Was ist DSGVO und warum ist sie so wichtig?

Das EU-Parlament hat Anfang 2016 die EU-Datenschutzgrundverordnung (EU-DSGVO) verabschiedet. Damit brachte es ein vierjähriges Gesetzgebungsverfahren zum Abschluss. Die EU-DSGVO trat am 25. Mai 2016 in Kraft und musste innerhalb einer zweijährigen Übergangsfrist bis zum 25. Mai 2018 umgesetzt werden.

Durch die Harmonisierung des Datenschutzes innerhalb der Europäischen Union gilt mit der neuen GDPR EU-weit ein einheitliches Datenschutzrecht. Der Umgang mit rechtlichen Anforderungen beim Handel in EU-Mitgliedsstaaten wird deutlich erleichtert. Ein weiterer Vorteil für Händler, die international handeln oder handeln wollen, ist das „One-Stop-Shop-Prinzip“. Das bedeutet, dass Sie wegen ein und derselben Datenverarbeitung nicht mit mehreren Datenschutzaufsichtsbehörden parallel kommunizieren müssen, sondern nur mit derjenigen an Ihrem Firmensitz.

Welche Neuerungen gibt es?

Die Datenmengen nehmen täglich zu und viele wissen gar nicht, was bei der Datenverarbeitung erlaubt ist und was nicht. Mit der europäischen DSGVO sich das ändern. Unter anderem wurde 2018 die Auftragsdatenverarbeitung zur Auftragsverarbeitung (Artikel 28 der DSGVO) und es gab einige Neuerungen für Online-Händler. Neu ist zum Beispiel, dass nicht nur Sie als Auftraggeber, sondern nun auch Auftragnehmer (externe Unternehmen, die Sie beauftragt haben) zur Verantwortung gezogen werden können. In diesem Fall spricht die DSGVO von Geldbußen, die verhängt werden können.

Als Mitglied des Händlerbundes können wir Sie bei diesem und anderen rechtlichen Themen im Zusammenhang mit dem Online-Handel unterstützen.

Gemäß Art. 4, Punkt 8 DSGVO ist ein Auftragsverarbeiter eine Person, die personenbezogene Daten im Auftrag verarbeitet. Ein Auftragsverarbeiter kann sein:

  • Eine natürliche Person – Mensch
  • Eine juristische Person – Unternehmen
  • Verschiedene Behörde (Ämter, Ministerien, usw.)
  • Unterschiedlichste Institution (Vereine o.ä.) oder
  • sonstige Einrichtung (Stiftungen usw.)

Auftragsdatenverarbeitung (AVV)

Wann muss ein Verarbeitungsvertrag geschlossen werden?

Wenn es sich um eine Auftragsverarbeitung im Sinne der DSGVO handelt, d. h. wenn einige harte Kriterien zutreffen wie: Die Verarbeitung von personenbezogenen Daten steht im Mittelpunkt der Tätigkeit, es besteht eine klare Weisungsgebundenheit, es gibt keine spezifischen zusätzlichen Rechtsnormen, die eine erhöhte Vertraulichkeit in der Dienstleistung gesondert regeln, es muss ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO unterschrieben werden.

Fast jeder hat schon einmal die drei Buchstaben AVV gehört. Erstaunlicherweise weiß aber kaum ein Verantwortlicher, was AVV in der Praxis und im Detail bedeutet. Dabei ist ein AV-Vertrag in vielen Fällen eine unverzichtbare Grundlage für die Inanspruchnahme von Dienstleistungen. Ein paar Beispiele sind folgende:

Wann braucht man einen AV-Vertrag?

  • Google Analytics
  • Newsletter-Versand über einen externen Anbieter
  • Auslagerung von Dienstleistungen (z.B. Rechenzentrum)
  • Beauftragung von Call-Centern
  • externer Support / IT-Dienstleister usw.

Auftragsverarbeitungsverträge begegnen uns als Nutzer im Alltag meist nicht, da sie im Hintergrund von Unternehmen mit ihren Auftragnehmern abgeschlossen werden. Sie dienen dazu, gesonderte Einwilligungserklärungen zu ersetzen, die im Internet meist mit einer Checkbox am Ende einer Eingabemaske eingeholt werden. Mit einem Klick erlauben die Nutzerinnen und Nutzer oft die Weitergabe von Daten an Dritte. Da diese Einwilligung immer freiwillig erfolgen muss, ist es für viele Geschäftsmodelle sinnvoller, die Weitergabe von Daten an Dritte zu einem bestimmten Zweck in einem AV-Vertrag zu regeln.

Auftragsverarbeitung oder Übermittlung?

Die Auftragsverarbeitung ist zu unterscheiden von der gemeinsamen Kontrolle gemäß Art. 26 DSGVO und der bloßen Übermittlung personenbezogener Daten an einen Verantwortlichen zu unterscheiden.

Werden personenbezogene Daten lediglich von einem für die Verarbeitung Verantwortlichen an einen anderen übertragen, ist keine gesonderte Vereinbarung erforderlich. Allerdings ist eine Genehmigung für die Übermittlung sowie für die Verarbeitung der Daten bei dem anderen Verantwortlichen erforderlich.

Legen dagegen zwei oder mehr für die Verarbeitung Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest, sind sie gemeinsam für die Verarbeitung Verantwortliche und müssen untereinander vereinbaren, wer welche Verpflichtung nach der Datenschutz-Grundverordnung erfüllt. Liegt eine gemeinsame Verantwortung vor, muss eine entsprechende „Vereinbarung über die gemeinsame Verantwortung“ gemäß Art. 26 DSGVO. Im Art. 28 Punkt 3a der DSGVO steht Folgendes:

a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation — verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Als Abgrenzungshilfe zur Auftragsverarbeitung kann man z.B. die folgende Frage stellen: Kann der beabsichtigte Zweck der Datenverarbeitung auch ohne den Dritten verfolgt werden? Beantworten Sie die Frage mit Ja und ist der Dritte somit leicht ersetzbar, ist dies ein Indiz für eine Auftragsverarbeitung. Beantworten Sie die Frage mit Nein, spricht dies für eine Mitverantwortung. Auch hier ist eine Genehmigung für die Verarbeitung der Daten bei dem anderen Verantwortlichen erforderlich.

Pflichten und Rechte in einem AVV Vertrag

In einem AVV Vertrag soll unter anderem ein typisches Vorgehen bei Verstößen gegen den Datenschutz von einer der Vertragsparteien geregelt werden. Der Datenschutz ist ein sehr komplexes und unglaublich wichtiges Gebiet, auf dem gerade sehr viel passiert. Leider kann es auch dazu kommen, dass eine der Vertragsparteien sich nicht an die datenschutzrechtlichen Bestimmungen hält. Dies ist laut DSGVO unter anderem der Fall, wenn eine Hackerattacke passiert oder wenn die personenbezogenen Daten in einer unverschlüsselten Form verloren gehen oder im Zuge einer Datenpanne für Dritte verfügbar werden. Dabei ist es wichtig, sofort ins Tun zu kommen und alle notwendigen Schritte rechtzeitig einzuleiten, um Verluste zu minimieren und Risiken einzugrenzen.

Es besteht eine Mitwirkungspflicht der Verantwortlichen und Auftragsverarbeiter, sollte ein Verstoß gegen die DSGVO entdeckt werden. Die beiden Parteien müssen eng zusammenarbeiten. Das bedeutet, sollte eine Datenpanne oder ein anderer Verstoß gegen datenschutzrechtliche Bestimmungen jeglicher Art aufgedeckt werden, müssen die beiden Parteien einander über den Vorfall ordnungsgemäß informieren. Des Weiteren nehmen die beiden den Kontakt zu einer zuständigen Aufsichtsbehörde auf und schildern die Situation. Es ist wichtig zu erwähnen, dass diese Meldung innerhalb von 3 Tagen (bzw. 72 Stunden) nach dem Verstoß erfolgen soll, da im Fall einer verspäteten Meldung bzw. einer Nicht-Meldung sehr hohe Bußgelder anfallen können. Es ist demnach sehr wichtig, eine ganz klare Vorgangsweise für solche Fälle zu erarbeiten, um keine teuren Fehler zu machen und alle Schritte zur Meldung einer Panne datenschutzrechtlich korrekt durchzuführen.

Sollte ein Verstoß entdeckt werden, empfiehlt es sich unter anderem, einen internen oder externen Datenschutzbeauftragten zur Klärung der Situation zu bestellen. Der Experte kann dabei helfen, die Risiken eines Verstoßes zu minimieren sowie alle weiteren Schritte datenschutzkonform einzuleiten. Vor allem wird dieser dabei helfen, die Haftung einer jeden Partei zu bestimmen und den Vorfall korrekt an die Behörden zu melden. Man sollte einen Datenschutzbeauftragten auch frühzeitig zu Rate ziehen, um eine Checkliste zu erstellen, was in dem Fall der Fälle zu tun ist und an wen man sich dabei wenden soll. Ganz wichtig ist es bei Verstößen gegen die DSGVO, rasch und richtig zu handeln, um sich vor all den negativen Konsequenzen, die damit zu tun haben können, entsprechend zu schützen.

Dabei wird auch zwischen hohem und geringem Risiko unterschieden, und je nach dem variiert auch die jeweilige Vorgehensweise. Hochriskant sind Verluste von unverschlüsselten Daten jeglicher Art, welche sowohl zufällig als auch aus Versehen oder sogar durch Fahrlässigkeit entstehen. Bei solchen Arten von Datenpannen besteht neben der Meldepflicht gegenüber der Aufsichtsbehörde auch eine Meldepflicht der betroffenen Personen, wessen persönliche Daten im Zuge einer Panne für Dritte zugänglich wurden. Auch diese Meldung hat möglichst unverzüglich zu erfolgen und wird bei der Nicht-Einhaltung dieser Regelung gebüßt.

Um einen Verstoß korrekt zu melden, muss man der Behörde genaue Informationen liefern, die den Vorfall objektiv schildern. Dazu gehören die Informationen darüber, was genau und wann geschehen ist, welche Daten von welchen Betroffenen für Dritte zugänglich gemacht wurden und welche möglichen Risiken durch die unerlaubte Verarbeitung dieser Daten potenziell entstehen. In solchen heiklen Situationen kann auch der Ruf der involvierten Unternehmen geschädigt werden. Auch deswegen ist es wichtig, den Vorfall mit einem Datenschutzbeauftragten genau abzuklären, um alle Risiken minimal zu halten.

Weitere wichtige Bestandteile eines AVV Vertrags

Ein AVV Vertrag regelt unter anderem Rechte und Pflichten der Vertragsparteien bei Datenverlust bzw. Datendiebstahl. Auch wenn man sich ausreichend schützt, kann es immer mal passieren, dass im Zuge einer Datenpanne bestimmte personenbezogene Daten verloren gehen können. Damit das nicht passiert, und wenn das passiert ist, damit alle Risiken für die Unternehmen möglichst klein gehalten werden, müssen im AAV bestimmte Punkte enthalten sein, welche die beteiligten Parteien ausreichend rechtlich absichern.

Übliches Vorgehen bei Datenverlust umfasst die Informationspflicht der Aufsichtsbehörde, sollten personenbezogene Daten in einer nicht verschlüsselten Form verloren gegangen sein. Darüber hinaus ist es wichtig, einen internen oder externen Datenschutzbeauftragten zu bestellen, damit dieser alle Risiken genau abschätzen und das weitere Vorgehen bestimmen kann. Diese Schritte sind gesetzlich festgelegt und müssen so rasch wie möglich nach der Aufdeckung einer Datenpanne erfolgen, um datenschutzkonform agieren zu können und den möglichen durch den Verlust verursachten Schaden möglichst gering zu halten.

Die Parteien des AVV sollten sich darüber hinaus ausreichend vertraglich schützen, indem alle zum Schutz notwendigen Maßnahmen in schriftlicher Form im AVV festgehalten werden sollen. Man verwendet dabei auch typische Klauseln, die in der Regel zwischen den Beteiligten vereinbart werden, um negative Auswirkung von Datenverlust auszugleichen und vor allem einen Datenverlust möglichst ganz auszuschließen. Das besondere Augenmerk liegt dabei auf den technischen und organisatorischen Maßnahmen, die im Art. 32 DSGVO festgelegt werden. Man übernimmt dabei alle wichtigen Vereinbarungen in den AVV, die auf eine Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit abziehen. Auch Wiederverwendbarkeit spielt dabei eine große Rolle, denn nur dadurch lassen sich die verlorenen Daten wiederherstellen. Nicht zuletzt kann vertraglich festgelegt werden, dass eine ausreichende Verschlüsselung personenbezogener Daten stattfinden muss, um jegliche Datenpannen auszuschließen.

Darüber hinaus soll der AVV entsprechende Klauseln beinhalten, die sich auf die Überprüfung, Bewertung und Evaluation der Wirksamkeit von organisatorischen und technischen Maßnahmen gemäß Art. 32 DSGVO beziehen. Dadurch kann auch sichergestellt werden, dass die notwendigen regelmäßigen Checks auch tatsächlich stattfinden, sodass das Sicherheitsniveau immer auf dem höchsten Stand bleiben wird. Solche rechtlichen Aspekte spielen im AVV eine große Rolle, da gerade durch diese ein hohes Niveau des Datenschutzes sichergestellt werden kann, wenn sie genau befolgt werden. Dabei können auch konkrete Perioden und Zeiträume dieser Maßnahmen festgelegt werden ebenso wie die Art der Neuerungen, die dabei in naher Zukunft eingeführt werden sollen.

Ein Vertrag soll ebenfalls einen Punkt enthalten, in dem die Meldepflicht bei Datenverlust und die gegenseitige Informationspflicht bei Datenpannen thematisiert werden. Dies bildet eine Grundlage für sicheres, datenschutzkonformes und schnelles Handeln, sollte eine Datenpanne bzw. ein Datenverlust einer anderen Art festgestellt werden. Diese Klauseln besagen, dass es absolut notwendig ist, die andere Partei des AVV unverzüglich zu informieren, und listen alle notwendigen Informationen auf, die solch eine Meldung in Anlehnung an DSGVO enthalten soll. Diese organisatorischen Maßnahmen sind von entscheidender Bedeutung, wenn es darauf ankommt, einen Datenverlust professionell zu behandeln und dessen Risiken und Schäden möglichst ganz auszuschließen. Eine enge Zusammenarbeit zwischen den Vertragsparteien ermöglicht in der Regel ein einwandfreies und schnelles Beheben aller Probleme, die mit Datenverlust zu tun haben.

AVV und Verschlüsselung

Die Verschlüsselung von Daten gehört zu den wichtigsten organisatorischen und technischen Maßnahmen, die im Einklang mit Art. 32 DSGVO getroffen werden müssen, um das erforderliche Niveau des Datenschutzes gewährleisten zu können. Die Verschlüsselung wird als Vorgang definiert, bei dem die Daten, die im Klartext vorliegen, mittels eines Schlüssels codiert werden, ohne den keine Möglichkeit besteht, diese Daten zu lesen. Das bedeutet, auf diese Daten, die in verschlüsselter Form vorliegen, kann nicht zugegriffen werden, wenn man nicht im Besitz des dazugehörigen Schlüssels ist. Dies ist notwendig, um Gefahren, die bei Verarbeitung unverschlüsselter Daten entstehen könnten, auf das Minimum zu reduzieren.

Dieser Vorgang findet vor allem bei der Datenübertragung statt, was jedem z.B. beim Surfen im Internet immer mal wiederkommt. Sehr oft sieht man im Fenster eines Browsers ein grünes Schloss, welches bedeutet, dass alle Daten, die man mit einer Website austauscht, in einer verschlüsselten Form übermittelt werden. Es gibt auch jede Menge anderer Beispiele, wo die Verschlüsselung von Daten aktuell angewendet wird. Insbesondere im digitalen Bereich ist sie ganz und gar nicht mehr wegzudenken. Die Übertragung von Daten in verschlüsselter Form gilt als am sichersten, da dadurch der Zugriff auf Daten effektiv eingeschränkt werden kann. Insbesondere im Fall der personenbezogenen Daten erweist sich diese Maßnahme als absolut notwendig, wenn man datenschutzkonform arbeiten möchte. Denn dadurch wird nämlich das Risiko einer Datenpanne beinahe ausgeschlossen, was auch dazu führt, dass die Unternehmen dadurch keine Bußgelder riskieren, wenn Sie die Verschlüsselung von Daten effektiv und kontinuierlich anwenden.

Die Verantwortlichen und Auftragsverarbeiter sind nach Art. 32 DSGVO verpflichtet, ein angemessenes Niveau des Datenschutzes zu garantieren und entsprechende Maßnahmen durchzusetzen. Die Verschlüsselung von Daten bietet sich dabei als eine der effektivsten Methoden an, um potenzielle Datenpannen zu verhindern. Dabei kommt es zweifellos auf den Stand der Technik der Verantwortlichen und Auftragsverarbeiter an, um diese Art von Maßnahmen effektiv durchsetzen zu können. In diesem Zusammenhang erweist sich die Verschlüsselung von Daten als ein Recht der Verantwortlichen und Auftragsverarbeiter, um seine Arbeitsweise datenschutzkonform zu machen. Es gehört aktuell auch zu den am meisten implementierten Maßnahmen, da die Verschlüsselung jede Menge Vorteile mit sich bringt. Vor allem entfallen jegliche Meldungen von verlorenen Datenträgern, wenn die auf ihnen befindlichen Daten nur in verschlüsselter Form vorliegen. Dabei sollen aber auch nicht zuletzt weitere Faktoren, wie z.B. Umfang der Verarbeitung von personenbezogenen Daten und Zweck deren Verarbeitung, nicht außer Acht gelassen werden.

Daraus resultieren aber auch die Pflichten der Verantwortlichen und Auftragsverarbeiter, da sie darum Sorge tragen müssen, dass die verschlüsselten Daten sicher aufbewahrt und von Pannen geschützt werden. In dieser Hinsicht sei hervorgehoben, dass verschlüsselte Daten nicht automatisch anonymisierte Daten sind, da sie unter Umständen entschlüsselt werden können. Diese Risiken müssen immer sorgfältig und individuell abgewogen werden, um den hohen Anforderungen des Datenschutzgesetzes gerecht zu werden. Die Pflichte der Verantwortlichen und Auftragsverarbeiter erstrecken sich dabei auf die Gewährleistung der Datensicherheit auch für die Daten, die in verschlüsselter Form vorliegen. Das ermöglicht es dabei, jeglichen unerlaubten Zugriff auf verschlüsselte Daten zu unterbinden und mit Daten datenschutzkonform umzugehen.

AVV und Integrität sowie Vertraulichkeit

Vertraulichkeit, Integrität, Verfügbarkeit und Belastung sind wichtige datenschutzrechtliche Begriffe und gehören nach Art. 32 DSGVO ebenfalls zu technischen und organisatorischen Maßnahmen, die Verantwortliche und Auftragsverarbeiter ergreifen können, um personenbezogene Daten ihrer Kunden datenschutzkonform verarbeiten zu können. Laut der Datenschutzverordnung wird Vertraulichkeit als ein Zustand aufgefasst, bei dem nur die Personen einen Zugriff auf relevante personenbezogene Daten haben, die dazu befugt sind. Nur solche Personen können in diese Daten Einsicht nehmen, sodass alle weiteren Personen vom Zugang zu diesen Daten ausgeschlossen werden. Unter der Integrität versteht man, dass alle Änderungen der Daten nicht unbemerkt erfolgen können. Alle Mutationen der Daten hinterlassen Spuren, sodass dadurch unbefugte heimliche Änderungen von Daten komplett ausgeschlossen werden. Verfügbarkeit bedeutet, dass das System, in dem personenbezogene Daten sicher gespeichert werden, möglichst lange und möglichst lückenlos zur Verfügung steht, ohne dabei Ausfälle zu haben. Dies bietet einen zusätzlichen Schutz und minimiert jegliche Risiken in Bezug auf eine mögliche Datenpanne.

Es findet sich jede Menge relevanter Beispiele aus dem Alltag, die sich auf diesen Aspekt des Datenschutzes beziehen. Zu denken wäre unter anderem an die Korrespondenz per E-Mail, bei der gerade die Vertraulichkeit, Integrität und Verfügbarkeit eine große Rolle spielen. Auch im beruflichen Kontext kommen immer mehr Menschen mit diesen Aspekten des Datenschutzes in Berührung. Zu erwähnen wären zum Beispiel Buchhaltungssysteme von Unternehmen, in denen alle Lohninformationen und Anstellungsdaten von Mitarbeiterinnen und Mitarbeitern gespeichert werden. Selbstverständlich müssen diese Daten vertraulich behandelt werden. Sie können auch nur von Personen eingesehen werden, die dazu berechtigt sind. Dasselbe betrifft auch die Integrität von diesen Daten, die nur von einem kleinen Kreis der zuständigen Verantwortlichen und Auftragsverarbeiter mutiert werden dürfen. Solche Systeme sind in der Regel sehr stabil und haben eine lückenlose Verfügbarkeit, weswegen sie weniger anfällig für Datenpannen sind, den Datenschutzmaßnahmen gerecht werden und im Grunde genommen datenschutzkonform sind.

Das Recht der Verantwortlichen und Auftragsverarbeiter kommt in der Praxis auch sehr oft zur Anwendung, zumal gerade diese Aspekte den Datenschutz auf dem höchsten Niveau möglich machen und sehr gut präventiv gegen alle möglichen Risiken in Bezug auf die Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten wirken. In diesem Sinne protokollieren digitale Systeme alle Vorgänge, die im System geschehen, vom Einloggen bis zur Änderung personenbezogener Daten. Das Gute daran ist auch, dass es jede Menge automatisierte Software-Lösungen gibt, mit denen sich alle diese Grundsätze ohne viel organisatorischen Aufwand vonseiten der Verantwortlichen und Auftragsverarbeiter implementieren lassen. Gerade deswegen gewinnen solche Maßnahmen an Popularität, da sie besonders effektiv wirken und unter Umständen an spezielle Firmen ausgelagert werden können, die sich extra auf den Datenschutz spezialisieren.

Auch den Pflichten der Verantwortlichen und Auftragsverarbeiter kommt dabei eine wichtige Rolle zu. Sie müssen nämlich sicherstellen, dass die Identität der Personen, die auf vertrauliche personenbezogene Daten zugreifen wollen, eindeutig identifiziert werden kann. Dabei sollen auch die erteilten Berechtigungen überprüft werden, um jederzeit wissen zu können, ob durch den Zugriff auf diese Daten keine Verstöße gegen die DSGVO entstehen. Digitale Lösungen schaffen dabei viel Abhilfe, um diese Prinzipien in der Praxis durchsetzen zu können.

AVV und die Wiederherstellbarkeit von Daten

Art. 32 DSGVO regelt auch die Wiederherstellbarkeit der Daten, welche die Verantwortlichen und Auftragsverarbeiter im Rahmen ihrer Tätigkeit verarbeiten. Wiederherstellbarkeit bedeutet, dass die Daten, falls sie verloren gehen oder kontaminiert werden, in ihrer ursprünglichen Form wiederhergestellt werden können, ohne dabei ihre Eigenschaften zu verlieren. Dieser Aspekt hat auch mit der Verfügbarkeit von Daten zu tun, denn wenn Daten nicht wiederhergestellt werden können, so kann ebenfalls die Verfügbarkeit nicht gewährleistet werden. Wiederherstellbarkeit bedeutet daher auch, dass die Daten bei Verlust, Betriebsunterbruch oder dergleichen rasch wieder verfügbar sind. Um dieser gesetzlichen Anforderung gerecht zu werden, sind zusätzliche technische Maßnahmen notwendig, wie etwa regelmäßige Backups, welche die Datensicherung in internen Speichersystemen ermöglichen und dadurch für mehr Stabilität sorgen. Wenn dem nicht so wäre, könnten die Daten wegen einer Datenpanne oder Ähnlichem gefährdet sein; darüber hinaus würde das die Geschäftstätigkeit des Unternehmens stark beeinträchtigen.

Auch im Geschäftsalltag kommt es immer mal wieder vor, dass einige wichtige Daten angeblich spurlos verschwinden oder nicht mehr zu finden sind. Das kann insbesondere jedem in elektronischen Datenverarbeitungsprogrammen passieren, wenn diese nach einem Update oder einem internen Fehler unklarer Natur oder im Zuge eines Virusbefalls nicht mehr verfügbar sind. Sicherlich haben schon viele diese Situation erlebt, in der ein gut funktionierendes Backup die einzige Möglichkeit ist, die verschwundenen Daten wiederherzustellen. Auch zahlreiche cloud-basierte Lösungen sind heutzutage Gang und Gäbe, um eine adäquate Datensicherung zu gewährleisten. Diese und viele andere ähnliche Beispiele verdeutlichen, wie wertvoll die Daten in unserer heutigen Gesellschaft eigentlich sind und was für eine Rolle sie in jedem Geschäft spielen.

Es steht dabei in der Verantwortung eines jeden Unternehmens, sich um die ausreichende Wiederherstellbarkeit der personenbezogenen Daten zu kümmern. Dabei soll immer nicht außer Acht gelassen werden, dass diese Systeme über längere Zeiträume hinweg stabil bleiben und dass der Zugang zu ihnen restriktiv geregelt wird. Vor allem soll dabei darauf geachtet werden, dass eine eindeutige Benutzeridentifikation erfolgt, wenn man auf den Backup-Service zugreift. Als Unternehmen schützt man sich durch diverse effiziente Wiederherstellungstools vor möglichen Datenpannen und agiert dabei in voller Übereinstimmung mit der DSGVO. Dabei lohnt es sich unter anderem, den Zustand dieser Tools regelmäßig zu überprüfen, denn nur auf diese Weise kann eine permanente gut funktionierende Verbindung mit dem Wiederherstellungs-Cloud sichergestellt werden. Immer mehr Unternehmen implementieren diverse moderne digitale Lösungen zur Sicherstellung der Wiederherstellbarkeit und implementieren sie in ihr Datenschutzkonzept.

Auch die Pflichten der Unternehmen sind in dieser Hinsicht als umfangreich zu bezeichnen. Man trägt als Unternehmer die volle Verantwortung dafür, dass die gespeicherten Daten zu jedem Zeitpunkt wiederhergestellt werden können, sollten sie aus diesem oder jenen Grund verloren gehen. Dabei kommt es unter anderem auf die interne Sicherheit der digitalen Datenverarbeitungssysteme an, die ausreichend gegen Viren, Datenpannen und andere Probleme geschützt werden sollen. Nur so kann man datenschutzkonform agieren und die volle Sicherheit und Wiederherstellbarkeit der gespeicherten Daten garantieren. Auch die Pflege und Wartung dieser Systeme geht dabei zu den Lasten der Verantwortlichen und Auftragsverarbeiter und muss auf dem höchsten Sicherheitsniveau erfolgen. So kann man diesem Prinzip auch erst gerecht werden.

AVV und die Überprüfung und Evaluation von Daten

Die Überprüfung, Bewertung und Evaluation gemäß Art. 32 DSGVO stellen ebenfalls wichtige Aktivitäten dar, ohne die der Datenschutz nicht vollständig und nicht ausreichend wäre. Der Gesetzgeber definiert die Überprüfung, Bewertung und Evaluation in dieser Hinsicht als eine Pflicht der Unternehmen, ihre technischen und organisatorischen Datenschutzmaßnahmen auf ihre Wirksamkeit hin regelmäßig zu überprüfen, auf den neuesten Stand zu bringen und allen möglichen neu entstehenden Gefahren so rasch wie möglich entgegenzuwirken. Die Verantwortlichen und Auftragsverarbeiter müssen dabei ihre Datenschutzsysteme ständig evaluieren und anpassen, damit diese auch aktuell bleiben und ihrer Funktion voll und ganz gerecht werden. Sollte dies nicht gewährleistet sein, drohen einem Unternehmen hohe Bußgelder, die unter Umständen ein Unternehmen auch ruinieren können.

Die Notwendigkeit, seine Maßnahmen permanent zu überprüfen, zu bewerten und neu zu evaluieren, ist nicht neu und entstand nicht im Datenschutzkontext. Auch aus unserem Alltagsleben wissen wir ganz genau, dass es praktisch an der Natur der Sache liegt, dass alle Dinge, Geräte und Systeme altern und ab einem gewissen Zeitpunkt überholt bzw. obsolet werden. Mit dem technischen Fortschritt in Sachen Datenschutz und Datensicherheit werden auch immer mehr neue Möglichkeiten entwickelt, die Daten zu klauen oder zu missbrauchen, sogar ohne dass die betroffenen Unternehmen, bei denen eine Datenpanne passiert, möglicherweise etwas davon mitbekommen. Neue Viren, schädliche Software und andere Arten von unerlaubten Zugriffen auf personenbezogene Daten werden ständig entwickelt und machen die Notwendigkeit deutlich, sich diesen Gefahren bewusst zu werden und sich an die aktuellen Bedingungen permanent anzupassen. Genau das fordert auch der Gesetzgeber in Bezug auf diese wichtige Regelung.

Es ist vor allem auch im Interesse der jeweiligen Unternehmen, sich jederzeit ausreichend zu schützen und die Daten ihrer Kunden sicher aufzubewahren. Die Verantwortlichen und Auftragsverarbeiter machen sich auch von diesem Recht Gebrauch und schauen sich permanent auf dem Markt um – auf der Suche nach neuen aktuellen Möglichkeiten zu noch mehr Datensicherheit. Nicht zu unterschätzen ist auch, dass dadurch wertvolle Kooperationen mit Unternehmen entstehen, die entsprechende Software-Lösungen anbieten und dadurch den betroffenen Unternehmen die Aufgabe erleichtern, sich auf dem Laufenden zu halten. Die Überprüfung, Bewertung und Evaluation kann dabei in enger Zusammenarbeit mit professionellen Software-Anbietern für Datensicherheit geschehen, was es wesentlich leichter macht, sich einen Überblick über alle technischen Neuerungen zu verschaffen und aktuelle Gefahren und dazugehörige Schutzmaßnahmen im Auge zu behalten. So erfolgt auch die Organisation der Implementierung von neuen Maßnahmen deutlich schneller, effizienter und leichter. Im Großen und Ganzen soll jedes Unternehmen für sich entscheiden, wie es in seinem konkreten Fall am leichtesten ist, diesen gesetzlichen Vorgaben vollumfänglich zu folgen.

Wichtig ist dabei, nicht zu vergessen, dass die Überprüfung, Bewertung und Evaluation zu den Pflichten der Unternehmen in Bezug auf den Datenschutz gehören. Diese dürfen auf gar keinen Fall auf die leichten Schultern genommen werden, denn in solchen Fällen können sehr hohe Bußen fällig werden, was teilweise in mehreren EU-Ländern bereits geschehen ist. Umso wichtiger ist es auch, sich rechtzeitig zu informieren und alle Risiken und Gefahren eventuell mit professioneller Hilfe abzuschätzen, um eigene Datenschutzsysteme auf dem neuesten Stand zu halten und die eigene Tätigkeit absolut datenschutzkonform zu gestalten.