Kein Grund zur Panik

Zu Ruhe und Besonnenheit mahnt der Digitalverband Bitkom – selbst angesichts der langsam knapp werdenden Zeit. In einer Fragen- und Antwortsammlung zur Datenschutz-Grundverordnung weist Bitkom darauf hin, dass „viele der datenschutzrechtlichen Konzepte und Prinzipien der DSGVO im Großen und Ganzen nicht viel anders sind als auch bisher unter der EU-Datenschutzrichtlinie (Richtlinie 95/46/EG)“. Deren Vorschriften seien in Deutschland bereits mit dem Bundesdatenschutzgesetz (BDSG) umgesetzt worden. Wer sich also schon immer um das Thema Datenschutz gekümmert habe, der „sollte auch in Zukunft trotz der höheren Sanktionen nicht viel zu befürchten haben“.

Was aber, wenn nicht? Dann sei es jetzt unumgänglich, die eigene Datenschutzpraxis zu überprüfen und das Datenschutzmanagement anzupassen und weiterzuentwickeln. Dabei gebe es keine Musterlösung, betont Bitkom: „Jedes Unternehmen führt durch sein eigenes Geschäftsmodell auch unterschiedliche Datenverarbeitungsvorgänge durch.“ Als Beispiele nennt er etwa den Anbieter einer Gesundheits-App, bei dem die Vorschriften für Gesundheitsdaten im Vordergrund stünden, wohingegen ein Cloud-Anbieter sich mit den neuen Haftungsregeln genauer auseinandersetzen müsse.

Mit der Verordnung werden zahlreiche neue Informations- und Dokumentationspflichten eingeführt, die von den Unternehmen umgesetzt werden müssen.

Völlig neu seien dabei gesetzliche Vorgaben wie die Berücksichtigung des Datenschutzes bei der Produktentwicklung (Privacy by Design) oder die Durchführung einer Datenschutzfolgenabschätzung. „IT-Unternehmen, die bis jetzt die Vorgaben der DSGVO ignoriert haben, sollten sich dringend überlegen, wie sie das Thema schnellstmöglich aufarbeiten können“, drängt Susanne Dehmel, Geschäftsleiterin Vertrauen und Sicherheit bei Bitkom.

Zur Hilfestellung bei diesem Prozess hat der Digitalver­band eine Reihe von Leitfäden zusammengestellt und veröffentlicht. Viele bislang geltende Regelungen wie etwa Betriebsvereinbarungen zum Datenschutz würden weiterhin gelten. Sie müssten allerdings in Zukunft zusätzlich die Vorgaben der DSGVO erfüllen. Überarbeitungen seien also unvermeidbar.

Ein wichtiger Punkt bei der Umsetzung der neuen Datenschutz-Grundverordnung ist das Thema Nachweisbarkeit. Hier bieten sich Zertifizierungen nach IT-Grundschutz beziehungsweise ISO 27001 an. Unternehmen können mit einer Zertifizierung nachweisen, dass sie eine externe Firma geprüft hat.

Außerdem lernen sie dabei insbesondere auch das Thema Risikomanagement kennen. Das Wort Risiko tauchte im alten BDSG nicht einmal auf. Die DSGVO hat dagegen in Bezug auf alle organisatorisch-technischen Maßnahmen einen stärker risikobasierten Ansatz, der auch eine Dokumentation der Risikoeinschätzung nötig macht. Unternehmen müssen in Zukunft laut Bitkom deswegen „verschiedene Faktoren der Datenverarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen berücksichtigen“. Und genau dies muss auch nachgewiesen werden können.

Für „besonders risikobehaftete Datenverarbeitungen“ schreibt die DSGVO zudem die Durchführung einer Datenschutzfolgenabschätzung vor. Das gelte insbesondere dann, wenn es um automatisierte Entscheidungen geht, wenn zum Beispiel „massenhaft sensible Daten“ verarbeitet oder wenn „systematisch öffentlich zugängliche Bereiche massenhaft beobachtet“ werden sollen. Gegebenenfalls müssen dabei auch die Aufsichtsbehörden miteinbezogen werden. Tritt ein „Risiko für die Rechte und Pflichten der Betroffenen“ ein, müssen diese und eventuell auch die Betroffenen informiert werden.