Datenschutzkonforme Datenverarbeitung – Technische Umsetzung der Dokumentationspflichten

PrintMailRate-it

veröffentlicht am 7. Februar 2018

von Monika Völkel
 

​Ab dem 25. Mai 2018 ist die neue Datenschutz-Grundverordnung (DSGVO) umzusetzen. Sie bringt umfangreiche Änderungen des Datenschutzrechts zum Schutz personenbezogener Daten mit sich. Ziel ist es, u.a. das Datenschutzrecht an den technologischen Fortschritt anzupassen. Die Verantwortlichen müssen künftig die Einhaltung der Datenschutzvorgaben nachweisen. Sie sind verpflichtet, ihre Prozesse so einzurichten und zu dokumentieren, dass den Aufsichtsbehörden die datenschutzkonforme Datenverarbeitung nachgewiesen werden kann.
 

 
Nach Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO verantwortet die Unternehmensleitung die Einhaltung der Grundsätze für die Verarbeitung der personenbezogenen Daten und muss deren Einhaltung nachweisen. Die Rechenschaftspflicht beinhaltet, dass die Unternehmen jederzeit befolgen können müssen, dass bei der Verarbeitung personenbezogener Daten die technisch-organisatorischen Anforderungen und Datenschutzgrundsätze der DSGVO erfüllt werden. Aus dieser neuen Pflicht folgt eine Beweislastumkehr gegenüber den Aufsichtsbehörden. Kann der Nachweis nicht erbracht werden, können Schadensersatz und Bußgelder folgen.
 
Die Datenschutzdokumentation sollte die Grundsätze für die Verarbeitung personenbezogener Daten im Unternehmen, eventuell identifizierte Datenschutzrisiken, interne Sicherheitsrichtlinien zu Datenschutz und IT, Risiko- und Datenschutzfolgeabschätzungen, Nachweise über Datenschutzschulungen sowie Regeln für Kontrollen und Optimierung aller Datenschutzmaßnahmen umfassen.
 

Verfahrensverzeichnis 

Das Verfahrensverzeichnis heißt in der DSGVO „Verzeichnis der Verarbeitungstätigkeiten” und ist eine Übersicht über die laufenden Datenverarbeitungen im Unternehmen. Der Verantwortliche ist verpflichtet ein schriftliches oder elektronisches Verzeichnis aller Verarbeitungstätigkeiten zu führen. Das war bereits in der Vergangenheit Pflicht (Bundesdatenschutzgesetz). Die Aufsichtsbehörden werden es bei Kontrollen fordern. Die Beschreibung der technischen und organisatorischen Maßnahmen ist entsprechend vorzunehmen. Auftragsverarbeiter haben ein gesondertes Verzeichnis der Auftragsverarbeitungstätigkeiten zu erstellen  –  es ist deutlich weniger umfangreich als das des Verantwortlichen.
 

Datenschutz durch Technikgestaltung und Voreinstellungen 

Gemäß Art. 25 DSGVO müssen IT-Systeme so gestaltet sein, dass die Datenschutzgrundsätze wirksam umgesetzt werden. Als Beispiel für geeignete technische und organisatorische Maßnahmen wird die Pseudonymisierung genannt. In Art. 4 Nr. 5 DSGVO wird sie definiert als „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden”. Zudem ist die Pseudonymisierung ein geeignetes Mittel zum Persönlichkeitsschutz. Des Weiteren sollten die IT-Systeme so voreingestellt sein, dass grundsätzlich lediglich solche Daten verarbeitet werden, die für den jeweiligen Zweck tatsächlich benötigt werden.
 

Nach Art. 32 DSGVO schließen die technischen und organisatorischen Maßnahmen u.a. Folgendes ein:
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen und technischen Zwischenfall rasch wiederherzustellen;
  • Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen zur Gewährleitung der Sicherheit der Verarbeitung.
     

Die Maßnahmen müssen ein angemessenes Schutzniveau gewährleisten. Bei der Beurteilung des Niveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Datenverarbeitung verbunden sind.
 
Die konkret daraus abzuleitenden technischen Folgerungen sind in Zusammenarbeit mit den jeweiligen EDV-Dienstleistern zu klären. Die Neuregelungen bringen weitreichende Pflichten mit sich, die es zu meistern und technisch umzusetzen gilt.
 
 

 Ausgabe Februar 2018: Datenschutz-Grundverordnung

 Aus dem Entrepreneur

Kontakt

Contact Person Picture

Nathalie Noder

Steuerberaterin

+49 911 9193 2507

Anfrage senden

 Wir beraten Sie gern!

 Entrepreneur per E-Mail

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu