Seit Mai 2018 gelten mit der neuen Datenschutzgrundverordnung (DSGVO) ausnahmslos frisch gebackene Gesetze für die IT-Welt. Durch die Aktualisierung im Datenschutz wächst trotz steigender Cloud-Nutzung die Unsicherheit bei IT-Entscheidern. Viele Unternehmen malen „schwarze Wolken“ am Himmel: Bleibt der Datenschutz garantiert und die Sicherheit bestehen? 

1. Vertrag mit Sicherheitsmaßnahmen
   

Vertraglich wird geregelt, dass der Provider gegenüber dem Auftraggeber allein weisungsgebunden handeln darf. Verträge können ab DSGVO auch elektronisch erstellt werden. Erforderlich sind Vertragsangaben in Anlehnung an die geltenden Vorgaben aus § 11, Absatz 2, Bundesdatenschutzgesetzes (BDSG)

2. Unteraufträge
   

Sollten ein Provider Subunternehmer beauftragen, gilt es, die schriftliche oder elektronische Zustimmung des Auftraggebers einzuholen. Im Falle der Nichteinigung kann dies zur Beendigung des bestehenden Vertrags führen. Der Auftragsverarbeiter unterstützt hierbei.

3. Unterstützung durch den Auftragsverarbeiter
   

Die Unterstützungspflichten eines Auftragsverarbeiters müssen vertraglich geregelt werden. Hilfestellungen kann ein Auftragsbearbeiter zum Beispiel bei der Durchführung technischer und organisatorischer Maßnahmen bei der Gewährleistung der Betroffenenrechte geben.

4. Neue Risiken: Betroffenenklagen und erhöhte Bußgelder
   

Ab 2018 gelten neue Sanktionsmöglichkeiten seitens der Aufsichtsbehörden und zivilrechtliche Haftungsansprüche Betroffener. Bei rechtswidriger Datenverarbeitung können Betroffene Anspruch auf Schadenersatz fordern und Zivilrecht geltend machen. Weiter ermöglicht die DSGVO es vom Verbandsklagerecht Gebrauch zu machen. Bei Verstoß gegen Artikel 83, Absatz 4a, können Bußgelder bis zu 10 Mio. € oder bis zu 2% des gesamten weltweiten Jahresumsatzes. Gemessen wird danach, welche Summe schwerer wiegt. Bereits schlechte Weisungsdokumentationen können Grund dafür sein Bußgelder auszulösen.

5. Haftung der Auftraggeber
   

Auftraggeber stehen hingegen in der Pflicht die Einhaltung der DSGVO zu belegen (Artikel 5 Absatz 2, Artikel 82 Absatz 3, DSGVO). Nichteinhaltungen sind bußgeldbewehrt. Die Beweislastumkehr geht damit zu Lasten der Auftraggeber.

6. EU-vereinheitlichte Datenschutzregeln helfen Kosten zu senken

Die neuen Regelungen und Gesetze der DSGVO sind nicht ausnahmslos leicht verständlich und die Formulierungen und Auslegungen können oftmals verwirren. Doch die DSGVO bietet auch Vorteile. Ziel der DSGVO ist es beispielsweise ab Mai 2018 eine Vereinheitlichung der Datenschutzregelungen innerhalb der Europäischen Union für EU-ansässige Unternehmen zu schaffen. Somit wird es leichter, Dienstleistungen und Produkte in der EU anzubieten, wenn die Regeln der neuen DSGVO eingehalten werden. So wird Unternehmen die Möglichkeit gegeben, rund 2,3 Milliarden Euro pro Jahr einsparen

7. Engere Zusammenarbeit zwischen Aufsichtsbehörden verlangt

Die DSGVO verlangt eine engere Zusammenarbeit zwischen den Aufsichtsbehörden innerhalb der EU, da der Austausch personenbezogener Daten zwischen öffentlichen und privaten Akteuren, natürlichen Personen, Vereinigungen und Unternehmen zugenommen hat. Unternehmen sollten daher prüfen, ob die Aktivitäten innerhalb des Unternehmens bereits an die neuen Regeln angepasst sind und einen Compliance Plan aufstellen.

8. Strategisches Personalmanagement muss mit einbezogen werden

Jede Verarbeitung personenbezogener Daten, im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union, muss an die Datenschutzgrundverordnung angepasst werden. Auch das strategische Personalmanagement (HR), die Schnittstelle zwischen dem Personalmanagement und dem strategischen Management, muss in den Prozess einbezogen werden

9. Prüfen Sie, ob Ihr Internetdienstleister vertrauenswürdig ist

HR-Abteilungen in Unternehmen sollten prüfen, ob ein Internetdienstleister, dem beispielsweise Bewerberdaten zur Verarbeitung überlassen werden, die sensiblen Daten auch vertraulich und sicher behandelt. Ein Hinweis darauf, dass der Dienstleister technisch und organisatorisch alles dafür tut, um den Datenschutz sicherzustellen, sind Nachweise über die getroffenen Maßnahmen zum Datenschutz und die zügige Vorlage einer Vereinbarung über die Auftragsdatenverarbeitung.

10. Zertifizieren Sie sich durch unabhängige Assurance-Dienstleister

Softwarehersteller beispielsweise haben ein Interesse daran, den Nutzungsumfang und die Nutzungsintensität  der in den Unternehmen der Lizenznehmer eingesetzten Softwarelizenzen zu überprüfen und bestehen sogar darauf, dass diese Regelungen zum „Lizenz-Audit“ Bestandteil des Softwarelizenzvertrages sind. Daher wird Lizenznehmern empfohlen, den Regelungsinhalt der Auditklauseln, entsprechend ihrer wirtschaftlichen und rechtlichen Interessen, auch mit Blick auf die DSGVO, zu verhandeln. Das ist nicht immer leicht. Deshalb sollten Unternehmer prüfen, ob ihr Managementsystem den Anforderungen der gewünschten Norm entspricht und das von zertifizierten Auditoren überprüfen lassen. Sie erhalten im Anschluss eine Dokumentation der Ergebnisse in Form eines Prüfberichts. Wenn dieser keine Abweichungen aufweist, erhalten sie ein international anerkanntes Zertifikat mit einer Gültigkeitsdauer von drei Jahren.

11. „Privacy by Design“ & „by Default“ mit  Verpflichtungsqualität

Mit der Verordnung „Privacy by Design“, wird in Artikel 25 der DSGVO – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen – sichergestellt, dass die Verarbeitung personenbezogener Daten bereits bei der Implementierung von Technik proaktiv eingehalten wird, um die Privatsphäre der Anwender zu schützen. Für den Hersteller bedeutet dies in Bezug auf die vertragliche Leistungspflicht, dass die Produkte so zur Verfügung gestellt werden müssen, dass datenschutzfreundliche Einstellungen bereits eingepflegt und nachvollziehbar dokumentiert sind. Als ein Prinzip von „Privacy by Design“ muss der Datenschutz in das Design eingebettet werden und somit als Standarteinstellung verfügbar sein („Privacy by Default“).

12. Das Risiko bewerten: Die Datenschutz-Folgenabschätzung (DSFA)
    

In der neuen DSGVO wird die generelle Meldepflicht, die im BDSG (Paragraf 4d Abs. 5) für Unternehmen vorgesehen ist, die „besondere Daten“ verarbeiten, durch die Durchführung der DSFA ersetzt. Datenverarbeitende Unternehmen sollten sich informieren, ob mit der Verarbeitung ihrer Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen besteht, denn dann ist eine DSFA abzugeben. Die Verwendung und die Art neuer Technologien, hohe Datenmengen und die Umstände und der Zweck der Verarbeitung sind dabei ins Visier zu nehmen.

13. Die Protokollierung persönlicher Daten gewinnt einen hohen Stellenwert
    

Es macht Sinn, ein kontinuierliches Datenmanagement zu betreiben und die Maßnahmen in Bezug auf die Sicherheit der zu verarbeitenden Daten regelmäßig zu überprüft und zu evaluieren. Wichtig ist: Die  Protokolle persönlicher Daten sollten über den Zeitpunkt einer Tätigkeit, beziehungsweise eines Ereignisses, die mit der Tätigkeit oder dem Ereignis befasste Person, bzw. Systemkomponente und den Zweck der Tätigkeit, informieren.
Alles sollte genau durchdacht werden, denn diese Punkte dürfen nicht nachträglich verändert werden und können nur Berechtigten zugänglich gemacht werden. Auf Aufforderung müssen der Verantwortliche und der Auftragsverarbeiter in der Lage sein, die Protokolle einem oder einer Bundesbeauftragten zur Verfügung zu stellen.

14. Das Recht auf „Vergessenwerden“ im Netz
    

In der neuen DSGVO wird eindrücklich betont, dass Einzelpersonen ein Recht darauf haben, dass Ihre persönlichen Daten und Aufzeichnungen im Netz gelöscht werden. Der Verantwortliche verpflichtet sich deshalb angemessene Maßnahmen zu treffen. Das bedeutet, dass alle Links zu den personenbezogenen Daten und Kopien oder Replikationen der personenbezogenen Daten gelöscht werden müssen. Falls dabei noch Fragen auftauchen, sollte Artikel 12, Absatz 1 der DSGVO nicht übersehen werden, denn der legt fest, dass der Verantwortliche die betroffene Person gemäß Informationspflicht bei Erhebung von personenbezogenen Daten und Auskunftsrecht der betroffenen Person, unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrages, zu informieren hat.

15. Reagieren ist zwingend erforderlich: Verstöße binnen 72 Stunden melden!
    

Die neue DSGVO verdeutlicht, dass schnelles Reagieren immer ein Pluspunkt ist. So haben die Verantwortlichen bei den Verletzungen des Schutzes personenbezogener Daten darauf zu achten, dass die zuständige Aufsichtsbehörde innerhalb von 72 Stunden eine Meldung hierüber bekommt. Meldepflicht besteht bei rechtswidriger Zerstörung, Veränderung, Verlust, versehentlicher Verletzung von Daten sowie bei Zugriff durch unbefugte Dritte auf Daten.  Auch hier kann es richtig teuer werden, denn bei einem Verstoß gegen die Meldepflicht, oder bei einer Meldung an die falsche Aufsichtsbehörde bei grenzüberschreitender Verarbeitung personenbezogener Daten, können erhöhte Bußgelder anfallen.