Die 4-Säulen des EU-Datenschutzes

5 Tipps – Webseite und Datenschutz

2019-06-07

Wie KI unser Leben verändert

2019-08-12

EU-DSGVO schnell und einfach erklärt

Das neue EU-Datenschutzgesetz (EU-DSGVO), welches zum 25. Mai 2018 in Kraft getretten ist, richtet sich in erster Linie an alle Unternehmen innerhalb der EU, welche personenbezogene Daten verwalten und verarbeiten. Auch Unternehmen aus den nicht EU-Ländern müssen sich an diese Verordnung halten, sobald Sie mit personenbezogenen Daten aus der EU arbeiten. Doch auf was müssen jetzt Unternehmen achten? Wir haben die wichtigsten Punkte zu einem 4-Säulen-Modell zusammengefasst ohne allzu tief in die Jura-Tasche zu greifen.

Die 4 Säulen der EU-DSGVO

Das EU-Datenschutzgesetz stützt sich inhaltlich auf den 4 Säulen des Datenschutzes. Diese Säulen sind Recht, Transparenz, IT-Sicherheit und Kontrolle.

In diesen Säulen werden die wichtigsten Pflichten eines Unternehmens skizziert, denen es zur Erfüllung der EU-DSGVO nachkommen muss. Desweiteren kann anhand dieser vier Punkte ein grober (Fahr-)Plan erstellt werden, welcher zur IST-/SOLL-Analyse der bereits getroffenen bzw. noch erforderlichen Maßnahmen zur Umsetzung der EU-DSGVO im Unternehmen genutzt werden kann.

Recht

Im Bereich Recht ist zu klären, welchen Zweck die Verarbeitung von personenbezogenen Daten im Unternehmen erfüllt und welche Bindungen damit eingegangen werden. Für diese Daten muss zudem eine entsprechende Einwilligung von der betroffenen Person eingeholt werden. Dies kann z.B. über gesonderte Auftragsverarbeitungsvereinbarungen oder Verträge erfolgen.

Unternehmen müssen sich im Bezug der personenbezogenen Daten folgende wichtige Fragen stellen:

Welche wichtigen personenbezogenen Daten müssen für den eigenen Betrieb erhoben und verarbeitet werden?

Welchen Zweck erfüllen diese Daten für mein Unternehmen und sind Sie überhaupt relevant für einen erfolgreichen Geschäftsabschluss?

Für welche Dauer müssen diese Daten im Unternehmen gespeichert werden und wurden hierfür Einwilligungen eingeholt?

Transparenz

Im Bereich Transparenz geht es um das Betroffenheits- und Auskunftsrecht der einzelnen Personen. Hier ist festgelegt, dass die Betroffenen über ihre Daten Auskunft erhalten können. Diesen Forderungen müssen Unternehmen nachgehen und geeignete Maßnahmen schaffen um schnell und leicht Informationen auszulesen und bereitzustellen.

IT-Sicherheit

Zu der IT-Sicherheit zählt nicht nur die eingesetzte Hardware, sondern auch die (hoffentlich vorhandene) Software zur Sicherheitsgewährleistung. Ein einfacher Virenscanner reicht den hohen Anforderungen der IT-Sicherheit nicht mehr aus. Unternehmen müssen hier nicht nur den Angriff von außen (z.B. Hacking-Angriffe und Datenklau) sondern auch Anrgiffe von innen (z.B. Verlust eines USB-Sticks mit personenbezogenen Daten) entgegenhalten. Geeignete Maßnahmen können u.a. über eine eingesetzte Hardwarefirewall mit Zugriffsschutz, Verschlüsselungen von personenbezogenen Daten und Zugriffsregelungen durchgeführt werden. Moderne und aktuelle Systeme tragen nicht nur zur Gewährleistung des Datenschutzes, sondern auch zur eigenen Sicherheit bei.

Kontrolle

Unternehmen haben die Kontrollpflicht zur Einhaltung des Datenschutzes. Diese Pflicht kann an interne oder externe Datenschutzbeauftragte (Compliance) übergeben werden. Die Datenschutzbeauftragten müssen zu diesem Aufgabengebiet entsprechend sensibilisiert und weitergebildet werden. Zu dieser Pflicht gehört auch die Meldepflicht bei einer Verletzung des Datenschutzes. Diese muss nach bekanntwerden innerhalb von 72 Stunden an die jeweilige Aufsichtsbehörde gemeldet werden.

Unsere Tipps - Die schnelle Sofortmaßnahme

Welche geschäftskritischen Systeme sind im Unternehmen im Einsatz, in der personenbezogene Daten verarbeitet werden?

Welche Risiko- bzw. Angriffszenarien können sich daraus ergeben?

Welche Sicherheitsmaßnahmen können zur Verhinderung der möglichen Risiken durchgeführt werden?