07101 Das Risiko und die „Sicherheit” im Lichte der DSGVO
Eine wesentliche Neuerung der Datenschutz-Grundverordnung im Vergleich zum alten nationalen Datenschutzrecht ist die Fokussierung auf das Risiko, das mit Datenverarbeitungen einhergeht. War es im alten Recht oftmals ausreichend, dass man einfach ein paar Maßnahmen dokumentiert, um darzustellen, dass man etwas im bzw. für den „Datenschutz” getan hat, dürfte dies heute nicht mehr ausreichen. Denn die Regelungen der DSGVO fordern, dass der Verantwortliche die technischen und organisatorischen Maßnahmen entsprechend dem Risiko treffen muss, das mit der Datenverarbeitung einhergeht. Dies wiederum hat zur Konsequenz, dass es heute wichtiger denn je ist, sich intensiv, prozessorientiert mit den in einer Organisation stattfindenden Datenverarbeitungen auseinanderzusetzen. Dabei gilt es die bestehenden (Datenschutz-)Risiken zu analysieren und zu bewerten. Erst nach Bewertung der Risiken sind Sie in der Lage, die entsprechend dem Risiko erforderlichen Maßnahmen zu treffen.
Der Beitrag macht Sie mit den relevanten Normen und Begrifflichkeiten aus dem Bereich des Risikos vertraut und lässt Sie verstehen, was „Sicherheit” nach der DSGVO bedeutet. von: |
1 Einleitung
Komplexes beherrschbar machen
Es klingt fast wie eine Binsenweisheit. Aber wir müssen uns darüber im Klaren sein, dass bei der Verarbeitung von Daten in Unternehmen immer mehr vernetzte und „smarte” IT eingesetzt wird. Systemimmanent ist damit ein nicht unerhebliches Risikopotenzial verbunden. Denn je mehr man sich auf diese Datenverarbeitung verlässt, desto wichtiger wird es, dass diese ordnungsgemäß/rechtskonform abläuft und damit die korrekten Daten von der eingesetzten IT korrekt verarbeitet werden. Daraus folgt jedoch wiederum auch, dass, je mehr diese Datenverarbeitung eingesetzt wird und je mehr man sich darauf verlässt, das Risiko, verlassen zu sein, umso größer ist, wenn diese IT nicht mehr so wie angedacht funktioniert oder die Daten nicht mehr verfügbar sind. Aufgrund des wachsenden Risikopotenzials ist es daher wichtiger denn je, sich mit den Risiken, die mit einer Datenverarbeitung einhergehen, offen und ehrlich auseinanderzusetzen. Erst dann sind Sie in der Lage, diesen Risiken mit den entsprechenden technischen und organisatorischen Schutzmaßnahmen risikoorientiert zu begegnen. Und genau das fordert auch die EU-Datenschutz-Grundverordnung (DSGVO).
Es klingt fast wie eine Binsenweisheit. Aber wir müssen uns darüber im Klaren sein, dass bei der Verarbeitung von Daten in Unternehmen immer mehr vernetzte und „smarte” IT eingesetzt wird. Systemimmanent ist damit ein nicht unerhebliches Risikopotenzial verbunden. Denn je mehr man sich auf diese Datenverarbeitung verlässt, desto wichtiger wird es, dass diese ordnungsgemäß/rechtskonform abläuft und damit die korrekten Daten von der eingesetzten IT korrekt verarbeitet werden. Daraus folgt jedoch wiederum auch, dass, je mehr diese Datenverarbeitung eingesetzt wird und je mehr man sich darauf verlässt, das Risiko, verlassen zu sein, umso größer ist, wenn diese IT nicht mehr so wie angedacht funktioniert oder die Daten nicht mehr verfügbar sind. Aufgrund des wachsenden Risikopotenzials ist es daher wichtiger denn je, sich mit den Risiken, die mit einer Datenverarbeitung einhergehen, offen und ehrlich auseinanderzusetzen. Erst dann sind Sie in der Lage, diesen Risiken mit den entsprechenden technischen und organisatorischen Schutzmaßnahmen risikoorientiert zu begegnen. Und genau das fordert auch die EU-Datenschutz-Grundverordnung (DSGVO).
Türöffner DSGVO
Die DSGVO, die in ganz Europa direkt Anwendung findet, nimmt im Gegensatz zu den bisherigen nationalen Regelungen eine risikoorientierte Sichtweise ein. Nach meiner Auffassung ist dies auch zielführend. Angesichts des vorstehend beschriebenen „Status quo” der Datenverarbeitung ist die einzige Möglichkeit zum effektiven und effizienten Schutz der Daten des Betroffenen, die Verantwortlichen dazu zu bringen, sich intensiv mit ihren Geschäftsprozessen/Datenverarbeitungen auseinanderzusetzen.
Die DSGVO, die in ganz Europa direkt Anwendung findet, nimmt im Gegensatz zu den bisherigen nationalen Regelungen eine risikoorientierte Sichtweise ein. Nach meiner Auffassung ist dies auch zielführend. Angesichts des vorstehend beschriebenen „Status quo” der Datenverarbeitung ist die einzige Möglichkeit zum effektiven und effizienten Schutz der Daten des Betroffenen, die Verantwortlichen dazu zu bringen, sich intensiv mit ihren Geschäftsprozessen/Datenverarbeitungen auseinanderzusetzen.
Schlanke Maßnahmen dank Risikobetrachtung
Ferner vermeidet man durch die Risikoorientierung, dass Verantwortliche/Auftragsverarbeiter bildlich gesprochen mit „Kanonen auf Spatzen schießen”. Folglich lassen sich durch ein ordnungsgemäß durchgeführtes und dokumentiertes Risikomanagement überzogene bzw. kostspielige, nicht auf den jeweiligen Einzelsachverhalt passende Maßnahmen vermeiden. So muss ein Verantwortlicher/Auftragsverarbeiter immer (nur) die Maßnahmen treffen, die dem Risiko, das mit der jeweiligen Datenverarbeitung einhergeht, angemessen sind.
Ferner vermeidet man durch die Risikoorientierung, dass Verantwortliche/Auftragsverarbeiter bildlich gesprochen mit „Kanonen auf Spatzen schießen”. Folglich lassen sich durch ein ordnungsgemäß durchgeführtes und dokumentiertes Risikomanagement überzogene bzw. kostspielige, nicht auf den jeweiligen Einzelsachverhalt passende Maßnahmen vermeiden. So muss ein Verantwortlicher/Auftragsverarbeiter immer (nur) die Maßnahmen treffen, die dem Risiko, das mit der jeweiligen Datenverarbeitung einhergeht, angemessen sind.