Datenschutz beim Weihnachtsmann 2018 (Teil 2)

Datenschutz

von Daniela Hörnicke

Letztes Jahr um diese Zeit hat sich der Weihnachtsmann intensiv mit den anstehenden Änderungen im Datenschutz beschäftigt (https://www.althammer-kill.de/news-detail/datenschutz-beim-weihnachtsmann-teil-2/). Gefühlt war es für ihn noch eine lange Zeit bis die Änderungen wirksam werden sollten und dann war er plötzlich da – der Tag X: Freitag, der 25.05.2018.

In der letzten Woche hat er seinen Rückblick auf ein halbes Jahr DSGVO gestartet und sich noch einmal bewusst gemacht, was die Kernthemen für ihn waren und wie die ersten Umsetzungen erfolgt sind.

In dieser Woche schauen wir zurück auf die Nachweispflichten und das Thema IT-Sicherheit. Wie hat er diese Punkte umgesetzt und wo gibt es weiterhin Schwierigkeiten?

Punkt 3: Nachweispflichten

Die Datenschutzgrundverordnung fordert vom Verantwortlichen den Nachweis einer wirksamen Datenschutzorganisation (Art. 5 DSGVO).

Der Weihnachtsmann hat im letzten Jahr festgestellt, dass er folgende Dokumentationen und Prozesse benötigt, um diese Pflicht zu erfüllen:

  • eine Datenschutzrichtlinie
  • die Prozesse Auskunftsersuchen und Datenpanne
  • die Verarbeitungsübersichten für die Verarbeitungen personenbezogener Daten
  • die Datenschutz-Folgenabschätzung

Er hat sich entschlossen, mit den Verarbeitungsübersichten zu beginnen. Zum einen, weil er die ja auch nach dem alten BDSG schon hätte haben müssen und zum anderen, weil er in der Diskussion mit Osterhase und Nikolaus festgestellt hat, dass er bei gut geführten Übersichten die Informationen, die er für die Informationspflichten, Auskunftsersuchen oder auch Datenpannen benötigt, direkt verfügbar hat. So hat er also auf einen Schlag eine Menge Aufgaben erledigt.

In seiner dezentralen Organisation war es aber nicht so einfach, die Prozesse für die Erfüllung der Betroffenenrechte aufzusetzen. Er hat sich dazu entschieden, diese allen Mitarbeitenden über eine kurze Onlineschulung per E-Learning bekannt zu machen. Außerdem testet er hin und wieder, ob die Prozesse funktionieren. Dies ist besonders wichtig und wertvoll für den Prozess zur Datenpanne, denn hier gilt ja seit dem 25.05.2018 die 72-Stunden-Frist für die Meldung an die Aufsichtsbehörde. Die Themen Datenschutz-Folgenabschätzung und Datenschutzrichtlinie wird er sich als nächstes vornehmen. Denn schließlich gibt es für ersteres mittlerweile bei den Aufsichtsbehörden die sogenannten Black- and White-Lists und auch eine gut handhabbare Handreichung zu letzterem.

Punkt 4: IT-Sicherheit

Das war ein ziemlich schwieriges Thema, denn schließlich kommt man hier oft nicht ohne größere Investitionen voran – und auch beim Weihnachtsmann ist das Geld für diesen Bereich eher knapp bemessen. Die Anforderungen sind aber trotzdem für alle gleich hoch.

Folgendes wird benötigt bzw. ist sicherzustellen.

  • Sicherheitskonzept
  • Wirksamkeitstest
  • Verhindern unbefugter Datenverarbeitung
  • Informations-/Dokumentationspflichten

Aus diesem Grund hat der Weihnachtsmann sich dazu entschlossen, auch hier zunächst mit der Dokumentation zu beginnen, also ein Sicherheitskonzept zu erstellen. Hierbei konnte er auch direkt den IST-Zustand erheben und weiß nun,  worauf er achten muss. Außerdem führt der Oberwichtel jetzt auch regelmäßig Tests durch, um die Wirksamkeit der Datensicherung und der Firewall zu prüfen. Im nächsten Jahr stehen hier aber trotzdem noch einige größere Investitionen an, um die mobilen Geräte der Wichtel ebenfalls zusätzlich abzusichern. Es soll ein MDM (Mobile Device Management) eingeführt werden. Dann können verlorengegangene Geräte aus der Ferne gelöscht werden, und das kommt wirklich häufig vor.

In der nächsten Woche wird sich der Weihnachtsmann dann noch einmal mit den Bereichen Out-Sourcing, Beschäftigtendaten und Bußgelder auseinandersetzen.

< zu Teil 1          zu Teil 3 >

 

Hier finden Sie nützliche Hinweise zur Datenschutz-Folgenabschätzung und zur Meldung von Datenpannen:

https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Liste_Verarbeitungsvorgaenge.pdf?__blob=publicationFile&v=2

https://www.ldi.nrw.de/mainmenu_Service/submenu_Newsarchiv/Inhalt/Leitlinien_der_Art__29-Gruppe_zur_EU_DSGVO/wp248-rev_01.pdf

https://datenschutz-hamburg.de/assets/pdf/2018.11.15_Data%20Breach_Vermerk_extern.pdf

Zurück