Peer Böttcher

Dubito, Cogito, Ergo Sum
 

 

 Peer Böttcher

Ing. d. physik.Technik

  



Von der DESAG (Deutschen Sachverständigen Gesellschaft GmbH) geprüfter und anerkannter Sachverständiger für:

EU-Datenschutzbeauftragter 

Geschäftsführender Gesellschafter der DAuB GmbH (Digitale Auswertung und Beweissicherung GmbH)

Am 25.05.2018 trat die EU-DSGVO (Datenschutzgrundverordnung) im europäischen Raum in Kraft. Sofern Sie noch nicht sicher sind, ob auch alles von Ihnen entsprechend eingerichtet ist, wenden Sie sich an uns.

Für Sie:

- Wir stellen für Sie den externen EU-Datenschutzbeauftragten

- Wir stellen Ihnen kurzfristig einen Datenschutz-Berater/-Koordinator zur Seite

- Wir führen ein kurzes Audit durch. Sie erkennen, was noch zu tun wäre.

- Wir übernehmen diesbezügliche Aufgaben, die Ihre Crew entlastet.

- Wir führen die Verarbeitung-Aktivitäten in Ihr Unternehmensmanagement ein.

- Wir entwickeln mit Ihnen ein Dokumentenmanagement.

Das Speichern personenbezogener Daten ist verboten.

Außer: Erlaubt durch:

 * Gesetz

 * Verordnung 

 * Betriebsvereinbarung (BVG)

 * Vertrag

 * Einwilligung

Wir prüfen gemeinsam mit Ihnen, unter welchen Bedingungen eine Speicherung personenbezogener Daten möglich ist.

Antworten auf 4 Fragen:

 1. Frage - Wo finde ich personenbezogene Daten und was bedeuten sie?

„Personenbezogene Daten" sind jene, die sich auf einen identifizierten oder identifizierbaren EU-Bürger beziehen. Also beispielsweise Einträge in Kundendatenbanken, wie Name, Geburtstag oder Postanschrift.

Aber auch Daten aus Feedback-Bögen sowie E-Mail-Inhalte, Foren oder Sequenzen von Überwachungskameras. Dabei spielt es keine Rolle, ob die Daten innerhalb der EU gespeichert werden oder nicht. 

Sie können jederzeit erfragen, wo genau Ihre Daten gespeichert wurden.

Die Angabe „im Rechenzentrum" oder „in der Cloud" reicht nicht.

Liegen die Daten in einer Excel-Tabelle oder doch in der Datenbank des SAP-Systems? Bei der Bestandsaufnahme ist es wichtig, sämtliche Kopien des Datensatzes zu erfassen, also beispielsweise Excel-Tabellen mit Kundendaten, die aus einer Business-Anwendung erstellt wurden. Nur so können Unternehmer dem gesetzlich verankerten Löschwillen nachkommen.  

2. Frage - Wie können Zugriffe auf personenbezogene Daten gesteuert werden? 

Unternehmen müssen sicherstellen, dass sie rechtmäßig mit den von ihnen verarbeiteten personenbezogenen Daten umgehen. Sie müssen also genau festlegen, wie die Firma die Daten nutzt und wie darauf zugegriffen werden darf.

Mit Inkrafttreten der EU-DSGVO können Personen, von denen ein Unternehmen Daten gespeichert hat, beispielsweise verlangen, dass die Daten korrigiert oder gelöscht werden. In manchen Fällen müssen hier bestimmte Fristen eingehalten werden. 

Haben Unternehmer im ersten Schritt ermittelt, wo genau die Daten liegen, gilt es nun im zweiten Schritt einen Data-Governance-Plan zu entwickeln und umzusetzen. Dieser Plan unterstützt beim Festlegen von Richtlinien, Rollen und Verantwortlichkeiten im Unternehmen. 

So wird sichergestellt, dass der Antrag von Löschung der Daten auch tatsächlich ausgeführt wird - auch wenn mehrere Abteilungen involviert sind.  

 3. Frage - Wie können Schwachstellen und Pannen vermieden werden?

Die DSGVO legt die Messlatte in Sachen IT-Sicherheit hoch. Sie verlangt von Unternehmern, dass sie geeignete technische (etwa Verschlüsselung) und organisatorische (wie Zugriffskontrollen) Maßnahmen ergreifen, um personenbezogene Daten vor Verlust oder unbefugtem Zugriff zu schützen. 

Die Gefahr für Daten droht von vielen Seiten: Von physischem Zugriff durch Unbefugte oder böswillige Mitarbeiter, über den versehentlichen Verlust, bis hin zu Hackern. Um mögliche Schwachstellen zu identifizieren, empfiehlt sich zunächst eine Gap-Analyse: Welche Schutzmechanismen gibt es im Unternehmen bereits und welche verlangt die DSGVO?

Diese Analyse muss dokumentiert werden, damit sie im Falle einer Datenpanne der Aufsichtsbehörde vorgelegt werden kann. Gab es keine nach Risiken priorisierte Liste der abzuarbeitenden Punkte, so kann sich das Fehlen auf die Höhe eines möglichen Bußgeldes auswirken. 

4. Frage - Wie und wo können Datenschutzverstöße gemeldet und wie muss die Dokumentation aufbewahrt werden?

Unternehmen müssen mit der DSGVO noch transparenter werden. Die DSGVO setzt neue Maßstäbe bei Transparenz, Rechenschaftspflicht und Dokumentation. 

Unternehmen, die personenbezogene Daten verarbeiten, müssen verschiedene Punkte dokumentieren. Dazu gehören: 

 * Zweck der Verarbeitung

 * Kategorien der verarbeiteten personenbezogenen Daten

 * Die Identität von Dritten, mit denen Daten geteilt werden

 * Ob Drittländer personenbezogene Daten erhalten und die Rechtsgrundlage für solche  Übertragungen geklärt ist

 * Technische und organisatorische Sicherheitsmaßnahmen (TOM)

 * Datenaufbewahrungszeiten

Neu ist die Meldepflicht!

Kommt es zu einer Datenpanne, so muss der Verantwortliche diese unverzüglich der zuständigen Aufsichtsbehörde melden. Zu melden ist spätestens innerhalb der nächsten 72 Stunden, nachdem dem Unternehmen die Verletzung bekannt wurde. Eine Ausnahme gibt es dann, wenn das Datenleck wahrscheinlich kein Risiko für die Rechte und Freiheiten natürlicher Personen bedeutet.