Unterschied was Datenschutz darf und was Datensicherheit kann
Es gibt neben der gesetzlichen Vorgabe, welche personenbezogene Daten, in welcher Form usw. verarbeitet werden dürfen auch praktische Möglichkeiten, wie und in welchem Umfang personenbezogene Daten verarbeitet werden können – also was die technischen Möglichkeiten zulassen würden.
Nicht immer passen beide Aspekte der Datenverarbeitung zusammen. Die Frage „Wann dürfen personenbezogene Daten verarbeitet werden?“, haben wie bereits in einem Blogartikel zusammengefasst:
BLOG-TIPP: WANN IST DIE VERARBEITUNG VON PERSONENBEZOGENEN DATEN ERLAUBT?
Nicht alles, was möglich wäre, ist auch gleichzeitig erlaubt, wenn es um die Verarbeitung von personenbezogenen Daten geht. Darüber hinaus müssen die technischen Möglichkeiten bei der Verarbeitung von personenbezogenen Daten auch dazu genutzt werden, um die Verarbeitung entsprechend sicher zu gestalten.
DS-GVO legt Wert auf technische Umsetzung
In der Datenschutzgrundverordnung wird auf Seiten der gesetzlichen Vorgaben daher zum einen Wert gelegt auf die Einschränkungen der möglichen technischen Verarbeitungen, aber auch in der Nutzung der technischen Gegebenheiten zum Schutz der personenbezogenen Daten bei der Verarbeitung.
Dabei richtet sich der Schutz nicht darauf, dass Schaden für das Unternehmen abgewandt werden. Auch wenn der Schutz von Unternehmensdaten und der Schutz für das Unternehmen vor finanziellen oder Imageschäden einen positiven Effekt für das Unternehmen darstellen kann, so geht es bei der Umsetzung des Datenschutzes auf technischer Seite vor allem darum, den Betroffenen vor Schaden zu bewahren. Der Schwerpunkt liegt hierbei darin, die verarbeiteten personenbezogenen Daten vor Zugriff, Veränderung, Löschung oder Diebstahl durch unbefugte Dritte aber auch durch die eigenen Mitarbeiter zu schützen. Bei dem Schutz der personenbezogenen Daten spielt es dann auch keine Rolle, ob der Schaden beabsichtigt oder unbeabsichtigt erfolgt ist.
Schutz der personenbezogenen Daten in der DS-GVO
In der DS-GVO finden sich besondere Schutzziele für die Verarbeitung von personenbezogenen Daten. Diese sollen durch die Umsetzung der sogenannten technischen und organisatorischen Maßnahmen sichergestellt werden.
Um die Vertraulichkeit zu gewährleisten, müssen die Daten vor dem Zugriff oder die Einsicht durch Unbefugte geschützt werden. Dafür sollten die personenbezogenen Daten zum Beispiel durch Verschlüsselung oder Pseudonymisierung ausreichend geschützt werden.
Die Integrität im Datenschutz soll vor allem die Unversehrtheit und die Vollständigkeit der Daten sicherstellen. Personenbezogene Daten müssen also so verarbeitet werden, dass sie nicht absichtlich oder unabsichtlich verändert werden, bzw. jede rechtmäßige Änderung durch eine entsprechende Dokumentation nachvollzogen werden können.
Durch die in der DS-GVO festgelegte Verfügbarkeit der personenbezogenen Daten, müssen diese bei Bedarf zur Verfügung stehen und das auch zeitgerecht. Dazu sollte der Verantwortliche entsprechende Back-Up- und Recovery-Systeme nutzen und auch vorsorgliche Maßnahmen treffen, die in Notfallsituationen wie Stromausfällen oder ähnlichem greifen, damit keine Daten verloren gehen.
Die Systeme, welche zur Datenverarbeitung genutzt werden, müssen entsprechend belastbar sein (Belastbarkeit). Das gilt auch in entsprechenden Notfallsituationen oder bei stärkerer Belastung der Systeme. Die personenbezogenen Daten sollten durch Datensicherheitsmaßnahmen zeitnah wiederhergestellt werden können. Entsprechende Maßnahmen zur Wiederherstellbarkeit müssen vom Verantwortlichen getroffen werden.
BLOG-TIPP: DATENSCHUTZ FÜR UNTERNEHMEN IN NRW – GRUNDSÄTZE DES DATENSCHUTZES
Stand der Technik im Datenschutz
Um vor allem die technischen Voraussetzungen beim Datenschutz so umzusetzen, dass der Schutz der personenbezogenen Daten ausreichend ist, muss der Stand der Technik beachtet werden. Dies ist in der DS-GVO festgehalten. Dazu gehört auch die Ausarbeitung des Datensicherheitskonzepts.
Darüber hinaus sind bei der Verarbeitung die Risiken für Betroffene zu berücksichtigen. Entsprechend der individuellen Risiken je nach Verarbeitung müssen diese bewertet und die technischen und organisatorischen Maßnahmen angepasst werden.
Maßnahmen regelmäßig aktualisieren
Da sich die Vorgänge bei der Datenverarbeitung und auch die Ansprüche an die technischen Maßnahmen regelmäßig weiterentwickeln, müssen auch die Maßnahmen zum Schutz der personenbezogenen Daten bei deren Verarbeitung immer angepasst werden.
Bei der technischen Datenverarbeitung bedeutet das vor allem, dass die technischen Maßnahmen zum Schutz der personenbezogenen Daten und zur Einhaltung der DS-GVO immer wieder überprüft und angepasst werden müssen.
Wichtig ist es dabei auch, die Dokumentationspflicht nicht zu vernachlässigen. Diese ist ebenfalls durch die DS-GVO vorgegeben. Dazu gehört die Dokumentation der technischen und organisatorischen Maßnahmen, ebenso wie die dazugehörige Risikoanalyse. Dokumentiert werden müssen darüber hinaus unter anderem auch die Verarbeitungstätigkeiten in einem entsprechenden Verzeichnis (VVT).
Welche Sicherheitsmaßnahmen gibt es im Unternehmen?
Die Beurteilung im Datenschutz stellt für Unternehmen und andere Organisationen nicht selten eine Herausforderung dar. Dazu gehört auch die Frage, welche Sicherheitsmaßnahmen sind vorhanden, welche sind notwendig und was muss noch ergänzend umgesetzt werden, um den Datenschutz im ausreichenden Maße nach den gesetzlichen Vorgaben umzusetzen.
Notwendige Statusüberprüfungen und Anpassungen runden den Datenschutz ab und tragen dazu bei, DS-GVO- und BDSG-Vorgaben umzusetzen. Das kann aber unter Umständen sehr komplex werden und sollte mit Hilfe eines (externen) Datenschutzbeauftragten umgesetzt werden. Dieser ist nicht selten durch die Vorgaben der DS-GVO verpflichtend zu berufen, aber selbst, wenn dies nicht der Fall ist, kann der (externe) Datenschutzbeauftragte mit einem Blick auf alle Abteilungen bei der Umsetzung des Datenschutzes helfen.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.