Die meisten Unternehmer, Dienstleister und Freiberufler sehen aktuell in den Gesetzesänderungen zum Datenschutz in Europa eine ärgerliche, lästige Pflicht. Natürlich regelt die DS-GVO und ihre deutsche Konkretisierung im BDSG (neu) Pflichten für alle, die mit personenbezogenen Daten umgehen (müssen). Dabei wird oft übersehen, dass ein vernünftiges Datenschutzmanagementsystem jedem Unternehmen auch Chancen bietet.
Was hat Datenschutz mit Datensicherheit zu tun und warum ist ein vernünftiges Datenschutzkonzept auch ein Beitrag zur Sicherheit?
In der Praxis hängen technisch-organisatorische Maßnahmen bei der Umsetzung der datenschutzrechtlichen Regelungen eng mit Maßnahmen genereller Datensicherheit zusammen.
Nicht selten stoßen wir bei Überprüfungen auf veraltete Software mit erheblichen Risiken, oftmals bedingt durch fehlende oder unvollständige Verträge mit Auftragsverarbeitern. In den meisten Fällen waren diese Risiken den Verantwortlichen nicht bewusst oder bekannt.
Aktuell legen wir in unseren Datenschutzschulungen für Beschäftigte einen Schwerpunkt auf Awareness, angesichts der Ausbreitung von professionell gemachter Schadsoftware wie Emotet ein Muss für alle Unternehmen. Selbst gut informierte und geschulte Mitarbeiter können nicht alle Angriffe gleich erkennen. Die Umsetzung der Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik erhöhen die Sicherheit im Unternehmen und den Datenschutz.
Für den Unternehmer sind die Verarbeitungsverzeichnisse samt technisch-organisatorischen Maßnahmen, die schriftlich dokumentiert und auf einem aktuellen Stand gehalten werden müssen, eine wichtige Hilfe bei der Unternehmensleitung.
Art. 32 DSGVO – technisch-organisatorische Maßnahmen des Datenschutzes
Art. 32 DS-GVO regelt die Anforderungen an technisch-organisatorische Maßnahmen des Datenschutzes:
- Pseudonymisierung und Verschlüsselung
- Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit
- Wiederherstellbarkeit
- Prüfung, Bewertung und Evaluierung der Maßnahmen
- Berücksichtigung der Risiken der Datenverarbeitung
- Verarbeitung nur durch entsprechend verpflichtete Mitarbeiter
Insbesondere bei der Einführung neuer Technologien bei der Verarbeitung personenbezogener Daten im Unternehmen gehört eine Datenschutzfolgeabschätzung zu den Verpflichtungen (Art. 35 DS-GVO).