DSGVO Datenschutz-Grundverordnung

Was ist DSGVO ?

Ziel der Europäische Datenschutzgrundverordnung (DSGVO) ist der Schutz der Grundrechte und insbesondere der Schutz der personenbezogenen Daten aller EU-Bürger. In Zeiten mächtiger Konzerne wie Facebook, Apple oder Google gilt es, Regeln zu schaffen, die darüber bestimmen, wer was wie und warum mit Ihren Daten tun darf. Sicherlich haben die Anbieter von Krankenkassen, um einige Beispiele zu nennen, ein Interesse an den Daten, die Ihr Fitnessarmband täglich in „der Cloud“ ablegt. Die KFZ-Versicherer an den typischen Geschwindigkeiten beim Durchfahren von Kurven, kriminelle an Ihren Kreditkartendaten, die Wirtschaft interessiert sich für ohnehin alles, was auf Ihr Einkaufsverhalten und die Möglichkeiten der Beeinflussung schließen lässt. Ähnliches gilt für verschiedene politische Interessengruppen.

Insofern ist es unstrittig, dass es beim Umgang mit den Daten der Bürger klaren Regelungen braucht. Auch klar ist, dass diese Regelungen nicht zur Benachteiligung der Wirtschaft einzelner Staaten führen soll. Daher gilt die DSGVO für alle Mitgliedstaaten der EU in gleicher Art und Umfang - von sehr wenigen länderspezifischen Details abgesehen.

Die EU-DSGVO orientiert sich in vielen Punkten an dem, was in Deutschland über das Bundesdatenschutzgesetz schon seit den 80ern galt. In den Fokus ist das Thema nun vor Allem geraten, da Vergehen fortan nicht mehr als Kavaliersdelikte angesehen werden sondern mit drastischen Strafen belegt werden können.

Was fordert die EU-DSGVO ?

In 11 Kapiteln und rund 100 Artikeln sind viele Fragen zum Datenschutz detailliert geregelt. Im Wesentlichen kreisen die Regelungen aber immer wieder um wenige, eigentlich recht simple Vorgaben:

1.    Verbot mit Erlaubnisvorbehalt
Personenbezogene Daten dürfen prinzipiell gar nicht verarbeitet werden. Die Verarbeitung ist nur erlaubt, wenn mindestens eine der Voraussetzungen erfüllt ist:

•    Eine explizite Einwilligung der Betroffenen zur Verarbeitung der Daten zu einem definierten Zweck liegt vor.
•    Es existieren gesetzliche Regelungen, die die Speicherung oder Verarbeitung der personenbezogenen Daten vorschreiben.
•    Es besteht ein berechtigtes Interesse zur Verarbeitung der personenbezogenen Daten, welches nach objektiver Abwägung     gewichtiger ist, als die sich daraus ergebenden Beeinträchtigung der Persönlichkeitsrechte der Betroffenen.

2.    Technische und organisatorische Maßnahmen
Die personenbezogenen Daten sind durch angemessene und zeitgemäße „technisch organisatorische Maßnahmen“ (TOMs)  zu schützen, so dass Offenlegung, unberechtigte Weitergabe oder Missbrauch unwahrscheinlich sind.

3.    Auftragsverarbeitung
Werden personenbezogene Daten zur Verarbeitung an Dritte weitergegeben, so ist dafür Sorge zu tragen, dass auch der „Dritte“ die Daten ordnungsgemäß behandelt, durch entsprechende „TOMs“ angemessen schützt und dies dem für die Daten verantwortlichen nachweist. Letzteres erfolgt in der Regel durch einen „Vertrag zur Auftragsverarbeitung“ und die Vorlage entsprechender Zertifikate zur Daten- bzw. Informationssicherheit.  

4.    Verarbeitungsverzeichnis
Es ist ein Verzeichnis pflegen, welches alle Geschäftstätigkeiten auflistet, die personenbezogene Daten betreffen. Anhand dieses internen „Verarbeitungsverzeichnisses“  kann die Rechtmäßigkeit der Verarbeitung Prozess für Prozess geprüft und bei Bedarf den Behörden gegenüber belegt werden. Im Verzeichnis werden die Voraussetzungen zur Verarbeitung (siehe 1) dokumentiert, die eingesetzten TOMs (siehe 2), gegebenenfalls die ordnungsgemäße Beauftragung von sorgfältig ausgewählten Dritten zur Verarbeitung der personenbezogenen Daten (siehe 3).

Haben Sie diese vier Grundregelungen beachtet und leisten sich hierzu keine groben Verstöße, so schrumpft das scheinbare Monster DSGVO schnell auf ein handzahmes Niveau.

Wie unterstützt Continum in Bezug auf die DSGVO ?

Continum ist seit knapp 20 Jahren der verlässliche Partner zum Betrieb von IT-Systeme und -Landschaften. Der Schutz der Daten erfährt dabei stets den höchstmöglichen Stellenwert. Daher verfügt Continum über die nötige Erfahrung und Routine, auch allen Anforderungen zur Verarbeitung personenbezogener Daten gemäß der EU-DSGVO gerecht zu werden.

Continum berät zu Art und Umfang der technischen und organisatorischen Maßnahmen. Welche Schutzmaßnahmen entsprechen dem geforderten Stand der Technik ? Welche Maßnahmen sind zur Erlangung eines angemessenen Schutzniveaus wirklich erforderlich und auch effizient?

Continum vereinbart mit dem Kunden einen Vertrag zur Auftragsverarbeitung. Der Auftraggeber profitiert von der klaren Definition der Rechte und Pflichten zwischen ihm und dem Auftragnehmer. Er erhält im Rahmen der Vereinbarung eine ausführliche Beschreibung der zum Schutz der Daten eingesetzten „technischen und organisatorischen Maßnahmen“ sowie den Nachweisen zur Einhaltung und Wirksamkeit über externe Zertifizierungen (ISO/IEC 27001), bei der Verarbeitung von Kreditkartendaten bei Bedarf auch nach PCI-DSS.

Der Kunde profitiert von den im professionellen Managed Hosting bewährten Prozessen und Schutzmaßnahmen. Keine eigenen Ressourcen müssen in die Definition und Umsetzung eigener Mechanismen investiert werden. Stattdessen kann er sich auf seine Kernkompetenzen konzentrieren und zu vielen Datenschutzthemen schlicht auf den „Vertrag zur Verarbeitung im Auftrag“ verweisen.

Bei Fragen können Sie uns gerne über das Kontaktformular anschreiben.

Kontaktieren Sie uns oder vereinbaren Sie einen kostenlosen Beratungstermin.

Ihre Kontaktdaten

Sie interessieren sich für?

Ihre Mitteilung