Sie finden unsere Artikel spannend?
Dann melden Sie sich zu unserem Newsletter an und erhalten Neuigkeiten direkt in Ihre Inbox.
2 Jahre klingt nach einer langen Zeit – doch für viele Unternehmen ist die Frist zur Umsetzung der Datenschutz-Grundverordnung zu kurz: Ende 2017 hatte sich laut Umfrage des Digitalverbands bitkom ein Fünftel der Unternehmen noch nicht mit der Verordnung beschäftigt. Erste Maßnahmen hatten bis dato erst 13 % der Unternehmen umgesetzt. Wagemutige 13 % gaben an, sich nicht mit den Datenschutzregelungen beschäftigen zu wollen – trotz der hohen Sanktionen, die bei Verstößen drohen. Was die Umsetzung so schwierig macht?
Hinzu kommt, dass im Internet allerlei „alternative Fakten“ zum Thema kursieren, zum Beispiel, dass die DSGVO erst am 25. Mai 2018 in Kraft tritt (sie ist schon längst in Kraft getreten, derzeit gilt zweijährige Übergangsfrist) oder, dass jedes Unternehmen künftig einen Datenschutzbeauftragten stellen muss (ein Datenschutzbeauftragter ist nur unter bestimmten Voraussetzungen erforderlich: Artikel 37 DSGVO). Um etwas handfester zu werden haben wir 5 Praxistipps für den Schutz personenbezogener Daten im Alltag formuliert.
Personen, deren personenbezogene Daten verarbeitet werden, haben ein Auskunftsrecht (Art. 15 DSGVO): Sie können beim Datenverarbeiter nachfragen, ob dieser ihre Daten verarbeitet (erfasst, erhebt, speichert, einsieht, verändert…). Wenn eine Verarbeitung stattfindet, muss der Verantwortliche über Folgendes Auskunft geben können:
Der Datenverarbeiter sollte zeitnah eine Kopie der personenbezogenen Daten bereitstellen können und dabei auf Vollständigkeit und Korrektheit der Daten achten. Die Kopie kann in Schriftform an die hinterlegte Kontaktadresse geschickt werden. Eine Kopie des Schreibens sollte zu Dokumentationszwecken im Archiv abgelegt werden. Da die Daten nicht unbefugten Dritten zur Verfügung gestellt werden dürfen, sollte die Identität des Anfragers überprüft werden. Bei begründeten Zweifel an der Identität der Person, kann er zusätzliche Informationen zur Bestätigung der Identität fordern (Art.12 Abs. 6 DSGVO). Stellt die Person eine Kopie ihres Personalausweises zur Verfügung, sollte sie darauf hingewiesen werden, dass Daten, die für die Identifizierung nicht notwendig sind (z. B. Augenfarbe, Größe), geschwärzt werden können.
Personenbezogene Daten sind nach Art. 5 Abs.1 Buchstabe e nur solange zu speichern, „wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“. Sobald der Verarbeitungszweck erfüllt ist und die gesetzliche oder vertragliche Aufbewahrungsfrist erlischt, sind die Daten zu löschen. Datenverarbeiter sollten festhalten, für welche Zwecke sie die Daten verarbeiten und wann die Frist abläuft.
Datenverarbeiter müssen ein Verzeichnis der Verarbeitungstätigkeiten führen (Art. 30 Abs. 1 DSGVO).
Unbefugte Dritte dürfen nicht auf personenbezogene Daten zugreifen können. Ein Schutz vor unbefugten Zugriffen bietet die Verschlüsselung von Daten. Durch eine angemessene Verschlüsselung werden Daten auf dem eigenen PC für unbefugte Mitbenutzer oder Personen, die sich unerlaubt Zugriff verschaffen wollen, unlesbar gemacht. Eine Möglichkeit der Dateiverschlüsselung besteht darin, Office-Dokumente mit einem Passwort zu versehen und sensible Informationen zu schwärzen. Nutzer sollten darauf achten, dass auch in den Dokumenteigenschaften entsprechende Daten enthalten sein können. Zur Dateiverschlüsselung gibt es verschiedene Verschlüsselungsprogramme. Um E-Mails besser auf dem Transportweg zu schützen, können Nutzer die Transportverschlüsselung aktivieren (TSL/SSL): Dabei wird die Verbindung zwischen den Servern während der Übertragung verschlüsselt. Bei einer Ende-zu-Ende-Verschlüsselung (z. B. PGP oder S/MIME) werden auch die Inhalte der E-Mail verschlüsselt. Sender und Empfänger der E-Mail müssen beide am Verschlüsselungsverfahren teilnehmen.
Greifen externe Dienstleister (z. B. PC-Techniker) auf den PC zu, besteht das Risiko, dass sie unbefugt Zugriff zu Daten erhalten. Unternehmen haben die Möglichkeit, eine Verpflichtungserklärung aufzusetzen, in der der Dienstleister erklärt, sich auf Einhaltung des Schutzes personenbezogener Daten zu verpflichten und die Grundsätze nach Art. 5 DSGVO einzuhalten. Muster für einen Vertrag zur Auftragsdatenverarbeitung findet man z. B im Internet. Konkrete Informationen über die EU-Datenschutzverordnung 2018 und ihre Auswirkung für Personaldienstleister bietet unser Seminar „Update EU-Datenschutz-Grundverordnung in der Zeitarbeit“.
Fazit
Seit dem 25. Mai 2018 müssen geschäftsmäßige Verarbeiter personenbezogener Daten die Datenschutzgrundverordnung der Europäischen Union einhalten können. Zur gleichen Zeit tritt das neue Bundesdatenschutzgesetz (BDSG (neu)) in Kraft und löst das BDSG (alt) ab. Für die Praxis bedeutet das u. a., dass Datenverarbeiter das Auskunftsrecht Betroffener erfüllen und Daten vor unbefugtem Zugriff Dritter (z. B. durch Verschlüsselungsverfahren) schützen müssen. Die Verarbeitungsprozesse sind zu dokumentieren.
Diesen Beitrag teilen
Weitere Beiträge