TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN -

Welche Maßnahmen auf Sie zukommenn

 

Durch die DSGVO kommt auch die Umsetzung technischer und organisatorischer Maßnahmen (kurz: TOM) auf die Unternehmen zu. Das bereits geltende Prinzip der Datensparsamkeit, wird durch die Einführung des „Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen" – besser bekannt als „Privacy by Design" und „Privacy by Default" – erweitert. Aufgrund ihrer Wichtigkeit sollten diese Begriffe an dieser Stelle näher beleuchtet werden.

 


 

Privacy by Design 

Unternehmen sind dazu verpflichtet, die Einhaltung des Datenschutzes anhand technischer Maßnahmen zu gewährleisten. Das hat bereits Einfluss auf die Entwicklung und die Auswahl der Produkte und Systeme, die für die Datenverarbeitung genutzt werden sollen – bereits hier sollten sich Unternehmen darüber Gedanken machen, ob die entsprechende Technik von Beginn an einen ausreichenden Datenschutz sicherstellen kann.

 


 

Privacy by Default

Das bedeutet, dass die Forderungen der DSGVO auch durch datenschutzfreundliche Voreinstellungen von Produkten und Dienstleistungen eingehalten werden müssen. Es dürfen nur die Daten erfasst und verarbeitet werden, die für die Nutzung des Produkts oder der Dienstleistung notwendig sind. Der Nutzer kann – wenn der das möchte – im Nachhinein die Einstellungen ändern und seine Einwilligung für eine erweiterte Datenverarbeitung erteilen.

 


 

Beispiele für Maßnahmen

      • Trennung der Daten nach Verarbeitungszweck
      • Nur erforderliche Daten verarbeiten
      • Zugriffsschutz per Voreinstellung
      • Anonymisierung und Pseudonymisierung der Daten
      • Transparenz durch Dokumentation
      • Verschlüsselte Kommunikation
      • Nutzung von Zertifizierungen

 


 

Datenschutz-Folgenabschätzung

Mit dem Inkrafttreten der DSGVO wurde die sogenannte Datenschutz-Folgeabschätzung (DSFA) eingeführt, welche die bisher bekannte Vorabkontrolle ablöst. Ziel ist es, die Risiken und die möglichen Folgen für die persönlichen Rechte der Betroffenen zu bewerten. Der Verantwortliche muss eine DSFA in folgenden Fällen durchführen:

      • Wenn neue Technologien eingesetzt werden
      • Wenn ein hohes Risiko für Rechte und Freiheiten von Personen vermutet wird
      • Bei systematischer und umfassender Bewertung persönlicher Aspekte, auch Profiling
      • Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche
      • Bei umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten

Hierfür muss der Verantwortliche den Rat des Datenschutzbeauftragten einholen.