6 zentrale Herausforderungen der DSGVO
Fehlender Überblick über Verarbeitung personenbezogener Daten
Enorm vielen Unternehmen und Organisationen fehlt der Überblick, wo überall personenbezogene Daten gespeichert und verarbeitet werden,
- an welchen Unternehmensstandorten
- in welchen Home Offices
- auf welchen Endgeräten
- auf welchen Speicher- und Backup-Medien,
- in welchen Programmen, Archiven
- auf welchen externen Clouds
- in welchen aktiven oder verlassenen, aber nicht gelöschten Plattformen und Diensten
- …
Es gibt stillgelegte Server, Backup-Medien, ausgebaute Festplatten, die immer noch auf ihre Zerstörung warten und zwischenzeitlich vergessen wurden, von Tapes, CDs, DVDs, USB Sticks ganz zu schweigen, wie auch von Notebooks, Laptops, Tablets, Mobiltelefonen u.v.a.m.
So gut wie kein Unternehmen ist in der Lage, zuverlässig und automatisiert, vor allem vollständig personenbezogene Daten zu identifizieren, um bei einer Anfrage nach Artikel 15 DSGVO verlässlich, umfänglich und gesichert Auskunft geben zu können.
Wer nicht weiß, wo personenbezogene Daten gespeichert sind, ob es dazu einen vollständigen Überblick gibt etc. wird auch Probleme damit haben, umfänglich Auskünfte nach Artikel 15 DSGVO zu leisten:
- woher die personenbezogenen Daten stammen
- an wen personenbezogene Daten weitergegeben wurden
- ob bspw. Daten außerhalb der EU gespeichert und verarbeitet werden
- …
Ebenso werden Berichtigungen nach Artikel 16 DSGVO und auch Löschungen nach Artikel 17 DSGVO zur Herausforderung.
Man könnte sagen, dass bezüglich personenbezogener Daten in Unternehmen sehr häufig „Chaos” herrscht, zumindest Schlamperei.
Vielfach gelebte Praxis
Von Unternehmen hört man dazu häufig: ‚Wenn wir das schon nicht wissen, dann weiß es außerhalb des Unternehmens erst recht niemand.’ Das trifft auch zu. Verlangt jemand nach Artikel 15 Auskunft, so werden im „Casablanca-Stil” die üblichen verdächtigen Programme und Speichermedien durchsucht und das war es dann vielfach auch schon.
Betroffene müssen daher – mehr oder weniger blind – darauf vertrauen, dass Verantwortliche (also Unternehmen, Organisationen etc.) ordentlich und gesetzeskonform handeln. Letztlich können Betroffene keinesfalls mit Sicherheit davon ausgehen, dass die Auskunft vollständig oder richtig ist. Da kam es schon vor, dass Unternehmen mitteilten, es würden keine personenbezogene Daten einer betreffenden Person verarbeitet, die dann aber just von diesem Unternehmen Werbung zugeschickt bekam.
Betroffene haben letztlich keine Möglichkeiten, zu überprüfen oder überprüfen zu lassen, ob in den Tiefen der IT oder in Archivschränken über die gegebene Auskunft hinaus nicht doch noch personenbezogene Daten vorhanden sind, die das Unternehmen nicht mitgeteilt hat. Denn auf ein bloßes Bauchgefühl hin, wird die Datenschutzbehörde das Unternehmen nicht nach Artikel 58 DSGVO untersuchen.
Was ist zu tun?
- Keine Verarbeitung von personenbezogenen Daten, sofern die Rechtmäßigkeit nicht nachgewiesen werden kann → Die Nachweispflicht liegt beim Verantwortlichen!
- Mitarbeiter*innen schulen und sensibilisieren, insbesondere jene, die mit der Verarbeitung von personenbezogenen Daten befasst sind
- Recherche und Analyse der gesamten IT, sämtlicher Datenbanken, Speichermedien und analogen Ablagen etc. wo immer personenbezogene Daten verarbeitet wurden oder werden.
- Löschen und Vernichten von personenbezogenen Daten,
- für die es keine ausreichende Rechtsgrundlage gibt
- sofern Betroffene die Löschung verlangt haben und keine z.B. gesetzlichen Fristen das ausschließen.
- sofern diese nicht mehr benötigt werden und es gesetzlich möglich ist (z.B. Aufbewahrungsfristen)
- Sofern personenbezogene Daten ohne Einwilligung nach Artikel 6 Abs. f DSGVO aufgrund „berechtigter Interessen” verarbeiten werden, ist genau zu prüfen, ob nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. ⌕
Welche Unterstützung gibt es?
In kleinen Unternehmen wird es wirtschaftlicher sein, Recherche und Analyse manuell durchzuführen, d.h. beispielsweise Programmdatenbanken und Speichermedien zu durchsuchen, um so personenbezogene Daten zu identifizieren. Aber auch hier braucht es einen klaren Überblick über die IT Landschaft mit allen Serverstandorten, Servern, Workstations, Endgeräten etc. pp. Am ehesten können hier bekannte Technisch-Organisatorische Maßnahmen helfen. Unternehmen sind gut beraten, wenn sie zum Verfahrensverzeichnis sogenannte TOM festhalten.
Für Unternehmen, in welchen viele personenbezogene Daten verarbeitet werden oder die über eine komplexe IT und Programmlandschaft verfügen, empfehlen sich Softwarelösungen, die gewisse Routinen automatisiert durchführen.
Die Verwendung selbstlernender Algorithmen erlaubt einen deutlich über herkömmliches DSGVO Assessment hinausgehenden Leistungsumfang, was insbesondere den kritischen Kern in Datenschutzfragen anbelangt. Dieser betrifft das Wissen, an welchen Standorten, in welcher Infrastruktur, auf welchen Speichermedien und Speicherorten, über welche Applikationen und Prozesse personenbezogene Daten gespeichert und verarbeitet werden. Das ist die Grundlage jeder DSGVO Compliance. Je solider diese Grundlage, desto lückenloser kann die DSGVO Compliance sein und desto geringer ist das entsprechende Haftungsrisiko.
- Standortübergreifende und organisationsweite Inventur der IT Infrastruktur mit Schwerpunkt DSGVO Relevanz und Schaffung von Transparenz bzgl. Speicherung und Verarbeitung personenbezogener Daten in den IT Systemen.
- Das Service inkludiert neben der gesamten Dienstleistung auch die Bereitstellung der notwendigen Hard- und Software, um indirekte Kosten zu verringern. Dieses Gesamtpaket garantiert ein rasches Abwickeln der Erhebung und schont zudem interne und externe Ressourcen.
- Optional: Etablierung eines OSI-10 Layers, der Regelkonformität kontinuierlich überwacht und mangelhafte, bzw. fehlende Konformität im Unternehmen aufzeigt.
- Ermittlung relevanten Handlungsbedarfs selbst gegenüber Auftragsverarbeitern, priorisiert nach Risiken, inklusive Handlungsempfehlungen.
- Optional: Kontrolle (Governance) der gesamten IT Infrastruktur und Datenverwaltung durch ein zentrales Informationssystem, granular bis zu Applikationen auf Arbeitsplatz-Ebene und der Möglichkeit zur Rückverfolgung von Verstößen.
- Steigerung von Effektivität und Effizienz bei Auskunftsverlagen, Einschränkungen, Widersprüchen und Löschanforderungen durch Betroffene mittels automatisierter Prozesse über einen zentrales Data Protection System.
- Budgetschonende Sicherstellung der DSGVO Regelkonformität
- Das modulare aufgebaute Angebot ist jeglichem Tätigkeitsbereich anpassbar und inkludiert ein branchenunabhängiges Verfahren
- Komplexe Organisationsstrukturen können abgebildet werden
- Reduzierung kritischer Risiken
Gerne gebe ich Ihnen weitere Auskünfte zu diesen Tools. Wenden Sie sich bitte direkt an mich
IT Sicherheit
Sofern Sie mehr zu diesem Thema wissen wollen,
erreichen Sie uns telefonisch unter
0699/15 31 67 76 oder per E-Mail
DSGVO entsprechendes Mindset
Wem der seriöse, faire und gesetzeskonforme Umgang mit personenbezogenen Daten von Kunden ein Anliegen ist, der wird die EU Datenschutz-Grundverordnung begrüßen. Denn das erklärte Ziel der DSGVO ist es, Missbrauch personenbezogener Daten zu verhindern und wo das nicht gelingt mit deutlichen Strafen zu sanktionieren. Damit können Schwarze Schafe nicht weiterhin ungeniert Wettbewerbsvorteile erzielen oder gar mit fragwürdigen Geschäftsmodellen erfolgreich wirtschaften. So ist auch verständlich, warum die DSGVO nicht ungeteilte Zustimmung findet.
Einen Wettbewerbsvorteil erzielen mittel- und langfristig jene Verantwortliche, also Unternehmen, Organisationen etc., die gesetzeskonform mit personenbezogenen Daten umgehen und die in der Lage sind, dies auch glaubhaft Kunden und Interessenten zu vermitteln. Damit ist DSGVO konforme Verarbeitung personenbezogener Daten ein wesentliches Element einer erfolgreichen Leadgenerierung und eines erfolgreichen Kundenbindungsmanagements.
Hoher Aufwand durch Betroffenenrechte
Identifizierung personenbezogener Daten Betroffener
Schon eine einzige Auskunftsanfrage nach Artikel 15 DSGVO kann in einem Unternehmen durchaus gehörigen Aufwand verursachen, vor allem dann, wenn im Unternehmen der Überblick fehlt, wo überall personenbezogene Daten gespeichert und verarbeitet werden oder wenn entsprechende Tools fehlen, die Unternehmen im Datenschutzmanagement unterstützen. (Siehe w.o. Fehlender Überblick).
Macht jemand von seinen Betroffenenrechten nach Artikel 15 bis 21 Gebrauch, ist der Verantwortliche verpflichtet, personenbezogene Daten des Betroffenen in seinem Verantwortungsbereich zu identifizieren.
Identitätsfeststellung Betroffener
Bevor Informationen, die im Zusammenhang der Identifizierung personenbezogener Daten eines Betroffenen ermittelt wurden, als Auskunft an einen Betroffenen übermittelt werden, ist es erforderlich, dass der Verantwortliche sich dessen Identität vergewissert. Immerhin sollen personenbezogene Daten nicht durch Vortäuschung in falsche Hände geraten, Berichtigungen durchgeführt, die Verarbeitung eingeschränkt, ein Widerspruch berücksichtigt oder gar Löschungen vorgenommen werden, sofern der Verantwortliche nicht sicher ist, ob der Betroffene auch tatsächlich der ist, als der er sich ausgibt.
Bevor von Betroffenen ein Identitätsnachweis gefordert werden kann, müssen nach Artikel 12 Abs. 6 begründete Zweifel an seiner Identität bestehen. Ist ein Betroffener beispielsweise Kunde eines Unternehmens und liegen entsprechende Kontaktdaten vor, ist von dessen Identität auszugehen, sofern einer der gesicherten Kommunikationskanäle genutzt wird, wie beispielsweise eine signierte E-Mail.
Vorsicht ist allerdings immer dann geboten, wenn Auskünfte (fern-)mündlich übermittelt werden sollen oder andere Betroffenenrechte (fern-)mündlich geltend gemacht werden. Davon ist abzuraten, auch wenn bestimmte Verfahren, wie das Video-Identverfahren über sichere Kanäle als Identitätsnachweis gelten könnte. Der Aufwand, auch der der Dokumentation ist in der Regel unverhältnismäßig.
Der Aufwand für die Identitätsfeststellung und ggf. die Anforderung und Abwicklung von Identitätsnachweisen ist bei Einzelfällen vertretbar. Was darüber hinaus geht bindet Ressourcen und verursacht Kosten in Form von entsprechend hohem Verwaltungsaufwand. Da laut DSGVO Betroffenen bei der Geltendmachung ihrer Rechte nach Artikel 12 Abs. 5 keine Kosten entstehen dürfen, bleiben diese beim Unternehmen. (Ausnahme: Sollten wiederholt Kopien angefordert werden, so kann nach Artikel 15 Abs. 3 DSGVO ein angemessenes Entgelt auf Grundlage der Verwaltungskosten verlangt werden.)
Ein abschließender Hinweis. Hat ein Verantwortlicher die Verarbeitung personenbezogener Daten eines Betroffenen eingestellt, so ist er nach Artikel 11 DSGVO nicht verpflichtet Informationen dazu für den Fall von Auskunftsanfragen bereitzuhalten. Ein Verantwortlicher muss nach Artikel 15 bis 21 dann keine Auskunft geben, sofern er nicht in der Lage ist, die personenbezogene Daten eines Betroffenen zu identifizieren, d.h. wenn für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich [ist].
Der Verantwortliche ist allerdings gehalten, Betroffene darüber zu unterrichten.
Unsichere Rechtslage
Sofern Sie mehr zu diesem Thema wissen wollen,
erreichen Sie uns telefonisch unter
0699/15 31 67 76 oder per E-Mail
Dr. Conrad Lienhardt
Unternehmensberater
Rechtskonforme Ausgestaltung und Optimierung von Kundenbeziehungen, Datenschutz
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76 | E-Mail
Hinweis:
Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.
Editionsgeschichte:
Eingetragen von Dr. Conrad Lienhardt am 17.06.2019 – Last touched: 29.01.2021 – Contents updated: 29.10.2019Hinweis: Ältere Beiträge werden in der Regel nicht aktualisiert, sofern es dazu keinen konkreten Anlass gibt (z.B. Aufforderung zu Richtigstellung, Ergänzung etc.). Dennoch können Beiträge ein aktuelleres Datum einer Überarbeitung zeigen. Zumeist handelt es sich dabei nicht um inhaltliche Änderungen, sondern um technisch veranlasste Änderungen, Korrekturen der Rechtschreibung, Glättung des Stils etc. Daher werden alle LeserInnen darauf hingewiesen, die Beiträge mit Blick auf das Erstellungsdatum zu lesen und ggf. zu überprüfen, ob die Inhalte noch aktuell und gültig sind. Wir können keine Haftung übernehmen, die sich aus einer Nichtbeachtung ergeben könnten.