Die EU-Datenschutzgrundverordnung (DSGVO) ist in aller Munde. Dass mit dem neuen Gesetz viel Arbeit auf Unternehmen und Behörden zukommt, dürfte niemanden mehr überraschen. Ob es um transparente Verwaltungsprozesse, die Vergabe von Aufbewahrungsfristen oder die Wahrung von Betroffenenrechten geht: Mit der endenden Übergangsfrist der EU-Datenschutzgrundverordnung (DSGVO) im Mai 2018 drohen bei Verstößen empfindliche Strafen. Es ist daher für viele öffentliche Verwaltungen höchste Zeit, ihren Pflichten in Sachen Datenschutz nachzukommen. Allerdings stellt die rechtskonforme Verarbeitung personenbezogener Daten die betroffenen Behörden vor vielfältige Herausforderungen. Die fünf größten Hürden werden nachfolgend beleuchtet:

1. Transparenz: die DSGVO fordert, dass Verwaltungsprozesse von Grund auf transparent gestaltet werden. Öffentliche Stellen sind den Datenschutzaufsichtsbehörden gegenüber dazu rechenschaftspflichtig und müssen die lückenlos dokumentierte Rechtskonformität in der Datenverarbeitung nachweisen. Dazu soll ein Verarbeitungsverzeichnis geführt werden, das in seiner Komplexität weit über das bisher geforderte Mindestmaß hinausgeht. Die Richtigkeit dieser Dokumentation ist in regelmäßigen Audits zu überwachen. Außerdem müssen Personen, deren Daten verarbeitet werden, umfassend über diese Verarbeitungen informiert werden. Die bisher erteilten Informationen genügen jedoch meist nicht den neuen gesetzlichen Mindestanforderungen. In den meisten Fällen müssen Informationen nachträglich beigebracht und Verträge, AGBs sowie Datenschutzerklärungen angepasst werden.

2. Löschfristen: Sobald der Zweck einer Datenverarbeitung erlischt oder ein Betroffener der Verarbeitung widerspricht, sind personenbezogene Daten zu löschen. Dem stehen jedoch zahlreiche Aufbewahrungsfristen gegenüber, die eine Datenlöschung bis zu ihrem Ende verbieten. Während dieser Zeit sind personenbezogene Daten zu sperren. Öffentliche Verwaltungen müssen also umfassende Löschkonzepte erarbeiten und diese letztlich auch umsetzen. Diese Vorschrift ist zwar nicht neu, wird nun jedoch erstmals mit einem Bußgeld geahndet.

3. Datensicherheit: Die DSGVO führt erstmals konkrete Schutzziele (Integrität, Vertraulichkeit, Belastbarkeit) per Gesetz in den Datenschutz ein. Gleichzeitig werden jedoch, anders als bisher, keine konkreten Vorgaben zu technisch-organisatorischen Maßnahmen mehr gemacht. Stattdessen sind Behörden aufgefordert, ihre Sicherheitsmaßnahmen auf Basis eines Risikomanagements zu planen. Ein Datenschutzmanagementsystem wird vom Gesetzgeber empfohlen.

4. Privacy by design und privacy by default (Datenschutzfreundliche Voreinstellungen und Datenschutz durch Technikgestaltung): Künftig ist nachzuweisen, dass alle Verwaltungsprozesse von Grund auf datenschutzkonform geplant worden sind. Dies gilt auch für die Anschaffung von Software. Behörden sollten sich also bereits jetzt damit auseinandersetzen, welche Anforderungen an den Datenschutz sich künftig aus ihrer Systemlandschaft ergeben und Produkte und Prozesse entsprechend anpassen. Vor allem öffentliche Auftraggeber sind durch den Gesetzgeber aufgefordert, dem Thema Datenschutz in ihren Ausschreibungen künftig größere Bedeutung beizumessen.

5. Mehr Verantwortung für Auftragsverarbeiter: Auftragsverarbeitung liegt dann vor, wenn ein Dienstleister nach Weisung eines Auftraggebers dessen Daten verarbeitet. Derzeit sind diese Dienstleister nur der verlängerte Arm ihres Auftraggebers und können für nicht-datenschutzkonforme Weisungen des Auftraggebers nicht belangt werden. Künftig sind auch Unternehmen, die Daten im Auftrag verarbeiten, stärker als bisher dazu angehalten, diese Datenverarbeitung hinsichtlich ihrer Rechtmäßigkeit zu überwachen. Zudem sind diese Prozesse sowie erteilte Weisungen des Auftraggebers entsprechend zu dokumentieren. Bestehende Verträge zur Auftragsverarbeitung müssen überprüft und angepasst werden. Datenschutzzertifizierungen und Codes of Conduct (beides derzeit noch ausstehend) sollen Dienstleistern in Zukunft dabei helfen, ihre Datenschutzkonformität gegenüber Auftraggebern leichter nachzuweisen.

Fazit: Die DSGVO ist komplex, schwer zugänglich und wirft bei vielen öffentlichen Verwaltungen Fragen auf. Sie benötigen Unterstützung? Die Ceyoniq Technology bietet ein umfangreiches Beratungsportfolio für die DSGVO. Neben Mitarbeiterschulungen und Anforderungsanalysen nach individuellen Kundenvorgaben begleiten wir Sie auf Wunsch auch bei der Umsetzung Ihres DSGVO-Projekts oder der Einführung eines Datenschutzmanagementsystems. Unsere Berater verfügen dazu über weitrechende Expertise zu allen Fragen des Datenschutzes und einschlägigen Sicherheitsnormen wie der ISO/ IEC 27001.

Kostenloser Download:

Die fünf größten Herausforderungen der DSGVO und wie sie zu meistern sind.

  • Transparenz der Datenverarbeitung
  • Lösch- und Aufbewahrungsfristen
  • Datenschutzmanagementsystem
  • Privacy by design und privacy by default
  • Auftragsverarbeiter