Ab dem 25. Mai wird in diesem Jahr wird eine neue Verordnung angewendet, die den Umgang mit personenbezogenen Daten neu regelt. In dieser Serie werden wir einen Ausschnitt der neuen Regelung vorstellen. Anschließend werden diese mit praktischen Tipps und Hinweisen zu hilfreichen Werkzeugen ergänzt, damit der Umstieg auf neue und gesetzeskonforme Arbeitsabläufe gelingt.
Teil 3: Transparenz als ein Grundsatz der DSGVO
Gerade die Artikel der DSGVO, in welchen von den Verantwortlichen Transparenz gefordert wird, halten für Unternehmen Stolpersteine bereit. So zum Beispiel der Artikel 12, welcher Unternehmen verpflichtet, allen von der Datenverarbeitung betroffenen Personen eine Vielzahl von Informationen in Bezug auf die Datenverarbeitung „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“ (Art. 12 Abs. 1). Die Auflistung der weiteren Informationen, die betroffenen Personen zugänglich gemacht werden müssen, sind in der DSGVO ebenfalls aufgelistet (vgl. u.a. Art. 13, 14, 15 DSGVO). Das hat zur Folge, dass es stets durchführbar sein muss, in einfacher Form aus großen Datensätzen oder Datenbanken spezielle Informationen zu isolieren, exportieren und der betroffenen Person zur Verfügung zu stellen. Zur Erinnerung: Auch dieser Vorgang fällt wieder unter die Dokumentationspflicht und muss daher nachvollziehbar ablaufen. Anschließend muss eine Konvertierung der Daten in ein für Laien lesbares Format erfolgen (vgl. Art. 20 Abs. 1), da nicht einfach ein unformatierter Datenbankauszug versendet werden kann. Hierbei entstehen für Firmen enorme Zeitaufwendungen, falls sie unvorbereitet mit vielen Anfragen konfrontiert sind und noch kein System zur einfachen Abarbeitung dieser Anfragen einsetzen. Alle diese immer wiederkehrenden Workflows müssen maschinell ablaufen, da sie zu viel Arbeitskraft erfordern, wenn jeder Schritt von Mitarbeitern einzeln auszuführen ist. Der Zugriff betroffener Personen auf Ihre Daten darf ebenfalls nicht behindert werden. Es ist im Gegenteil explizit die Pflicht zur Erleichterung des Zugriffs vorgeschrieben, der nur in Ausnahmefällen verweigert werden darf (vgl. Art. 12 Abs. 2).
Datensicherheit trotz bekannter Lücken
Ein zusätzlicher mit Problemen behafteter Punkt ist das Thema Sicherheit. Besonders durch die jüngsten Sicherheitslücken bei Prozessoren („Meltdown“ und „Spectre“), von denen fast alle Geräte betroffen sind, zeigen sich auch in der öffentlichen wie medialen Diskussion die Hürden bei der Etablierung sicherer Systeme. Die DSGVO erklärt jedoch ein „angemessenes Schutzniveau“ (vgl. Art. 32 Abs. 1 DSGVO) für personenbezogene Daten zur Pflicht. Schluderige Sicherheitssysteme riskieren daher nicht mehr nur den Ruf von Firmen, sondern stellen auch explizit einen Gesetzesverstoß da. Unternehmen sollten daher allerspätestens jetzt über die Implementierung geeignete Sicherheitssysteme nachdenken und diese so bald wie möglich in ihre Infrastruktur integrieren und dann gemäß üblicher Standards und den Regeln der DSGVO stets auf dem aktuellsten Stand halten (vgl. Art. 3 Abs. 1d DSGVO).
Der nächste Beitrag erscheint in einer Woche zur gleichen Uhrzeit.
Haftungsausschluss
Dieser Beitrag dient der Darstellung technischer Lösungsmöglichkeiten, er berührt aber auch juristische Problemstellungen. Es stellt ausdrücklich keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen.
Die im Rahmen dieses Beitrags zur Verfügung gestellten Informationen halten wir nach Möglichkeit vollständig und aktuell. Wir können jedoch keinerlei Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen geben.
Der Beitrag kann jederzeit und ohne vorherige Ankündigung geändert, ergänzt oder gelöscht werden.
Falls der Beitrag direkte oder indirekte Links auf die Onlineangebote Dritter enthält, so übernehmen wir weder eine Verantwortung für den Inhalt dieser Angebote, noch für deren Richtigkeit, Aktualität oder Vollständigkeit. Wir haben keinerlei Einfluss auf den Inhalt oder die Gestaltung der Onlineangebote Dritter, daher liegt die Verantwortung für den Inhalt eines solchen Angebots stets bei dessen Betreiber bzw. Anbieter.
Visits: 268
