Die EU-DSGVO ist kein Papiertiger: Rhenus Data Office rät zu risikoorientierer Betrachtung
- 09.03.2018
- Sicherheit
Was die Dokumentations- und Sorgfaltspflichten angeht, werden bestehende Regelungen in Deutschland verschärft. Während die sichere Aufbewahrung der Daten primär in der Verantwortung der Unternehmen liege, sollte für die Vernichtung der Akten und Datenträger ein externer Dienstleister herangezogen werden, rät Rhenus Data Office.
In jedem Betrieb fallen durch das Tagesgeschäft und die Firmenhistorie Datenmengen an, die gleichzeitig zuverlässig verfügbar und sicher aufbewahrt werden müssen. Dies umfasst interne Daten aus der eigenen Forschung und Entwicklung, be- und vertriebliche Daten aus der Auftragsabwicklung und Faktura, und natürlich Daten aus der eigenen Personalabteilung, dem Kundenstamm oder, im Gesundheitssektor, Patientendaten aus der medizinischen Arbeit. Insbesondere personenbezogene Daten sind sensibel und unterliegen besonderen datenschutzrechtlichen Anforderungen.
In der Vergangenheit glich die Datenschutzrechtslandschaft Europas einem Flickenteppich unterschiedlichster Regelungen – allein in Deutschland gelten derzeit neben dem deutschlandweit gültigen Bundesdatenschutzgesetz 16 Landesdatenschutzgesetze sowie fast hundert bereichsspezifische Gesetze, die den Datenschutz betreffen. Dies resultierte auch aus der Natur der bisherigen EU-Richtlinie 95/46/EG aus dem Jahr 1995, die von den Mitgliedsstaaten individuell in Landesrecht umgesetzt wurde. Mehr als zwanzig Jahre später wurde im April 2016 die neue EU-Datenschutz-Grundverordnung 2016/679 verabschiedet, die unter anderem eine Vereinheitlichung der Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum Ziel hat.
Die EU-DSGVO gilt ab dem 25. Mai 2018 in allen Mitgliedsstaaten der Europäischen Union – also auch in Deutschland: Eine entsprechende Novellierung des Bundesdatenschutzgesetzes wurde durch das Datenschutz-Anpassungs- und –Umsetzungsgesetz EU im Juni 2017 vorgenommen. Durch die EU-DSGVO werden bestehende Regelungen in Deutschland, was die Dokumentations- und Sorgfaltspflichten angeht, verschärft. Sanktionsmöglichkeiten wurden ausgeweitet und neben Schadensersatzansprüchen besteht bei Verstößen das Risiko von Bußgeldern von bis zu zwanzig Millionen Euro oder vier Prozent des gesamten weltweiten Jahresumsatzes eines Unternehmens.
Auch wenn die genannten Summen Obergrenzen sind, bewegt sich das Bußgeldrisiko durchaus in für kleine und mittelständische Unternehmen existenzbedrohenden Bandbreiten. Zudem haften bei Verstößen Verantwortliche und Auftragsverarbeiter auf gleicher Ebene; aufgrund der durch die Verordnung vorgesehenen Beweislastumkehr sind diese in der Pflicht, die Einhaltung der Vorschriften nachzuweisen. Dies bedeutet umfangreiche und detaillierte Dokumentationspflichten.
Gemeinsame Haftung bei Aktenvernichtung
Während die sichere Aufbewahrung der Daten wie Unterlagen oder elektronische Datenspeicher primär in die Verantwortung des Unternehmens beziehungsweise, im Falle eines Einzelunternehmers, der Person fällt, sollte für die Vernichtung von Akten und Datenträgern nach Ablauf der Aufbewahrungsfristen normalerweise ein spezialisierter Dienstleister beauftragt werden, der über die entsprechenden technischen und organisatorischen Mittel verfügt, mit denen eine sichere Sammlung und Vernichtung der Unterlagen gewährleistet werden kann. Diese Maßnahmen müssen risikoorientiert und der Sensibilität der Daten angemessen ausgewählt werden.
Durch die gemeinsame Haftung von Verantwortlichen und Auftragsverarbeitern ist das Unternehmen in der Pflicht, die sichere Datenvernichtung zu prüfen und zu dokumentieren. Hierbei ist zu beachten, dass bestehende Zertifikate und Auditberichte kritisch betrachtet und gegebenenfalls erneuert oder ersetzt werden sollten. Eine Stelle, die für die Zertifizierung nach EU-DSGVO-Vorgaben verantwortlich ist, gibt es gegenwärtig noch nicht. Aus diesem Grund sollten Unternehmen – nicht nur für die Übergangszeit – auf höchste Sicherheit setzen und die besten derzeit verfügbaren Standards einfordern. Folgende Fragen können helfen, den eigenen Status Quo in Bezug auf Akten- und Datenträgervernichtung zu ermitteln sowie sich gut vorzubereiten:
- Führen Sie selber eine regelmäßige Akten- oder Datenträgervernichtung nach Stand der Technik (DIN 66399) durch oder betrauen Sie einen Dienstleister mit dieser Aufgabe?
- Bietet der Dienstleister sichere Transportmöglichkeiten und einen geeigneten Vernichtungsprozess?
- Welche Schutzklasse (nach derzeitigem Stand der DIN 66399) kann durch diese Maßnahmen zuverlässig abgebildet werden? Ist sie für Ihr sensibles Datenschutz-Material ausreichend gewählt?
- Kann der Dienstleister die ordnungsgemäße Vernichtung nachweisen?
NACHGEFRAGT
bei Gerhard Friederici, Datenschutzbeauftragter der Rhenus Data Office GmbH
Wie schätzen Sie die neue Rechtslage durch die EU-DSGVO ein?
Auf keinen Fall darf man die EU-DSGVO als „Papiertiger“ betrachten. Bei Missachtung drohen drastische Strafen und schwerwiegende Folgen; nicht nur existenzbedrohende Bußgelder, sondern Image- und Vertrauensverlust auf Kundenseite – dies kann sich kein Unternehmen leisten.
Was empfehlen Sie Unternehmen, die sich auf die EU-DSGVO vorbereiten wollen?
Die EU-DSGVO muss risikoorientiert betrachtet werden. Sie schreibt den Einsatz "entsprechender" und "geeigneter“ Maßnahmen vor, definiert dies aber nicht im Detail. Daher muss der Kunde umfänglich seine Situation betrachten und dann angemessene Maßnahmen auf dem Stand der Technik treffen. Hier kann man sich an der noch gültigen DIN 66399 orientieren:
1. Einstufung der vorhandenen Daten nach Schutzklasse und Sicherheitsstufe
2. Abschluss eines guten Datenschutzvertrags mit einem Dienstleister, der dem Art. 28 EU-DSGVO Rechnung trägt
3. Klare Definitionen der Rechte und Pflichten beider Parteien – so trägt der Dienstleister bei Missachtung der EU-DSGVO das Risiko