100% Kostenkontrolle
Die DSGVO gilt sowohl für den DAX-Konzern wie für das Ladengeschäft an der Ecke mit elektronischen Bezahlsystem. Zwar ist in Erwägungsgrund Nr. 13 festgelegt, dass die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen sind. Ob dies tatsächlich bei Verstößen strafmildernd wirkt, bleibt abzuwarten. Zweifellos kann von einem kleinen Unternehmen nicht der gleiche Projektaufwand gefordert werden wie für ein Weltunternehmen.
Es gibt also auch keinen zwingenden Mindestaufwand an Beratung, den ein Unternehmen in ANspruch nehmen muss. Die Geschäftsführung der verantwortlichen Stelle bestimmt selbst, welchen Aufwand sie betreiben will. Sie trägt allerdings später auch die Verantwortung.
Bestandsaufnahme
Erste sinnvolle Maßnahme bei der Umsetzung ist, dass man einmal den Bestand dokumentiert, also dokumentiert, welche personenbezogene Daten erhoben, gespeichert und weiter geleitet werden, warum dies geschieht, und warum dies für den Geschäftsprozess notwendig ist. Dann sollte man schauen, was bereits an Materialien vorhanden ist, dass man z.B vorhandene Verfahrensverzeichnisse aktualisiert, eine Risikofolgenabschätzung macht.
Wegen der historischen Komponente der Verzeichnisse der DSGVO erscheint es ratsam, die jeweils aktuellen Verfahrensverzeichnisse in ein umfassendes Dokumentationssystem einzubinden. Alle Änderungen und Ergänzungen sowie die Neuanlegung und Schließung von Verzeichnissen sollten lückenlos unter Verwendung von Zeitstempeln dokumentiert sein.
Risikoabschätzung
Um die Rechte und Freiheiten natürlicher Personen ausreichend zu schützen, muss jeder Datenverarbeiter von besonders schützenswerten Daten das Risiko eines möglichen Datenlecks vorab einschätzen. Daher sollte der Verantwortliche für die Durchführung einer Datenschutz-Folgenabschätzung, mit der insbesondere die Ursache, Art, Besonderheit und Schwere dieses Risikos evaluiert werden. Wir helfen Ihnen bei der Forlgenabschätzung.
Die Ergebnisse der Abschätzung sollten berücksichtigt werden, wenn darüber entschieden wird, welche geeigneten Maßnahmen ergriffen werden müssen, um nachzuweisen, dass die Verarbeitung der personenbezogenen Daten mit dieser Verordnung in Einklang steht. Geht aus einer Datenschutz-Folgenabschätzung hervor, dass Verarbeitungsvorgänge ein hohes Risiko bergen, muss eventuell gar die Aufsichtsbehörde vor der Verarbeitung konsultiert werden.
Sicherheitskonzept
Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen. Diese Maßnahmen sollten unter Berücksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau gewährleisten.
Die Sicherheitsmaßnahmen haben die von der Verarbeitung ausgehende Risiken und die Art der zu schützenden personenbezogenen Daten zu berücksichtigen. Gleichzeitig muss ein Sicheritssystem installiert sein, dass im Falle eines Datenverlustes oder Angriffs die notwendigen Maßnahmen einleitet. Wir beraten Sie bei der Erstellung eines angemessenen Sicherheitskonzeptes.
Auskunft an Betroffene
Jede betroffene natürliche Person hat das Recht, vom Verantwortlichen Auskunft über sie betreffenden personenbezogenen Daten, die erhoben worden sind, zu erhalten. Dieses Auskunftsrecht schließt alle Daten der Person ein, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind. Wir helfen Ihnen, Routinen dazu vorzubereiten.
Eine solche Auskunft muss innerhalb kurzer Frist erfolgen und etwa auch Informationen dazu liefern, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht.
Privacy by Design
Durch technische Maßnahmen soll eine Verbesserung des Datenschutzes erreicht werden. Stichworte sind dabei Privacy by Design und Privacy by Default. Bereits beim Einsatz elektronischer Hilfsmittel wie Software und Datenerhebungsschnittstellen soll die verantwortliche Stelle diesen Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) gerecht werden.
Auch hier beraten wir bei der Umsetzung. Solche Maßnahmen können darin bestehen, dass z.B. die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, oder Sicherheitsfunktionen geschaffen und verbessert werden.