GDPR - die neue Datenschutzverordnung der EU hat es in sich ...

GDPR - die neue Datenschutzverordnung der EU hat es in sich ...

Artikel erschienen in IT Magazine 2017/06

Neue Verantwortlichkeiten mit Auswirkungen auf die IT

Es fängt bereits damit an, dass eine vollständige Dokumentation der bestehenden Verarbeitungen, deren Zweck und Rechtsgrundlage sowie der beteiligten Provider vorhanden sein muss. Die Verarbeitungskette aller beteiligten internen und externen Service Provider muss vollständig dokumentiert und mit entsprechenden Verträgen bezüglich der neuen Verantwortlichkeiten abgesichert werden. Ohne die Transparenz des Ist-Zustandes wird es schwierig eine angepasste Soll-Lösung zu entwickeln. Es ist daher wichtig, dass sich nicht bloss die Unternehmensleitung, sondern alle Entscheidungsträger und Schlüsselpersonen mit den Anforderungen von GDPR vertraut machen.

Einzelpersonen haben nun umfassende Rechte was die Verarbeitung von Daten seine Person betreffend anbelangt. Nicht nur, dass er vollständiges Auskunftsrecht über Zweck und Rechtsgrundlage der Verarbeitung verlangen kann, er kann auch jederzeit die Löschung der Daten verlangen, wenn der legitime Zweck der Verarbeitung erfüllt ist. Beispielsweise nach Abschluss und Bezahlung der Transaktion eines Webshop-Einkaufs. Die Umsetzung muss innerhalb eines Monats erfolgen.

Er kann aber auch verlangen, dass die verarbeiteten Daten über ihn zu einem anderen Unternehmen transferiert werden. Wenn er beispielsweise die Bank oder seinen Lieferanten wechselt. Ein weiteres Beispiel ist ein Spital, welches sein Patientendossier und seine Daten vollständig in ein anderes Spital transferieren soll. Er hat zudem auch das Recht auf Richtigstellung von Informationen welche ihn betreffen.

Diese aus Sicht der Einzelpersonen wichtigen und begrüssenswerte Rechte stellen Unternehmen vor grosse Hürden in der Umsetzung. Wie gut ist heute transparent ersichtlich, wo überall personenbezogene Daten abgelegt und von wem sie verarbeitet werden? Dies kann in den verschiedensten Systemen, wie beispielsweise in einem SAP, CRM, Web-Shop, Marketing & Sales etc., sei. Ebenso kann dies auf unterschiedlichen elektronischen Medien und sogar Papier-Dokumenten erfolgen.
Unternehmen, welche bereits erfolgreich Web-Cookies für Datenanalyse-Zwecke einsetzen und Nutzerprofile für Marketing-Aktionen nutzen, werden ihre Lösung ebenfalls überdenken müssen, denn diese Cookies gelten explizit als Verarbeitung von personenbezogenen Daten. Denn die Identifikation von Individuen kann mittels einer Kombination von anonymen Daten ermittelt werden (Pseudonymisierung).
Es ist bei weitem nicht mehr damit getan, neu formulierte Datenschutzbestimmungen den Nutzern von Websites anzubieten, welche diese dann genervt einfach wegklicken können. Dass in solchen Hinweisen implizit die Zustimmung zur Verarbeitung abgefragt wird, ist nur eine Seite der Medaille. Die dem Nutzer zustehenden Rechte müssen nicht nur klar offengelegt, sondern auch mit entsprechenden Verfahren intern sichergestellt werden. So reicht es nicht, automatisierte Verfahren einzurichten, welche die Anfragen der einzelnen Personen abwickeln. Es muss immer auch eine verantwortliche Person offengelegt werden, an welche sich die Berechtigten wenden können und ihm menschliches Gehör verschafft.

Die Unternehmen haben zudem auch erweiterte Sorgfaltspflichten, welche sie über alle beteiligten Provider garantieren müssen. Datenschutzverletzungen müssen binnen 72 Stunden an die Datenschutzbehörde gemeldet werden. Dabei ist bei einem Verlust von Datenträgern, wie beispielsweise ein USB oder auch ein Cybersecurity-Vorfall, genauestens zu untersuchen ob personenbezogene Daten betroffen sind. Jeder interne oder externe Service Provider muss so einen Vorfall unverzüglich an das verantwortliche Unternehmen melden. Sollten sich grosse Risiken auf die Rechte der betroffenen Personen ergeben, sind auch diese sofort zu informieren. Zudem müssen all diese Vorfälle detailliert dokumentiert und ein Log darüber geführt werden.

Die Verarbeitung der Daten erfolgt über die Systeme der IT und der beteiligten Service Provider. Lösungen zur Ausübung der umfangreichen Rechte müssen daher auch zu einem Grossteil über entsprechende Prozesse und Verfahren innerhalb der IT sichergestellt werden.

Neuen Kommentar erfassen

Anti-Spam-Frage Wie hiess im Märchen die Schwester von Hänsel?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER