Ab dem 25. Mai wird in diesem Jahr wird eine neue Verordnung angewendet, die den Umgang mit personenbezogenen Daten neu regelt. In dieser Serie werden wir einen Ausschnitt der neuen Regelung vorstellen. Anschließend werden diese mit praktischen Tipps und Hinweisen zu hilfreichen Werkzeugen ergänzt, damit der Umstieg auf neue und gesetzeskonforme Arbeitsabläufe gelingt.
Teil 2: Grundsätze des Datenschutzes
Die Datenschutz-Grundverordnung (DSGVO) gibt den Verantwortlichen einige verbindliche Grundsätze an die Hand und stellt Regeln für deren Einhaltung auf. Bei der Verarbeitung sind alle beteiligten Stellen angehalten, besonders auf die Wahrung der Grundrichtlinien „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“ (Art. 5 Abs. 1a DSGVO) zu achten. Die Verarbeitung muss gemäß dem Zweck der Datenerhebung erfolgen („Zweckbindung“ vgl. Art. 5 Abs. 1b) und auf das kleinste Maß minimiert werden („Datenminimierung“ vgl. Art. 5 Abs. 1c). Sobald ein Datensatz veraltet oder falsch wird, ist es Aufgabe der Verarbeitenden, eine Löschung oder Korrektur anzusetzen („Richtigkeit“ vgl. Art. 5 Abs. 1d). Außerdem sind personenbezogene Daten nur so lange aufzubewahren, wie es unbedingt erforderlich ist („Speicherbegrenzung“ vgl. Art. 5 Abs. 1e). Während jeder Verarbeitung ist stets die Sicherheit und Unversehrtheit dieser Daten zu beachten („Integrität und Vertraulichkeit“ vgl. Art. 5 Abs. 1f). Die Einhaltung jener Regeln sollte eigentlich bereits in jedem Unternehmen Standard sein und keine signifikanten Umstellungen erfordern. Viel größere Mühen verursachen hingegen womöglich die Rechenschaftspflichten der Verantwortlichen (vgl. Art. 5 Abs. 2), die damit verbunden werden.
Dokumentations- und Auskunftspflichten
Speziell die Bestimmung des Begriffes „Verarbeitung“, lässt große Dokumentationsaufgaben entstehen, da bereits das Abspeichern oder Ordnen unter die Tätigkeit des Verarbeitens fällt (vgl. Art. 4 Nr. 2). Da Verantwortliche die Einhaltung der oben dargestellten Grundsätze nachweisen müssen („Rechenschaftspflicht“ vgl. Art. 5 Abs. 2), können Aufgabenberge entstehen, deren händische Durchführung kaum möglich ist. Schließlich erfordert jeder Vorgang, der als Verarbeitung definiert wird, auch eine entsprechende Dokumentation. Wird zum Beispiel ein Textdokument, dass bei einem Kundengespräch angelegt wurde und die Kontaktdaten des Kunden enthält, abgespeichert, triff die Rechenschaftspflicht in Kraft. Wird das Dokument nun an einem anderen Ort abgespeichert oder in einem Clouddienst verarbeitet, so muss zu jedem Zeitpunkt gewährleistet sein, dass die Grundsätze der Datenverarbeitung eingehalten werden. Das schließt erneut auch alle Pflichten zur sorgfältigen Dokumentation mit ein. Insgesamt muss es auch in jeder Firma ein „Verzeichnis aller Verarbeitungstätigkeiten“ (Art. 30 Abs. 1) geben. Lediglich Unternehmen mit nicht mehr als 250 Mitarbeitern müssen weniger strenge Dokumentationspflichten einhalten. Der Zwang zur Dokumentation führt zu aufwändigen Schritten, die ganze Workflows hemmen und natürliche Arbeitsabläufe potenziell lähmen, wenn sie von Hand erfolgen. Daher ist es wichtig, rechtzeitig mit der Umstellung auf eine automatisierte Dokumentation und Indizierung umzusteigen, um nicht am Stichtag von den Anforderungen überrannt zu werden, zumal die Ausführung der Grundsätze in weiteren Artikeln der DSGVO noch detaillierter erfolgt und hier nur ein kleiner Ausschnitt beschrieben wurde.
Der nächste Beitrag erscheint in einer Woche zur gleichen Uhrzeit.
Haftungsausschluss
Dieser Beitrag dient der Darstellung technischer Lösungsmöglichkeiten, er berührt aber auch juristische Problemstellungen. Es stellt ausdrücklich keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen.
Die im Rahmen dieses Beitrags zur Verfügung gestellten Informationen halten wir nach Möglichkeit vollständig und aktuell. Wir können jedoch keinerlei Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen geben.
Der Beitrag kann jederzeit und ohne vorherige Ankündigung geändert, ergänzt oder gelöscht werden.
Falls der Beitrag direkte oder indirekte Links auf die Onlineangebote Dritter enthält, so übernehmen wir weder eine Verantwortung für den Inhalt dieser Angebote, noch für deren Richtigkeit, Aktualität oder Vollständigkeit. Wir haben keinerlei Einfluss auf den Inhalt oder die Gestaltung der Onlineangebote Dritter, daher liegt die Verantwortung für den Inhalt eines solchen Angebots stets bei dessen Betreiber bzw. Anbieter.
Views: 291