DSGVO – einmal umgesetzt, alles erledigt?

Wenn du dein Unternehmen mehr oder weniger pünktlich den Erfordernissen der DSGVO angepasst hast, dann ist jetzt alles in Ordnung – oder nicht? Das ist leider ein Trugschluss. Selbstverständlich waren die umfassenden Änderungen ungewohnt, anstrengend oder für einige Unternehmen schwierig, zeitaufwendig oder lästig.

Foto: Pixabay.com, copyright by geralt, 283233, CCO 1.0

Dennoch handelt es sich um eine gesetzliche Vorschrift, die nicht umgangen werden kann. Doch nach erfolgreicher Umstellung kann man sich leider nicht auf den Lorbeeren ausruhen, sondern muss weiter am Ball bleiben. Warum das so ist und was du beachten musst, erklären wir dir hier.

Datenschutz muss laufend angepasst werden

Wenn du die ersten Umsetzungen und Anpassungen hinter dir hast, dann bist du zunächst eine Zeitlang auf der sicheren Seite. Doch deine Firma wächst und mit zunehmender Größe werden auch die Anforderungen an den Datenschutz anspruchsvoller. Es sind mehr Daten und mehr Kunden und Lieferanten mit einzubeziehen, eventuell brauchst du neue Prozesse oder mehr Mitarbeiter, die sich um alles kümmern.

Dazu kommt, dass die Technik sich laufend weiterentwickelt. Deine IT-Systeme und Software müssen daher ebenfalls ständig angepasst werden. Dazu kommen eventuell neue Computer oder Server und natürlich stets aktuelle Virenprogramme und Schutzmaßnahmen, um Sicherheitslücken abzudecken.

Das alles musst du bereits bei der ersten Anpassung an die DSGVO mit berücksichtigen oder wenigstens ab sofort organisieren. Daher bist du gut beraten, wenn du von Anfang an mit einer professionellen Dienstleistungsfirma zusammenarbeitest, die darauf spezialisiert ist. Sie kann dich laufend beraten und notwendige Anpassungen rechtzeitig empfehlen und mit dir gemeinsam umsetzen.

Hintergrund der Anpassung: Artikel 25 DSGVO

Der Grund dafür, dass du stets auf dem neusten Stand sein musst, ist eigentlich selbsterklärend, weil du nur so effektiv arbeiten kannst. Zudem wird es aber explizit in der DSGVO vorgeschrieben und zwar in Artikel 25. Dort geht es um den „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“.

Dort wird unter anderem vorgeschrieben, dass „unter Berücksichtigung des Stands der Technik“ die DSGVO wirksam umzusetzen ist, um die betroffenen Personen zu schützen und den Anforderungen der DSGVO zu genügen.

Der Stand der Technik verändert sich natürlich im Laufe der Zeit und somit muss auch die Technik in deiner Firma sich laufend dem aktuellen Stand anpassen und durch geeignete neue Systeme oder neue Software und Updates angepasst werden.

Auch die Organisation muss angepasst werden

Der Punkt sieht aber auch vor, dass nicht nur die Technik, sondern auch die „sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“ ergriffen werden müssen.

Das ist der Grund dafür, dass du auch notfalls deine Prozesse verändern und anpassen oder die Mitarbeiter neu schulen musst. Denn nicht nur die Erneuerung deines EDV-Systems, sondern auch der Ablauf der Verarbeitung sowie die Kenntnisse der Mitarbeiter spielen eine Rolle dabei, ob der Datenschutz regelmäßig berücksichtig wird.

Artikel 25 DSGVO verpflichtet dich also, laufend die geeigneten technischen und organisatorischen Maßnahmen zu treffen, damit die Verarbeitung der Vorschrift entspricht. 

Welche Anpassungsmaßnahmen werden vorgeschrieben?

Leider erwähnt das Gesetz nicht, welche Maßnahmen du treffen musst. Im „Erwägungsgrund 78 – Geeignete technische und organisatorische Maßnahmen“ bekommst du zumindest Beispiele dafür. Konkret erwähnt wird die Pseudonymisierung, die auch in Artikel 4 der DSGVO näher bestimmt wird.

Im Erwägungsgrund 78 wird erwähnt, dass die Verantwortlichen dabei ganz besonders auf die Grundsätze des „Datenschutzes durch Technik (data protection by design)“ und „datenschutzfreundliche Voreinstellungen (data protection by default)“ achten müssen. Was ist das genau?

Data protection by design and by default

Data Protection by design – Datenschutz durch Technikgestaltung

Der Datenschutz durch Technikgestaltung bedeutet, dass er am besten eingehalten werden kann, wenn er von Anfang an bereits technisch integriert ist. Das heißt, dass du bei bereits bei der Umsetzung der DSGVO oder bei der Auswahl deiner Systeme, Software und Hardware, Anwendungen und so weiter auf die Erfüllung der Datenschutzziele achtest.

Du musst also schon während der Entwicklung deines Datenschutzkonzepts die Maßnahmen berücksichtigen und einplanen. Auch dabei kann dir ein professioneller Dienstleister wie WB Trade-IT tatkräftig zur Seite stehen, denn er hat die notwendige Erfahrung in diesem Bereich, die dir bei der ersten Erstellung möglicherweise noch fehlt.

Data Protection by default

Der Datenschutz durch datenschutzfreundliche Voreinstellungen bedeutet, dass deine Grundeinstellungen (oder in der IT auch Werkseinstellungen) schon im Moment der Entwicklung, Gestaltung, Auswahl und Nutzung der Produkte, Dienste oder Anwendungen das Recht auf Datenschutz berücksichtigen und sicherstellen. Dies soll die Verarbeitung der Daten im Sinne der DSGVO erleichtern und somit auch weniger technisch versierten Nutzern eine nutzerfreundliche und leicht verständliche Anwendung ermöglichen.

Welche Maßnahmen kannst du also ergreifen?

Da der Gesetzgeber dich im Unklaren darüber lässt, was du genau zu tun hast, bist du auf Tipps und Erfahrungen anderer Firmen angewiesen. Dass der Gesetzgeber dir aber einen Spielraum zur Ausführung der Maßnahmen lässt, ist auch ein Vorteil. Denn jede Firma hat einen individuellen Hintergrund. Und als Kleinunternehmen musst du beispielsweise andere Maßnahmen ergreifen als ein weit verzweigter Großkonzern.

Erwägungsgrund 78 schlägt beispielsweise vor:

  • Pseudonymisierung personenbezogener Daten
  • Transparenz in Bezug auf Funktionen und Verarbeitung personenbezogener Daten
  • Dass die Entwickler von Produkten, die bei der Verarbeitung personenbezogener Daten zum Einsatz kommen, bereits den Stand der Technik berücksichtigen, damit die späteren Anwender ihren Datenschutzpflichten nachkommen können.
  • Bei öffentlichen Ausschreibungen soll bereits auf die Grundsätze des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen geachtet werden.

Weitere mögliche Maßnahmen

Die weiteren Möglichkeiten können von deiner individuellen Situation abhängen, du kannst aber über folgende nachdenken:

  • Neben der vorgeschlagenen Pseudonymisierung noch eine zusätzliche Anonymisierung der Daten vornehmen.
  • Bei gekaufter Software darauf achten, ob der Hersteller und Entwickler deine Erfordernisse schon berücksichtigt hat, wie es Erwägungsgrund 78 vorschlägt.
  • Eine Nutzerauthentifizierung einführen.
  • Das Widerspruchsrecht nach Art. 21 DSGVO technisch umsetzen und ausgestalten.
  • Zusätzliche Anregungen aus anderen Standards heranziehen, beispielsweise dem IT-Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnologie (BSI) oder aus verschiedenen ISO-Normen.
Pixabay.com, copyright by TheDigitalArtist, 3443620, CCO 1.0

Bei all den vorgeschlagenen Maßnahmen musst du zudem berücksichtigen, dass Art. 25 DSGVO auch möchte, dass du die Implementierungskosten, Art, Umfang, Umstände und Zweck der Verarbeitung berücksichtigst. Diese musst du in Relation setzen zu den möglichen Risiken und deren Schwere und Eintrittswahrscheinlichkeit und danach die passenden Maßnahmen festlegen.

Die Risikoabschätzung ist ein sehr wichtiger Teil des Datenschutzkonzeptes, vor allem weil eine falsche Einschätzung in falschen Maßnahmen resultieren könnte, die letztlich keinen richtigen Schutz bieten können.

Daher stehen wir dir gerne mit unserem langjährigen Wissen und unserer Kompetenz beratend zur Seite. Melde dich gerne zur Vereinbarung eines Beratungstermins.