EU-Datenschutz-Grundverordnung: Was sich für Unternehmen ändert

Im Bereich der Richtlinien und Nachweise für den Datenschutz kommen neue Aufgaben auf Unternehmen in der EU zu. Die Vorbereitungen sollten beginnen.

Dieser Artikel behandelt

Datenschutz

Unternehmen in Deutschland sollten nicht glauben, dass ihre aktuellen Maßnahmen nach Bundesdatenschutzgesetz (BDSG) bereits so umfangreich sind, dass bei Inkrafttreten der geplanten EU-Datenschutz-Grundverordnung keine zusätzlichen Aufgaben auf sie zukommen. In Wirklichkeit stehen so einige Änderungen ins Haus. Einen ersten Überblick bieten zum Beispiel die Stellungsnahmen der Aufsichtsbehörden für den deutschen Datenschutz oder des Branchenverbandes BITKOM.

Neben den noch diskutierten Themen wie dem genauen Anwendungsbereich der Datenschutz-Grundverordnung, der Fragen hinsichtlich Einwilligung der Betroffenen, der Umsetzung der Auftragsdatenverarbeitung und Auftragskontrolle zum Beispiel bei Cloud Computing, dem Datenaustausch zwischen verbundenen Unternehmen, der Profilbildung und dem Recht auf Vergessenwerden gibt es auch geplante Änderungen, die eher kaum diskutiert werden und deren Umsetzung mit großer Wahrscheinlichkeit ansteht.

Eine Abwartehaltung, ob bestimmte Compliance-Forderungen tatsächlich kommen, kann sich zum Problem entwickeln: Die geplante Datenschutz-Grundverordnung der EU wird nach Verabschiedung ohne Übergangsfrist in Kraft treten, muss also nicht mehr in nationales Recht übertragen werden. Dies macht die Zeitspanne für mögliche Umstellungen und Änderungen in Unternehmen mehr als gering.

Datenschutzaufgaben sollten vorbereitet werden

Nach Artikel 22 (Pflichten des für die Verarbeitung Verantwortlichen) werden Unternehmen auch in Zukunft durch geeignete Strategien und Maßnahmen sicherstellen müssen, dass personenbezogene Daten in Übereinstimmung mit dem Datenschutzrecht verarbeitet werden. Gut geplant sein wollen die Nachweise dieser Strategien und Maßnahmen, denn Nachweise werden explizit gefordert.

Zu den erforderlichen Maßnahmen nach Artikel 22 gehören eine Datenschutz-Dokumentation, technisch-organisatorische Maßnahmen der Datensicherheit, Risikoanalysen (Datenschutz-Folgeabschätzungen genannt), die Umsetzung von Anforderungen für Genehmigungen oder Konsultationen der Aufsichtsbehörden und die Benennung eines Datenschutzbeauftragten.

Dokumentation des Datenschutzes ist Pflicht

Die Verfahren der Datenverarbeitung und die internen Maßnahmen zur Erfüllung der Datenschutz-Forderungen müssen dokumentiert werden (Artikel 28), etwa in internen Datenschutz-Berichten. Erfahrungsgemäß ist die Aufstellung solcher Berichte recht zeitaufwändig, so dass Unternehmen nicht zu spät mit entsprechenden Vorbereitungen beginnen sollten.

Wichtig dabei ist auch, dass die Qualität und die Einhaltung der dokumentierten Maßnahmen für den Datenschutz regelmäßig überprüft werden müssen. Unternehmen in Deutschland kennen die Dokumentationsvorgaben bereits von dem sogenannten Verfahrensverzeichnis. Zusätzlich zu den Verfahren dokumentiert werden müssen die Datenschutz-Folgeabschätzung und die Maßnahmen der Datensicherheit.

Datensicherheit auch für neue Technologien

Die technischen und organisatorischen Maßnahmen für die Datensicherheit sollen grundsätzlich auf Basis einer Risikobewertung erfolgen (Artikel 30). Diese Risikobewertung sollte ebenso im Sinne von Compliance-Nachweisen dokumentiert sein wie die daraus resultierenden Sicherheitsmaßnahmen. Die geplanten und umgesetzten Sicherheitsmaßnahmen sollen dabei den aktuellen Stand der Technik „für bestimmte Sektoren und Datenverarbeitungssituationen“ sowie die technologische Entwicklung berücksichtigen.

Unternehmen werden den Stand der Technik und die technologische Entwicklung nicht ohne weiteres umfassend kennen und bewerten können. Eine frühzeitige und regelmäßige Risiko-Analyse und Datenschutz-Folgeabschätzung ist deshalb angeraten.

Folgen der Datenverarbeitung frühzeitig abschätzen

Die Datenschutz-Grundverordnung nennt konkrete Fälle von Datenverarbeitung, bei der Risiko-Analysen vorzusehen sind, wie

  • die systematische und umfassende Auswertung persönlicher Aspekte einer natürlichen Person, beispielsweise zwecks Analyse ihrer wirtschaftlichen Lage, ihres Aufenthaltsorts, ihres Gesundheitszustands, ihrer persönlichen Vorlieben, ihrer Zuverlässigkeit oder ihres Verhaltens,
  • die Verarbeitung von Daten über das Sexualleben, den Gesundheitszustand, die Rasse oder die ethnische Herkunft oder für die Erbringung von Gesundheitsdiensten, für epidemiologische Studien oder für Erhebungen über Geisteskrankheiten oder ansteckende Krankheiten, wenn die betreffenden Daten in großem Umfang im Hinblick auf Maßnahmen oder Entscheidungen verarbeitet werden, welche sich auf spezifische Einzelpersonen beziehen sollen,
  • die weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels Videoüberwachung,
  • sowie die Verarbeitung personenbezogener Daten aus umfangreichen Dateien, die Daten über Kinder, genetische Daten oder biometrische Daten enthalten.

Unternehmen sollten sich ihre Verfahren schon jetzt nochmals genau ansehen und sich auf die Risiko-Bewertung für entsprechende Fälle von Datenverarbeitung vorbereiten. Eine Beschäftigung mit diesen Compliance-Vorgaben lohnt sich schon heute in mehrfacher Hinsicht: zur Vorbereitung auf die geplante EU-Datenschutz-Grundverordnung, für die Erfüllung des bis zum Inkrafttreten der EU-Datenschutz-Grundverordnung gültigen Bundesdatenschutzgesetzes sowie zur weiteren Optimierung des eigenen Datenschutz-Managements.

Artikel wurde zuletzt im August 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datenschutz und Datensicherheit

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close