prognose wird ein hohes Risiko jedenfalls regelmäßig dann anzunehmen sein, wenn mit hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten der betroffenen Person eintreten können. In Betracht zu ziehen sind dabei auch die Möglichkeiten, wie weit der eintreffende Schaden durch Benachrichtigung an den Betroffenen vermieden werden kann.

Unter gewissen Umständen kann eine Benachrichtigung an den Betroffenen entbehrlich sein, sodass dieser nicht benachrichtigt werden muss.Eine Informationspflicht darf unterbleiben, wenn der Verantwortliche

  • gemäß Abs. 3 lit. a) vorab durch eine Verschlüsselung
  • oder gemäß Abs. 3 lit. b) nachträglich durch geeignete Sicherheitsmaßnahmen dafür gesorgt hat, dass das hohe Risiko „aller Wahrscheinlichkeit nach“ nicht mehr besteht.
  • nach Abs. 3 lit. c) diese nur mit einem unverhältnismäßigen Aufwand umgesetzen kann

In diesen Fällen reicht eine öffentliche Bekanntmachung durch den Verantwortlichen in den Medien wie zB. in der Zeitungsanzeige aus.

Durch den Verantwortlichen hat eine eigene Risikoabschätzung zu erfolgen. Sollte er das Risiko unterschätzen und kommt er bei einer Datenpanne seiner Informationspflicht nicht nach, kann er sich nach Art. Art. 83 Abs. 4 lit. a) DSGVO schadensersatzpflichtig machen.

Änderungen für den Verantwortlichen

Im Gegensatz zum BDSG ergeben sich für den Verantwortlichen bei der DSGVO zwei wesentliche Unterschiede. Mit Inkrafttreten der DSGVO am 25. Mai 2018

  • gilt die Informationspflicht für alle (nicht nur Risikodaten) personenbezogenen Daten
  • wird die Informationspflicht nicht nur durch Offenlegung an einen Dritten ausgelöst, sondern auch bei internen und nicht zwangsläufig unrechtmäßigen Pannen wie zB. einen Datenverlust.

Art und Weise der Informationspflicht

Generell hat die Information in einfacher Weise, also für jeden verständlich, zu erfolgen. Der Betroffene soll durch die Information die Risiken für seine Daten verstehen und selbst einschätzen können. Zudem soll er selbst entscheiden können, welche Maßnahmen er ergreifen kann, um eventuell eintretende Schäden zu verhindern.

Hinsichtlich des genauen Umfangs dieser Informationen kann die zuständige Aufsichtsbehörde konsultiert werden. Mit einem Verweis auf Art. 33 Abs. 3 lit. b), c) und d) DSGVO sind die dort genannten Informationen erforderlich:

  • Art der Verletzung
  • die Benennung des Datenschutzbeauftragten oder einer anderen Kontaktperson
  • die Beschreibung der wahrscheinlichen Folgen
  • und schließlich die Beschreibung der ergriffenen Maßnahmen zur Begegnung und Behebung des Problems.

Eine Information soll nach Art. 33 Abs. 1 DSGVO unverzüglich und nach spätestens 72 Stunden erfolgt sein.

Rückfragen ?

Sollten Sie noch Fragen zu den Informationspflichten haben oder selbst einen Datenschutzhandlungsbedarf in Ihrem Unternehmen sehen, kontaktieren Sie uns über dsb@anka.eu oder rufen Sie uns 0201-2463660 an.

13.06.2017 Erstellung von Verfahrensübersichten

Eine der Hauptaufgaben eines Datenschutzbeauftragten ist die Erstellung der Verfahrensübersichten. In diesem Seminar zeigen wir Ihnen, worauf Sie achten müssen.

Wann? 13.06.2017 von 10.00 Uhr – 13.00 Uhr
Wo? Kaninenberghöhe 50, Essen

Bitte rufen Sie uns bei Interesse unter 0201-2463660 an.