Datenschutz: Diese Regeln sollten im Unternehmen eingeha ... / 3 Maßnahmen zum Datenschutz

3.1 Technische und organisatorische Maßnahmen

Was hinsichtlich des Datenschutzes zu tun ist, hängt von verschiedenen Faktoren ab. Zum einen gibt es allgemeine Empfehlungen, die immer beachtet werden sollten, auch wenn hierzu keine expliziten vertraglichen oder gesetzlichen Verpflichtungen bestehen. Diese Regeln dienen dem Schutz des Unternehmens vor vermeidbaren Unannehmlichkeiten durch einen Datenmissbrauch durch Dritte. Des Weiteren sind vertragliche sowie gesetzliche Verpflichtungen zu beachten.

Bei nicht-personenbezogenen Daten – z. B. Finanzdaten – regeln verschiedene Vorschriften Maßnahmen zum Datenschutz. So sieht bspw. das Steuerrecht vor, dass alle steuerrelevanten Daten gesichert werden und lesbar sein müssen (i. d. R. für mindestens 10 Jahre). Hierzu muss das Unternehmen die geeignete Technologie vorhalten, also bspw. auch alte Software.

In Bezugs auf personenbezogene Daten verlangen DSGVO und BDSG, dass unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen getroffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen schließen unter anderem Folgendes ein:

1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

Soweit möglich, sollte (IT-)systemisch eine Trennung zwischen personenbezogenen Merkmalen und Inhaltsdaten, die Verwendung von Pseudonymen und die Anonymisierung personenbezogener Daten, erfolgen. Gemäß dem Gedanken des "Privacy by Design" sollten IT-Systeme so gestaltet werden, dass ein hohes Datenschutzniveau erreicht wird. So etwa, dass bei der (online) Datenerfassung in der Benutzeroberfläche bereits nur die Daten abgefragt oder verschlüsselt weitergeben werden, die tatsächlich für den vorgegeben Zweck benötigt werden, ohne dass der Nutzer hier aktiv tätig werden muss.

3.2 Datenschutz-Folgenabschätzung

Art. 35 DSGVO verpflichtet Unternehmen zu einer sog. "Datenschutz-Folgenabschätzung". Dies soll der Fall sein, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Solche Fälle sind bspw.

• die Bewertung und Einstufung (Scoring) einschließlich Prognosen und Profilerstellung,
• sensitive, insbesondere personenbezogene Daten, wie bspw. Gewerkschaftszugehörigkeit,
• Datentransfers in Länder außerhalb der EU etc.^[1]

In solchen Fällen ist vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen.

Die Folgenabschätzung soll zumindest Folgendes enthalten:

1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Achtung

Beweispflicht liegt bei den Unternehmen

Nach Art. 5 Abs. 2 DSGVO müssen Unternehmen nachweisen, dass sie die Vorgaben der DSGVO einhalten. Nach Art. 24 Abs. 1 DSGVO besteht eine Beweispflicht für den Arbeitgeber bei diesbezüglichen Streitfällen.

[1] Der Kriterienkatalog ist nicht abschließend und kann laufend ergänzt werden.

3.3 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Im Falle einer Verletzung des Schutzes personenbezogener Daten muss das Unternehmen unverzüglich und möglichst binnen 72 Stunden...