EU-DSGVO Tipps

Checkliste für Datenschutzgrundverordnung

2018 wird Jahr der DSGVO

Bild: BMD
Markus Knasmüller, Abteilungsleiter für Software-Entwicklung und Prokurist, BMD-Systemhaus
Bild: BMD

"Eine vollständige Umsetzung der Datenschutzgrundverordnung, die alles berücksichtigt, erscheint kaum möglich, eine praxisbezogene Umsetzung ist gewünscht", sagt Markus Knasmüller von BMD-Systemhaus in Steyr. Dafür hat der Experte eine nützliche Checkliste parat.

Grundsätzlich ist die Datenschutzgrundverordnung (DSGVO) eine sehr sinnvolle Verordnung der Europäische Union, um Datenkraken wie Google oder Facebook in den Griff zu bekommen, was wohl auch die hohen Strafandrohungen von teilweise über 20 Mio. Euro erklärt. Die Strafen, die aber jetzt alle treffen können, werden durch ein strenges Regelwerk begleitet, das noch viele Fragen offen lässt. "Eine vollständige Umsetzung der Datenschutzgrundverordnung, die alles berücksichtigt, erscheint kaum möglich, eine praxisbezogene Umsetzung ist gewünscht", sagt Markus Knasmüller, Abteilungsleiter für Software-Entwicklung und Prokurist bei BMD-Systemhaus in Steyr sowie gerichtlich zertifizierter Sachverständiger – unter anderem für Datenschutz.

Hohe Strafen ab 25. Mai vorgesehen

Mit 25. Mai tritt die Datenschutzgrundverordnung in Kraft. Grundsätzlich sind viele der dann geltenden Regeln gar nicht so anders als bisher, jedoch hatten diese in der Praxis oft nicht die gleiche Bedeutung wie künftig. Vielen waren die Regeln einfach schlicht unbekannt. Das Recht auf Auskunft, das jedermann berechtigt bei jedem Unternehmen in der EU anzufragen, ob Daten über ihn gespeichert werden, gab es zum Beispiel auch bisher in ähnlicher Form. Die Nichterfüllung war aber mit maximal 500 Euro bestraft, nun mit bis zu 20 Mio. Euro, wobei bei internationalen Konzernen die Strafe sogar höher, nämlich bis zu vier Prozent des Jahresumsatzes sein könnte. Übrigens: Sollten Daten über die Person gespeichert werden, muss eine vollständige Kopie dieser Daten ausgefolgt werden.

Kein Grund zur Panik

Es ist ganz klar, dass die Unternehmen auf europäischer Ebene mit den hohen Strafdrohungen gezwungen werden sollen, den Datenschutz nun ernst zu nehmen. Angesichts einer Vielzahl ausgebuchter Seminare zu diesem Thema dürfte dies auch gelungen sein. Dennoch, so Knasmüller, sollte man nicht in Panik verfallen.

Eine praxisorientierte Vorgehensweise ist laut dem Experten sinnvoll, folgende Checkliste kann dafür herangezogen werden:

  • Auch wenn ein Datenschutzbeauftragter für die meisten Unternehmen nicht nötig ist, so ist doch sinnvollerweise eine verantwortliche Person für den Datenschutz zu bestimmen. Diese benötigt die Unterstützung des gesamten Unternehmens und vor allem die des Top-Managements, das mit gutem Beispiel vorangehen sollte.
  • Ein Verzeichnis der Verarbeitungstätigkeiten ist zu führen, dies ist vielfach ohnehin verpflichtend, aber jedenfalls sinnvoll. Darin sollten – vereinfacht gesagt – die Programme angeführt werden mit denen personenbezogene Daten verarbeitet werden. Hier werden auch die Softwareanbieter gefragt sein, BMD hat etwa beim Jahresupdate ein vollständiges Verzeichnis seiner Programme diesbezüglich ausgeliefert.
  • Dieses Verzeichnis muss nicht nur bei etwaigen – wohl eher unwahrscheinlichen – Kontrollen der Datenschutzbehörde vorgelegt werden, es dient vor allem dazu selbst die Übersicht zu bewahren. Wo sind bessere Datensicherheitsmaßnahmen zu setzen, in welchen Systemen muss nachgesehen werden, wenn jemand das Recht auf Auskunft begehrt, welche Löschfristen sind wo festzulegen, etc.
  • Werden bei der Verarbeitung von Daten andere Unternehmen, sogenannte Auftragsverarbeiter, eingebunden? Beispiele dafür könnten etwa Newsletter-Agenturen, Steuerberater oder auch IT-Dienstleister (z. B. Cloudanbieter) sein. Mit diesen müssen die Vertragsverhältnisse wahrscheinlich überarbeitet werden, um die DSGVO-Vorschriften zu erfüllen.
  • Aber auch andere Verträge und insbesondere die AGBs sind wahrscheinlich zu überarbeiten.
  • Alle Mitarbeiter sollten eine Verschwiegenheitserklärung unterzeichnen und sind entsprechend zu schulen.
  • Werden Daten in das EU-Ausland übertragen? Derartige Datenflüsse sind nur unter gewissen Umständen zulässig und müssten genauer betrachtet werden.
  • Im Internet sollte eine Informationsseite angeboten werden, die offenlegt, welche Datenkategorien über welche Personen gespeichert werden. Auf diese kann dann bei der Erhebung von Daten, etwa bei Online-Shops, verwiesen werden.

Gerade der letzte Punkt ist Knasmüller zufolge besonders hervorzuheben: Bei der DSGVO steht die Transparenz im Vordergrund. Eine Person sollte wissen, wann über sie Daten gespeichert werden und sie sollte darauf vertrauen können, dass sorgsam mit ihren Daten umgegangen wird. "Grundsätzlich etwas Selbstverständliches und wenn nach dieser Checkliste vorgegangen wird, sollte der Aufwand auch überschaubar bleiben", so Knasmüller abschließend.

Viele weitere Tipps und Informationen zur EU-DSGVO haben wir für Sie unter monitor.at/list/tag/eu-dsgvo/ gesammelt.

Mehr Artikel zum Thema: EU-DSGVO Tipps

85% verpassen DSGVO-Deadline

Obwohl die Regulierung in einer Woche anwendbar wird,...

Weiterlesen

nic.at beschränkt Whois-Abfragen

In Hinblick auf die DSGVO hat die Domain-Registry nic.at...

Weiterlesen

DSGVO & Co.: Wer nicht verschlüsselt, ist selber schuld

Nichts erfreut Hacker und Datendiebe mehr als der Zugriff...

Weiterlesen

Überlegen, was Kunden interessiert

Ein Suchmaschinen-Treffer steht heute zumeist am Anfang...

Weiterlesen

Kein Freibrief für Datenschutzverstöße

Wir haben den Rechtsanwalt Gerald Ganzger gefragt, welche...

Weiterlesen

DSGVO: Ein zahnloser Löwe?

Knapp einen Monat vor dem Stichtag der EU-DSGVO am 25. Mai...

Weiterlesen

DSAG löst Datenschutz-Fragezeichen

Es soll immer noch Unternehmen geben, die im freien Fall auf...

Weiterlesen

"Das ist ein Wahnsinn"

"Wir brauchen drei bis sechs Monate, um gute Leute auf...

Weiterlesen

Aus Security-Sicht ein Horror

Die Ergebnisse des jährlichen Breach Level Index von Gemalto...

Weiterlesen

Keine Angst vor digitaler Transformation mit VDI

Virtual Desktop Infrastructure bzw. Desktop-Virtualisierung...

Weiterlesen

Vorsicht, Open-Source-Falle!

Die Euphorie rund um das 20-jährige Open-Source-Jubiläum ist...

Weiterlesen

Datenschutz bei der DSAG

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) macht auch vor...

Weiterlesen

EU-DSGVO: Was ist noch machbar?

Die neue Datenschutz-Grundverordnung der EU steht...

Weiterlesen

DRACOON ist EU-DSGVO-ready

DRACOON, Experte im Bereich Enterprise Filesharing, erhält...

Weiterlesen

Best Architecture Practices für Kettle und IoT

Was müssen Verantwortliche von Pentaho Data Integration...

Weiterlesen

66 Prozent schützen Office-365-Umgebung nicht!

Barracuda hat kürzlich eine Umfrage unter seinen...

Weiterlesen

EU-Datenschutz-Grundverordnung: Die Zeit wird knapp

Die neue Datenschutz-Grundverordnung gilt ab 25. Mai 2018 in...

Weiterlesen

Fachkräftemangel in Sachen Cybersicherheit – Fünf Ansätze

Gerade im Bereich Cybersicherheitsanalytik und -betrieb...

Weiterlesen

7 Dinge, die Entwickler über Container wissen sollten

Container sind eine noch junge Technologie, die sich immer...

Weiterlesen