Good Contents Are Everywhere, But Here, We Deliver The Best of The Best.Please Hold on!
Your address will show here +12 34 56 78
Allgemein, Cloud, Microsoft, Security

Mittels der bereits vorgestellten Klassifizierung von Datenbeständen versetzt Office 365 Sie zum Beispiel auch in die Lage, Nutzern auf eine lesbare Art Zugang zu den bei Ihnen gespeicherten Daten zu gewähren. Damit werden Sie mit Office 365 nach einiger Einarbeitung auch der Pflicht, Betroffenen Auskunft über die jeweiligen verarbeiteten personenbezogenen Daten zu gewähren, gerecht. (Art. 12 Abs. 1). Der Export kann dann mit nur einem Klick erfolgen und verwendet natürlich auch ein für Laien lesbares Format (Art. 20 Abs. 1).

Auch an dieser Stelle wird wiederrum deutlich, wie eng Sicherheit und Datenschutz verbunden sind. Wir hoffen, dass wir Ihnen in dieser Reihe einen Überblick verschaffen konnten, wie Sie mit Office 365 datenschutzkonform arbeiten. Natürlich kann auch in einer Reihe aus Blogeinträgen nicht auf die Gesamtheit der Möglichkeiten eingegangen werden.

Mit diesem Beitrag kommt unsere Serie über die Umsetzung der DSGVO zu ihrem Ende.


Haftungsausschluss

Dieser Beitrag dient der Darstellung technischer Lösungsmöglichkeiten, er berührt aber auch juristische Problemstellungen. Es stellt ausdrücklich keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen.
Die im Rahmen dieses Beitrags zur Verfügung gestellten Informationen halten wir nach Möglichkeit vollständig und aktuell. Wir können jedoch keinerlei Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen geben.
Der Beitrag kann jederzeit und ohne vorherige Ankündigung geändert, ergänzt oder gelöscht werden.
Falls der Beitrag direkte oder indirekte Links auf die Onlineangebote Dritter enthält, so übernehmen wir weder eine Verantwortung für den Inhalt dieser Angebote, noch für deren Richtigkeit, Aktualität oder Vollständigkeit. Wir haben keinerlei Einfluss auf den Inhalt oder die Gestaltung der Onlineangebote Dritter, daher liegt die Verantwortung für den Inhalt eines solchen Angebots stets bei dessen Betreiber bzw. Anbieter.
0

Allgemein, Cloud, Microsoft, Security
In unseren vergangenen Beiträgen haben wir Ihnen bereits die rechtlichen Grundlagen der Datenschutzgrundverordnung (DSGVO) vorgestellt. Nun wird in dieser Reihe mit der Umsetzung in Office 365 auch der Schritt in die Praxis gelingen.


Teil 3:Der Office 365 Secure Score

Der genaue Zusammenhang zwischen dem Datenschutz und der Sicherheit ist nicht nur die explizit formulierte Pflicht, die Sicherheit und Integrität aller verarbeiteten Daten zu gewährleisten („Integrität und Vertraulichkeit“ vgl. Art. 5 Abs. 1f), sondern auch der generelle Zusammenhang zwischen der Einhaltung von Gesetzen, Sicherheit und Datenschutz. Ohne vollständige Compliance ist kein Datenschutz möglich und Compliance geht in jedem Fall mit dem Anspruch einer hohen Sicherheit einher. Schließlich können Sie niemals Schutz und Vertraulichkeit garantieren, wenn Ihre Daten nicht geschützt sind. Sicherheitslücken gefährden schließlich nicht nur Ihre Reputation, sondern erzeugen womöglich auch ungewollte Datenabflüsse oder unautorisierte Zugriffe. Der zweite Punkt ist dabei deutlich kritischer.


Schon auf einem Blick ermöglicht Office 365 Administratoren den genauen Überblick, wie es um ihre Compliance bestellt ist. Der Office 365 Secure Score, der auch auf dem Dashboard des Security Centers aktiviert werden kann, ist in einem Office 365, das noch nicht optimiert ist, auf einem niedrigen Niveau, was auch grafisch schnell sichtbar wird.


Direkt angelehnt an den Punktewert und das Diagramm werden den Nutzern Methoden an die Hand gegeben, um den Score zu verbessern. Hier lernen Sie, wie weit Sie schon gekommen sind und welche Möglichkeiten Ihnen noch offenstehen, um das Risiko für Ihre Nutzer und Daten zu reduzieren. Dabei sollte der Punktestand nicht nur ein Selbstzweck sein. Schließlich repräsentiert er das Sicherheitslevel Ihres Unternehmens, für welche Sie nur die höchsten Ansprüche anlegen sollten. Die Aktionen, die Ihnen von Office 365 empfohlen werden, sind nicht nur hinsichtlich der zu erlangenden Punkte aufgeschlüsselt. Sie sind auch nach weiteren Faktoren, wie zum Beispiel dem Einfluss auf die Nutzer oder die Kosten beziehungsweise nötigen Aufwendungen für die Implementierung geordnet. Anhand der potenziellen Punkteverbesserungen können Sie ableiten, welche Relevanz Sie den einzelnen Punkten zuweisen sollten und wie einschneidend die Aktivierung oder das Ignorieren der jeweiligen Handlungen wäre. Setzen Sie Ziele und vergleichen Sie sich mit ähnlichen Organisationen, um wirklich in allen Details einen Eindruck Ihrer Systemsicherheit in Echtzeit zu gewinnen. Wenn Sie so zum Beispiel bemerken, dass Sie Ihrem Ziel noch hinterherhinken, dann schlagen Sie in diesem Menü nach, welche Verbesserungen noch anstehen. Angenommen, Sie haben noch keine 2-Faktor-Authentifizierung in Ihren Anmeldvorgängen implementiert, dann wird Office 365 Sie hier darauf hinweisen und Ihnen neben einer Anleitung und den entsprechenden Werkzeugen auch die damit verbundene Änderung des Office 365 Secure Scores mitteilen. Sie können dann das Projekt der 2-Faktor-Authentifizierung angehen und Ihre Punktzahl auf das angestrebte Level heben.

Kategorieauswahl zue regelgerechten Einordnung

Unabhängig von umfangreichen Erleichterung und Hilfestellung, mit denen Office 365 das Rückgrat Ihres Sicherheitskonzepts und des damit verbundenen Datenschutzes bildet, so kann ein Sicherheitssystem trotzdem nicht alle Aufgaben allein und automatisiert meistern. Zwar werden aktuell alle Weichen in Richtung der künstlichen Intelligenz gestellt, aber noch bedarf es geschulter Fachkräfte, die Systeme bedienen und warten. Für einen vollen Office 365 Score sind daher auch Aktionen nötig, die in einem wöchentlichen bis täglichen Rhythmus durchgeführt werden. Hierfür einen eigenen Administrator abzustellen ist jedoch nicht nötig, wenn der Office 365-Service von Trans4mation in Anspruch genommen wird. Wir verbinden Compliance nach den neusten Regeln der Datenschutz-Grundverordnung mit einem Office 365-Service, der von der Planung bis zum Betrieb jeden Schritt beinhaltet. Mit dabei ist natürlich auch die kaum bezahlbare Befriedigung, die der Anblick eines beinahe 100 %igen Sicherheitsscores mit sich bringt.

 



Doch auch weitere allgemeine, aber keinesfalls weniger bedeutende Sicherheitsmöglichkeiten stehen im Bereich Bedrohungsmanagement bereit. Schließlich ist dieser wie bereits beschrieben ein vitaler Bereich des Datenschutzes.

Sicherheit entsprechend der Datenschutz-Grundverordnung dank Trans4mation


Zu jenem Modul gehört auch eine präventive Funktion, die Sie vor E-Mails mit schadhaften Inhalt schützt und diese in Quarantäne verschiebt. Diese Option schützt Sie und Ihre Mitarbeiter vor betrügerischen Nachrichten, indem sie Nutzer den Zugriff auf verdächtige Mails verwehrt.

 


Haftungsausschluss

Dieser Beitrag dient der Darstellung technischer Lösungsmöglichkeiten, er berührt aber auch juristische Problemstellungen. Es stellt ausdrücklich keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen.
Die im Rahmen dieses Beitrags zur Verfügung gestellten Informationen halten wir nach Möglichkeit vollständig und aktuell. Wir können jedoch keinerlei Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen geben.
Der Beitrag kann jederzeit und ohne vorherige Ankündigung geändert, ergänzt oder gelöscht werden.
Falls der Beitrag direkte oder indirekte Links auf die Onlineangebote Dritter enthält, so übernehmen wir weder eine Verantwortung für den Inhalt dieser Angebote, noch für deren Richtigkeit, Aktualität oder Vollständigkeit. Wir haben keinerlei Einfluss auf den Inhalt oder die Gestaltung der Onlineangebote Dritter, daher liegt die Verantwortung für den Inhalt eines solchen Angebots stets bei dessen Betreiber bzw. Anbieter.
0

Allgemein, Cloud, Microsoft, Security
In unseren vergangenen Beiträgen haben wir Ihnen bereits die rechtlichen Grundlagen der Datenschutzgrundverordnung (DSGVO) vorgestellt. Nun wird in dieser Reihe mit der Umsetzung in Office 365 auch der Schritt in die Praxis gelingen.


Teil 2: Berechtigungen und Protokollierung

Damit die Verarbeitung personenbezogener Daten nur autorisierten Personenkreisen zugänglich ist, vergeben Sie Berechtigungen für Personengruppen entsprechend der Positionen in Ihrem Unternehmen. Dazu besteht die Möglichkeit, sich an vorgegebenen Rollen zu orientieren oder eigene Regeln zu implementieren. Die so festgelegten Bedingungen sollten sich an der „Zweckbindung“ (vgl. Art. 5 Abs. 1b) orientieren, damit Mitarbeiter nicht absichtlich oder aus Versehen unberechtigten Zugang zu personenbezogenen Daten erhalten und damit potenziell entweder zu Sicherheitsrisiken oder gesetzeswidrigen Verarbeitungen führen. Bestimmten Nutzergruppen können dann zu vorher klassifizierten Daten eingeschränkte Rechte gewährt werden, die lediglich einen Lesezugriff, aber keine Bearbeitung ermöglichen. Der Zugang kann aber auch vollständig verwehrt werden.

Datenschutz-Grundverordnung bzw. DSGVO umgesetzt mit Office 365

Am meisten sorgen sich viele Geschäftsführer – oder zumindest ihre Administratoren – vor den Nachweispflichten (vgl. Art. 24 Abs. 1-3), die bei jedem Verarbeitungsvorgang (Vgl. Art. 4 Abs. 2) anfallen. Das Gesetz verlangt, dass alle Prozesse, bei denen personenbezogene Daten verarbeitet werden dokumentiert und protokolliert werden. Darunter fallen auch alltägliche Aktionen wie das Abspeichern oder das Hinzufügen eines Datensatzes in eine Datenbank. Immer wenn ein Mitarbeiter also eine Datei, die personenbezogene Daten enthält, öffnet und bearbeitet, dann muss ein Protokolleintrag mit den jeweiligen Aktionen angelegt werden. Wenn diese Nachweise nicht programmiert erfolgen, dann erhalten Ihre Mitarbeiter einen zusätzlichen Aufgabenberg, der händisch kaum zu bewältigen ist. In Office 365 können diese Dokumentationen jedoch automatisiert im Hintergrund ablaufen, ohne dass Ihre Mitarbeiter dafür auch nur einen Klick tätigen müssen. In der Überwachungsprotokollsuche haben die Administratoren dann ein Werkzeug zur Auswertung und Analyse der Tätigkeiten, die automatisch protokolliert werden.

Überwachungsprotokolle in Office 365 zur Protokollierung der Verarbeitung personenbezogener Daten.


Haftungsausschluss

Dieser Beitrag dient der Darstellung technischer Lösungsmöglichkeiten, er berührt aber auch juristische Problemstellungen. Es stellt ausdrücklich keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen.
Die im Rahmen dieses Beitrags zur Verfügung gestellten Informationen halten wir nach Möglichkeit vollständig und aktuell. Wir können jedoch keinerlei Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen geben.
Der Beitrag kann jederzeit und ohne vorherige Ankündigung geändert, ergänzt oder gelöscht werden.
Falls der Beitrag direkte oder indirekte Links auf die Onlineangebote Dritter enthält, so übernehmen wir weder eine Verantwortung für den Inhalt dieser Angebote, noch für deren Richtigkeit, Aktualität oder Vollständigkeit. Wir haben keinerlei Einfluss auf den Inhalt oder die Gestaltung der Onlineangebote Dritter, daher liegt die Verantwortung für den Inhalt eines solchen Angebots stets bei dessen Betreiber bzw. Anbieter.
0

Allgemein, Cloud, Microsoft, Security

In unseren vergangenen Beiträgen haben wir Ihnen bereits die rechtlichen Grundlagen der Datenschutzgrundverordnung (DSGVO) vorgestellt. Nun wird in dieser Reihe mit der Umsetzung in Office 365 auch der Schritt in die Praxis gelingen.


Teil 1: Indikatoren und Rankings

Wir stellen Ihnen die sicherheitstechnische Schaltzentrale von Office 365 vor und zeigen, wie mit diesen Tools Compliance und Sicherheit erreicht werden. Bitte beachten Sie, dass wir dazu teilweise aus Gründen der Systemsicherheit für redaktionelle Zwecke einen nur unvollständig eingerichteten Testserver verwenden. Wir zeigen Ihnen jedoch auch Einblicke in ein gesichertes System, wie es Ihnen Trans4mation als Managed-Service im Komplettpaket zur Verfügung stellen kann.

Gleich beim Aufruf von Office 365 findet der Suchende das Security und Compliance Center direkt auf der Startseite neben den anderen bekannten Office-Anwendungen. Somit beginnt der Weg zu einem regelgerechten Umgang mit personenbezogenen Daten nach der Anmeldung mit nur einem Klick.

In Office 365 stehen den Nutzern Tools zur Verfügung, die für einzelne Anforderungspunkte mächtige Helfer bereitstellen. Das Herzstück für die Regeltreue ist in Office 365 eben dieses Security & Compliance Center. In einem anpassbaren Dashboard erhalten Sie einen Gesamteindruck über die Informationen, welche das System für Sie bereithält. Darauf aufbauend bekommen Sie mögliche Handlungsoptionen angezeigt. Hier können Sie ausgehend von dieser Zentrale des Datenschutzes Ihr System verwalten. Die Module ermöglichen eine große Anzahl an Einstellmöglichkeiten, die eine detaillierte Aufschlüsselung und Bearbeitung Ihrer Sicherheits- und Datenschutzeinstellungen verwalten. Vergeben Sie Berechtigungen, erstellen und analysieren Sie Berichte, um die Oberhand über Ihre Daten zu behalten. In der Mitte erhalten Sie von einem personalisierbaren Dashboard den Überblick über die wichtigsten Kennzahlen und Nachrichten, während in den klappbaren Menüs auf der linken Seite alle Einstellmöglichkeiten und Tools zur Auswertung auf ihre Nutzung warten.

Um einige dieser Menüpunkte vorzustellen, eignen sich die Einstellungsmöglichkeiten, die Attribute Ihrer Datenbestände und die damit verbundene Verwaltungsoptionen beinhalten. Im Menü „Klassifikationen“ können zum Beispiel Bezeichnungen für Daten entworfen werden, die gewissen Reglements unterliegen. Das ermöglicht ein Handeln entsprechend des Grundsatzes der Datenminimierung (Art. 5 Abs. 1c), indem für Daten mit Klassifizierung auch bestimmt wird, wie diese aufzubewahren sind. Nehmen wir an, dass in Ihrem Unternehmen unter anderem Daten des imaginären „Typs 1“ verarbeitet werden. In Office 365 erstellen Sie Richtlinien, nach denen dieser Datentyp programmiert gelöscht wird, wenn ein oder mehrere Bedingungen erfüllt sind. Der Datenminimierung kann daher Rechnung getragen werden, damit Datensätze nicht länger aufbewahrt werden, als unbedingt nötig. Die Funktion unterstützt Anwender daher gleichzeitig auch bei der Wahrung der vom Gesetzgeber festgelegten „Speicherbegrenzung“ (vgl. Art. 5 Abs. 1e) und der Umsetzung des „Recht auf Vergessenwerden“ (vgl. Art. 17).

Erstellen Sie eine Kategorie und fügen Sie aussagekräftige Label hinzu, um für Administratoren und Nutzer deutliche Beschreibungen bereitzustellen und die oben beschriebenen Aufbewahrungsrichtlinien zu definieren.

Weiterhin kann die Klassifizierung auch abhängig von vordefinierten Mustern automatisch erfolgen. So besteht die Möglichkeit, dass die Richtlinien zum Beispiel zur Verarbeitung personenbezogener Daten automatisiert angewandt werden und die Einhaltung der Datenschutzgrundverordnung dann quasi von selbst erfolgt.

Eine Gruppe von Regelungsmöglichkeiten in der Schaltzentrale von Office 365, die erst auf den zweiten Blick mit dem Datenschutz zusammenhängen, sind alle Aspekte, die die Sicherheit Ihres Unternehmens betreffen. Der Fokus soll dabei besonders auf der digitalen Sicherheit liegen, da Office, auch wenn es einen umfassenden Schutz bietet, nicht für physische Integrität Ihrer Systeme sorgen kann, auch wenn es Sie unterstützt, sich zum Beispiel für ISO-Zertifizierungen vorzubereiten. Generell stellen diese Blogbeiträge lediglich kleine Ausschnitte dar, die zeigen, was unter anderem mit Office 365 möglich ist.


Haftungsausschluss

Dieser Beitrag dient der Darstellung technischer Lösungsmöglichkeiten, er berührt aber auch juristische Problemstellungen. Es stellt ausdrücklich keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen.
Die im Rahmen dieses Beitrags zur Verfügung gestellten Informationen halten wir nach Möglichkeit vollständig und aktuell. Wir können jedoch keinerlei Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen geben.
Der Beitrag kann jederzeit und ohne vorherige Ankündigung geändert, ergänzt oder gelöscht werden.
Falls der Beitrag direkte oder indirekte Links auf die Onlineangebote Dritter enthält, so übernehmen wir weder eine Verantwortung für den Inhalt dieser Angebote, noch für deren Richtigkeit, Aktualität oder Vollständigkeit. Wir haben keinerlei Einfluss auf den Inhalt oder die Gestaltung der Onlineangebote Dritter, daher liegt die Verantwortung für den Inhalt eines solchen Angebots stets bei dessen Betreiber bzw. Anbieter.
0

Microsoft, Security

Ab dem 25. Mai wird in diesem Jahr wird eine neue Verordnung angewendet, die den Umgang mit personenbezogenen Daten neu regelt. In dieser Serie werden wir einen Ausschnitt der neuen Regelung vorstellen. Anschließend werden diese mit praktischen Tipps und Hinweisen zu hilfreichen Werkzeugen ergänzt, damit der Umstieg auf neue und gesetzeskonforme Arbeitsabläufe gelingt.

Teil 3: Transparenz als ein Grundsatz der DSGVO

Gerade die Artikel der DSGVO, in welchen von den Verantwortlichen Transparenz gefordert wird, halten für Unternehmen Stolpersteine bereit. So zum Beispiel der Artikel 12, welcher Unternehmen verpflichtet, allen von der Datenverarbeitung betroffenen Personen eine Vielzahl von Informationen in Bezug auf die Datenverarbeitung „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“ (Art. 12 Abs. 1). Die Auflistung der weiteren Informationen, die betroffenen Personen zugänglich gemacht werden müssen, sind in der DSGVO ebenfalls aufgelistet (vgl. u.a. Art. 13, 14, 15 DSGVO). Das hat zur Folge, dass es stets durchführbar sein muss, in einfacher Form aus großen Datensätzen oder Datenbanken spezielle Informationen zu isolieren, exportieren und der betroffenen Person zur Verfügung zu stellen. Zur Erinnerung: Auch dieser Vorgang fällt wieder unter die Dokumentationspflicht und muss daher nachvollziehbar ablaufen. Anschließend muss eine Konvertierung der Daten in ein für Laien lesbares Format erfolgen (vgl. Art. 20 Abs. 1), da nicht einfach ein unformatierter Datenbankauszug versendet werden kann. Hierbei entstehen für Firmen enorme Zeitaufwendungen, falls sie unvorbereitet mit vielen Anfragen konfrontiert sind und noch kein System zur einfachen Abarbeitung dieser Anfragen einsetzen. Alle diese immer wiederkehrenden Workflows müssen maschinell ablaufen, da sie zu viel Arbeitskraft erfordern, wenn jeder Schritt von Mitarbeitern einzeln auszuführen ist. Der Zugriff betroffener Personen auf Ihre Daten darf ebenfalls nicht behindert werden. Es ist im Gegenteil explizit die Pflicht zur Erleichterung des Zugriffs vorgeschrieben, der nur in Ausnahmefällen verweigert werden darf (vgl. Art. 12 Abs. 2).

Datensicherheit trotz bekannter Lücken

Ein zusätzlicher mit Problemen behafteter Punkt ist das Thema Sicherheit. Besonders durch die jüngsten Sicherheitslücken bei Prozessoren („Meltdown“ und „Spectre“), von denen fast alle Geräte betroffen sind, zeigen sich auch in der öffentlichen wie medialen Diskussion die Hürden bei der Etablierung sicherer Systeme. Die DSGVO erklärt jedoch ein „angemessenes Schutzniveau“ (vgl. Art. 32 Abs. 1 DSGVO) für personenbezogene Daten zur Pflicht. Schluderige Sicherheitssysteme riskieren daher nicht mehr nur den Ruf von Firmen, sondern stellen auch explizit einen Gesetzesverstoß da. Unternehmen sollten daher allerspätestens jetzt über die Implementierung geeignete Sicherheitssysteme nachdenken und diese so bald wie möglich in ihre Infrastruktur integrieren und dann gemäß üblicher Standards und den Regeln der DSGVO stets auf dem aktuellsten Stand halten (vgl. Art. 3 Abs. 1d DSGVO).

Der nächste Beitrag erscheint in einer Woche zur gleichen Uhrzeit.

Haftungsausschluss
Dieser Beitrag dient der Darstellung technischer Lösungsmöglichkeiten, er berührt aber auch juristische Problemstellungen. Es stellt ausdrücklich keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen.
Die im Rahmen dieses Beitrags zur Verfügung gestellten Informationen halten wir nach Möglichkeit vollständig und aktuell. Wir können jedoch keinerlei Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen geben.
Der Beitrag kann jederzeit und ohne vorherige Ankündigung geändert, ergänzt oder gelöscht werden.
Falls der Beitrag direkte oder indirekte Links auf die Onlineangebote Dritter enthält, so übernehmen wir weder eine Verantwortung für den Inhalt dieser Angebote, noch für deren Richtigkeit, Aktualität oder Vollständigkeit. Wir haben keinerlei Einfluss auf den Inhalt oder die Gestaltung der Onlineangebote Dritter, daher liegt die Verantwortung für den Inhalt eines solchen Angebots stets bei dessen Betreiber bzw. Anbieter.
0

Cloud, Microsoft, Security

Ab dem 25. Mai wird in diesem Jahr wird eine neue Verordnung angewendet, die den Umgang mit personenbezogenen Daten neu regelt. In dieser Serie werden wir einen Ausschnitt der neuen Regelung vorstellen. Anschließend werden diese mit praktischen Tipps und Hinweisen zu hilfreichen Werkzeugen ergänzt, damit der Umstieg auf neue und gesetzeskonforme Arbeitsabläufe gelingt.

Teil 2: Grundsätze des Datenschutzes

Die Datenschutz-Grundverordnung (DSGVO) gibt den Verantwortlichen einige verbindliche Grundsätze an die Hand und stellt Regeln für deren Einhaltung auf. Bei der Verarbeitung sind alle beteiligten Stellen angehalten, besonders auf die Wahrung der Grundrichtlinien „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“ (Art. 5 Abs. 1a DSGVO) zu achten. Die Verarbeitung muss gemäß dem Zweck der Datenerhebung erfolgen („Zweckbindung“ vgl. Art. 5 Abs. 1b) und auf das kleinste Maß minimiert werden („Datenminimierung“ vgl. Art. 5 Abs. 1c). Sobald ein Datensatz veraltet oder falsch wird, ist es Aufgabe der Verarbeitenden, eine Löschung oder Korrektur anzusetzen („Richtigkeit“ vgl. Art. 5 Abs. 1d). Außerdem sind personenbezogene Daten nur so lange aufzubewahren, wie es unbedingt erforderlich ist („Speicherbegrenzung“ vgl. Art. 5 Abs. 1e). Während jeder Verarbeitung ist stets die Sicherheit und Unversehrtheit dieser Daten zu beachten („Integrität und Vertraulichkeit“ vgl. Art. 5 Abs. 1f). Die Einhaltung jener Regeln sollte eigentlich bereits in jedem Unternehmen Standard sein und keine signifikanten Umstellungen erfordern. Viel größere Mühen verursachen hingegen womöglich die Rechenschaftspflichten der Verantwortlichen (vgl. Art. 5 Abs. 2), die damit verbunden werden.

Dokumentations- und Auskunftspflichten

Speziell die Bestimmung des Begriffes „Verarbeitung“, lässt große Dokumentationsaufgaben entstehen, da bereits das Abspeichern oder Ordnen unter die Tätigkeit des Verarbeitens fällt (vgl. Art. 4 Nr. 2). Da Verantwortliche die Einhaltung der oben dargestellten Grundsätze nachweisen müssen („Rechenschaftspflicht“ vgl. Art. 5 Abs. 2), können Aufgabenberge entstehen, deren händische Durchführung kaum möglich ist. Schließlich erfordert jeder Vorgang, der als Verarbeitung definiert wird, auch eine entsprechende Dokumentation. Wird zum Beispiel ein Textdokument, dass bei einem Kundengespräch angelegt wurde und die Kontaktdaten des Kunden enthält, abgespeichert, triff die Rechenschaftspflicht in Kraft. Wird das Dokument nun an einem anderen Ort abgespeichert oder in einem Clouddienst verarbeitet, so muss zu jedem Zeitpunkt gewährleistet sein, dass die Grundsätze der Datenverarbeitung eingehalten werden. Das schließt erneut auch alle Pflichten zur sorgfältigen Dokumentation mit ein. Insgesamt muss es auch in jeder Firma ein „Verzeichnis aller Verarbeitungstätigkeiten“ (Art. 30 Abs. 1) geben. Lediglich Unternehmen mit nicht mehr als 250 Mitarbeitern müssen weniger strenge Dokumentationspflichten einhalten. Der Zwang zur Dokumentation führt zu aufwändigen Schritten, die ganze Workflows hemmen und natürliche Arbeitsabläufe potenziell lähmen, wenn sie von Hand erfolgen. Daher ist es wichtig, rechtzeitig mit der Umstellung auf eine automatisierte Dokumentation und Indizierung umzusteigen, um nicht am Stichtag von den Anforderungen überrannt zu werden, zumal die Ausführung der Grundsätze in weiteren Artikeln der DSGVO noch detaillierter erfolgt und hier nur ein kleiner Ausschnitt beschrieben wurde.


Der nächste Beitrag erscheint in einer Woche zur gleichen Uhrzeit.

Haftungsausschluss
Dieser Beitrag dient der Darstellung technischer Lösungsmöglichkeiten, er berührt aber auch juristische Problemstellungen. Es stellt ausdrücklich keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen.
Die im Rahmen dieses Beitrags zur Verfügung gestellten Informationen halten wir nach Möglichkeit vollständig und aktuell. Wir können jedoch keinerlei Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen geben.
Der Beitrag kann jederzeit und ohne vorherige Ankündigung geändert, ergänzt oder gelöscht werden.
Falls der Beitrag direkte oder indirekte Links auf die Onlineangebote Dritter enthält, so übernehmen wir weder eine Verantwortung für den Inhalt dieser Angebote, noch für deren Richtigkeit, Aktualität oder Vollständigkeit. Wir haben keinerlei Einfluss auf den Inhalt oder die Gestaltung der Onlineangebote Dritter, daher liegt die Verantwortung für den Inhalt eines solchen Angebots stets bei dessen Betreiber bzw. Anbieter.

0