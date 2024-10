Es gibt keinen einheitlichen DSGVO-Compliance-Plan, aber es gibt einige grundlegende Praktiken, die Unternehmen bei der Umsetzung der DSGVO leiten können.

Eine Liste der wichtigsten DSGVO-Anforderungen finden Sie in der Checkliste zur DSGVO-Konformität.

Bestandsaufnahme personenbezogener Daten

Obwohl die DSGVO nicht ausdrücklich einen Datenbestand vorschreibt, beginnen viele Unternehmen aus zwei Gründen genau damit. Zunächst einmal hilft es dem Unternehmen, seine Verpflichtungen im Bereich der Compliance besser zu verstehen, wenn es weiß, über welche Daten es verfügt und wie diese verarbeitet werden. Zum Beispiel benötigt ein Unternehmen, das Gesundheitsdaten von Benutzern sammelt, stärkere Schutzmaßnahmen als ein Unternehmen, das nur E-Mail-Adressen erfasst.

Zweitens erleichtert eine umfassende Bestandsaufnahme die Erfüllung von Benutzeranfragen zur Weitergabe, Aktualisierung oder Löschung ihrer Daten.

Bei einer Dateninventarisierung können Details erfasst werden wie:

Arten der gesammelten Daten (Benutzernamen, Browserdaten)

Datenpopulationen (Kunden, Mitarbeiter, Studenten)

Wie Daten gesammelt werden (Event-Registrierungen, Landingpages)

Wo Daten gespeichert werden (On-Premises-Server, Cloud-Services)

Zweck der Datenerhebung (Marketingkampagnen, Verhaltensanalysen)

Wie Daten verarbeitet werden (automatisches Scoring, Aggregation)

Wer Zugriff auf die Daten hat (Mitarbeiter, Lieferanten)

Vorhandene Sicherheitsvorkehrungen (Verschlüsselung, Multi-Faktor-Authentifizierung)

Es kann schwierig sein, personenbezogene Daten aufzuspüren, die über das Netzwerk des Unternehmens in verschiedenen Workflows, Datenbanken, Endpunkten und sogar Schatten-IT-Assets verstreut sind. Um die Verwaltung von Datenbeständen zu erleichtern, können Unternehmen den Einsatz von Datenschutzlösungen in Betracht ziehen, die Daten automatisch erkennen und klassifizieren.

Identifizierung und Schutz von Daten besonderer Kategorien

Bei der Inventarisierung von Daten sollten Organisationen alle besonders sensiblen Daten notieren, die zusätzlichen Schutz erfordern. Die DSGVO schreibt insbesondere für drei Arten von Daten zusätzliche Vorsichtsmaßnahmen vor: Daten der besonderen Kategorie, Daten über strafrechtliche Verurteilungen und Daten über Kinder.

Zu den Daten der besonderen Kategorie gehören biometrische Informationen, Gesundheitsdaten, Rasse, ethnische Zugehörigkeit und andere sehr persönliche Informationen. Unternehmen benötigen in der Regel die ausdrückliche Zustimmung eines Benutzers, um Daten besonderer Kategorien zu verarbeiten.

Daten über strafrechtliche Verurteilungen können nur von öffentlichen Behörden kontrolliert und auf deren Anweisung verarbeitet werden.

Die Daten über Kinder dürfen nicht ohne Zustimmung der Eltern verarbeitet werden, und Organisationen benötigen Mechanismen, um das Alter der betroffenen Personen und die Identität ihrer Eltern zu überprüfen. Jeder EWR-Staat legt seine eigene Definition von „Kind“ im Rahmen der DSGVO fest. Die Schwellenwerte reichen von unter 13 bis unter 16 Jahren. Unternehmen müssen auf die Einhaltung dieser unterschiedlichen Definitionen vorbereitet sein.

Prüfung der Datenverarbeitungsaktivitäten

Während der Dateninventur dokumentieren Unternehmen alle Verarbeitungsvorgänge, die die Daten durchlaufen. Anschließend müssen sie sicherstellen, dass diese Vorgänge den Verarbeitungsregeln der DSGVO entsprechen. Zu den wichtigsten Grundsätzen der DSGVO gehören die folgenden:

Jede Verarbeitung muss auf einer festgelegten Rechtsgrundlage erfolgen: Eine Datenverarbeitung ist nur zulässig, wenn eine genehmigte Rechtsgrundlage für diese Verarbeitung vorliegt. Zu den üblichen Rechtsgrundlagen gehören die Einholung der Zustimmung des Benutzers, die Verarbeitung von Daten zur Ausführung eines Vertrags mit dem Benutzer und die Verarbeitung von Daten im öffentlichen Interesse. Unternehmen müssen vor Beginn jedes Verarbeitungsvorgangs die Rechtsgrundlage dokumentieren.

Zweckbindung: Daten sollten für einen konkret definierten Zweck erfasst und verwendet werden.

Datenminimierung: Unternehmen sollten die Mindestmenge an Daten erfassen, die für ihren angegebenen Zweck erforderlich ist.

Korrektheit: Unternehmen sollten sicherstellen, dass die von ihnen erhobenen Daten korrekt und aktuell sind.

Speicherbegrenzung: Unternehmen sollten Daten sicher entsorgen, sobald ihr Zweck erfüllt ist.

Aktualisierung der Einverständniserklärungen der Benutzer

Die Einwilligung des Nutzers ist eine gängige Rechtsgrundlage für die Verarbeitung. Gleichzeitig ist die Einwilligung nach der DSGVO nur gültig, wenn sie informiert, bestätigend und freiwillig erteilt wird. Unternehmen müssen möglicherweise ihre Einwilligungsformulare aktualisieren, um diese Anforderungen zu erfüllen.

Um sicherzustellen, dass die Zustimmung informiert ist, sollte das Unternehmen zum Zeitpunkt der Erfassung der Daten klar erklären, welche Daten erfasst werden und wie diese Daten verwendet werden.

Um sicherzustellen, dass die Zustimmung positiv ist, sollten Unternehmen einen Opt-in-Ansatz verfolgen, bei dem Benutzer aktiv ein Kästchen ankreuzen oder eine Erklärung unterzeichnen müssen, um ihre Zustimmung zu signalisieren. Zustimmungen können auch nicht gebündelt werden. Benutzer müssen jeder Verarbeitungstätigkeit einzeln zustimmen.

Um sicherzustellen, dass die Zustimmung freiwillig ist, können Unternehmen die Zustimmung nur für Datenverarbeitungsaktivitäten verlangen, die für einen Dienst wirklich wesentlich sind. Mit anderen Worten, ein Unternehmen kann die Nutzer nicht zwingen, ihre politischen Meinungen preiszugeben, um ein T-Shirt zu kaufen. Die Nutzer müssen die Zustimmung jederzeit widerrufen können.

Erstellen eines Systems zur Datenaufzeichnung

Organisationen mit mehr als 250 Mitarbeitern und Unternehmen jeder Größe, die regelmäßig Daten verarbeiten oder mit risikoreichen Daten umgehen, müssen schriftliche elektronische Aufzeichnungen über ihre Verarbeitungsaktivitäten führen.

Allerdings möchten möglicherweise alle Unternehmen solche Aufzeichnungen führen. Dies hilft nicht nur bei der Nachverfolgung von Datenschutz- und Sicherheitsbemühungen, sondern kann auch die Einhaltung von Vorschriften nachweisen, wenn es zu einer Prüfung oder einem Verstoß kommt. Unternehmen können Strafen abmildern oder vermeiden, wenn sie nachweisen können, dass sie sich nach bestem Wissen und Gewissen um die Einhaltung der Vorschriften bemüht haben.

Datenverantwortliche sollten besonders solide Aufzeichnungen führen, da sie laut DSGVO für die Einhaltung der Vorschriften durch ihre Partner und Lieferanten verantwortlich sind.

Benennen von Compliance-Leads für die DSGVO

Alle Behörden und Unternehmen, die regelmäßig Daten der besonderen Kategorie verarbeiten oder Personen in großem Umfang überwachen, müssen einen Datenschutzbeauftragten (DSB) ernennen. Ein DSB ist ein unabhängiger Unternehmensbeauftragter, der für die Einhaltung der DSGVO verantwortlich ist. Zu den üblichen Aufgaben gehören die Überwachung von Risikobewertungen, die Schulung von Mitarbeitern in Datenschutzgrundsätzen und die Zusammenarbeit mit Regierungsbehörden.

Obwohl nur einige Unternehmen dazu verpflichtet sind, einen Datenschutzbeauftragten zu ernennen, sollten es alle in Betracht ziehen. Durch die Benennung eines Datenschutzbeauftragten für die DSGVO lässt sich die Umsetzung vereinfachen.

Datenschutzbeauftragte können Mitarbeiter eines Unternehmens oder externe Berater sein, die ihre Dienste auf Vertragsbasis anbieten. Datenschutzbeauftragte berichten direkt an die höchste Führungsebene. Das Unternehmen darf einen Datenschutzbeauftragten nicht dafür bestrafen, dass er seine Pflichten erfüllt.

Unternehmen außerhalb des EWR müssen einen Vertreter innerhalb des EWR ernennen, wenn sie regelmäßig Daten von EWR-Bürgern verarbeiten oder besonders sensible Daten verarbeiten. Die Hauptaufgabe des EWR-Vertreters besteht darin, sich im Namen des Unternehmens während der Untersuchungen mit den Datenschutzbehörden abzustimmen. Der Vertreter kann ein Mitarbeiter, ein verbundenes Unternehmen oder ein externer Dienstleister sein.

Der DSB und der EWR-Vertreter sind unterschiedliche Rollen mit unterschiedlichen Zuständigkeiten. Insbesondere handelt der Vertreter auf Anweisung des Unternehmens, während der Datenschutzbeauftragte ein unabhängiger Beauftragter sein muss. Ein Unternehmen kann nicht ein und dieselbe Partei (Link befindet sich außerhalb von ibm.com) sowohl zum Datenschutzbeauftragten als auch zum EWR-Vertreter benennen.

Wenn ein Unternehmen in mehreren EWR-Staaten tätig ist, muss es eine federführende Aufsichtsbehörde benennen. Die federführende Aufsichtsbehörde ist die zentrale Datenschutzbehörde (DSB), die die Einhaltung der DSGVO für dieses Unternehmen in ganz Europa überwacht.

In der Regel ist die federführende Aufsichtsbehörde die Datenschutzbehörde in dem Mitgliedstaat, in dem das Unternehmen seinen Hauptsitz hat oder seine Kernverarbeitungstätigkeiten durchführt.

Entwurf einer Datenschutzrichtlinie

Die DSGVO verlangt, dass Unternehmen die Menschen darüber informieren, wie sie ihre Daten verwenden. Unternehmen können diese Anforderung erfüllen, indem sie Datenschutzrichtlinien erstellen, die ihre Verarbeitungsvorgänge klar beschreiben, einschließlich der vom Unternehmen erfassten Daten, Aufbewahrungs- und Löschrichtlinien, Benutzerrechte und anderer relevanter Details.

Datenschutzrichtlinien sollten in einer einfachen Sprache formuliert sein, die jeder verstehen kann. Das Verstecken wichtiger Informationen hinter Fachjargon kann gegen die DSGVO verstoßen. Organisationen können sicherstellen, dass Benutzer ihre Richtlinien sehen, indem sie Datenschutzhinweise zum Zeitpunkt der Datenerfassung bereitstellen. Unternehmen können ihre Datenschutzrichtlinien auch auf öffentlichen, leicht auffindbaren Seiten ihrer Websites bereitstellen.

Sicherstellen, dass Drittpartner die Vorschriften einhalten

Die Datenverantwortlichen sind letztendlich für die von ihnen erfassten personenbezogenen Daten verantwortlich, einschließlich der Art und Weise, wie ihre Datenverarbeiter, Anbieter und andere Dritte diese Daten verwenden. Wenn Partner die Vorschriften nicht einhalten, können die Datenverantwortlichen bestraft werden.

Unternehmen sollten ihre Verträge mit Dritten, die Zugriff auf ihre Daten haben, überprüfen. Diese Verträge sollten die Rechte und Pflichten aller Parteien in Bezug auf die DSGVO in rechtlich verbindlicher Weise klar darlegen.

Wenn ein Unternehmen mit Auftragsverarbeitern außerhalb des EWR zusammenarbeitet, müssen diese Datenverarbeiter dennoch die Anforderungen der DSGVO erfüllen. Tatsächlich unterliegen Datenübertragungen außerhalb des EWR strengen Standards. Datenverantwortliche im EWR können Daten nur dann an Datenverarbeiter außerhalb des EWR weitergeben, wenn eines der folgenden Kriterien erfüllt ist:

Die Europäische Kommission hat die Datenschutzgesetze des Landes als angemessen erachtet

Die Europäische Kommission hat festgestellt, dass der Datenverarbeiter über einen ausreichenden Datenschutz verfügt

Der Datenverantwortliche hat Maßnahmen ergriffen, um sicherzustellen, dass die Daten geschützt sind

Eine Möglichkeit, um sicherzustellen, dass alle Partnerschaften und Datenübertragungen mit der DSGVO übereinstimmen, ist die Verwendung von Standardvertragsklauseln. Diese vorformulierten Klauseln wurden von der Europäischen Kommission vorab genehmigt und können von jedem Unternehmen frei verwendet werden. Durch die Aufnahme dieser Klauseln in einen Vertrag wird dieser DSGVO-konform, vorausgesetzt, jede Partei hält sich daran. Weitere Informationen zu Standardvertragsklauseln finden Sie auf der Website der Europäischen Kommission (Link befindet sich außerhalb von ibm.com).

Aufbau eines Prozesses für Datenschutz-Folgenabschätzungen

Die DSGVO verpflichtet Unternehmen dazu, vor jeder Verarbeitung mit hohem Risiko eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Die DSGVO nennt zwar einige Beispiele – Nutzung neuer Technologien, groß angelegte Verarbeitung sensibler Daten – führt jedoch nicht alle Aktivitäten mit hohem Risiko erschöpfend auf.

Unternehmen sollten vor jeder neuen Verarbeitung eine Datenschutz-Folgenabschätzung durchführen, um auf der sicheren Seite zu sein. Andere können eine vereinfachte Vorabprüfung durchführen, um festzustellen, ob das Risiko hoch genug ist, um eine Datenschutz-Folgenabschätzung zu rechtfertigen.

Eine Datenschutz-Folgenabschätzung muss mindestens die Verarbeitung und ihren Zweck beschreiben, die Notwendigkeit der Verarbeitung bewerten, Risiken für die betroffenen Personen bewerten und Maßnahmen zur Risikominderung aufzeigen. Wenn das Risiko nach der Risikominderung weiterhin hoch ist, muss das Unternehmen eine Datenschutzbehörde konsultieren, bevor es fortfährt.

Implementieren eines Reaktionsplans für Datenschutzverletzungen

Die Unternehmen müssen die meisten Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden an eine Aufsichtsbehörde melden. Wenn die Datenschutzverletzung ein Risiko für die betroffenen Personen darstellt, wie z. B. Identitätsdiebstahl, muss das Unternehmen auch die betroffenen Personen benachrichtigen. Benachrichtigungen müssen direkt an die Opfer gesendet werden, es sei denn, dies ist nicht möglich. In diesem Fall genügt eine öffentliche Bekanntmachung.

Unternehmen benötigen effektive Notfallpläne, mit denen laufende Verstöße schnell identifiziert, Bedrohungen beseitigt und Behörden benachrichtigt werden können. Notfallpläne sollten Tools und Taktiken zur Systemwiederherstellung und Wiederherstellung der Informationssicherheit enthalten. Je schneller ein Unternehmen die Kontrolle wiedererlangt, desto weniger ist es wahrscheinlich, dass es schwerwiegende behördliche Maßnahmen erleidet.

Unternehmen können diese Gelegenheit auch nutzen, um ihre Datensicherheitsmaßnahmen zu verstärken. Wenn ein Verstoß den Benutzern wahrscheinlich keinen Schaden zufügt – zum Beispiel, wenn die gestohlenen Daten so stark verschlüsselt sind, dass Hacker sie nicht nutzen können –, muss das Unternehmen die betroffenen Personen nicht benachrichtigen. Dies kann dazu beitragen, den Ruf- und Umsatzschaden zu vermeiden, der auf eine Datenschutzverletzung folgen kann.

Erleichterung für betroffene Personen, ihre Rechte auszuüben

Die DSGVO gewährt den betroffenen Personen das Recht, darüber zu entscheiden, wie Unternehmen ihre Daten verwenden. Zum Beispiel ermöglicht das Recht auf Berichtigung den Benutzern, ungenaue oder veraltete Daten zu korrigieren. Das Recht auf Löschung ermöglicht es Benutzern, ihre Daten löschen zu lassen.

Im Allgemeinen müssen Unternehmen den Anfragen betroffener Personen innerhalb von 30 Tagen nachkommen. Um Anfragen besser verwalten zu können, können Unternehmen Selbstbedienungsportale einrichten, über die die Betroffenen auf ihre Daten zugreifen, Änderungen vornehmen und deren Nutzung einschränken können. Die Portale sollten eine Möglichkeit zur Überprüfung der Identität der betroffenen Personen enthalten. Die DSGVO verpflichtet Unternehmen dazu, die Identität von Antragstellern zu überprüfen.

Automatisierte Entscheidungsfindung und Profilerstellung

Betroffene Personen haben hinsichtlich der automatisierten Verarbeitung besondere Rechte. Insbesondere dürfen Unternehmen die Automatisierung nicht verwenden, um wichtige Entscheidungen ohne die Zustimmung des Benutzers zu treffen. Benutzer haben das Recht, automatisierte Entscheidungen anzufechten und zu verlangen, dass ein Mensch die Entscheidung überprüft.

Unternehmen können Selbstbedienungsportale nutzen, um betroffenen Personen die Möglichkeit zu geben, automatisierte Entscheidungen anzufechten. Unternehmen müssen auch bereit sein, bei Bedarf menschliche Prüfer einzusetzen.

Datenübertragbarkeit

Betroffene Personen haben das Recht, ihre Daten an einen beliebigen Ort zu übertragen, und Unternehmen müssen diese Übertragungen ermöglichen.

Unternehmen sollten es den Benutzern nicht nur leicht machen, Übertragungen anzufordern, sondern auch Daten in einem gemeinsam nutzbaren Format speichern. Die Verwendung proprietärer Formate kann die Übertragung erschweren und die Rechte der Benutzer beeinträchtigen.

Bereitstellung von Sicherheitsmaßnahmen

Die DSGVO verlangt, dass Unternehmen angemessene Datenschutzmaßnahmen ergreifen, um Systemschwachstellen zu schließen und unbefugten Zugriff oder illegale Nutzung zu verhindern. Die DSGVO schreibt keine spezifischen Maßnahmen vor, legt aber fest, dass Unternehmen sowohl technische als auch organisatorische Kontrollen benötigen.

Zu den technischen Sicherheitskontrollen gehören Software, Hardware und andere Technologietools, wie SIEMs und Lösungen zur Verhinderung von Datenverlust. Die DSGVO fördert Verschlüsselung und Pseudonymisierung nachdrücklich, daher sollten Unternehmen möglicherweise insbesondere diese Kontrollen implementieren.

Zu den organisatorischen Maßnahmen gehören Prozesse wie die Schulung der Mitarbeiter in Bezug auf die DSGVO-Vorschriften und die Umsetzung formeller Data-Governance-Richtlinien.

Die DSGVO verpflichtet Unternehmen außerdem dazu, den Grundsatz des Datenschutzes durch Design und standardmäßige Voreinstellungen zu übernehmen. Der Begriff „by design“ (von Anfang an) bedeutet, dass Unternehmen den Datenschutz von Anfang an in ihre Systeme und Prozesse integrieren sollten. Der Begriff „by default“ (standardmäßig) bedeutet, dass die Standardeinstellung für jedes System diejenige sein sollte, die die Privatsphäre der Benutzer am besten schützt.

