Drei Personen sitzen auf Sofa und Stuhl, um einen kleinen Couchtisch herum und unterhalten sich.

2 Jahre DSGVO – Zusammenfassung von 10 wichtigen Fakten

25.Mai 2018 – seit diesem Datum ist die DSGVO in Kraft getreten. Fluch oder Segen? Nach 2 Jahren gehört dieser Sachverhalt nicht gerade zu den beliebtesten Themen bei Unternehmen. Nichtsdestotrotz hat die DSGVO einen wichtigen Stellenwert in der heutigen Zeit. Seit Inkrafttreten der DSGVO wurden bereits Bußgelder in Millionenhöhe verhängt und nicht nur Unternehmer legen mehr Wert auf den Datenschutz, sondern auch Privatpersonen wurden etwas hellhöriger. Wir haben die wichtigsten 10 Fragen und Tipps für Sie möglichst kurz zusammengefasst.

25.Mai 2018 – seit diesem Datum ist die DSGVO in Kraft getreten. Fluch oder Segen?

Nach 2 Jahren gehört dieser Sachverhalt nicht gerade zu den beliebtesten Themen bei Unternehmen. Nichtsdestotrotz hat die DSGVO meiner Meinung nach einen wichtigen Stellenwert in der heutigen Zeit. Seit Inkrafttreten der DSGVO legen nicht nur Unternehmer mehr Wert auf den Datenschutz, sondern auch Privatpersonen wurden etwas hellhöriger. Unternehmen sind nun dazu gezwungen, ihre Subunternehmer aufzuzeigen, was es leichter macht herauszufinden, wer wo seine Finger im Spiel bei der Datenverarbeitung hat. Auch wenn es nicht immer alles auf den ersten Blick ersichtlich ist, denn hinter den Subunternehmern könnte es eine weitere Kette von Subunternehmern geben.

Auch IT-Jurist, Frank Trautwein von Fresh Compliance ist der Meinung, dass das Thema auch nach 2 Jahren relevanter denn je ist: "In zwei Jahren DSGVO haben wir gestärktes Datenschutzbewusstsein in Unternehmen vorgefunden. Aber auch deutlich aktivere Datenschutzbehörden. Wer Datenschutz im Jahr 2020 nicht als entscheidendes Management-Thema begreift, sollte dies schnell ändern.“

Hohe Bußgelder durch DSGVO-Verstöße

Der Internetkonzern Google musste 50 Millionen Euro Bußgeld in Frankreich zahlen, da es schwer nachvollziehbar war, wie lange Google Nutzerdaten speichert und wer sie noch weiterverarbeitet. Die Deutsche Wohnen SE erhielt das höchste Bußgeld in Deutschland in Höhe von 14,5 Millionen Euro, da sie nach mehrmaligen Aufforderungen von Datenschützern immer noch unerlaubt Mieterdaten gespeichert haben. In Europa betrug das bisher höchste Bußgeld 204 Millionen Euro, weil die Fluggesellschaft British Airways mangelnde Sicherheitsvorkehrung aufwies, was zu Datendiebstahl führte. Eine Auflistung der Bußgelder finden Sie im GDPR Enforcement Tracker.

Auch wenn die hohen Bußgelder für viele der ausschlaggebende extrinsischer Motivator ist, die DSGVO ernst zu nehmen. Wir bei luckycloud nahmen Datenschutz schon bereits vor der DSGVO ernst und haben die Erfahrung gemacht, dass eine transparente Kommunikation der Datenverarbeitungsprozesse das A&O bei Unternehmen sein sollte, die sensible Daten verarbeiten. Schließlich sollten alle das Recht haben zu wissen, wo und wann ihre eigenen Daten genutzt und weiterverarbeitet werden.

Ähnlich sieht es Phillipp Heindorff, Rechtsanwalt bei Fresh Compliance: „Die DSGVO wird zwei Jahre alt und das Internet strotzt vor Cookie Bannern. Der europäische Datenschutz hat aber viel mehr geleistet. Viele Unternehmen erkennen Datenschutz endlich als Teil des Kundenservices an. Es sollte selbstverständlich sein, eine Auskunftsanfrage zu meinen Daten genauso schnell zu beantworten wie eine Rückfrage zu meiner Bestellung. Privacy by Design und Privacy by Default kommen noch viel zu selten in der Praxis an. Unternehmen sollten sich in jedem datengetriebenen Projekt Gedanken machen, wie man von vornherein Daten bestmöglich schützt oder sogar „datensparsam“ arbeitet. Pseudonyme statt echten Namen, automatische Löschung von Geodaten aus einer Fotoapp, Analyse-Funktionen sind standardmäßig deaktiviert, die Löschung meiner Kundendaten als Self Service, zugängliche Datenexport Funktionen, Warnungen der Nutzer bei Eingabe sensibler Daten usw.“

Es gibt noch genügend Gründer, Unternehmen oder Einzelpersonen, die sich noch nicht mit dem Thema befasst haben. Deswegen haben wir in den nächsten Abschnitten die wichtigsten 10 Fakten für Sie, möglichst kurz zusammengefasst und die wichtigsten Fragen unseres DSGVO-Interviews vor 2 Jahren für Sie beantwortet . Dabei beziehen wir uns auf die für uns wichtigsten Punkte, was nicht bedeutet, dass es nicht noch deutlich mehr wichtige Aspekte gibt.

1. Was ist die DSGVO und für wen gilt sie?

Die Datenschutz Grundverordnung (kurz: DSGVO) ist ein Gesetzesrahmen von der Europäischen Union, der die Verarbeitung von personenbezogenen Daten vereinheitlichen soll und setzt sich für Grundrechte natürlicher Personen und insbesondere den Schutz von personenbezogenen Daten ein. Die Verordnung gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern erheben oder nutzen bzw. verarbeiten.

2. Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen bzw. Datensätze, die eine natürliche Person identifiziert, wie

  • Name,
  • Adresse,
  • E-Mail-Adresse,
  • Kontodaten,
  • Cookies,
  • IP-Adressen, etc.
Diese können in bestimmte Kategorien eingeteilt werden, wie beispielsweise politische Meinungen, Gesundheitsdaten biometrische Daten oder Daten über rassische oder ethnische Herkunft.

3. Wann dürfen personenbezogene Daten verarbeitet werden? (Art. 6-23 DSGVO)

Personenbezogene Daten dürfen nur verarbeitet, wenn folgende Grundsätze befolgt werden:

Rechtmäßigkeit:

Es dürfen grundsätzlich nur dann Daten verarbeitet werden, wenn eine Rechtsgrundlage vorhanden ist. Eine Rechtsgrundlage stellt z.B. ein Vertrag dar, eine Einwilligung oder auch ein anderes Gesetze (z.B. HGB, AO, TMG).

Datensparsamkeit:

Es dürfen nur so viele Daten verarbeitet werden, wie tatsächlich für einen bestimmten Zweck benötigt werden.

Zweckbindung:

Es dürfen nur Daten für jene Zwecke genutzt werden, für die sie ursprünglich vorgesehen waren.

Datenrichtigkeit:

Daten müssen vollständig, aktuell und richtig sein.

Datensicherheit:

Datenverarbeiter müssen ein angemessenes Schutzniveau mit geeigneten technischen und organisatorischen Maßnahmen gewährleisten. Das Schutzniveau ist abhängig von der Schutzbedürftigkeit der Daten – handelt es sich um besonders sensible Daten, müssen höhere Datensicherheitsmaßnahmen eingesetzt werden, wie beispielsweise eine zusätzliche Verschlüsselung.

Recht auf Vergessen werden:

Datenverarbeiter sind verpflichtet, entsprechende personenbezogene Daten zu löschen oder zu sperren, sofern keine Berechtigung mehr vorliegt. Eine Berechtigung liegt beispielsweise nicht mehr vor, wenn:

  • Der Zweck für die Datenverarbeitung nicht mehr gegeben ist
  • Die Einwilligung des Betroffenen widerrufen wurde
  • Die Daten unrechtmäßig verarbeitet wurden

Recht auf Datenübertragbarkeit:

Der Datenverarbeiter ist dazu verpflichtet, auf Verlangen des Betroffenen ihn beim Anbieterwechsel zu unterstützen und die Daten in einem gängigen Format bereitzustellen.

Rechenschaftspflicht:

Die Datenverarbeiter müssen auf Anforderung nachweisen können, dass ein entsprechendes Datenschutzmanagement im Unternehmen geführt wird und die Datenschutzprinzipien eingehalten werden.

„Mein Geheimtipp wäre, den Datenschutz als integralen Bestandteil des Kundenservice zu begreifen, da die Kunden immer größeren Wert darauflegen. Dafür müssen die Datenschutzprozesse gut vorbereitet und standardisiert sein. Gerade Behörden werden oft eingeschaltet, wenn es bei den Antworten auf sogenannte Auskunftsanfragen hakt oder diese gar nicht erfolgen.“ – rät Frank Trautwein von Fresh Compliance.

4. Pflichten für Unternehmer (Kapitel 4 DSGVO)

Zu allererst muss ein oder mehrere Verantwortliche für die Umsetzung der DSGVO im Unternehmen festgelegt werden – das kann ein Datenschutzbeauftragter sein, muss aber nicht. Mitarbeiter müssen für das Thema sensibilisiert werden und Datenverarbeitungsprozesse mit Arbeitsanweisungen kommuniziert und dokumentiert werden. Hierzu muss unter anderem ein sogenanntes Verarbeitungsverzeichnis erstellt werden. Für die Kunden, Partner, Lieferanten – kurzgefasst „Auftragsverarbeiter“ muss ein Auftragsverarbeitungsvertrag geschlossen werden.

Diese Pflichten werden in den nächsten 5 Punkten näher erläutert.

5. Wer darf Datenschutzbeauftragter sein? (Art. 37 – 39 DSGVO)

Ein Datenschutzbeauftragter kann ein interner Mitarbeiter sein, der weisungsfrei arbeitet. Allerdings kann auch ein externer Datenschutzbeauftragte gerufen werden. Im folgenden Video verrät euch Philipp Heindorff, wann es erforderlich ist, einen Datenschutzbeauftragten zu bestellen.

6. Was ist der Auftragsverarbeiter? (Art. 28 DSGVO)

Der Auftragsverarbeiter ist ein Unternehmen oder Organisation, das für die Datenverarbeitung des Auftraggebers verantwortlich ist. Dazu zählen beispielsweise Cloud Lösungen, Website-Hosting, E-mail-Marketing-Anbieter oder sonstige IT-Systeme, die personenbezogene Daten verarbeiten. Wenn Sie personenbezogene Daten bei luckycloud speichern, dann sind Sie als „Auftraggeber“ und luckycloud, als Auftragsverarbeiter dazu verpflichtet einen AV-Vertrag abzuschließen.

7. Was ist ein Auftragsverarbeitungsvertrag und wer muss diesen abschließen?

Es muss mit jedem Auftragsverarbeiter ein Auftragsverarbeitungsvertrag (kurz: AV-Vertrag oder AVV) geschlossen werden. Privatkunden, die ihre Daten nicht in einem geschäftlichen Zweck verarbeiten, müssen keinen AV-Vertrag abschließen.

„Es sollte spätestens jetzt jedem datengetriebenen Unternehmen klar sein, dass man Auftragsverarbeitungsverträge abschließen muss. Was mittlerweile für viele Firmen selbstverständlich ist, löst bei anderen noch Rückfragen aus. Falls noch nicht geschehen, also unbedingt die einschlägigen datenverarbeitenden Dienstleister nach einem „AVV“ fragen (Englisch: DPA = Data Processing Agreement).“ – empfiehlt Frank Trautwein.

Teil des AV-Vertrags sind die sogenannten “TOM" und ein Subunternehmerverzeichnis, das den Namen, Standort und Zweck der Verarbeitung des Subunternehmers auflistet. Subunternehmer unterstützen den Auftragsverarbeiter bei der Auftragsverarbeitung.

Diese Liste finde ich immer besonders interessant, wenn wir auf der Suche nach neuen Anwendungen sind. Schon mehrmals habe ich die Erfahrung gemacht, dass mit höchstem Datenschutzmaßnahmen und „100% Made in Germany“ geworben wird, aber der Auftrag dann an weniger datenschutzfreundliche Unternehmen weitergegeben wird.

8. Wer oder was ist TOM? (Art. 32 DSGVO)

TOM ist die Abkürzung für technische und organisatorische Maßnahmen. Eine gute Erklärung dafür hat uns Frank Trautwein in unserem Interview gegeben: „TOM ist der kleine Bruder der IT- und Informationssicherheit“.

Hier wird dokumentiert, welche Maßnahmen der Auftragsverarbeiter zur Sicherung der Datensicherheit und des Datenschutzes einsetzt. Folgende Punkte muss die Dokumentation unter anderem umfassen:

  • Pseudonymisierung
  • Verschlüsselung
  • Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme
  • Maßnahmen zur Wiederherstellung von Daten
  • Maßnahmen, die zur regelmäßigen Überprüfung, Bewertung und Evaluierung der TOMs verwendet werden

9. Was ist ein Verarbeitungsverzeichnis? (Art. 30 DSGVO)

Ein Verarbeitungsverzeichnis ist eine Dokumentation der Prozesse, in denen Daten verarbeitet werden. Das Verzeichnis muss in folgende Punkte gegliedert werden:

  • Name und Kontaktdaten des Verantwortlichen
  • Name und Kontaktdaten des Datenschutzbeauftragten
  • Kategorie der Datenverarbeitung (z.B. Cloud-Services, Aktenvernichtung, Archivierung, etc.)
  • Zwecke der Datenverarbeitung
  • Kategorien der betroffenen Personen
  • Kategorien personenbezogener Daten
  • Kategorien von Empfängern
  • Übermittlungen von Daten an Drittländern oder eine internationale Organisation
  • Fristen für die Löschung
  • Beschreibung der technischen und organisatorischen Maßnahmen

10.Wie arbeite ich DSGVO-konform in der Cloud? - Checkliste

Prinzipiell sind die meisten Cloud Anbieter DSGVO-konform. Allerdings hat jeder eine andere Vorstellung und Anforderung an den Datenschutz. Mit der DSGVO erhalten Sie mehr Transparenz und können selbst Entscheidungen treffen, wo und wie Ihre Daten verarbeitet werden.

Grundsätzlich müssen Sie erst einmal einen Anbieter finden, der Ihren Anforderungen genügt. Hier eine Checkliste, worauf Sie achten sollten:

  • Standorte des Auftragsverarbeiters in Europa, besser noch, in Deutschland
  • Verschlüsselungsarten, wie Transport-Verschlüsselung, clientseitige Ende-zu-Ende Verschlüsselung, serverseitige Verschlüsselung, Verschlüsselung von Benutzerpasswörtern
  • Authentifizierungsmöglichkeiten: 2 Faktor Authentifizierung, Authentifizierung über LDAP
  • Einsatz von Open Source Software
  • Einstellung von Wiederherstellungszeiträumen
  • Subunternehmer Verzeichnis
  • Backup-Konzept
  • Verfügbarkeiten
  • Arbeiten nach dem Zero-Knowledge-Prinzip
Haben Sie Ihre Wahl getroffen, dann müssen Sie einen AV-Vertrag abschließen und den Anbieter in Ihre „DSGVO-Unterlagen“ und Datenverarbeitungsprozesse aufnehmen.

An dieser Stelle möchte ich ergänzen, dass die Einhaltung der DSGVO kein Garant für hohe Datensicherheit ist, sondern vielmehr das Mindestmaß an Datenschutz festlegt, dass gewährleistet sein muss. Darüber hinaus steht es jedem Unternehmen frei zu entscheiden, wie hoch sie den Datenschutz und die Datensicherheit gestalten möchten. Und das gleiche gilt für Sie als Auftraggeber: Wenn Sie hohe Anforderungen haben, dann sollten Sie bei der Auswahl unbedingt die einzelnen Punkte in der Checkliste beachten.

Fakt ist, die DSGVO ist keine Richtlinie, sondern eine Verordnung, an die sich alle halten müssen, die Daten von europäischen Bürgern verarbeiten.

--
Autor: Nicole Smuga

Quellen:
Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)

Das könnte dich auch interessieren