Praxistipps für die Umsetzung der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der EU sichergestellt, andererseits der freie Datenverkehr innerhalb des europäischen Binnenmarktes gewährleistet werden.

Die DSGVO, tritt zum 25. Mai 2018 in Kraft. Die Verordnung beruht in Teilen auf dem Datenschutzgesetz, wird aber einige Aspekte des Datenschutzgesetzes stärker regulieren.

Privacy by Design

In Artikel 25 der DSGVO ist die Rede von Datenschutz durch Technikgestaltung und Voreinstellungen. Grundsatzziel ist dabei immer der Schutz der Daten des Datensubjekts und dass dieser Schutz schon im Vorherein in das Geschäftskonzept integriert werden soll. Als „Datensubjekt“ wird dabei eine natürliche Person bezeichnet, die personenbezogene Daten zur Verfügung stellt.

Wenn Sie also ein System einrichten, dass mit der DSGVP konform sein soll, müssen Sie noch VOR der technischen Spezifikation o.ä. überlegen, WIE die Daten der Datensubjekte geschützt werden.

Die DSGVO greift das Konzept der Datenminimierung auf. Häufig gehen Unternehmen nach dem Motto vor „was man hat das hat man“ – es werden also so viele Daten wie möglich gesammelt und aufbewahrt. Ein Buzz Word unserer Zeit lautet in diesem Zusammenhang „BigData“. Getreu dem Motto: „je mehr Daten wir haben, desto mehr können wir verarbeiten, über Kunden lernen und unsere Produkte individuell zur Vermarktung anpassen“.

Die Methode der Datenminimierung besagt, dass nur Daten gehalten werden sollen, die auch wirklich angemessen und für die Zwecke der Datenverarbeitung notwendig sind.

In der Praxis bedeutet das: Sammeln Sie nur Daten, die wirklich benötigt werden und minimieren Sie damit das Verlustrisiko von Daten.

Das Konzept der Datenminimierung hat einen weiteren Vorteil: Weniger gesammelte und gespeicherte Daten benötigen weniger teuren Speicherplatz.

Zur Umsetzung des Datenminimierungskonzeptes empfehle ich, sich mit folgenden Fragestellungen auseinander zu setzen:

Welche Daten werden gesammelt?
Welche Daten müssen wir zum aktuellen Zeitpunkt sammeln, um unseren Geschäftsprozess abbilden können? Benötigen Sie z.B. bei einer Newsletter-Anmeldung auf Ihrer Webseite wirklich das Geburtstagdatum, Geschlecht o.ä.?

Wie lange werden Daten gespeichert?
Wie lange werden Daten gespeichert und werden diese nach einem bestimmten Zeitraum wirklich noch benötigt?

In der DSGVO ist vorgesehen, dass Daten, die nicht mehr benötigt werden, auch wirklich von dem Datenverantwortlichen gelöscht werden. Überprüfen Sie daher Ihre Geschäftsprozesse in Ihrem Unternehmen auf die Sinnhaftigkeit von Datenspeicherung.

Wo liegen die Daten?
In vielen Fällen ist zu beobachten, dass Daten innerhalb einer Organisation auf vielen System gespeichert oder repliziert werden. Im Zuge der Erstellung von Backup- oder auch Disaster Recovery Konzepten sollte daher die Frage gestellt werden, wie die Anzahl der Kopien sinnvoll reduziert werden kann. Eine Minimierung der Kopien-Anzahl verringert natürlich auch die möglichen Angriffspunkte für einen Datenleak.

Zweck der Daten
Überprüfen Sie Ihre gesammelten Daten auf Zweckmäßigkeit bzw. Zustimmung für einen bestimmten Zweck durch das Datensubjekt. BigData und Co. haben zur Folge, dass oftmals von einem Datensubjekt gesammelte Daten für einen anderen Zweck verwendet werden. Beispiel hierfür ist z.B. die Nutzung von personenbezogenen Daten in einem Newsletter-System obwohl der Eigentümer der Nutzung seiner Daten nur im Rahmen einer Gewinnspielteilnahme – und damit für einen anderen Zweck- zugestimmt hat.

In der DSGVO ist vorgesehen, dass Daten, die nicht mehr benötigt werden, auch wirklich von dem Datenverantwortlichen gelöscht werden.

Pseudonymisierung

Neben der Datenminimierung ist die Pseudonymisierung ein wichtiger Bestandteil der DSGVO. Dazu hat die Gesellschaft für Datenschutz und Datensicherheit e.V. ein Whitepaper erstellt, das hier zu finden ist.

Im Rahmen der Pseudonymisierung werden personenbezogene Daten so verarbeitet, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Dabei ist es wichtig, diese zusätzlich notwendige Information getrennt zu verwahren.

Pseudonymisierungstechniken tragen dazu bei, das Risiko von Datenschutzverletzungen zu mindern. Sollte der Schutz von Daten, die keinen Personen zugeordnet werden können, verletzt werden, sollte dies keine Folgen für die betroffenen Personen haben.

Ziel der verschiedenen Pseudonymisierungstechniken ist, dass Daten weder identifizieren noch identifizierten Personen zuzuordnen sind. Dies kann z.B. durch eine Verschlüsselung von Daten umgesetzt werden: Ein Eindringling braucht dann zusätzlich zu den verschlüsselten Daten auch einen passende Schlüssel. Ohne passenden Schllüssel sind die Daten unbrauchbar und die Datensubjekte geschützt.

Die Nicht-Einhaltung der DSGVO wird nach Aussage des Gesetzgebers mit „empfindlichen Bußgeldern“ bestraft. Betroffene Unternehmen sind also gut beraten, sich jetzt mit den künftigen Datenschutz- und Sicherheitsanforderungen intensiv auseinanderzusetzen.
Informationen finden Sie zudem auf den Seiten des Bundesamtes für Sicherheit in der Informationstechnik – kurz BSI – oder auch der Gesellschaft für Datenschutz und Datensicherheit e.V.

Jens-Christian Hinsberger

Jens-Christian Hinsberger

Projekt Manager

Braintowers neuer Jens-Christian ist der feinsinnige Typ fürs Grobe. Als Projektleiter ist er die fleischgewordene Problemlösemaschine. Spielt Trompete. Im Verein. Richtig Gut. Teilt seine Süßigkeiten ohne Hintergedanken.

Gefällt dir der Artikel? Bitte teile ihn!
Share on Facebook
Facebook
11Share on Google+
Google+
0Share on LinkedIn
Linkedin
Email this to someone
email
Tweet about this on Twitter
Twitter