Diese f�nf Stolpersteine lauern bei der Umsetzung der DSGVO

Bild: NTT Ltd.

20.04.2021 - Die Umsetzung der EU-Datenschutzgrundverordnung birgt viele Fallstricke. Das Telekommunikationsunternehmen NTT hat die f�nf gr��ten ermittelt.

von Val�rie F�licit� II Wagner-Amougou

Folgende Stolpersteine hat NTT Ltd. bei der Umsetzung der DSGVO identifiziert:

1. IT-Leiter als Datenschutzbeauftragter

Der betriebliche Datenschutzbeauftragte k�mmert sich um den Schutz personenbezogener Daten im Unternehmen. In kleinen und mittelst�ndischen Betrieben ist es h�ufig so, dass er seinen bisherigen Aufgaben weiterhin nachgeht. Hieraus kann sich ein Interessenkonflikt mit der bestehenden T�tigkeit ergeben. Gerade die Ernennung des IT-Leiters zum Datenschutzbeauftragten l�sst aus Sicht der zust�ndigen Landes�mter f�r Datenschutzaufsicht Zweifel an der Neutralit�t aufkommen. Immerhin ist es die zentrale Aufgabe des Datenschutzbeauftragten, die Einhaltung der DSGVO-Bestimmungen zu �berwachen, und das beinhaltet explizit die "Sicherheit der Verarbeitung" durch geeignete technische und organisatorische Ma�nahmen seitens der IT-Abteilung. In der Konsequenz m�sste er sich also selber �berwachen. Ein anderer Stolperstein sind fehlende Kenntnisse in puncto Daten-Compliance. Das umfasst die unterschiedlichen Datenklassen, die Einf�hrung einer praktikablen Datenklassifizierung und die Festlegung der Rechtsgrundlage f�r die Datenverarbeitung, eine saubere Trennung zwischen Gesch�ftsdaten und personenbezogen Daten sowie die Privacy-Shield-Problematik bei der Cloud-Nutzung.

2. Probleme bei der technischen und organisatorischen Umsetzung

Zu den zentralen Elementen der DSGVO geh�ren die Betroffenenrechte, darunter das Auskunftsrecht. Jede Person darf umfassend Auskunft �ber sie betreffende personenbezogene Daten sowie weitere Informationen verlangen. Dies schlie�t unter anderem die Verarbeitungszwecke, die Empf�nger der Daten und die geplante Dauer der Speicherung ein. Die Auskunft muss in verst�ndlicher Form, pr�zise und transparent erfolgen sowie ein g�ngiges Datenformat haben. Voraussetzung f�r eine schnelle Antwort auf eine Betroffenenanfrage ist die Erstellung eines gut strukturierten Datenschutzkonzeptes, die Implementierung eines Prozesses, der eine fristgerechte und korrekte Bearbeitung der Antr�ge gew�hrleistet, und Tools, die die Auskunft nahezu auf Knopfdruck erteilen. Ein �hnliches Vorgehen empfiehlt sich beim Recht auf Vergessenwerden: Durch einen klar definierten Prozess stellen Unternehmen sicher, dass Daten gel�scht werden, wenn eine Person die Einwilligung zur Verarbeitung zur�ckzieht.

3. Korrekte Erstellung und Abnahme von Vertr�gen

Die Verarbeitung von Daten im Auftrag kommt in nahezu jedem Unternehmen vor. Angefangen von der Nutzung eines externen Rechenzentrums �ber As-a-Service-Modelle bis hin zu Cloud Computing. In allen F�llen liegt in der Regel eine sogenannte Auftragsverarbeitung (AV) vor, f�r die Unternehmen im Rahmen der DSGVO besondere Ma�nahmen treffen m�ssen. Pflicht ist ein entsprechender AV-Vertrag, dessen Inhalt �berwiegend vorgegeben ist. Fehlt er, sieht die DSGVO bei Verletzungen der Datenschutzbestimmungen eine gemeinsame Haftung von Auftraggeber und Auftragnehmer vor.

4. Design und Implementierung von TOMs

Technische und organisatorische Ma�nahmen (TOM) umfassen alle in der Praxis getroffenen Vorkehrungen zur Gew�hrleistung der Sicherheit personenbezogener Daten. Neben dem Datenschutz, der die rechtlichen Voraussetzungen f�r die Erhebung und Verarbeitung personenbezogener Daten regelt, kommt hier das Thema Datensicherheit ins Spiel. Darunter fallen technische Vorkehrungen wie die Verwendung einer Firewall, die Protokollierung des Zugriffs auf Datenbanken oder die Verschl�sselung bei der Daten�bertragung, aber auch organisatorische Ma�nahmen wie Mitarbeiterschulungen und die Vereinbarung zur Geheimhaltungspflicht. Die Implementierung angemessener TOMs stellt eine gesetzliche Anforderung dar und ist dokumentationspflichtig. Bei der Auswahl angemessener Schutzma�nahmen bildet eine Risikoanalyse die Grundlage. Eine gro�e Rolle spielen "Privacy by design" und "Privacy by default". Die DSGVO verlangt, dass das Thema Datenschutz bereits bei der technischen Umsetzung beachtet wird und dass datenschutzfreundliche Voreinstellungen implementiert werden. Nicht vergessen werden darf beim Einsatz von neuer Technik oder einem neuen System f�r die Datenverarbeitung auch die Datenschutz-Folgeabsch�tzung. Mit ihr werden Risiken f�r betroffene Personen erkannt und bewertet.

5. Rechtliche Unklarheiten und fehlende Unterst�tzung

Erschwerend kommen f�r Unternehmen rechtliche Unklarheiten durch �nderungen seitens der Gesetzgebung und eine mangelnde Umsetzungshilfe durch die Aufsichtsbeh�rden hinzu. Andererseits gilt es f�r Unternehmen, die Meldepflicht bei Verst��en einzuhalten. Sicherheitsverst��e, etwa wenn ein Mitarbeiter versehentlich Daten ver�ffentlicht, ein Notebook abhandenkommt oder Hacker das Unternehmen angreifen, sind nicht gerade selten und m�ssen umgehend gemeldet werden. Bei der Entscheidung, in welchen F�llen eine Meldepflicht begr�ndet ist, sollten sich Firmen professionell beraten lassen.

Kommentar hinzuf�gen
Schreiben Sie Ihre Meinung, Erfahrung, Anregung mit oder zu diesem Thema. Ihr Beitrag erscheint dann an dieser Stelle.

Vortr�ge zum Thema:

Bild: Isabel Kick

Isabel Kick (synaigy GmbH)

Praxisbeispiele: Die strategische Transformation zur Data-Driven Company

Daten sind das R�ckgrat moderner Unternehmen - und deren kluge Nutzung entscheidet �ber Erfolg und Misserfolg. Isabel Kick, Head of Analytics bei synaigy GmbH, zeigt in Ihrem Vortrag was es f�r Unternehmen bedeutet, eine Data-Driven Company zu sein. Anhand von Praxisbeispielen erfolgreicher Unternehmen zeigt Sie Herausforderungen, Projektbeispiele, L�sungen.

Vortrag im Rahmen der Daten & KI 2024. K�nstliche Intelligenz, Datengest�tztes Marketing und Vertrieb am 14.05.24, 09:30 Uhr