Datenschutz als integraler Bestandteil deiner Informationssicherheit
Datenschutz und Informationssicherheit werden in vielen Unternehmen als getrennte Disziplinen behandelt, dabei sind sie eng miteinander verwoben. Die DSGVO verlangt technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten, und genau diese Maßnahmen sind auch ein zentraler Bestandteil jedes ISMS. Wenn du dein Informationssicherheits-Managementsystem aufbaust, deckst du automatisch einen großen Teil der DSGVO-Anforderungen mit ab. Diese Themenseite hilft dir, die datenschutzspezifischen Pflichten systematisch zu erfüllen und die Synergien zwischen DSGVO und ISMS optimal zu nutzen.
Das Verarbeitungsverzeichnis: Deine Datenschutz-Landkarte
Das Verzeichnis von Verarbeitungstätigkeiten (VVA) ist gemäß Art. 30 DSGVO für fast jedes Unternehmen Pflicht. Es dokumentiert, welche personenbezogenen Daten du zu welchem Zweck verarbeitest, wer darauf Zugriff hat, an wen die Daten weitergegeben werden und wie lange sie gespeichert werden. Das klingt nach viel Aufwand, ist aber in der Praxis ein enorm nützliches Werkzeug. Denn das VVA gibt dir erstmals einen vollständigen Überblick über alle Datenflüsse in deinem Unternehmen.
Ein gutes VVA entsteht nicht am Schreibtisch der Rechtsabteilung, sondern im Dialog mit den Fachabteilungen. Wer verarbeitet welche Daten im Tagesgeschäft? Welche Software kommt zum Einsatz? Wohin fließen die Daten? Diese Fragen lassen sich nur beantworten, wenn du mit den Menschen sprichst, die täglich mit den Daten arbeiten. Unser Artikel zum VVA zeigt dir einen pragmatischen Ansatz, der dich ohne externe Berater zum Ziel führt.
TOMs: Technische und organisatorische Maßnahmen
Art. 32 DSGVO verlangt, dass du „geeignete technische und organisatorische Maßnahmen" zum Schutz personenbezogener Daten implementierst. Diese TOMs sind das Bindeglied zwischen Datenschutz und Informationssicherheit. Verschlüsselung, Zugriffskontrollen, Pseudonymisierung, regelmäßige Sicherheitstests, alles das sind TOMs im Sinne der DSGVO und gleichzeitig Kernbestandteile deines ISMS.
Die Herausforderung liegt weniger in der Umsetzung als in der Dokumentation. Aufsichtsbehörden erwarten, dass du nachweisen kannst, welche Maßnahmen du implementiert hast und warum diese angemessen sind. „Angemessen" ist dabei der Schlüsselbegriff: Die DSGVO verlangt keine absolute Sicherheit, sondern Maßnahmen, die dem Stand der Technik, den Implementierungskosten und dem Risiko für die Betroffenen angemessen sind. Unser Artikel zur TOM-Dokumentation hilft dir, diesen Nachweis strukturiert und auditierfähig zu führen.
Auftragsverarbeitung und Dienstleisterbewertung
Kaum ein Unternehmen verarbeitet personenbezogene Daten ausschließlich selbst. Cloud-Dienste, externe Lohnabrechnungen, Newsletter-Tools, Hosting-Provider: Überall dort, wo ein externer Dienstleister in deinem Auftrag personenbezogene Daten verarbeitet, brauchst du einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Aber ein unterschriebener Vertrag allein genügt nicht. Du musst dich auch davon überzeugen, dass der Dienstleister die vereinbarten Schutzmaßnahmen tatsächlich einhält.
Besonders heikel wird es beim internationalen Datentransfer. Seit dem Schrems-II-Urteil und dem EU-US Data Privacy Framework müssen Unternehmen genau prüfen, ob die Rechtsgrundlage für Datentransfers in Drittländer tragfähig ist. Unser Artikel zum internationalen Datentransfer erklärt dir die aktuelle Rechtslage und welche Instrumente dir für den rechtssicheren Transfer zur Verfügung stehen.
Betroffenenrechte und Löschkonzept
Die DSGVO gibt betroffenen Personen umfangreiche Rechte: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Dein Unternehmen muss in der Lage sein, diese Rechte innerhalb der gesetzlichen Fristen zu erfüllen. Das erfordert klare Prozesse und die technische Fähigkeit, personenbezogene Daten über alle Systeme hinweg zu identifizieren und gegebenenfalls zu löschen.
Das Löschkonzept verdient besondere Aufmerksamkeit, denn es berührt nahezu jedes System in deinem Unternehmen. Du brauchst definierte Aufbewahrungsfristen für jede Datenkategorie, automatisierte oder zumindest regelmäßig durchgeführte Löschroutinen und eine Dokumentation, die nachweist, dass Daten tatsächlich fristgerecht gelöscht werden. Unsere Artikel führen dich Schritt für Schritt durch die Einrichtung eines praxistauglichen Löschkonzepts, das sowohl die DSGVO als auch handels- und steuerrechtliche Aufbewahrungspflichten berücksichtigt.