Open Data

EU-Datenschutz-Grundverordnung: Die Uhr tickt!

Ab dem 25. Mai 2018 tritt die EU-weite Datenschutz-Grundverordnung in Kraft. Viele Unternehmen sind von den neuen rechtlichen Regelungen betroffen und müssen jetzt reagieren. Erhalten Sie hier ab sofort eine Übersicht zu den Änderungen sowie interessante und vielfältige Einblicke zur Datenschutz-Grundverordnung (DSGVO) – abseits von schwer verständlichen Paragrafen. Den Auftakt macht Marco Tessendorf, Geschäftsführer und externer Datenschutzbeauftragte der procado Consulting, IT- & Medienservice GmbH aus Berlin.

 

LamaPoll: Herr Tessendorf, Sie sind Geschäftsführer und externer Datenschutzbeauftragter. Seit wann sind Sie in diesem Bereich tätig und was sind Ihre Hauptaufgaben?

Datenschutz-Grundverordnung

Marco Tessendorf: Mit meinem Team bin ich seit 2005 im Bereich Datenschutz und Informationssicherheit tätig. Aktuell habe ich das Mandat als externer Datenschutz- oder Informationssicherheitsbeauftragter für ca. 60 Unternehmen übernommen. Zu den Hauptaufgaben gehören unter anderem: die datenschutzrechtliche Bewertung von Verfahren und die Beratung bei der Einführung neuer Softwarelösungen. Das bedeutet: Ich erfasse, überwache und dokumentiere alle Verfahren, bei denen personenbezogene Daten verarbeitet werden. Somit nehme ich eine Schnittstellenfunktion zwischen IT- und Fachabteilung ein.


LamaPoll: Die Datenschutz-Grundverordnung (kurz DSGVO) ist in aller Munde. Für alle Nicht-Juristen: Was passiert denn nun genau am 25. Mai 2018?

Marco Tessendorf: Einfach gesagt: Das gültige Bundesdatenschutzgesetz (BDSG) wird ab Mai 2018 durch ein EU-weites europäisches Datenschutzrecht, die EU-Datenschutzgrundverordnung (EU-DSVGO), ersetzt. Das Bundesdatenschutzgesetz und die Landesdatenschutzgesetze (LDSG) treten außer Kraft.

Das neu verabschiedete Bundesdatenschutzgesetz “BDSG-neu“ rückt ebenso ab Mai 2018 in den Fokus. Es konkretisiert die Datenschutz-Grundverordnung nämlich in einigen Punkten.

Viele Unternehmen müssen sich auf einen erhöhten Aufwand zur Umstellung der Datenschutzprozesse einstellen. Auch wenn das Datenschutzrecht in Deutschland bereits gut geregelt war, so gibt es einige neue bzw. verschärfte Regelungen. Zum Beispiel die Datenschutzfolgenabschätzung, die Ausweitung der Meldepflicht bei Datenschutzpannen sowie erhöhte Dokumentationsaufwände und erweiterte Rechenschafts- und Informationspflichten gegenüber Betroffenen.


LamaPoll: Welche Auswirkungen hat die DSGVO vor allem für deutsche Unternehmen? Was sind die drei wichtigsten Neuerungen?

Marco Tessendorf: Der Schutz des Betroffenen vor Verletzung seiner Rechte und Freiheiten rückt in den Mittelpunkt. Unternehmen müssen die Sicherheit einer Verarbeitung nachweisen können. Das stärkt die Bedeutung von Audits, Gütesiegeln und Zertifizierungen.

Neu ist die Forderung, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („Privacy-by-Design“ und „Privacy-by-Default“) umzusetzen.
Das ist vor allem für Softwareentwickler von Bedeutung.

Zudem ändern sich die Spielregeln bei der Einschaltung von Dienstleistern (Auftragsverarbeitung). Die Anforderungen an die Eignungsprüfung und die Bedingungen zur Beauftragung von Subunternehmern werden verschärft und Dienstleister stärker in die Pflicht genommen.

Viele Aufgaben waren aus dem Bundesdatenschutzgesetz bekannt. Häufig wurden diese aber nicht ernst genommen und Verstöße selten geahndet. Das wird sich ab Mai 2018 ändern. Die DSGVO sieht eine ausdrückliche Abschreckung durch Bußgelder vor. Der Bußgeldrahmen wird um den Faktor 60 erhöht. Das bedeutet: Zukünftig können Bußgelder in Höhe von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens oder bis zu 20 Mio. € verhängt werden.


Unternehmen müssen die Sicherheit einer Verarbeitung nachweisen können. Das stärkt die Bedeutung von Audits, Gütesiegeln und Zertifizierungen.


LamaPoll: Wer sich bereits jetzt mit der DSGVO beschäftigt hat, trifft immer wieder auf sogenannte „Öffnungsklauseln“. Was hat es mit diesen auf sich?

Marco Tessendorf: Die DSGVO bildet den datenschutzrechtlichen Rahmen für die 28 EU-Mitgliedstaaten. Damit nationale Besonderheiten berücksichtigt werden können, hält die DSGVO sogenannte Öffnungsklauseln (Soll- und Kann-Regelungen) bereit. Der deutsche Gesetzgeber setzt diese „Soll- und Kann-Regelungen“ mit dem „BDSG neu“ um. Es soll zusammen mit der Datenschutz-Grundverordnung in Kraft treten.


LamaPoll: Wie bereiten sich Unternehmen, ob DAX oder Mittelstand, am besten auf die bevorstehenden Änderungen vor? Mit welchem Schritt sollte man aus Ihrer Sicht am ehesten beginnen?

Marco Tessendorf: Zu Beginn sollten Unternehmen sicherstellen, dass ihre Verfahren und Prozesse ordentlich dokumentiert sind. Dies ist nicht nur nach der neuen Verordnung verpflichtend, sondern erleichtert auch die weiteren Schritte hin zur Anpassung. Entsprechend kann dann auch überprüft werden, ob z.B. Rechtsgrundlagen oder Löschfristen angepasst werden müssen.

Ergänzend dazu sollten Unternehmen prüfen, ob bisherige Dokumente und Verträge auch im Hinblick auf die Verordnung noch gültig sind. Insbesondere bei Auftragsdatenverarbeitungen müssen Verträge durchgesehen und eventuell angepasst werden.

Weitere wichtige Schritte: Die Sensibilisierung der Mitarbeiter in Bezug auf das kommende Datenschutzrecht sowie die Implementierung von Verfahren zur Umsetzung der Datenschutzfolgenabschätzung, der Melde- und Konsultationspflichten an die Aufsichtsbehörde und zur Erfüllung der Unterrichtungs- und Informationspflichten gegenüber den Betroffenen.


LamaPoll: Wenn Unternehmen nach dem 25. Mai 2018 eine Online-Umfrage (z.B. Mitarbeiter- oder Kundenbefragung) planen, auf was müssen sie zukünftig achten?

Marco Tessendorf: Vor Beginn der Umfrage sollten Unternehmen, wie nach bisherigem Recht auch, den Zweck der Umfrage eindeutig festlegen, die Rechtsgrundlage benennen und eventuell schutzwürdige Interessen der Betroffenen berücksichtigen. Neu ist, dass die Betroffenen umfassend über ihre Rechte informiert werden müssen. Zum Beispiel in Bezug auf die geplante Datenverarbeitung, Einwilligung und Widerruf. Setzt das Unternehmen eine Software ein, ist diese auf Eignung gemäß der DSGVO-Vorgaben zu prüfen (z.B. Löschoptionen).

Zum Schutz der Betroffenen ist der Einsatz von Verschlüsselung, Anonymisierung und Pseudonymisierung zu erwägen. Das Verfahren ist zu dokumentieren („Verarbeitungsübersicht“) und Löschfristen sind klar zu definieren. Führt ein Dienstleister die Online-Umfrage durch und/oder werden die Daten in der Cloud gespeichert, muss ein Vertrag zur Auftragsverarbeitung (ADV-Vertrag) mit dem Dienstleister abgeschlossen werden.


Keine leichte Frage. Prinzipiell versuche ich so wenig Datenspuren im Internet zu hinterlassen wie irgendwie möglich.


LamaPoll: Zum Schluss noch ein Praxis-Tipp: Welche digitalen sicheren Tools nutzen Sie für Ihren Arbeitsalltag als Datenschutzbeauftragter?

Marco Tessendorf: Keine leichte Frage. Prinzipiell versuche ich so wenig Datenspuren im Internet zu hinterlassen wie irgendwie möglich. Aktuell setze ich beim Browser auf FireFox mit zusätzlichen PlugIns, wie „No Script“ (verhindert die Script- Ausführung) und „Ghostery“ (blockiert Werbebanner und Tracking). Jedoch muss bei der Verwendung der Tools auf deren Einstellungen geachtet werden, damit diese nicht selbst Daten sammeln. Windows 10 hindere ich mit „ShutUp10“ von OO Software am Spionieren. Für unterschiedliche Zwecke nutze ich verschiedene Email-Adressen und Zugangsdaten und zur Passwortverwaltung der vielen Konten „KeePass“.


Herr Tessendorf, vielen Dank für das ausführliche Interview.

 

Weiterführende Informationen zur EU-DSGVO finden Sie auch hier.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert