Loomion unterstützt Sie bei der DSGVO – Teil 1
Die Datenschutz-Grundverordnung (DSGVO, englisch: GDPR) wird im europäischen Datenschutzrecht einiges verändern. Nicht nur Unternehmen, sondern auch Nutzer, Betreiber und Dienstleiter sogenannter Cloud-Lösungen werden sich auf einiges gefasst machen müssen.
Schon Ende Mai dieses Jahres wird die DSGVO oder auf Englisch „General Data Protection Data Regulation“ (GPDR) in Kraft treten. Das Computer-Magazin iX veröffentlichte dazu in der Ausgabe 1/2018 mehrere Artikel, die wir in den kommenden Wochen behandeln werden. Die Richtlinie wird auch erhebliche Veränderungen für den Verwaltungsrat bzw. Aufsichtsrat mit sich bringen.
Interessant beim Thema DSGVO und Datenschutz wird es bei der Datenhaltung Cloud-basierter Lösungen. Alle Daten, die in irgendeiner Form Person identifizieren, wie Name, Adresse und Geburtsdatum, oder sie explizit identifizierbar machen - und dazu gehören auch Online-Kennungen oder IP-Adressen - dürfen nur eingeschränkt bzw. ausschließlich unter starken Sicherheitsvorkehrungen in der Cloud gespeichert und verarbeitet werden. Dazu gehören auch weiter erklärende Daten wie Gesundheitsauskünfte und biometrische Daten. Eine dieser Ausnahmen besteht darin, wenn die Verarbeitung dieser Daten zum Schutz „lebenswichtiger“ Adressen ist (Art. 9 DSGVO).
Einschneidend sind die Änderungen für Anbieter von Cloud-Lösungen. Früher wurden diese Auftragsdatenverarbeiter genannt. In der DSGVO wird es nun Auftragsverarbeitung genannt. Früher mussten die Unternehmen, die Cloud-basierte Lösungen nutzen darauf achten, dass alles Datenschutzrechtlich korrekt läuft und dementsprechend mit ihren Kunden die Verträge abschließen. Das galt sogar dann, wenn sich der Cloud-Dienstleister rechtswidrig verhalten hat. Nun kann sich eine betroffene Person, also der Kunde oder Angestellte eines Unternehmens, dessen Daten in der Cloud gespeichert sind direkt beim Anbieter beschweren (Art. 79). Damit erhöht sich die Verantwortung der Cloud-Anbieter enorm.
Ein weiterer wichtiger Punkt ist das Löschen von Daten. Insbesondere, nach welcher Zeit und vor allem welche Daten gelöscht werden müssen. Also wenn der Zweck der Nutzung entfällt muss dementsprechend die personenbezogenen Informationen gelöscht werden. Oder der Betroffene widerruft die Einwilligung der Nutzung schriftlich oder die Nutzung geschah sogar zu Unrecht. Es wird deswegen zu den zentralen Aufgaben von Unternehmen gehören, spezielle Löschkonzepte zu entwickeln, um diese sensiblen Informationen richtig zu entsorgen.
Das Recht der Datenübertragbarkeit stellt eine weitere Neuerung der DSGVO dar. Das heißt, wenn die personenbezogenen Daten bereitgestellt wurden, sind diese nach Art. 20 DSGVO in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Damit ist auch das Recht gekoppelt, diese Daten an einen anderen Anbieter übermitteln zu lassen. Der europäische Gesetzgeber macht es damit dem Benutzer möglich, seine Daten in wenigen Klicks von einem Dienst zu dem nächsten zu transportieren.
Die Meldung einer „Datenpanne“ an zuständige Aufsichtsbehörden muss innerhalb 72 Stunden erfolgen und das auch schon, wenn es nur zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Art. 33 und 34). Auch hier müssen kurzfristig die richtigen Strukturen geschaffen werden, um der Meldepflicht auch entsprechend nachkommen zu können.
Was heißt das nun konkret für Verwaltungsräte bzw. Aufsichtsräte? Nun, ein einfaches Beispiel ist die Nutzung von sogenannten Board Portalen bzw. sicheren Datenräumen. Ein klarer Verstoß bedeuten Vertragsklauseln, die Unternehmen binden sollen. Ein Wechsel wird oft dadurch unmöglich gemacht, dass die gespeicherten Dokumente bei Kündigung des Vertrages vollständig gelöscht werden. Das ist ab Ende Mai nach der DSGVO verboten. Und zusätzlich müssen nun diese Anbieter einen schnellen Wechsel zu einem anderen Anbieter einfach möglich machen Hier werden die meisten Board Portal Anbieter auf enorme Probleme stoßen, da diese Vertragsklauseln hinfällig bzw. gesetzwidrig und straffällig werden.
Weiterhin ist es von großer Wichtigkeit für einen Verwaltungs- oder Aufsichtsrat, wo die Daten des Unternehmens im Allgemeinen liegen und wie mit Ihnen verfahren wird. Verwaltungs- und Aufsichtsräte arbeiten mit den sensibelsten Daten eines Unternehmens. Da muss ganz genau auf die Einhaltung der DSGVO geachtet werden. Gerade unter dem Aspekt, dass diese schon Ende Mai in Kraft tritt, sollten bestehende Auftragsverabeiter geprüft werden. Wenn sich ein Unternehmen erlaubt, sensible Daten in eine Cloud abzugeben, die nicht im gleichen Land „schwebt“, muss eine erhöhte Sorgfaltspflicht gelten, ansonsten, ist absolut fahrlässig. Aber auch hier bietet Loomion Datenhaltung im eigenen Land an, oder sogar direkt im eigenen Hause.
Die Kunden von Loomion müssen sich auch bei diesen Änderungen und neuen Anforderungen keine Sorgen machen, da wir uns auf die Verbundenheit unserer Kunden verlassen und nicht auf die Gebundenheit. Das Thema haben wir in unserem Artikel „Datenhaltung: Risiken und Nebenwirkungen...“ behandelt.
#Loomion_Kolumne #Loomion #Board_Portal #Virtual_DataRoom #CorpGov #papierlos #Boardroom #FreeYourBoard #Datenschutz #DSG #DSGVO #GDPR #BigData #SmartData #Digitalisierung #Governance #Recap #Compliance #CSR