Datensicherheit und technischer Datenschutz

Ivan Brankov - 07. Juni 2017 - EU-DSGVO

Die EU-DSGVO enthält, wie auch schon das BDSG, Regelungen zur Datensicherheit. Die Umsetzung der gesetzlichen Vorgaben in die betriebliche Praxis ist nicht nur wichtig für den Schutz der Rechte und Freiheiten betroffener Personen. Aus Unternehmensperspektive dient die datenschutzfreundliche Implementierung der Vorgaben auch der Minimierung von Schäden und Haftungsrisiken. Darüber hinaus ist die Gewährleistung von einem hohen Datenschutzniveau auch ein Vorteil im Wettbewerb und kann eine entscheidende Rolle für das Gewinnen des Vertrauens der Kunden sein. Nicht zuletzt bringt die EU-DSGVO auch Änderungen in Bezug auf Sanktionen bei Nichtbeachtung der Anforderungen zum technischen und organisatorischen Datenschutz. So sind in diesem Zusammenhang Bußgelder bis zu zehn Millionen Euro oder bis zu zwei Prozent des gesamten im vorangegangenen Jahr durch das Unternehmen weltweit erzielten Jahresumsatzes denkbar.

Die EU-DSGVO regelt die Datensicherheit primär in Art. 25 und Art. 32. 


I. Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen

Art. 25 EU-DSGVO enthält Vorgaben zum Datenschutz durch Technik (privacy by design) und zu datenschutzfreundlichen Voreinstellungen (privacy by default). Grundlage der Norm ist die Idee des System- bzw. Selbstdatenschutzes. Wenn Datenschutzgefahren und -verletzungen aufgrund technischer Mechanismen faktisch nicht möglich sind, müssen Datenverarbeitungstätigkeiten nicht rechtlich verboten oder überwacht  werden. 

Unter Datenschutz durch Technik ist ein Vorgehen zu verstehen, bei dem der Verantwortliche schon vor der Datenverarbeitung (aber auch während dieser) technische und organisatorische Maßnahmen festlegt, die einen angemessenen Schutz für die personenbezogenen Daten bieten und eine der Anforderungen der EU-DSGVO entsprechende Verarbeitung sicherstellen. Dabei hängt die Auswahl der Maßnahmen vom Stand der Technik, den Implementierungskosten, der Art, dem Umfang den Umständen und den Zwecken der Verarbeitung sowie von den mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten der betroffenen Personen ab. Welche Maßnahmen als angemessen gelten, hängt zudem von der Eintrittswahrscheinlichkeit einer Datenschutzverletzung ab und muss im Einzelfall unter Berücksichtigung der Verhältnismäßigkeit beurteilt werden.

Unter datenschutzfreundlichen Voreinstellungen ist die Verpflichtung des Verantwortlichen zu verstehen, geeignete Maßnahmen zu treffen, die sicherstellen, dass nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweilig bestimmten Verarbeitungszweck erforderlich ist. Dies betrifft die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung sowie ihre Speicherfrist und Zugänglichkeit. Ein Unternehmen muss also insbesondere über ein Datenschutzkonzept verfügen, dem unter anderem auch der Grundsatz der datenschutzfreundlichen Voreinstellungen zugrunde liegt. Des Weiteren muss ein umfangreiches Löschkonzept vorhanden sein, das alle unterschiedlichen Datensätze berücksichtigt und angemessene Fristen zur Löschung und Überprüfung der Anforderungen für die Speicherung personenbezogener Daten enthält.


II. Sicherheit der Datenverarbeitung 

Welche Maßnahmen grundsätzlich getroffen werden müssen, um eine aus technischer und organisatorischer Sicht sichere Datenverarbeitung zu gewährleisten, ist in Art. 32 EU-DSGVO geregelt. So müssen auch hier der Stand der Technik, die Implementierungskosten, die Art, Umfang und Umstände der Verarbeitung sowie ihr Zweck und die Schwere der Eintrittswahrscheinlichkeit der Risiken berücksichtigt werden. Dabei müssen die Maßnahmen unter anderem die Vertraulichkeit und Integrität der Daten, die Belastbarkeit und Verfügbarkeit der Datenverarbeitungssysteme, die Pseudonymisierung und Verschlüsselung personenbezogener Daten sicherstellen. In diesem Zusammenhang ist insbesondere auf die schon aus der BDSG bekannten technischen und organisatorischen Maßnahmen zu verweisen, deren Beachtung als Orientierungsmaßstab für die Einhaltung der Vorgaben der EU-DSGVO dienen kann. So sind die Unternehmen weiter daran gehalten, beispielsweise eine wirksame Zugriffs-, Zutritts-, Auftrags- und Weitergabekontrolle auszuüben. Selbstverständlich hängt die tatsächliche Auswahl von technischen und organisatorischen Maßnahmen vor allem von der konkreten Datenverarbeitung ab. 


III. Umsetzung in der betrieblichen Praxis 

Unsere Erfahrung zeigt, dass viele Unternehmen vor allem bei der Dokumentierung und Anpassung ihrer technischen und organisatorischen Maßnahmen an die neue Rechtslage erhebliche Schwierigkeiten haben. Die mangelhafte Umsetzung der Vorgaben der Art. 25 und 32 EU-DSGVO ist jedoch nicht nur mit einem erheblichen finanziellen Risiko aufgrund der Geldbußen verbunden. Eine ordnungsgemäße Zusammenstellung der technischen und organisatorischen Maßnahmen ist von essentieller Bedeutung bei dem Abschluss von Auftragsverarbeitungsverträgen. Nach Art. 28 Abs. 1 EU-DSGVO muss der Auftragsverarbeiter hinreichende Garantien dafür bieten, dass er geeignete technische und organisatorische Schutzmaßnahmen durchführt. Auf die erwähnten Maßnahmen muss auch bei der Erstellung eines Verarbeitungsverzeichnisses i.S.v. Art. 30 EU-DSGVO eingegangen werden. Die ordnungsmäßige Dokumentierung der Verarbeitungstätigkeiten aus technischer und organisatorischer Sicht trägt auch der Rechenschaftspflicht des Art. 5 Abs. 2 EU-DSGVO Rechnung. Ein umfassendes Löschkonzept, das auf den Grundsätzen des Datenschutzes durch Technik und der datenschutzrechtlichen Voreinstellungen aufbaut, stellt zugleich einen wichtigen Bestandteil des gesamten Datenschutzkonzepts des Unternehmens dar. 

Allein diese Beispiele zeigen, dass sich der zeitliche, finanzielle und organisatorische Aufwand einer ordnungsgemäßen Umsetzung der gesetzlichen Vorgaben der Art. 25 und 32 EU-DSGVO bei vielen anderen Vorgängen mit Datenschutzbezug bezahlbar macht.

In unserem nächsten Beitrag werden wir das Thema „Datenübermittlung an Dritte und ADV“ behandeln.


Über den Autor: 
Ivan Brankov berät umfassend Mandanten der Metall- und Elektroindustrie, Banken und Finanzdienstleister sowie IT- und TK-Unternehmen im Bereich des IT-Rechts und Digital Business. Ein besonderer Schwerpunkt seiner Tätigkeit liegt im Datenschutzrecht. Darüber hinaus verfügt er über Erfahrungen im Gewerblichen Rechtsschutz und im internationalen Privatrecht. Daneben vertritt er Mandanten in gerichtlichen Auseinandersetzungen.

Herr Brankov steht Ihnen für Fragen gerne persönlich zur Verfügung unter: Tel.: +49 69 63 00 01-0, E-Mail: i.brankov@skwschwarz.de, SKW Schwarz Rechtsanwälte, Mörfelder Landstraße 117, 60598 Frankfurt am Main


Praxisrelevante Tipps für Führungskräfte, Entscheider und Spezialisten

Archiv

2017 (20)
Dezember (1) November (1) Oktober (1) September (2) August (2) Juli (3) Juni (3) Mai (3) April (3) März (1)