Personenbezogene Daten schützen: 5 praktische Tipps

DSGVO: Schwierigkeiten bei der Umsetzung

2 Jahre klingt nach einer langen Zeit – doch für viele Unternehmen ist die Frist zur Umsetzung der Datenschutz-Grundverordnung zu kurz: Ende 2017 hatte sich laut Umfrage des Digitalverbands bitkom ein Fünftel der Unternehmen noch nicht mit der Verordnung beschäftigt. Erste Maßnahmen hatten bis dato erst 13 % der Unternehmen umgesetzt. Wagemutige 13 % gaben an, sich nicht mit den Datenschutzregelungen beschäftigen zu wollen – trotz der hohen Sanktionen, die bei Verstößen drohen.
Was die Umsetzung so schwierig macht?
• Der Gesetzestext muss in reale Prozesse übersetzt werden.
• Das Gesetz ist nicht gerade kurz – 11 Kapitel und 99 Artikel – geschweige denn leicht verständlich.
• Die DSGVO soll das Datenschutzrecht innerhalb Europas zwar vereinheitlichen, lässt aber durch Öffnungsklauseln Spielräume für nationale Regelungen: Auch das Bundesdatenschutzgesetz (BDSG (neu)) wurde neu überarbeitet, um es an die DSGVO anzupassen.
• Das Gesetz ist noch nicht praxiserprobt, so dass z. B. noch keine wegweisenden Gerichtsurteile zur konkreten Gesetzesauslegung existieren.
Hinzu kommt, dass im Internet allerlei „alternative Fakten“ zum Thema kursieren, zum Beispiel, dass die DSGVO erst am 25. Mai 2018 in Kraft tritt (sie ist schon längst in Kraft getreten, derzeit gilt zweijährige Übergangsfrist) oder, dass jedes Unternehmen künftig einen Datenschutzbeauftragten stellen muss (ein Datenschutzbeauftragter ist nur unter bestimmten Voraussetzungen erforderlich: Artikel 37 DSGVO).
Um etwas handfester zu werden haben wir 5 Praxistipps für den Schutz personenbezogener Daten im Alltag formuliert.

Auskunftsrecht erfüllen

Personen, deren personenbezogene Daten verarbeitet werden, haben ein Auskunftsrecht (Art. 15 DSGVO): Sie können beim Datenverarbeiter nachfragen, ob dieser ihre Daten verarbeitet (erfasst, erhebt, speichert, einsieht, verändert…). Wenn eine Verarbeitung stattfindet, muss der Verantwortliche über Folgendes Auskunft geben können:
• Verarbeitungszwecke
• Datenkategorien
• Datenempfänger oder Kategorien von Empfängern
• Dauer der Datenspeicherung oder Kriterien der Dauer (z. B. im Falle von Bewerberdaten bis eine Stellenbesetzung erfolgt ist)
• Herkunft der Daten, die nicht bei Betroffenen erhoben wurden
• bestehende automatisierte Entscheidungsfindung
• Profiling (Erstellen von Nutzerprofilen, um z. B. die Arbeitsleistung oder persönlichen Vorlieben einer Person zu bewerten)
Die Person ist außerdem auf ihre Rechte hinzuweisen:
Recht auf Berichtigung (Art. 16 DSGVO): Personen können die Korrektur unrichtiger Daten und die Vervollständigung unvollständiger Daten verlangen.
Recht auf Löschung (Art. 17 DSGVO): Unter bestimmten Umständen kann die Person eine Löschung ihrer Daten verlangen, z. B. wenn die Daten für die ursprünglichen Erhebungszwecke nicht mehr notwendig sind, unrechtmäßig verarbeitet werden oder die Person ihre Einwilligung widerruft.
Recht auf eine Einschränkung der Verarbeitung (Art. 18 DSGVO): Betroffene können eine Einschränkung der Datenverarbeitung verlangen, wenn z. B. die Verarbeitung unrechtmäßig und die Richtigkeit der Daten bestreitbar ist.
Widerspruchsrecht (Art. 21 DSGVO): Die Person kann gegen die Verarbeitung ihrer Daten Widerspruch einlegen.
Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO): Personen haben ein Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn sie die Verarbeitung ihrer personenbezogenen Daten als rechtswidrig erachten.
Der Datenverarbeiter sollte zeitnah eine Kopie der personenbezogenen Daten bereitstellen können und dabei auf Vollständigkeit und Korrektheit der Daten achten. Die Kopie kann in Schriftform an die hinterlegte Kontaktadresse geschickt werden. Eine Kopie des Schreibens sollte zu Dokumentationszwecken im Archiv abgelegt werden.
Da die Daten nicht unbefugten Dritten zur Verfügung gestellt werden dürfen, sollte die Identität des Anfragers überprüft werden. Bei begründeten Zweifel an der Identität der Person, kann er zusätzliche Informationen zur Bestätigung der Identität fordern (Art.12 Abs. 6 DSGVO). Stellt die Person eine Kopie ihres Personalausweises zur Verfügung, sollte sie darauf hingewiesen werden, dass Daten, die für die Identifizierung nicht notwendig sind (z. B. Augenfarbe, Größe), geschwärzt werden können.

Daten nicht länger aufbewahren als nötig

Personenbezogene Daten sind nach Art. 5 Abs.1 Buchstabe e nur solange zu speichern, „wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“. Sobald der Verarbeitungszweck erfüllt ist und die gesetzliche oder vertragliche Aufbewahrungsfrist erlischt, sind die Daten zu löschen. Datenverarbeiter sollten festhalten, für welche Zwecke sie die Daten verarbeiten und wann die Frist abläuft.

Datenverarbeitung dokumentieren

Datenverarbeiter müssen ein Verzeichnis der Verarbeitungstätigkeiten führen (Art. 30 Abs. 1 DSGVO).
• Wie werden personenbezogene Daten von Kunden, Mitarbeitern, Bewerbern, Interessenten oder Ansprechpartnern verwaltet?
• Welche Vorgänge finden zur Verarbeitung der Daten statt?
• Wer verfügt über eine Zugriffsberechtigung?
Folgendes ist laut Art. 30 der Datenschutzverordnung zu dokumentieren:
– Name und Kontaktdaten des Verantwortlichen
– Verarbeitungszwecke
– Kategorien der Personen und ihrer personenbezogenen Daten
– Kategorien der Datenempfänger
– ggf. Datenübermittlungen an Drittländer oder internationale Organisationen
– Löschfristen für die Datenkategorien
– allg. Beschreibung technischer und organisatorischer Maßnahmen (Art. 32 Abs. 1 DSGVO)

Verschlüsselung von Daten

Unbefugte Dritte dürfen nicht auf personenbezogene Daten zugreifen können. Ein Schutz vor unbefugten Zugriffen bietet die Verschlüsselung von Daten. Durch eine angemessene Verschlüsselung werden Daten auf dem eigenen PC für unbefugte Mitbenutzer oder Personen, die sich unerlaubt Zugriff verschaffen wollen, unlesbar gemacht. Eine Möglichkeit der Dateiverschlüsselung besteht darin, Office-Dokumente mit einem Passwort zu versehen und sensible Informationen zu schwärzen. Nutzer sollten darauf achten, dass auch in den Dokumenteigenschaften entsprechende Daten enthalten sein können. Zur Dateiverschlüsselung gibt es verschiedene Verschlüsselungsprogramme. Um E-Mails besser auf dem Transportweg zu schützen, können Nutzer die Transportverschlüsselung aktivieren (TSL/SSL): Dabei wird die Verbindung zwischen den Servern während der Übertragung verschlüsselt. Bei einer Ende-zu-Ende-Verschlüsselung (z. B. PGP oder S/MIME) werden auch die Inhalte der E-Mail verschlüsselt. Sender und Empfänger der E-Mail müssen beide am Verschlüsselungsverfahren teilnehmen.

Verpflichtungserklärung

Greifen externe Dienstleister (z. B. PC-Techniker) auf den PC zu, besteht das Risiko, dass sie unbefugt Zugriff zu Daten erhalten. Unternehmen haben die Möglichkeit, eine Verpflichtungserklärung aufzusetzen, in der der Dienstleister erklärt, sich auf Einhaltung des Schutzes personenbezogener Daten zu verpflichten und die Grundsätze nach Art. 5 DSGVO einzuhalten. Muster für einen Vertrag zur Auftragsdatenverarbeitung findet man z. B im Internet.

Konkrete Informationen über die EU-Datenschutzverordnung 2018 und ihre Auswirkung für Personaldienstleister bietet unser Seminar „Update EU-Datenschutz-Grundverordnung in der Zeitarbeit“.

Fazit

Seit dem 25. Mai 2018 müssen geschäftsmäßige Verarbeiter personenbezogener Daten die Datenschutzgrundverordnung der Europäischen Union einhalten können. Zur gleichen Zeit tritt das neue Bundesdatenschutzgesetz (BDSG (neu)) in Kraft und löst das BDSG (alt) ab. Für die Praxis bedeutet das u. a., dass Datenverarbeiter das Auskunftsrecht Betroffener erfüllen und Daten vor unbefugtem Zugriff Dritter (z. B. durch Verschlüsselungsverfahren) schützen müssen. Die Verarbeitungsprozesse sind zu dokumentieren.

Quelle Foto: © mchlskhrv / Fotolia


prosoft-Team

prosoft-Team

Personalwesen und IT: eine unschlagbare Kombination. Als Anbieter hochspezialisierter Branchensoftware für das HR-Management und den Zeitarbeitsmarkt verfolgen wir diese Liaison seit über 30 Jahren. Was uns daran fasziniert? Dass sich selbst komplexe Prozesse mit dem richtigen Werkzeug einfach intelligent gestalten lassen. Unseren Erfahrungsschatz aus Branchen-Know-how, Prozessexpertise und Praxiswissen teilen wir mit HR-Interessierten in unseren Praxisseminaren:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>