3.1 Technische und organisatorische Maßnahmen
Was hinsichtlich des Datenschutzes zu tun ist, hängt von verschiedenen Faktoren ab. Zum einen gibt es allgemeine Empfehlungen, die immer beachtet werden sollten, auch wenn hierzu keine expliziten vertraglichen oder gesetzlichen Verpflichtungen bestehen. Diese Regeln dienen dem Schutz des Unternehmens vor vermeidbaren Unannehmlichkeiten durch einen Datenmissbrauch durch Dritte. Und mit der Verarbeitung von Daten – wenn es sich um Daten handelt, die in irgendeiner Weise von Personen stammen oder Rückschlüsse auf diese ermöglichen – geht grundsätzlich eine hohe, ethische Verantwortung einher. Des Weiteren sind vertragliche sowie gesetzliche Verpflichtungen zu beachten.
Bei nicht-personenbezogenen Daten – z. B. Finanzdaten – regeln das HGB, die AO und die GoBD Maßnahmen zum Datenschutz und der Verarbeitung. So sieht z. B. das Steuerrecht vor, dass alle steuerrelevanten Daten gesichert werden und lesbar sein müssen (i. d. R. für mindestens 10 Jahre). Hierzu muss das Unternehmen die geeignete Technologie vorhalten, also z. B. auch alte Software.
In Bezug auf personenbezogene Daten verlangen DSGVO in Art. 32 und BDSG in § 64, dass unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen getroffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen schließen laut Art. 32 Abs. 1 lit. a-d DSGVO Folgendes ein:
- Der Verantwortliche und der Auftragsverarbeiter müssen angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten treffen, einschließlich Pseudonymisierung und Verschlüsselung.
- Diese Maßnahmen sollen die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sicherstellen.
- Dies bedarf einer regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
- Im Falle einer automatisierten Verarbeitung müssen Maßnahmen zur Zugangskontrolle, Datenträgerkontrolle, Speicherkontrolle, Benutzerkontrolle, Zugriffskontrolle, Übertragungskontrolle, Eingabekontrolle, Transportkontrolle, Wiederherstellbarkeit, Zuverlässigkeit, Datenintegrität, Auftragskontrolle, Verfügbarkeitskontrolle und Trennbarkeit ergriffen werden.
Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden (Art. 32 Abs. 2 DSGVO).
Soweit möglich, sollte (IT-)systemisch eine Trennung zwischen personenbezogenen Merkmalen und Inhaltsdaten, die Verwendung von Pseudonymen und die Anonymisierung personenbezogener Daten, erfolgen. Gemäß dem Gedanken des "Privacy by Design" müssen die zur Verarbeitung personenbezogener Daten genutzten IT-Systeme so gestaltet sein, dass von Anfang an ein hohes Datenschutzniveau besteht. So etwa, dass bei der (online) Datenerfassung in der Benutzeroberfläche bereits nur die Daten abgefragt oder verschlüsselt weitergeben werden, die tatsächlich für den vorgegebenen Zweck benötigt werden, ohne dass die betroffene Person hier aktiv tätig werden muss. Auch der Umfang der Verarbeitung, die Speicherfrist und die Zugänglichkeit der zu verarbeitenden Daten gehören hier dazu (Art. 25 DSGVO).
3.2 Datenschutz-Folgenabschätzung
Art. 35 DSGVO verpflichtet Unternehmen zu einer sog. "Datenschutz-Folgenabschätzung". Diese muss durchgeführt werden, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Solche Fälle sind z. B.
- die Bewertung und Einstufung (Scoring) einschließlich Prognosen und Profilerstellung,
- sensible personenbezogene Daten "besonderer Kategorie", wie z. B. Gesundheitsdaten, Daten zum Sexualleben oder Gewerkschaftszugehörigkeit (in Art. 9 DSGVO genannt) und bspw. strafrechtliche Verurteilungen (in Art. 10 DSGVO genannt),
- Datentransfers in Länder außerhalb der EU.
In solchen Fällen ist vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen.
Die Folgenabschätzung muss laut Art. 35 Abs. 7 DSGVO zumindest Folgendes enthalten:
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, ggf. einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvo...