DS-GVO: Nur eine lästige Pflicht? Oder gibt es auch Vorteile?

Die meisten Unternehmer, Dienstleister und Freiberufler sehen aktuell in den Gesetzesänderungen zum Datenschutz in Europa eine ärgerliche, lästige Pflicht. Natürlich regelt die DS-GVO und ihre deutsche Konkretisierung im BDSG (neu) Pflichten für alle, die mit personenbezogenen Daten umgehen (müssen). Dabei wird oft übersehen, dass ein vernünftiges Datenschutzmanagementsystem jedem Unternehmen auch Chancen bietet.

Was hat Datenschutz mit Datensicherheit zu tun und warum ist ein vernünftiges Datenschutzkonzept auch ein Beitrag zur Sicherheit?

In der Praxis hängen technisch-organisatorische Maßnahmen bei der Umsetzung der datenschutzrechtlichen Regelungen eng mit Maßnahmen genereller Datensicherheit zusammen.

Zwei konkrete Beispiele aus der Praxis:

Bei der Begehung eines Unternehmens wurde durch den Datenschutzbeauftragten zufällig festgestellt, dass die Putzfrau im Rahmen ihrer Tätigkeit den Eimer mit Wischwasser auf den zentralen Server des Unternehmens abstellte und auf eine Leiter stieg, um an einer unzugänglichen Stelle über dem Server zu säubern. Wäre die Frau dabei abgerutscht, hätte das das Ende des Servers mit den zentralen Daten des Unternehmens bedeutet. Zudem stellte sich bei der Prüfung heraus, dass Backups nur unregelmäßig angefertigt wurden. Bei Verlust der Daten wäre der Schaden deutlich größer, als die Kosten für den Datenschutzbeauftragten ausgefallen.

In einem weiteren Unternehmen wurde vereinbarungsgemäß die Website des Betriebes geprüft und insgesamt sieben, teils erhebliche Verstöße gegen die DS-GVO und die in Deutschland geltenden Regelungen festgestellt. Die potentiellen Abmahnkosten und Bußgelder konnten durch eine rechtzeitige Behebung der Probleme vermieden werden.

Für den Unternehmer sind die Verarbeitungsverzeichnisse samt technisch-organisatorischen Maßnahmen, die schriftlich dokumentiert und auf einem aktuellen Stand gehalten werden müssen, eine wichtige Hilfe bei der Unternehmensleitung. Art. 32 DS-GVO regelt den Bereich technisch-organisatorischer Maßnahmen der Verarbeitung personenbezogener Daten:

Art. 32 DS-GVO regelt die Anforderungen an technisch-organisatorische Maßnahmen des Datenschutzes:

  • Pseudonymisierung und Verschlüsselung
  • Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit dauerhaft sicherstellen
  • Wiederherstellbarkeit
  • Prüfung, Bewertung und Evaluierung der Maßnahmen
  • Berücksichtigung der Risiken der Datenverarbeitung
  • Verarbeitung nur durch entsprechend verpflichtete Mitarbeiter

Insbesondere bei der Einführung neuer Technologien bei der Verarbeitung personenbezogener Daten im Unternehmen gehört eine Datenschutzfolgeabschätzung zu den Verpflichtungen (Art. 35 DS-GVO).