Jedes Unternehmen muss Maßnahmen zum Schutz personenbezogener Daten ergreifen, die insbesondere technischer und organisatorischer Natur sein sollen. Doch was heißt das genau und was ist zu tun? Zu diesen Fragen hielt Julian Häcker am 19. Januar 2018 knapp 4 Monate vor Geltung der Datenschutz-Grundverordnung (DS-GVO) einen Vortrag im Rahmen vom IHK-Vortrag: „Die Datenschutz-Grundverordnung – was nun zu tun ist“.
Im ersten Teil der Veranstaltung gab Frau Dr. Sonja Kreß von BRP Renaud und Partner mbB Rechtsanwälte einen generellen Überblick über die wesentlichen Änderungen durch die DS-GVO. Unter anderem stellte sie die neuen Rechtsgrundlagen, Anforderungen bei der Übermittlung von Daten in Drittländer, Änderungen bei der Auftragsverarbeitung, die Pflicht zur Benennung eines Datenschutzbeauftragten und zu Meldepflichten bei Datenschutzverletzungen sowie die Pflicht zur Führung eines Datenschutzmanagements vor.
Risikobasierte Prüfung von Datenverarbeitungsprozessen
Im zweiten Teil vom IHK-Vortrag ging Julian Häcker dann detailliert auf die Sicherheit der Verarbeitung bzw. die technischen und organisatorischen Maßnahmen der Datenverarbeitung ein. Jedes Unternehmen muss seine Datenverarbeitungsprozesse risikobasiert überprüfen. Dabei sollte es die Sensibilität und das Ausmaß der Datenverarbeitung prüfen und davon abgeleitet Schutzmaßnahmen treffen.
Auf ein Beispiel übertragen bedeutet dies, dass insbesondere für den Umgang mit Personaldaten in der Lohn- und Gehaltsabrechnung entlang der gesamten Prozesskette ein angemessener Schutz gewährleistet sein muss. Fahrlässig wäre somit die ungeschützte Übermittlung sensibler Daten an den Steuerberater ohne Verschlüsselung oder auf einem ungeschützten Speichermedium.
Ansätze zu Bewertung können Sie z.B. vom Standard-Datenschutzmodell oder von der Risikobetrachtung beim IT-Grundschutz ableiten. Insbesondere die Sachverhalte bei denen der Schutzbedarf sehr hoch ist, sind durch zusätzliche Risikoprüfungen zu bewerten. Auf Basis von Praxiserfahrungen sind für Unternehmen die Personalverfahren von großer Bedeutung. Je nach Aktivitätsbereich des Unternehmens könnten auch medizinische Daten, Verbrauchs- oder Verhaltensdaten hierunter fallen. Ebenfalls gehören Verfahren zur Videoüberwachung oder einer anlasslosen und permanenten Leistungskontrolle dazu.
Umsetzen von technischen und organisatorischen Maßnahmen
In einem weiteren Schritt sollten Sie die Schutzmaßnahmen zur Absicherung der Prozesse prüfen und sofern erforderlich weiter verstärken. Neben den bereits bisher bekannten Kontrollarten (Zutritt, Zugang, Zugriff, Trennung, Weitergabe, Eingabe, Verfügbarkeit und rasche Wiederherstellbarkeit) orientiert sich die DS-GVO an den klassischen Zielen der IT-Sicherheit: Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. Davon abgeleitet erhält die Pseudonymisierung, das Datenschutzmanagement, das Incident-Reponse-Management und Datenschutz durch Technik bzw. Datenschutz durch Voreinstellungen neue Bedeutung.
Angewendet auf das obige Beispiel können Sie z.B. spezielle Meldeprozesse bei Unregelmäßigkeiten im Umgang mit den Lohn- und Gehaltsdaten etablieren Man könnte definieren, welche Ansprechpartner bei Vorkommnissen zu informieren sind, um die Unregelmäßigkeit zu prüfen. Denkbar wäre auch, die Pseudonymisierung von Auswertungen zu einzelnen Mitarbeitern durch den Ersatz von Nummern für Mitarbeiternamen. So wird im Falle einer Panne ein Rückschluss auf personenbezogene Daten erschwert oder vielleicht sogar unmöglich gemacht.
Wie ist die Vorgehensweise zur Bewertung und Umsetzung von technischen und organisatorischen Maßnahmen?
Eine mögliche Vorgehensweise zur Umsetzung der technischen und organisatorischen Maßnahmen könnte wie folgt aussehen:
- Auswahl des zu prüfenden Verarbeitungsverfahrens
- Dokumentation des Verfahrens (Informationssammlung)
- Risikoanalyse
- Risikobewertung
- Umsetzen von Maßnahmen
- Regelmäßige Kontrolle
Im Folgenden stellte Julian Häcker abschließend zwei Praxisbeispiele anhand des Bitkom Leitfadens „Risk Assessment & Datenschutz-Folgenabschätzung“ und ein weiteres zur Regelung von Zugriffberechtigungen nach dem Need-to-Know-Prinzip vor.