6. Sicherheit der Verarbeitung
Darum geht’s: Unternehmen sind dazu verpflichtet sicherzustellen, dass Daten von Kunden oder Mitarbeitern nicht von Unbefugten eingesehen werden können.
Das sagt die DSGVO: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ (Artikel 32)
Das sagt der Experte: „Auf drei bis vier Seiten sollten Unternehmen aufschreiben, welche Schutzmaßnahmen sie ergreifen“, erklärt Grabowski. Dazu kann gehören, dass das Unternehmen den Virenschutz immer auf dem aktuellsten Stand hält, die Daten auf Computern, USB-Sticks, Festplatten, Tablets und andere Geräte verschlüsselt und Unbefugte keinen Zugang zu den Büros des Unternehmens haben. Auch die Pseudonymisierung von Daten gehört dazu. Das bedeutet, dass Daten zwar weitergeleitet oder verarbeitet werden, aber diese keiner konkreten Person mehr zugeordnet werden können.
7. Verzeichnis von Verarbeitungstätigkeiten
Darum geht’s: Unternehmen müssen sich die Frage stellen, was sie mit Daten tun und zu welchem Zweck sie das tun. Nutzen sie die Daten beispielsweise, um Rechnungen zu schreiben oder um telefonisch Termine zu vereinbaren, gehören diese Tätigkeiten in Verzeichnis.
Das sagt die DSGVO: „Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“ (Artikel 30)
Das sagt der Experte: Faktisch nahezu jedes Unternehmen muss ein Verarbeitungsverzeichnis anlegen. „Dieses Verzeichnis wird bei einer Prüfung durch die Datenschutzbehörde zuerst eingesehen“, sagt Grabowski. Das Verzeichnis beginnt mit den allgemeinen Angaben zum Unternehmen: Kontaktdaten, Datenschutzbeauftragter, Sitz, Adresse, Beschreibung des Unternehmens. Es folgen alle Prozesse, die mit personenbezogenen Daten zu tun haben und deren Beschreibung: Welche Daten werden für welchen Prozess verwendet? Sind die Betroffenen Kunden, Mitarbeiter, Lieferanten? Werden die Daten analog oder digital verarbeitet? Welche Rechtfertigung hat die Verarbeitung der Daten? „Letzteres kann beispielsweise sein, dass ein Unternehmen die Adresse eines Kunden speichert, um eine Rechnung zu versenden“, erklärt Grabowski. Weitere Angaben sind die Maßnahmen, die ein Unternehmen zum Schutz der Daten ergreift und Angaben darüber, wer intern und extern auf die Daten Zugriff hat. „Zu den Schutzmaßnahmen gehört unter anderem, dass Akten verschlossen gelagert werden und Daten verschlüsselt werden“, sagt Grabowski. Der letzte Punkt, der in das Verarbeitungsverzeichnis gehört ist, ob eine Datenschutzfolgenabschätzung notwendig ist.
