Home
Intern
Global
Kontakt
23. Oktober 2017
Das Ziel der Einführung der neuen Regelungen war die Vereinheitlichung der Gesetze und Verfahren zum Schutz personenbezogener Daten in der ganzen Europäischen Union. Das Thema ist außerordentlich wichtig, aber die damit verbundene tägliche Praxis ließ oftmals viel zu wünschen übrig. Deswegen wurde in der DSGVO bestimmt, wie die Sicherheit der Datenverarbeitung alltäglich durch Unternehmen zu gewährleisten ist. Dies betrifft nicht nur Verantwortliche, sondern auch Unternehmen, welche die Daten im Auftrag der Verantwortlichen (z.B. Outsourcingunternehmen) verarbeiten. Jedes Unternehmen, das Daten verarbeitet, wird verpflichtet sein, administrative Verfahren einzuführen und technische Maßnahmen zu ergreifen, welche die angemessene Sicherheit der zu verarbeitenden Daten gewährleisten, je nach dem Risiko des Verlustes oder der Offenlegung von Daten in einem konkreten Unternehmen. Die durch die DSGVO eingeführten Änderungen treten am 25. Mai 2018 in Kraft. Die Zeit für die Vorbereitung auf diese Änderungen wird immer knapper. Vor allem wäre es gut, zu wissen, welche Änderungen die DSGVO mit sich bringt, inwieweit sie das konkrete Unternehmen betreffen werden und was zu tun ist, um sich auf diese Änderungen rechtzeitig vorzubereiten.
Auf den ersten Blick fallen in den neuen Vorschriften finanzielle Sanktionen auf, die für die Nichtbeachtung der Pflichten vorgesehen sind. Diese Sanktionen können bis zu 20 Mio. EUR bzw. bis zu 4% des gesamten weltweit erzielten Jahresumsatzes aus dem Vorjahr betragen, wobei der höhere Betrag anwendbar ist. Unter Berücksichtigung des erheblichen Wertes dieser Sanktionen lohnt es sich bereits heute, die für das jeweilige Unternehmen angemessenen Lösungen zu erwägen.
Von grundlegender Bedeutung scheint es zu sein, die Mitarbeiter über die Gewichtung des Schutzes personenbezogener Daten, eingeführte Verfahren, neue damit verbundene Pflichten und Einschränkungen zu benachrichtigen. Kein System funktioniert, wenn die Menschen, die es mit entwickeln, keine Vorstellung haben, wozu es dient, und an die Begründetheit dessen Funktionsweise nicht glauben. Eben die Mitarbeiter, auch diejenigen, die sich nicht alltäglich mit den personenbezogenen Daten und deren Verarbeitung beschäftigen, müssen Bescheid wissen, was ein "Datenleck" bedeutet, wie es zu erkennen ist und was zu tun ist. Es kann sich als notwendig erweisen, regelmäßige Schulungen für Mitarbeiter durchzuführen, bei denen eingeführte interne Verfahren und Lösungen im Bereich Cyber-Sicherheit und organisatorische Maßnahmen besprochen werden. Es wäre gut, die durch DSGVO eingeführten Änderungen umfangreicher zu besprechen, über die Wichtigkeit dieses Themas zu reden, und zwar nicht nur hinsichtlich der Sanktionen, die dem Unternehmen drohen, sondern der Datensicherheit, die jeden von uns betrifft.
Die Änderungen bezüglich der einzuführenden technischen Maßnahmen werden nicht präzise genannt. Der EU-Gesetzgeber liefert keine fertigen Lösungen, sondern weist lediglich auf die Entwicklung und Einführung der Sicherheitsverfahren und -maßnahmen hin, die für die vom Unternehmen ausgeübte Tätigkeit und das Risiko des Verlustes bzw. der Offenlegung von verarbeiteten Daten angemessen sein werden. Dieses Risiko und die Art notwendiger Sicherungen bewertet das Unternehmen intern nach eigenem Ermessen. Scheinbar wird dabei eine ziemlich große Freiheit gewährt. In Wahrheit ist damit aber eine weitgehende Haftung verbunden. Bei etwaigen Verletzungen wird jedes Unternehmen der Aufsichtsbehörde selbständig beweisen müssen, dass es alle Anstrengungen unternommen hat, um den Unregelmäßigkeiten vorzubeugen.
Bevor das Netzwerksicherheitssystem eingeführt wird, ist es angebracht, das mit den personenbezogenen Daten verbundene Risiko im Unternehmen zu analysieren. Obwohl die Pflicht zur formellen Risikobeurteilung nur einige Unternehmen betreffen wird, lohnt es sich für jedes Unternehmen, die Risikoanalyse durchzuführen. Die Risikoanalyse gewährleistet nicht nur eine potenziell größere Effizienz des Sicherheitssystems, sondern kann gegenüber der Aufsichtsbehörde als gutes Argument für die große Sorge um die Sicherung personenbezogener Daten im Unternehmen gelten.
Gleichzeitig wird die Anforderung eingeführt, die Sicherheit des Datenschutzsystems regelmäßig zu testen. Die bisherige Erfahrung zeigt, dass die meisten Unternehmen die Funktionsweise der eigenen Netzwerksicherheitssysteme nicht systematisch oder sogar überhaupt nicht überprüft haben. Auch hier hat der Verantwortliche freie Hand – es wird von ihm abhängen, wie oft und nach welcher Methode diese Tests durchgeführt werden. Dabei sind die Anzahl der Vorgänge an personenbezogenen Daten sowie die etwaige Überwachung der Zwischenfälle zu berücksichtigen.
Zu den wichtigsten Pflichten gehören die Überwachung und Berichterstattung über Datenlecks. Der Bericht über den Verlust oder die Offenlegung von personenbezogenen Daten muss unverzüglich, d.h. spätestens innerhalb von 72 Stunden nach Feststellung des Zwischenfalls bei den Aufsichtsbehörden eingehen. Dies bedeutet, dass Maßnahmen sofort ergriffen werden müssen, was jedoch nur dann möglich ist, wenn das Sicherheitssystem funktionsfähig ist, angemessene Verfahren eingeleitet werden und die Mitarbeiter über Wissen und Bewusstsein zu diesem Thema verfügen. Gelingt es nicht – aus welchem Grund auch immer – den Bericht fristgerecht vorzulegen, so muss außerdem eine Erklärung darüber beigefügt werden, was der Verzögerung zugrunde liegt.
Die durch die DSGVO eingeführten Änderungen erfordern zweifelsohne einen großen Arbeitsaufwand und eine hohe Aufmerksamkeit seitens der Unternehmen, in denen personenbezogene Daten verarbeitet werden. Durch die Verordnung werden selbstverständlich viel mehr Lösungen als die o.g. sechs grundlegenden Punkte eingeführt. Generell kann ein strengerer Schutz personenbezogener Daten uns allen dienen, d.h. sowohl natürlichen Personen, welche die personenbezogenen Daten betreffen, als auch juristischen Personen, die diese Daten verarbeiten. Die Einschätzung der Sicherungen und die Einführung neuer Lösungen erfordern jedoch Mühe, Zeitaufwand und Mittel. Trotzdem ist es empfehlenswert, mit diesem Prozess eben jetzt, d.h. noch bevor die Verordnung in Kraft tritt, anzufangen. Es sind die Risiken entsprechend zu analysieren und das Sicherheitssystem entsprechend den Besonderheiten des Unternehmens zu entwickeln. Darin sind alle Mitarbeiter einzuschalten und Experten zu konsultieren, die sich täglich mit den Dokumentationen und Cyber-Sicherheitssystemen beschäftigen. Da die Anforderungen und die durch DSGVO im Jahre 2018 einzuführenden Änderungen kompliziert sind, kann die entsprechende Vorbereitung schon heute dabei helfen, in der Zukunft viele Probleme zu vermeiden und Geldmittel zu sparen.
Sollten Sie an unserer rechtlichen Unterstützung bei der Analyse der gegenwärtigen Praxis in Ihren Unternehmen sowie der Dokumentation über den Datenschutz in Hinsicht auf deren Übereinstimmung mit den aktuell geltenden und künftigen Regelungen Interesse haben, so stehen wir Ihnen jederzeit gerne zur Verfügung. Unsere Rechtsanwälte bieten Rechtsberatung in Polen auch in anderen Bereichen an. Sie stehen Ihnen in den Büros von Rödl & Partner: Breslau, Danzig, Gleiwitz, Krakau, Posen und Warschau zur Verfügung.
Jarosław Kamiński
Attorney at law (Polen)
Associate Partner
Anfrage senden
Profil
