Die Datenschutzgrundverordnung (DS-GVO) löst am 25. Mai 2018 das Bundesdatenschutzgesetz (BDSG) ab – sie greift direkt und unmittelbar, es gibt keine Übergangsfrist.
Die DS-GVO verpflichtet Unternehmen ein Datenschutzmanagementsystem einzuführen, das den Schutz der personenbezogenen Daten in Unternehmern sicherstellen soll.
Bisher regelt § 9 BDSG die technischen und organisatorischen Maßnahmen (TOM).
Zukünftig hat Art. 32 DS-GVO „Sicherheit der Verarbeitung“ eine besondere Bedeutung was die Kriterien für die technischen und organisatorischen Maßnahmen betrifft, um ein angemessenes Datenschutzniveau zu gewährleisten.
Sicherheit nach DS-GVO:
Die klassischen Schutzziele der IT-Sicherheit wie Vertraulichkeit, Integrität und Verfügbarkeit sind in Art. 32 Abs. 1 DS-GVO geregelt. Daneben gibt es neue Begriffe wie z. B. die Belastbarkeit (engl. resilience“) und Konformität.
Für den Verantwortlichen (dem Unternehmen) gilt es auch die Belastbarkeit der Systeme und Dienste sicherzustellen. Maßnahmen dazu, nennt die DS-GVO nicht.
Die Konformität ergibt sich aus der Nachweiserbringung (Rechenschaftspflicht nach Art. 5 Abs. 2), d. h. inwieweit hält sich ein Verantwortlicher an die Verarbeitungsgrundsätze der DS-GVO und gewährleistet somit die Sicherheit der Verarbeitungen (z. B. durch Zertifizierungen, Verhaltensregeln).
Um ein angemessenes Schutzniveau nach Art. 32 Abs. 1 DS-GVO beurteilen zu können, muss der Verantwortliche wissen, welchen Schutzbedarf die personenbezogenen Daten haben. In der Regel finden sich Kategorien wie normal, hoch und sehr hoch (Risikoanalyse):
- Schutzbedarf personenbezogener Daten feststellen
- Risikobewertung mit Fokus betroffener Personen
- Maßnahmen treffen unter Berücksichtigung von Stand der Technik
- Berücksichtigung von Privacy by Design und Privacy by Default
- Implementierungskosten (Verhältnismäßigkeit)
- Nachweise für Konformität
Die IT-Sicherheit bekommt mit der DS-GVO eine höhere Bedeutung für den Datenschutzverantwortlichen als bislang durch das BDSG. Die Schnittmenge zwischen Datenschutz und Informationssicherheit wird größer.
Unzureichende Datensicherheit ist ab Mai 2018 ein Bußgeldtatbestand. Bislang waren Verstöße gegen § 9 BDSG technische und organisatorische Maßnahmen nicht bußgeldbewehrt. Ein Verstoß gegen Art. 32 DS-GVO wird mit der Grundverordnung mit einem Bußgeld von bis 10 Mio. Euro oder 2 % des Jahresumsatzes geahndet.
Sie wissen nicht wie Sie bei der Dokumentation verfahren sollen? Gerne stellen wir Ihnen unsere Mustervorlage zur Verfügung. Schreiben Sie einfach ein E-Mail an consulting@AdOrgaSolutions.de, Stichwort: Blog Art. 32.
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.