Der Digitale Wandel und der Datenschutz (dsgvo)

Allgemeines

Ab dem 25.05.2018 wird die Datenschutzgrundverordnung (DSGVO) anwendbares recht. Diese neue Verordnung, die in Deutschland direkt Gültigkeit erlangt, hält einige, teilweise recht strikte, Änderungen für den Datenschutzalltag bereit. Aber hat dies Einfluss, und wenn ja, welchen, auf den Digitalen Wandel?

Das Thema Datenschutz, also der Schutz personenbezogener Daten, ist in Europa, und auch in Deutschland, ein hohes Gut und wird zurecht sehr weit oben angesiedelt. Unter personenbezogenen Daten versteht man Daten, die direkt einer natürlichen Person zuordenbar sind, und die es prinzipiell zu schützen gilt. Darunter fallen so “selbstverständliche” Dinge wie Name, Geburtstagsdatum, Religionszugehörigkeit, aber auch IP-Adresse, Beurteilungen, Zeugnisse, uvm. Die Anforderungen an den Datenschutz in den Unternehmen sind recht hoch- das war bisher schon so- und ist mit der DSGVO noch gestiegen.

Hat der Datenschutz einen (negativen) Impact auf den digitalen Wandel? Oder wird er sich vielleicht sogar positiv aus?

Effekte des Datenschutzes

Für die Privatperson scheint es nur positive Effekte zu geben. Sie hat mehr Kontrolle darüber, was große Konzerne mit den Daten anfangen- und vor allem mit welchen. Allen voran kann man hier sicher die “üblichen” großen Unternehmen wie Facebook, Amazon, Google, etc. nennen. Außerdem hat sie massive Auskunftsrechte, über die sie von den Konzernen recht detailliert erfahren kann, wer welche personenbezogene Daten für welchen Zweck verwendet, inkl. der Info bezüglich möglicher Weitergaben der Daten an Dritte.

Ein weiterer positiver Effekt des Datenschutz sind die Prinzipien “privacy by default” und “privacy by design”, über die z. B. geregelt ist, wie ein Webformular zukünftig auszusehen hat.

Aber was bedeutet das für die Unternehmen?

Jedes Unternehmen mit mehr als 10 personenbezogene-Daten-verarbeitende Personen muss einen Datenschutzbeauftragten bestellen. Dieser ist zuständig für

  1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten
  2. Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  3. Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz- Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
  4. Zusammenarbeit mit der Aufsichtsbehörde;
  5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Quelle: https://www.datenschutz-grundverordnung.eu/grundverordnung/art-39-ds-gvo/ 

Aufwand für die Umsetzung der DSGVO

Was sich hier recht einfach anhört, entpuppt sich in der täglichen Arbeit als recht aufwändiges Unterfangen. Zuallererst müssen die Prozesse, die in den einzelnen Abteilungen mit personenbezogenen Daten umgehen, identifiziert und notiert werden. Hier wird häufig mittels Fragebogen direkt bei diesen Abteilungen notiert, was genau wie verarbeitet wird. Anschließend werden diese Erkenntnisse in ein “Verzeichnis von Verarbeitungstätigkeiten” übernommen. In diesem Dokument wird dann eine grobe Risikoanalyse durchgeführt, die, unter bestimmten Bedingungen, in einer Datenschutzfolgeabschätzung mündet.

Parallel hierzu gilt es, ein Dokument mit den “Technisch- und organisatorischen Maßnahmen” (TOMs) zu erstellen. In diesem Dokument werden die im Unternehmen getroffenen Maßnahmen, um den Datenschutz sicherzustellen, notiert. Diese Maßnahmen haben direkten Bezug zum Art. 32 der DSGVO:

  1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Quelle: https://dsgvo-gesetz.de/art-32-dsgvo/ 

Im TOM-Dokument sind die Maßnahmen zu beschreiben, um diese Punkte entsprechend abzudecken. Man könnte auch sagen: Was tut das Unternehmen dazu, um diese Punkte einzuhalten. Und das unter Berücksichtigung von

“Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen(…)”.

Stand der Technik

Interessantester Punkt, und gleichzeitig der Punkt, über den man u. U. am meisten diskutieren kann ist der “Stand der Technik”.  Der “Stand der Technik” ist nicht näher definiert, man ist hier auf Kommentare und ggf. auf Auslegungen angewiesen. Allgemeine Meinung ist aktuell, dass “Stand der Technik” durch eine Mischung aus “bewährten Techniken” und “innovativen Techniken” definiert ist. Es muss keine neueste Technik sein, also nicht unbedingt die neueste Entwicklung. Hier spielen weitere Kriterien mit, wie z. B. das mögliche Risiko, Menge der Daten, etc.

Darüberhinaus müssen natürlich mit Kunden, Lieferanten, Distributoren, Cloud-Anbieter, Dienstleister, etc. Auftragsverarbeitungsverträge abgeschlossen werden, die Mitarbeiter (regelmäßig) geschult werden, die TOMs turnusmäßig auf Wirksamkeit geprüft und dem aktuellen “Stand der Technik” angepasst werden, und noch einige Punkte mehr.

Was aber hat das alles mit dem digitalen Wandeln in Unternehmen zu tun? Ganz einfach. In großen Mittelständischen Unternehmen, ebenso wie in Großunternehmen, sollte der digitale Wandel und das Thema Datenschutz zu keinem (personellen oder finanziellem) Ressourcenproblem führen. Was aber ist mit den typischen KMUs (z. B. bis 500 Mitarbeiter) – den Unternehmen, die genau die digitale Transformation dringend nötig haben (natürlich kann man das nicht generalisieren)? Bremst es diese Unternehmen nicht in ihrem daily Business aus? Handeln diese sich damit nicht einen Wettbewerbsnachteil ein?

Fazit

Bei genauer (und langer) Überlegung und aus der eigenen Erfahrung würde ich mittlerweile eher sagen: nein. Natürlich gibt es einen initialen Aufwand, in dem der Datenschutzbeauftragte massiv gefordert ist, ebenso, wie die einzelnen Abteilungen und die IT-Abteiltung. Nach einem initialen Aufwand bleibt das Thema als Rauschen weiterhin am laufen. Allerdings gibt es Synergien, die, aus meiner Sicht, diese Nachteile wieder wett machen. Die immer wieder gehörte Meinung zum Thema Datenschutz ist, dass sich die Unternehmen möglichst an einen gültigen Standard halten sollten, dies erleichtert die Umsetzung ungemein. Und genau das ist der Vorteil, aus dem das Unternehmen auch langfristig profitieren kann: Die Ausrichtung der IT an Standards, wie z. B. ISO27001 oder dem BSI Grundschutzkatalog – mit dem langfristigen Ergebnis einer stabileren, audit-sicheren und auch rechtlich wesentlich besser aufgestellten IT.

Das Unternehmen muss sich nicht mehr jede einzelne Maßnahme oder jedes einzelne mögliche Risiko selbst überlegen, sonder profitiert von einem allgemein bekannten und in der Breite anerkannten Standard. Und hier sind wir wieder beim digitalen Wandel: Dieser bedeutet eben auch, nicht alles neu zu erfinden, sondern sich auch an Standards zu halten und über diese dann qualitativ nach oben zu skalieren.

 

Anderer Meinung? Lassen Sie es mich wissen!

Das könnte Dich auch interessieren …

4 Antworten

  1. 12. März 2018

    […] ist das aktuell wieder so interessant? Weil immer mehr Kommentare und Anmerkungen zur neuen DSGVO (Datenschutzgrundverordnung) auf die Verwendung von Standards hinweisen. Speziell wenn es zum […]

  2. 14. März 2018

    […] ein sehr wichtiger Punkt dar. Dahinter liegen gesetzliche Regelungen, speziell die Einführung der DSGVO (Datenschutzgrundverordnung) hat hier einige Punkt die beachtet werden MÜSSEN- und die eigentlich […]

  3. 5. April 2018

    […] Datenschutz ist wichtig. Privacy ist wichtig. In der aktuellen Diskussion geht es um den Datenschutz von DNS. DNS, das Domain Name System, ist dafür zuständig, die Namen (z. B. http://www.heise.de) in eine computerlesbare IP umzuwandeln, damit die Rechner miteinander sprechen können. Soweit – so klar. Was hat das mit Datenschutz zu tun? Ganz einfach: Weil die öffentliche IP-Adresse vom Gericht als “personenbezogene Daten” definiert wird, wir das Thema datenschutzrelevant, sobald der DNS-Server die Anfragen auch speichert. Auf diesem Weg ist z. B. ein Profiling möglich, wer auf welchen Seiten wann gesurft hat: […]

  4. 11. Mai 2018

    […] ein Gros der Deutschen Unternehmen kam die neue Datenschutzgrundverordnung (DSGVO) ja völlig überraschend. Obwohl schon seit 2016 in Kraft, ist sie erst ab 25.05.2018 anwendbar. Und wirklich Beachtung […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

* Die Checkbox für die Zustimmung zur Speicherung ist nach DSGVO zwingend.

Ich akzeptiere