Das findest Du auf dieser Seite
Den Stand der Technik jetzt berücksichtigen
Folgende Begriffe gibt es dafür:
Datenschutz durch Technik, im englischen privacy by design oder data protection by design.
Datenschutzfreundliche Voreinstellungen, im englischen privacy by befault („by default“ wird hier in der Bedeutung von „automatisch“ verwendet und privacy bedeutet „Privatsphäre“) oder data protection by default.
Über diese Begriffe wirst Du immer wieder stolpern.
Der Art. 25 DSGVO behandelt das „Thema Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen“.
Hier wird der Verantwortliche aufgefordert rechtzeitig geeignete technische und organisatorische Maßnahmen (Abkürzung TOM) zu setzen, sodass der Datenschutz im Sinne der DSGVO umgesetzt wird. Die TOM´s werden im Erwägungsgrund 78 beschrieben
Ein wichtiges Thema möchte ich an dieser Stelle anbringen. Bei der Datenverarbeitung geht es nicht nur um elektronische sondern auch um Formate in Papierform. Für diese Form musst Du Dir auch überlegen, wie Du damit richtig umgehst, dass es der Verordnung entspricht.
Datenschutz durch Technikgestaltung
(Privacy by Design oder auch Data Protection by Design)
Vereinfacht heißt das: “Gleich von Beginn an eingebauter Datenschutz und Datenschutzprozesse“
Wenn Du Dir die Verordnung genau ansiehst, dann wird es klar, dass da mit einer kleinen Korrektur nichts zu erreichen sein wird. Das beste wird sein, wenn Du Deinen Geschäftsprozess und Dein EDV-System für die Verordnung zurecht machst.
Der Gesetzgeber hat das auch schon von sich aus vorgegeben. Bei dem Begriff „Data Protection by Design“ geht es darum, dass man schon bei Beginn der Entwicklung von Technologie und Programmen auf den Datenschutz achtet. Alles was man im Nachhinein zu sanieren versucht bleibt auf lange Zeit sowieso eine Baustelle.
Wenn Du das richtig machst, hast Du eigentlich keine Datenschutzprobleme.
Dieser Bereich umfasst:
- Eine gute Struktur entwickeln, bevor noch etwas in Auftrag gegeben wird
- Sicherheitslücken durch verstärkten Datenschutz in die Basisstruktur eines Systems von Anfang an schließen
- Gleich am Anfang Festlegung und Nutzung von hohen Sicherheitsstandards
- Dokumentieren von Sicherheitsrisiken und Technologien
- Die technischen Voreinstellungen so vornehmen, dass sie dem Datenschutz von Anfang an unterstützen. Du designest Produkte und Dienstleistungen, dass sie gleich zu Beginn dem Datenschutz entsprechen.
Trotz der damit verbundenen Arbeit hat es aber auch Vorteile, die Du nicht unterschätzen sollst. In der Analyse findest Du potentielle zukünftige Probleme und kannst sie jetzt schon verhindern und damit Kosten und Rufschädigung sparen.
Ich persönlich finde diesen Teil nicht unbegründet, weil es den Unternehmer zwingt sich auf ein technisch höheres Niveau zu begeben. Das wird auch zukünftige Cyberattacken erschweren und Schäden durch verloren gegangene Daten minimieren.
Bei der Neuanschaffung von Soft- und Hardware unbedingt darauf achten, dass sie den Voraussetzungen des Datenschutzes entsprechen.
Datenschutzfreundliche Voreinstellungen
„Privacy by Default“ oder auch „Data Protection by Default“
Darunter fallen Maßnahmen wie:
- Minimierung bei der Erfassung personenbezogener Daten
- Pseudonymisierung
- Transparenz bei der Funktion und Verarbeitung personenbezogener Daten
- Der Verantwortliche wird dadurch in die Lage versetzt, Sicherheitsfunktionen zu verbessern und zu schaffen (Erwägungsgrund 78)
An dieser Stelle möchte ich nochmals den Gesichtspunkt des Brandings hervorheben. Firmen können in Zukunft damit werben, dass sie hohe Sicherheitsstandards pflegen und die Daten der Personen sicher aufgehoben sind. Auch für Geschäftspartner wird das in Zukunft eine tragende Rolle spielen, wenn sie auf hohe Sicherheitsstandards hinweisen können. Zeigt es doch von hoher Kompetenz. Somit könnte die DSGVO in dieser Hinsicht als Marketing-Werkzeug verwendet werden.
Normen und Zertifizierungen
Die Idee der Implementierung der Technik und der Voreinstellungen ist nicht neu. Es gibt schon seit einiger Zeit eine Zertifizierung dafür.