Cloud-Nutzer: Dunkle Wolken am IT-Himmel?

5 Regelungen, die Unternehmen bei der DSGVO unbedingt beachten sollten –TEIL 2

Ab Mai 2018 gelten mit der neuen Datenschutz-Grundverordnung (DSGVO) ausnahmslos frisch gebackene Gesetze für die IT-Welt. Durch die Aktualisierung im Datenschutz wächst trotz steigender Cloud-Nutzung die Unsicherheit bei IT-Entscheidern. Viele Unternehmen malen „schwarze Wolken“ am Himmel: Bleibt der Datenschutz garantiert und die Sicherheit bestehen? Hier kommen weitere 5 Änderungen, die Unternehmen unbedingt beachten sollten.

    1. „Privacy by Design“ & „by Default“ mit  Verpflichtungsqualität
      Mit der Verordnung „Privacy by Design“, wird in Artikel 25 der DSGVO – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen – sichergestellt, dass die Verarbeitung personenbezogener Daten bereits bei der Implementierung von Technik proaktiv eingehalten wird, um die Privatsphäre der Anwender zu schützen. Für den Hersteller bedeutet dies in Bezug auf die vertragliche Leistungspflicht, dass die Produkte so zur Verfügung gestellt werden müssen, dass datenschutzfreundliche Einstellungen bereits eingepflegt und nachvollziehbar dokumentiert sind. Als ein Prinzip von „Privacy by Design“ muss der Datenschutz in das Design eingebettet werden und somit als Standarteinstellung verfügbar sein („Privacy by Default“).
  1. Das Risiko bewerten: Die Datenschutz-Folgenabschätzung (DSFA)
    In der neuen DSGVO wird die generelle Meldepflicht, die im BDSG (Paragraf 4d Abs. 5) für Unternehmen vorgesehen ist, die „besondere Daten“ verarbeiten, durch die Durchführung der DSFA ersetzt. Datenverarbeitende Unternehmen sollten sich informieren, ob mit der Verarbeitung ihrer Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen besteht, denn dann ist eine DSFA abzugeben. Die Verwendung und die Art neuer Technologien, hohe Datenmengen und die Umstände und der Zweck der Verarbeitung sind dabei ins Visier zu nehmen.
  1. Die Protokollierung persönlicher Daten gewinnt einen hohen Stellenwert
    Es macht Sinn, ein kontinuierliches Datenmanagement zu betreiben und die Maßnahmen in Bezug auf die Sicherheit der zu verarbeitenden Daten regelmäßig zu überprüft und zu evaluieren. Wichtig ist: Die  Protokolle persönlicher Daten sollten über den Zeitpunkt einer Tätigkeit, beziehungsweise eines Ereignisses, die mit der Tätigkeit oder dem Ereignis befasste Person, bzw. Systemkomponente und den Zweck der Tätigkeit, informieren.
    Alles sollte genau durchdacht werden, denn diese Punkte dürfen nicht nachträglich verändert werden und können nur Berechtigten zugänglich gemacht werden. Auf Aufforderung müssen der Verantwortliche und der Auftragsverarbeiter in der Lage sein, die Protokolle einem oder einer Bundesbeauftragten zur Verfügung zu stellen.
  1. Das Recht auf „Vergessenwerden“ im Netz
    In der neuen DSGVO wird eindrücklich betont, dass Einzelpersonen ein Recht darauf haben, dass Ihre persönlichen Daten und Aufzeichnungen im Netz gelöscht werden. Der Verantwortliche verpflichtet sich deshalb angemessene Maßnahmen zu treffen. Das bedeutet, dass alle Links zu den personenbezogenen Daten und Kopien oder Replikationen der personenbezogenen Daten gelöscht werden müssen. Falls dabei noch Fragen auftauchen, sollte Artikel 12, Absatz 1 der DSGVO nicht übersehen werden, denn der legt fest, dass der Verantwortliche die betroffene Person gemäß Informationspflicht bei Erhebung von personenbezogenen Daten und Auskunftsrecht der betroffenen Person, unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrages, zu informieren hat.
  1. Reagieren ist zwingend erforderlich: Verstöße binnen 72 Stunden melden!
    Die neue DSGVO verdeutlicht, dass schnelles Reagieren immer ein Pluspunkt ist. So haben die Verantwortlichen bei den Verletzungen des Schutzes personenbezogener Daten darauf zu achten, dass die zuständige Aufsichtsbehörde innerhalb von 72 Stunden eine Meldung hierüber bekommt. Meldepflicht besteht bei rechtswidriger Zerstörung, Veränderung, Verlust, versehentlicher Verletzung von Daten sowie bei Zugriff durch unbefugte Dritte auf Daten.  Auch hier kann es richtig teuer werden, denn bei einem Verstoß gegen die Meldepflicht, oder bei einer Meldung an die falsche Aufsichtsbehörde bei grenzüberschreitender Verarbeitung personenbezogener Daten, können erhöhte Bußgelder anfallen.

Bildnachweise für diesen Beitrag:

© elxeneize – elements.envato.com
© twenty20photos – elements.envato.com

Teilen