Personenbezogene Daten schützen, wie schwierig kann das sein?
Gibt es nicht schon genug? Es fühlt sich an, als gäbe es in letzter Zeit endlos viele Angebote zur Einhaltung der Datenschutz-Grundverordnung (DSGVO). Viele Anwaltskanzleien und Beratungsfirmen bieten Kurse, Zertifizierungen und Dienstleistungen an, die uns bzw. Ihnen als absolut unverzichtbar dargestellt werden, wenn wir nicht riskieren wollen ab Mai 2018 astronomische Strafgelder zahlen zu müssen.
Selbstverständlich ist ein ordentlicher Schutz unserer personenbezogenen Daten wichtig, und die Unternehmen müssen sich natürlich auch an die gesetzlichen Vorgaben halten, weshalb ein Teil dieser Angebote durchaus seine Berechtigung haben dürfte. Doch wie schwierig kann es eigentlich sein, mit den neuen EU-DSGVO-Auflagen (DSGVO = Datenschutz-Grundverordnung, im Englischen: GDPR = General Data Protection Regulation) „compliant“ zu werden?
Verantwortungsvoll reduzieren
Ich plädiere schon seit Langem für eine unterstützende Software, am besten als Cloudlösung, um System ins Ganze zu bringen. Außerdem sollte man meiner Meinung nach versuchen, so viel wie möglich zu vereinfachen. Dieses Prinzip der Vereinfachung nenne ich „verantwortungsvolles Reduzieren“. Meiner Überzeugung nach ist es für viele Unternehmen besser, einen Prozess einfach in Gang zu bringen als allzu perfektionistisch an die Sache heranzugehen und sich durch einen solchen Perfektionismus ausbremsen zu lassen. Diese Prinzipien funktionieren hervorragend bei ISO 27001-Projekten und beim IT-Risikomanagement im weitesten Sinne. Doch sind sie auch brauchbar, wenn es um den Schutz personenbezogener Daten und der Einhaltung von gesetzlichen Vorgaben geht? Wir wollen doch, dass unsere persönlichen Daten bestmöglich geschützt werden, und nicht, dass dieser Schutz reduziert wird. Die Frage lautet also: Können wir durch “verantwortungsvolles Reduzieren” den Schutz personenbezogener Daten sicherstellen?
Die Antwort lautet „JA“; denn die Prinzipien lassen sich auch hier anwenden. Wird ein Unternehmen dabei unterstützt, den Schutz der von ihnen erhobenen, verarbeiteten und gespeicherten personenbezogenen Daten auch nur geringfügig zu verbessern, bringt das für uns alle - Bürger wie auch Unternehmen - einen Vorteil.
Secure GDPR
Aus diesem Grund unterbreiten mein Team und ich Ihnen nun ein weiteres Angebot zur Umsetzung der DSGVO ;-)! Im Gegensatz zu anderen Beratungsunternehmen können wir Ihnen ein Werkzeug anbieten, das Ihnen hilft, „compliant“ zu werden und „compliant“ zu bleiben.
Wir haben für Sie ein völlig neues Paket namens Secure GDPR entwickelt, das unter anderem folgendes enthält:
Eine Vielzahl von Informationen und Vorlagen, damit Sie nicht ganz von vorne beginnen müssen.
Dataflow Mapping, personenbezogene Daten in Ihrem Unternehmen sichtbarer macht.
Data Protection Impact Assessment (DPIA)
Handhabung von Data Breach Notifications
Data Protection Officer Dashboard, Schlüsselbereiche in Ihrem Unternehmen im Blick behalten
GAP-Analyse, um den aktuellen Stand sowie die Einhaltung der Vorgaben unter Kontrolle zu haben (Bestandteil des Policy & Compliance-Moduls)
Awareness-Quiz und Filme zum Schutz personenbezogener Daten für Mitarbeiterschulungen
Das Secure GDPR Paket enthält dieses übersichtliche Dashboard
Das neue Paket Secure GDPR wird von uns im ersten Quartal 2017 freigegeben. Bereits jetzt können Sie mit dem Policy & Compliance-Modul, das ebenfalls im Secure-ISMS-Paket enthalten ist, GAP-Analysen durchführen.
Es mag jetzt vielleicht der Eindruck entstanden sein, dass ich alles über die EU-DSGVO weiß. Mitnichten, und auch wenn ein Teil meines Teams sich bereits recht tiefgründig mit der Verordnung befasst hat, würde ich gerne Ihre Meinung zum neuen Paket erfahren. Wir planen den Start einer Beta-Testphase noch vor Weihnachten. Wenn Sie mitmachen möchten, können Sie über diesen Link einen Zugang anfordern.
Die Antwort auf meine Eingangsfrage: “Personenbezogene Daten schützen, wie schwierig kann das sein?” lautet nun: “ganz einfach”! In Bezug auf die Frage nach der Schwierigkeit kann die Durchführung des DSGVO-Projekts - denn ein solches werden Sie wahrscheinlich benötigen - durchaus eine große Herausforderung sein, da die DSGVO viele neue Prozessanforderungen enthält.
Es gibt mindestens drei Faktoren, die Ihnen die Arbeit wesentlich erleichtern:
Wenn Sie das aktuelle Bundesdatenschutzgesetz (BDSG) bisher ganz gut im Griff hatten;
wenn Ihr ISMS ganz oder teilweise auf ISO 27001 basiert;
wenn Sie Werkzeuge wie Secure GDRP und/oder Secure ISMS für das Management Ihrer DSGVO-Aktivitäten benutzen.
Ferner haben wir für Sie eine Anleitung in sieben Phasen ausgearbeitet, die Ihnen bei der Umsetzung helfen kann; diese Anleitung finden Sie hier (auf Englisch)
Frohe Weihnachten.
Mit besten Grüßen
Lars Neupart
Geschäftsführer/Sicherheitsdirektor
Neupart GmbH
Hinweis! Wir wissen natürlich, dass der Einstieg in die EU-DSGVO eine ziemliche Herausforderung darstellen kann und daher können Sie auch auf die Hilfe unserer erfahrenen Beratungsabteilung, Secure Consult, zurückgreifen, in der mehrere Berater auf diesem Gebiet spezialisiert sind. Unter Anderem haben wir aktuell einen neuen Berater und Produktspezialisten, Herrn Karl Otte, aus den Bereichen Informationssicherheit ISO27001 und Datenschutz mit Sitz im Ruhrgebiet für uns bzw. für Sie gewinnen können. Unsere Berater sind in der Lage dafür zu sorgen, dass Sie gut gerüstet sind, um die DSGVO-Anforderungen nach der Anlaufphase selbstständig weiterführen zu können.
Weitere Ressourcen
Nehmen Sie am Webinar Datenschutz-Grundverordnung - Wie schwierig kann das sein? teil
Beantragen Sie die Teilnahme an der Beta-Testphase des Secure GDPR-Pakets. Die Anwendung wird im 1. Quartal 2017 veröffentlicht.
Downloaden Sie eine konkrete Anleitung für den Einstieg in die GDPR-Arbeit (auf Englisch)
Lassen Sie es uns wissen, wenn Sie mit uns darüber sprechen möchten, wie wir Ihnen bei der Einhaltung der EU-DSGVO helfen können
5 praktische Tipps wie Sie personenbezogene Daten schützen
Du besuchst mit dem Internet Explorer
Dieser Browser wird seit 2020 nicht mehr unterstützt. Das bedeutet, dass Dir einige Funktionen von nicht zur Verfügung stehen.
Damit du alle Funtionen von nutzen kannst, empfehlen wir, unsere Webseite mit einem aktuellen Browser wie Microsoft Edge, Mozilla Firefox oder Google Chrome zu besuchen.
Speicherung personenbezogene Daten DSGVO
Speicherung personenbezogener Daten
Die Speicherung von personenbezogenen Daten, z.B. in einem CRM-System oder auf Cloud- bzw. SaaS-Systemen, ist gleich von mehreren gesetzlichen Vorgaben aus der DSGVO und des BDSG-neu betroffen: Zum einen ist eine entsprechende Rechtsgrundlage für die Speicherung von personenbezogenen Daten erforderlich. Das ergibt sich bereits aus Art. 6 DSGVO. Für besondere Kategorien personenbezogener ergibt sich die Erforderlichkeit einer konkreten Rechtsgrundlage aus Art. 9 DSGVO. zum anderen sind bei der Speicherung personenbezogener Daten die Grundsätze für die Verarbeitung von personenbezogenen Daten gem. Art. 5 DSGVO zu berücksichtigen. Auch die technisch-organisatorischen Maßnahmen gem. Art. 25, 32 ff. DSGVO müssen bei der Speicherung von personenbezogenen Daten eingehalten werden.
Wann ist die Speicherung personenbezogener Daten erlaubt?
Die Speicherung von personenbezogenen Daten ist erlaubt, wenn eine entsprechende Rechtsgrundlage für die Verarbeitung vorliegt. Diese Rechtsgrundlage kann sich z.B. aus einem Datenschutzgesetz wie der EU-Datenschutzgrundverordnung DSGVO und/oder dem Bundesdatenschutzgesetz BDSG-neu ergeben.
Zum einen ist die Speicherung von personenbezogenen Daten eine Verarbeitung von personenbezogenen i.S.d. Art. 6, Art. 4 Nr. 2 DSGVO, weshalb eine Rechtsgrundlage für die Speicherung von personenbezogenen Daten erforderlich ist. So ist gem. Art. 6 Abs. 1 lit. a) DSGVO eine Speicherung von personenbezogenen Daten erlaubt, wenn eine Einwilligung gem. Art. 7, 8 DSGVO von der betroffenen Person eingeholt wurde. Eine andere Rechtsgrundlage ergibt sich aus Art. 6 Abs. 1 lit. b) DSGVO: Wenn die Speicherung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen, ist die Speicherung von personenbezogenen Daten rechtmäßig.
Eine Speicherung von personenbezogenen Daten ist darüber hinaus auch dann rechtmäßig, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt, vgl. Art. 6 Abs. 1. lit. c) DSGVO. Eine weitere Rechtsgrundlage bildet Art. 6 Abs. 1 lit. d) DSGVO, wenn eine Speicherung von personenbezogenen Daten erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlich Person zu schützen. Wenn die Speicherung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, ergibt sich die Rechtsgrundlage für die Speicherung von personenbezogenen Daten aus Art. 6 Abs. 1 lit. e) DSGVO.
Falls die Speicherung von personenbezogenen Daten für die Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt, ist die Speicherung rechtmäßig, vgl. Art. 6 Abs. 1 lit. f) DSGVO.
Darüber hinaus gibt es noch viele weitere spezialgesetzliche Regelung für die Verarbeitung bzw. Speicherung von personenbezogenen Daten, wie z.B. für das Beschäftigungsverhältnis gem. Art. 88 DSGVO, § 26 BDSG-neu.
Wenn es um die Speicherung von besonderen Kategorien personenbezogener Daten geht, müssen die Voraussetzungen des Art. 9 DSGVO vorliegen. Hier werden Rechtsgrundlagen für besondere Kategorien personenbezogener Daten, wie z.B. Gesundheitsdaten, biometrische Daten oder genetische Daten, genannt. Eine Rechtsgrundlage für besondere Kategorien personenbezogener Daten kann z.B. eine Einwilligung i.S.d. Art. 9 Abs. 2 lit. a) DSGVO sein. Eine spezialgesetzliche Rechtsgrundlage ergibt sich z.B. aus Art. 9 Abs. 2 lit. b) DSGVO § 26 Abs. 3 BDSG-neu.
Darüber hinaus muss stets berücksichtigt werden, dass die Speicherung von personenbezogenen Daten nicht beliebig lang erfolgen darf. Hier sind stets gesetzliche Aufbewahrungs- und Löschfristen zu berücksichtigen. Diese müssen in Abhängigkeit der jeweiligen gespeicherten personenbezogenen Daten berücksichtigt werden.
