DSGVO - Datenschutzgrundverordnung
Was ist die EU-Datenschutzgrundverordnung?
„General Data Protection Regulation / Datenschutzgrundverordnung“
EU-weites einheitliches Datenschutzgesetz für personenbezogene Daten
Dieses gilt seit 25.05.2018 für Unternehmen in der EU und auch für Unternehmen, die keine Niederlassung in der EU haben, wenn sie Waren oder Dienstleistungen an Betroffene in der EU anbieten.
Was sind personenbezogene Daten?
Es wird noch unterschieden, wie schützenswert bzw. sensibel diese Daten sind – z.B. ist eine Wohnadresse oder Telefonnnummer nicht so kritisch wie Gesundheitsdaten (SVN-Nr, Arbeitszeitaufzeichnung) oder strafrechtliche Daten (evtl. in Bewerbungen).
Grundsätze der Datenverarbeitung
- Nur notwendige Daten erheben und speichern
- Alles was gespeichert wird muss mit einem Ablaufdatum versehen werden
- Löschung muss berücksichtigt werden
- Richtigstellung von gespeicherten Daten
- Nachweispflicht der Erlaubnis der Verarbeitung
Unter welchen Voraussetzungen darf man verarbeiten?
-
Einwilligung - Es muss jederzeit ein Widerruf möglich sein und es besteht die Nachweispflicht.
-
Erfüllung eines Vertrages -Während der Laufzeit bzw. bis zum Ende der Gewährleistung.
-
Erforderlich für rechtl. Verpflichtungen - Rechnungen 7 Jahre, Lohnzeugnisse 30 Jahre,…
-
Lebenswichtige Interessen
-
Aufgabe im Öffentlichem Interesse, die dem Verantwortlichen übertragen wurde
-
Interessenabwägung
Hier gibt es viel Spielraum für Argumentationen
Grundsätzlich gilt: Mindestens eine dieser Bedingungen muss zutreffen!
Was kann passieren?
Bei schwerem Verstoß: bis zu 20 Mio € Geldstrafe oder 4% des Jahresumsatzes des vorangegangenen Jahres.
In sonstigen Fällen: bis zu 10 Mio € Gelstrafe oder 2% des Jahresumsatzes des vorangegangenen Jahres.
Die Datenschutzbehörde hat das Recht Strafen direkt festzusetzen!
Wo kann COM.home helfen?
Art. 32 EU-DSGVO:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“
Stand der Technik wird bei allen Verarbeitungen gefordert. Da sich die Technik schnell verändert, wurde der allgemeine Begriff „Stand der Technik“ gewählt.
Ebenfalls gilt, dass ein EPU nicht die gleichen Sicherheitssysteme haben muss wie ein Konzern. Das Schutzniveau muss angemessen sein.
Achtung – Stand der Technik gilt nicht nur für IT-Systeme sondern auch für Zutrittssysteme und evtl. auch den Aktenschrank mit den Lohnzetteln!
Maßstab - Sicherheitsniveau
Als Maßstab für ein angemessenes Sicherheitsniveau kann man – je nach Unternehmensgröße - die mittlerweile etablierten Standards aufzählen. Zu diesen zählen z.B.:
- Firewall (UTM)
- Anti-Viren-Programm
- Strukturierte, personenbezogene Dateifreigabe bzw. DMS
- gute Passwörter für den PC, Mail, …
- regelmäßige Überprüfung und Erweiterung des Schutzsystems
- regelmäßige MitarbeiterInnenschulungen
- regelmäßige Updates der Geräte (Server, PCs, ...) – auch Firmware (Router)!
- Gesicherte Netzwerke
- Regelungen mit MitarbeiterInnen (USB-Sticks, Verhaltensregeln, Post-Its auf Monitoren,…)
- Regelungen für Mobilgeräte (Welche Daten befinden sich auf dem Gerät, wenn es gestohlen wird? Sind die Daten verschlüsselt? Welche Apps?, …)
Was müssen Sie übernehmen?
Sie oder die zuständige Person sind „Verantwortliche/r“ im Rahmen des Datenschutzes – diese Rolle kann Ihnen weder ein Anwalt, noch ein Datenschutzbeauftragter/e und auch COM.home nicht abnehmen.
Sie sind verantwortlich für die angeführten Punkte und müssen die Einführung und Einhaltung gewährleisten.
Szenarien aus der Praxis
Um eine Idee davon zu bekommen, um welche Fälle es sich in der Praxis handeln kann, hier eine Aufzählung (ohne Anspruch auf Vollständigkeit, ohne Wertung).
- Verlust eines Laptops/Mobiltelefons auf dem sich unverschlüsselte Daten befinden
- Unverschlüsselte Übertragung von Daten (z.B. per Mail, SMS, unverschlüsselte Webseiten, ...)
- Unverschlüsselte Speicherung (auf Datenträgern wie z.B. Backupfestplatten)
- Website-Analytics (Google Analytics, Matomo,..) und Cookies
- Jeder-darf-Alles – keine Einschränkungen für BenutzerInnen. Jede/r darf überall zugreifen, jede/r darf alles installieren/ändern/ansehen.
- Firmenweit bekanntes Passwort
- Ein Standardpasswort für alle Anwendungen pro BenutzerIn (welches evtl. auch der/die Kollege/In schon weiß?)
Szenarien aus der Praxis - Fortsetzung
- Die Akten der Lohnverrechnung sind allgemein zugänglich
- Schlechter oder kein Zutrittsschutz zu Serveranlagen (kein versperrter Raum oder kein versperrter Netzwerkschrank)
- Unkontrollierbare Excel- und Wordlisten auf PCs, USB-Sticks, Laptops,…
- Verwendung von Dropbox und ähnlichen Diensten
- Aufbewahrung von Bewerbungsunterlagen ohne Einwilligung
- Undokumentierter Zugriff von außen auf Firmen-PCs mit nicht genehmigten Anwendungen (TeamViewer, PC-visit, PC-anywhere,…)
- Keine Dokumentation und Überprüfung der laufenden Backups
EU-weites einheitliches Datenschutzgesetz für personenbezogene Daten
Dieses gilt seit 25.05.2018 für Unternehmen in der EU und auch für Unternehmen, die keine Niederlassung in der EU haben, wenn sie Waren oder Dienstleistungen an Betroffene in der EU anbieten.