Newsletter

Melden Sie sich für unseren Newsletter an!

So bekommen Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und Compliance zugeschickt.

Datenschutz beim Weihnachtsmann

Teil 2

Datenschutz

von Daniela Hörnicke

Am 25. Mai 2018 tritt die DSGVO in Kraft – Auch für den Weihnachtsmann wird es langsam Zeit sich mit den anstehenden Änderungen zu beschäftigten.

Auch im Norden, wo der Weihnachtsmann wohnt, ist es mittlerweile angekommen, am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung in Kraft. In der letzten Woche hat er sich einen Überblick zu den sieben Kernthemen der DSGVO verschafft, sich intensiv mit den Themen Rechtsgrundlagen und Betroffenenrechte auseinandergesetzt sowie festgestellt, dass es auch für ihn eine Menge zu tun gibt.

In dieser Woche will er sich den Bereich der Nachweispflichten und das Thema IT-Sicherheit genauer ansehen. Was gibt es da wohl für ihn zu tun?


Punkt 3 - Nachweispflichten

Nachweis einer wirksamen Datenschutzorganisation – bislang gibt es alles nur in den Köpfen von Weihnachtsmann und Oberwichtel. Vielleicht sollten sie es doch einmal gemeinsam zu Papier bringen, das würde auch helfen sich selbst zu erinnern was wann wie vorgesehen ist und wer sich kümmern muss und kann dadurch auch den anderen Wichteln und Rentieren als Orientierung dienen. Aber was genau gehört dazu?

Wenn er etwas darüber nachdenkt und nachliest kommt er auf Dokumentationen:

  • eine Datenschutzrichtlinie
  • die Prozesse Auskunftsersuchen und Datenpanne
  • die Verarbeitungsübersichten für die Verarbeitungen personenbezogener Daten
  • die Datenschutzfolgenabschätzung

Datenschutzfolgenabschätzung, kurz DSFA, was ist das denn bloß wieder?

Für besonders risikoreiche Verarbeitungen, wie bspw. Scoring, die Verarbeitung besonders sensitiver Daten oder bei Datentransfers in Länder außerhalb der EU, muss

  • eine systematische Beschreibung der geplanten Verarbeitungen,
  • eine Verhältnismäßigkeitsprüfung,
  • eine Risikobewertung,
  • eine Bewertung der technisch organisatorischen Maßnahmen (ToM), 
  • und ein Bericht erstellt werden.

Das klingt wirklich kompliziert und aufwändig. Er recherchiert und findet zumindest eine Faustformel für die Risikobewertung die ihm weiterhilft.

Die Höhe des Risikos für die Rechte und Freiheiten natürlicher Personen ergibt sich aus:
Der Eintrittswahrscheinlichkeit der Bedrohung x der Schwere der Auswirkung (Schadenspotential)


Punkt 4 IT-Sicherheit

Puh, das ist ein schwieriges Thema und doch auch immer so teuer. Er hat gerade so in diesem Jahr Mittel bewilligt bekommen um alle Wichtel mit mobilen Geräten auszustatten. Jetzt können diese endlich schnell und einfach kommunizieren wenn sie auf Reisen sind, Dienste tauschen und Daten zu den gewünschten Dingen unterwegs erfassen.

Was wird hier überhaupt gefordert?

  • Ein Sicherheitskonzept – Reicht dafür vielleicht schon die ausführliche Dokumentation der getroffenen technisch organisatorischen Maßnahmen? Er wird es mit dem Oberwichtel besprechen und sich ggf. den Rat von Fachleuten dazu einholen.
  • Wirksamkeitstest – Der Oberwichtel, der für die Datensicherung verantwortlich, ist könnte ja regelmäßig prüfen ob die Rücksicherung der Daten auch funktioniert. Das wäre sowieso ganz gut, für den Fall der Fälle.
  • Verhindern unbefugter Datenverarbeitung – Das ist kein Problem. Der Weihnachtsmann und der Oberwichtel haben sich gerade vor dem Hintergrund der mobilen Geräte noch einmal ausführlich mit den Rollen und Berechtigungen auseinandergesetzt und alles aktualisiert.
  • Informations-/Dokumentationspflichten bei Sicherheitsvorfällen – Dafür werden sie ein Formular entwickeln, um eine strukturierte und systematische Dokumentation zu ermöglichen.

Erfreut stellt der Weihnachtsmann fest, dass er an vielen Stellen doch schon etwas vorweisen kann. Außerdem hat er sich jetzt schon mit vier von sieben Themen auseinandergesetzt. Wir schauen in der nächsten Woche wie es weitergeht.

Sie möchten nützliche Hinweise zur Datenschutzfolgenabschätzung? Hier sind sie zu finden!

Zurück