EU-DSGVO – Mehr als nur Maßnahmen?
Die Uhr tickt – die Rede ist von der neuen europäischen Datenschutz-Grundverordnung (kurz: EU-DSGVO). Ihre Umsetzung und Sicherstellung müssen Unternehmen und Behörden, demnach all diejenigen, die mit personenbezogenen Daten arbeiten, bis zum 25. Mai 2018 gewährleisten. Gerichtliche bzw. aufsichtsbehördliche Überprüfungen sind von diesem Moment an statthaft.
Welche Prozesse und Strukturen in einem Unternehmen bzw. in einer Behörde durch einen derartigen Rechtsakt tangiert werden (bspw. die Vertriebsabteilung mit Kundendatenpools oder das intern gepflegte Customer-Relationship-Management), wird trotz verstrichener Zeit weiterhin noch heftig diskutiert.
Eine erste Lösung hinsichtlich der Anforderungserfüllung gestaltet sich auf den ersten Blick vergleichsweise einfach: eine Überprüfung des Unternehmens auf tangierte Bereiche anhand von Checklisten sowie eine stringente Maßnahmenimplementierung gemäß EU-DSGVO. Darunter fallen u. a. die Umsetzung von verschärften Maßnahmen zur Datensicherheit, Meldepflichten bei Verletzung jeglicher personenbezogener Daten sowie Maßnahmen in der Datenverarbeitung (Einwilligung, Transparenz, Zweckbindung, Löschpflichten und Widerspruchsrecht).
Jedoch trügt der Schein der Einfachheit. Vor allem die unternehmensweite Definition, Steuerung, Kontrolle und Dokumentation dieser umzusetzenden, risikobasierten Maßnahmenanforderungen und damit verbundenen Prozess- und Strukturabläufe, stellen Unternehmen vor große Hürden. Erschwerend tritt die neuartige „Rechenschafts- und Nachweispflicht“ bzw. „Accountability“ gem. Art. 5 Abs. 2 DSGVO hinzu, wodurch sich die Lastenverteilung um 180 Grad wendet. Unternehmen müssen, unberührt dessen, ob es zu Schäden oder Verstößen gekommen ist, stets nachweisen können, dass der Datenschutz und damit verbundene Prozesse funktionieren. Dies läuft den bisherigen Grundsätzen im europäisch-rechtlichen Bereich zuwider, da es zu einer Umkehr der Beweislast führt und somit die amerikanische Rechtssystematik verkörpert. Dieser Trend wird sich ebenfalls im Prüfcharakter der Aufsichtsbehörden widerspiegeln, welche sich zukünftig Konzepte, Umsetzungsprozesse, Kontrolldokumentationen sowie Anpassungs- bzw. Verbesserungsmaßnahmen zu datenschutzrelevanten Prozessen darlegen lassen werden.
Um der angesprochenen Findung, Steuerung und Kontrolle der zu etablierenden Datenschutzmaßnahmen auf einem hohen Schutzniveau unter Beachtung der Risiken sowie der Nachweisführung und damit einhergehenden Rechenschaftspflicht nachkommen zu können, scheint nach dem Best-Practice-Ansatz, die Implementierung eines zentralen Datenschutz-Managementsystems bzw. die Integration in ein bestehendes Informationssicherheitsmanagementsystem (ISMS) unausweichlich.
Ersichtlich wird jedoch, dass die neue EU-DSGVO eine weitaus größere Tragweite sowie einen Neuausrichtungsbedarf in Richtung Entwicklung eines Managementsystems für die Umsetzung datenschutzspezifischer Vorgänge annimmt, als dies bis dato aufgrund des hohen etablierten Datenschutzniveaus in Deutschland angenommen wurde.
Man kann nur hoffen, dass Aufsichtsbehörden bereits mit gutem Beispiel vorangegangen sind.
Disclaimer: Beurteilungen von Sicherheitslagen beruhen auf den zum angegebenen Zeitpunkt verfügbaren und als vertrauenswürdig eingeschätzten Informationen der German Business Protection (GBP). Obwohl bei der Zusammenstellung der Informationen größte Sorgfalt angewandt wurde, kann GBP für die Aktualität, Richtigkeit oder Vollständigkeit keine Gewähr übernehmen. In keinem Fall kann GBP für etwaige Schäden irgendwelcher Art verantwortlich gemacht werden, die durch die Verwendung der hier bereitgestellten Informationen entstehen, seien es direkte oder indirekte Schäden bzw. Folgeschäden einschließlich entgangenen Gewinns. Gefahrenlagen sind oft unübersichtlich und können sich rasch ändern.