Die Informationspflichten nach EU-DSGVO: Wie man sich vorbereiten muss

Um die erhöhten Informationspflichten nach EU-DSGVO erfüllen zu können, müssen Unternehmen in den nächsten Monaten noch viel Vorarbeit leisten.

Auch wenn Datenschutz für viele Unternehmen nach Abschottung und Verschwiegenheit klingt, ist Transparenz ein Kernelement des Schutzes personenbezogener Daten. Diese Transparenz bezieht sich auf die planmäßige Datenverarbeitung genauso wie auf den Fall einer möglichen Datenschutzverletzung. Die Betroffenen und in bestimmten Fällen wie einer Datenschutzpanne auch die zuständige Aufsichtsbehörde für den Datenschutz müssen informiert werden.

Worüber genau informiert werden muss, regeln die Datenschutzgesetze. Bisher findet man die Informationspflichten im Bundesdatenschutzgesetz (BDSG) zum einen unter den Betroffenenrechten. So ist dem Betroffenen auf Antrag Auskunft zu erteilen über die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben werden, und den Zweck der Speicherung. Werden Daten ohne Kenntnis des Betroffenen erhoben, so ist er von der Speicherung, der Identität der verantwortlichen Stelle sowie über die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung zu unterrichten.

Darüber hinaus kennt das BDSG definierte Meldepflichten über Verfahren automatisierter Verarbeitung und Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten. Gerade die zuletzt genannten Informationspflichten im Fall einer Datenpanne stellen Unternehmen vor große Herausforderungen. Dies wird sich durch die kommende Datenschutz-Grundverordnung (DSGVO) noch verstärken, sowohl bei den Betroffenenrechten als auch bei den Informationspflichten bei Datenschutzverletzungen (siehe auch DSGVO: Neue Pflichten gegenüber der Aufsichtsbehörde).

Erhöhte Informationspflichten durch DSGVO

Studien wie die des Ponemon-Instituts zeigen regelmäßig, dass viele Unternehmen mögliche Datenpannen und IT-Sicherheitsvorfälle erst sehr spät erkennen und dann erneut viel Zeit benötigen, um darauf zu reagieren. Mit der DSGVO soll jedoch erreicht werden, dass Unternehmen und Organisationen die nationale Aufsichtsbehörde so bald wie möglich über schwere Verstöße gegen den Datenschutz informieren, damit die Nutzer geeignete Maßnahmen ergreifen können. Leider sind die von den Vorfällen betroffenen Unternehmen und Organisationen oftmals bisher nicht zuverlässig in der Lage, überhaupt alle internen Stellen rechtzeitig zu informieren, von einer zeitnahen Meldung an die Aufsichtsbehörde ganz zu schweigen.

Die kommende DSGVO jedoch sieht vor, dass Verletzungen des Schutzes personenbezogener Daten unverzüglich, nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls, an die zuständige Aufsichtsbehörde gemeldet werden müssen, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten des Betroffenen. Wird keine Meldung vorgenommen, muss nachweisbar sein, dass das Risiko für die Betroffenen sinnvoll bewertet wurde und nicht einfach angenommen wurde, die Datenschutzverletzung sei nicht so schlimm. Zudem kann nicht einfach von der 72-Stunden-Frist für die Meldung abgewichen werden: Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Zusätzliche Informationen für die Betroffenen

Neben der zuständigen Aufsichtsbehörde gilt es auch, die Betroffenen selbst zu informieren, wenn es zu einer Datenschutzpanne gekommen ist: Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung, so will es die Datenschutz-Grundverordnung (Artikel 34). Dies erfordert insbesondere, dass die Datenpanne schnell entdeckt und intern an die richtigen Stellen kommuniziert wird und dass die Betroffenen auch zeitnah ermittelt werden können.

Auch die Informationspflichten gegenüber Betroffenen bei Erhebung personenbezogener Daten steigen an: Ein Beispiel für die erweiterten Informationspflichten gegenüber den Betroffenen sind die Angaben über die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer. Hier müssen sich Unternehmen fragen, wie sie dies den Betroffenen mitteilen können, wenn diese Informationen teils intern noch nicht einmal verfügbar sind.

Vorbereitung auf Informationspflichten hilft interner Datensicherheit

Zweifellos werden einige Anstrengungen bei Unternehmen unternommen werden müssen, um die erhöhten Informationspflichten nach DSGVO erfüllen zu können. Die Vorbereitung dazu muss allerdings schon jetzt geschehen und nicht erst im Mai 2018.

Es müssen nun vielfältige Maßnahmen ergriffen werden, darunter:

  • Verbesserung der Erkennung von IT-Sicherheitsvorfällen und ungewolltem Datenabfluss,
  • Optimierung des internen Meldeweges bei Datenschutzpannen,
  • Sicherstellung des externen Meldeweges an die zuständige Aufsichtsbehörde,
  • Sicherstellung der Meldungen an die Betroffenen und damit zuverlässige Ermittlung der Betroffenen bei einer Datenpanne,
  • Optimierung der Dokumentation der Datenverarbeitung, insbesondere auch zu Speicherdauern und Speichergründen.

Diese Maßnahmen sollten aber nicht alleine als Vorbereitung auf die neue EU-DSGVO gesehen werden. Vielmehr sind diese Maßnahmen wichtige Schritte zur Verbesserung der internen Datensicherheit. Sie führen zu der notwendigen internen Transparenz in der Datenverarbeitung und damit zu einem besseren Datenschutz.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Juli 2016 aktualisiert

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close