Datenschutz Umsetzung
Datenschutz ist ein grundlegender Aspekt jeder Organisation, die personenbezogene Daten verarbeitet. Die Datenschutz-Grundverordnung (DSGVO) stellt dabei die zentrale gesetzliche Grundlage dar. Um den Anforderungen der DSGVO gerecht zu werden und die Daten der Betroffenen zu schützen, müssen Unternehmen und Organisationen bestimmte Mindestmaßnahmen ergreifen. Dieser Artikel gibt einen Überblick über die wichtigsten Maßnahmen, die im Datenschutz mindestens umgesetzt werden müssen.
Einleitung
Ein Informationssicherheitsmanagementsystem (ISMS) konzentriert sich primär auf die Sicherstellung der Informationssicherheit innerhalb einer Organisation. Dabei liegt der Fokus auf dem Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Datenschutz ist jedoch eine wichtige rechtliche Grundlage und stellt wesentliche Anforderungen an die Informationssicherheit. Deshalb wird das Thema Datenschutz in diesem Kontext ebenfalls behandelt.
Der Datenschutz ist nicht nur eine gesetzliche Verpflichtung, sondern auch ein zentraler Bestandteil der Informationssicherheit. Die Datenschutz-Grundverordnung (DSGVO) fordert Unternehmen dazu auf, personenbezogene Daten angemessen zu schützen. Dies bedeutet, dass die Umsetzung der Anforderungen des Datenschutzes im Rahmen der Informationssicherheit eine bedeutende Rolle spielt.
In diesem Ratgeber liegt der Schwerpunkt auf der praktischen Umsetzung der Datenschutzanforderungen und ihrer Verknüpfung zur Informationssicherheit. Es wird erläutert, wie technische und organisatorische Maßnahmen (TOMs) zur Erfüllung der DSGVO-Anforderungen in ein ISMS integriert werden können. Diese Maßnahmen umfassen unter anderem die Implementierung von Verschlüsselungstechniken, Zugriffskontrollen, regelmäßigen Backups und Schulungen der Mitarbeitenden.
Es ist jedoch wichtig zu betonen, dass dieser Ratgeber keine Rechtsberatung darstellt. Die rechtliche Beurteilung, ob die Maßnahmen und Umsetzungsempfehlungen im konkreten Fall angemessen und ausreichend sind, um den Anforderungen der DSGVO zu genügen, sollten Juristen treffen. Ziel dieses Ratgebers ist es, praktische Ansätze zur Umsetzung der Datenschutzanforderungen innerhalb eines ISMS aufzuzeigen (best practice) und somit einen Beitrag zur ganzheitlichen Informationssicherheit zu leisten.
ToDo's
Die Einhaltung der Datenschutz-Grundverordnung (DSGVO) und der Bundesdatenschutzgesetzes (BDSG) erfordert die Umsetzung verschiedener technischer, organisatorischer und rechtlicher Maßnahmen. Ein Verzeichnis von Verarbeitungstätigkeiten, die Sicherstellung von Rechtsgrundlagen, die Wahrung der Rechte der betroffenen Personen, die Implementierung technischer und organisatorischer Maßnahmen sowie die Bestellung eines/einer Datenschutzbeauftragten sind essenziell. Durch diese Maßnahmen wird nicht nur die Einhaltung gesetzlicher Anforderungen gewährleistet, sondern auch das Vertrauen der Betroffenen gestärkt. Die folgende ToDo-Liste beschreibt "Step by Step" die für die Umsetzung des Datenschutzes erforderlichen Maßnahmen um ein Mindestmaß an Datenschutz zu gewährleisten:
Rechtsgrundlagen der Datenverarbeitung
Ein grundlegender Aspekt sind die Rechtsgrundlagen. Jede Verarbeitung personenbezogener Daten ist per se verboten, es sei denn, es gibt einen Grund der sie erlaubt. Mögliche Gründe können sein:
- Rechtliche Verpflichtung: Die Verarbeitung ist erforderlich, um einer rechtlichen Verpflichtung nachzukommen, der der Verantwortliche unterliegt.
- Vertragserfüllung: Die Verarbeitung ist notwendig, um einen Vertrag zu erfüllen, bei dem die betroffene Person eine Vertragspartei ist, oder um auf Wunsch der betroffenen Person vorvertragliche Maßnahmen zu ergreifen.
- Öffentliches Interesse oder Ausübung öffentlicher Gewalt: Die Verarbeitung ist erforderlich, um eine Aufgabe zu erfüllen, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.
- Berechtigte Interessen: Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
- Einwilligung: Wenn keiner der vorgenannten Punkte zutreffend ist, ist die Einwilligung der betroffenen Person erforderlich.
Verschaffe dir zunächst einen Überblick über alle in deinem Unternehmen oder deiner Organisation geltenden Rechtsgrundlagen und rechtlichen Anforderungen, die eine Verarbeitung personenbezogener Daten erfordern oder rechtfertigen.
Verzeichnis von Verarbeitungstätigkeiten
Ein Verzeichnis der Verarbeitungstätigkeiten dokumentiert sämtliche Prozesse, in denen personenbezogene Daten verarbeitet werden, und ist für Verantwortliche und Auftragsverarbeitende verpflichtend, um die Einhaltung der DSGVO nachzuweisen.
- Dokumentation: Führe ein umfassendes Verzeichnis aller Verarbeitungstätigkeiten, die personenbezogene Daten betreffen. Dieses Verzeichnis sollte Informationen zu den Datenarten, den betroffenen Personen, den Zwecken der Verarbeitung, den Empfängern der Daten und den geplanten Löschfristen enthalten.
- Transparenz: Halte das Verzeichnis aktuell und stelle es den Aufsichtsbehörden bei Bedarf zur Verfügung.
- Mehr: Verzeichnis von Verarbeitungstätigkeiten
Informationspflichten und Transparenz
Verantwortliche müssen betroffene Personen klar und verständlich darüber informieren, wie ihre personenbezogenen Daten verarbeitet werden, um Transparenz zu gewährleisten und das Vertrauen in den Datenschutz zu stärken.
- Datenschutzerklärung: Informiere die betroffenen Personen klar und verständlich über die Verarbeitung ihrer Daten. Dies erfolgt in der Regel durch eine Datenschutzerklärung, die leicht zugänglich ist.
- Informationspflichten: Stelle sicher, dass die betroffenen Personen über ihre Rechte, den Zweck der Datenverarbeitung, die Rechtsgrundlage, die Empfänger der Daten und die Kontaktdaten des Datenschutzbeauftragten informiert sind.
Rechte der betroffenen Personen
Die DSGVO gewährt betroffenen Personen verschiedene Rechte, wie das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch, um ihre Kontrolle über die eigenen Daten zu sichern.
- Auskunftsrecht: Betroffene haben das Recht, Auskunft über die von dir verarbeiteten personenbezogenen Daten zu erhalten. Prüfe wie du dieses Recht geeignet und mit vertretbarem Aufwand erfüllen kannst.
- Recht auf Berichtigung und Löschung: Stelle sicher, dass Daten auf Anfrage berichtigt oder gelöscht werden können.
- Widerspruchsrecht und Datenübertragbarkeit: Betroffene haben das Recht, der Verarbeitung ihrer Daten zu widersprechen und die Übertragung ihrer Daten zu verlangen. Auch hier ist es sinnvoll, sich vorab Gedanken zu machen, wie diese Anforderung erfüllt werden kann.
Technische und organisatorische Maßnahmen (TOMs)
TOMs sind Maßnahmen, die Verantwortliche umsetzen müssen, um die Sicherheit und den Schutz personenbezogener Daten zu gewährleisten und Datenschutzverletzungen zu verhindern.
- Datensicherheit: Implementiere geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten. Dazu gehören u.a. Verschlüsselung, Zugangskontrollen und regelmäßige Sicherheitsupdates.
- Backup und Notfallmanagement: Sorge für regelmäßige Backups und entwickle Notfallpläne, um die Daten im Falle eines Verlusts schnell wiederherstellen zu können.
- Mehr: Technische und organisatorische Maßnahmen (TOMs)
Datenschutz-Folgenabschätzung (DSFA)
Eine DSFA ist ein Prozess, bei dem die Risiken für die Rechte und Freiheiten betroffener Personen bei bestimmten Datenverarbeitungen bewertet und geeignete Maßnahmen zum Schutz der Daten entwickelt werden.
- Risikobewertung: Führe eine Datenschutz-Folgenabschätzung (Risikoanalyse) durch, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt.
- Maßnahmen zur Risikominderung: Entwickle und implementiere Maßnahmen zur Minimierung identifizierter Risiken.
- Mehr: Datenschutz-Folgenabschätzung (DSFA)
Datenschutzbeauftragte/r
Der/die Datenschutzbeauftragte ist für die Überwachung der Einhaltung der Datenschutzvorschriften im Unternehmen verantwortlich und dient als Ansprechperson für Datenschutzbelange sowohl intern als auch gegenüber Aufsichtsbehörden.
- Benennung: Bestelle eine/n Datenschutzbeauftragte/n, wenn dies gesetzlich vorgeschrieben ist oder die Verarbeitung personenbezogener Daten umfangreich ist.
- Aufgaben: Die/der Datenschutzbeauftragte überwacht die Einhaltung der Datenschutzvorschriften, schult die Mitarbeitenden und ist Ansprechperson für Datenschutzfragen.
- Mehr: Datenschutzbeauftragte
Verträge mit Auftragsverarbeitern
Verträge mit Auftragsverarbeitenden regeln die Bedingungen, unter denen personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden, und stellen sicher, dass die Auftragsverarbeitenden die DSGVO einhalten. Oursourcing, Cloud Nutzung, selbst einfach Dienstleistungsverträge können Auftragsverarbeitung sein.
- Vertragsgestaltung: Schließe Verträge mit Dritten, die personenbezogene Daten im Auftrag verarbeiten. Diese Verträge müssen die Anforderungen der DSGVO erfüllen und klare Regelungen zur Datenverarbeitung enthalten.
- Überwachung: Überwache die Einhaltung der Datenschutzvorgaben durch die Auftragsverarbeiter regelmäßig.
- Mehr: Auftragsverarbeitung