Erhöhte Anforderungen an Datensicherheit durch Artikel 30 DSGVO

[Update 15.06.2015]

Achtung, am 15.06.2015 hat die DSGVO den Rat passiert. Zu der hier besprochenen Version wurden noch einige teils weit reichende Änderungen eingearbeitet. Damit ist dieser Beitrag nicht mehr aktuell. Bitte lesen Sie stattdessen diesen Beitrag.

[Update Ende]

Die neue EU-Datenschutzgrundverordnung (DSGVO) ist nun bereits seit Monaten im Werden. In meinem letzten Bericht war ich zuversichtlich, dass man sich in Brüssel schnell einigt. Nun ist mehr als ein Jahr ins Land gegangen und wir sind nicht viel weiter. Dennoch möchte ich das Thema noch einmal aufgreifen und auf Artikel 30 der DSGVO hinweisen, der mit recht wenigen Worte das Thema “Sicherheit der Verarbeitung”, also die technischen und organisatorischen Maßnahmen regelt.

Wenige Worte zur Datensicherheit…

Dort wird explizit erwähnt, dass die Maßnahmen auf Basis einer vorangegangenen Risikobewertung zu treffen sind. Des Weiteren fordert Artikel 30, dass die Maßnahmen “zum Schutz personenbezogener Daten vor unbeabsichtigter oder widerrechtlicher Zerstörung oder vor unbeabsichtigtem Verlust sowie zur Vermeidung jedweder unrechtmäßigen Verarbeitung, insbesondere jeder unbefugten Offenlegung, Verbreitung beziehungsweise Einsichtnahme oder Veränderung” geeignet sein müssen.

… aber die haben’s in sich

Damit sind die Anforderungen an die technischen und organisatorischen Maßnahmen einerseits sehr umfassend beschrieben. Andererseits sind sie nun noch abstrakter und knapper formuliert, als bislang im BDSG. Dort finden sich immerhin die “8 Gebote” aus der Anlage zu § 9 BDSG (s. auch hier). Artikel 30 hingegen fordert nur angemessene Maßnahmen, sagt aber nicht mehr, welcher Art diese sein müssen. Wenn nach Inkrafttreten der Verordnung Datenschutzpannen passieren, wird es vermutlich neben der Prüfung der Maßnahmen zur Datensicherheit regelmäßig auch zu einer Prüfung der geforderten vorangegangenen Risikobewertung kommen. Hat diese nicht stattgefunden oder ist nicht nachvollziehbar dokumentiert, so besteht die Gefahr, dass es zu einer Auslegung zulasten der verantwortlichen Stelle kommt.

Hohes Risiko, hohe Strafen

In Kombination mit den drastisch erhöhten Strafen (bis zu 100 Millionen Euro, bzw. 2% des weltweiten Jahresumsatzes) und den extrem kurzen Fristen für die Meldung von Datenschutzpannen an die Aufsichtsbehörden (spätestens 24 Stunden nach Feststellung) ergibt sich für die Unternehmen ein enorm erhöhtes Risikopotenzial.

Handeln ist gefragt

Noch ist die DSGVO in der Verhandlung und der bisherige Zeitplan ist nicht mehr einhaltbar. Das gibt den Unternehmen die Zeit, die sie vermutlich benötigen werden, um sich auf die erhöhten Anforderungen vorzubereiten. Schließlich tritt die Verordnung mit ihrer Verabschiedung in Kraft und entfaltet somit sofort bindende Gültigkeit.

Sprechen Sie mich an, gerne Unterstütze ich Sie bei der Umstellung Ihrer Datenschutzorganisation auf die kommende EU-Datenschutzgrundverordnung.