Mit der DSGVO sind die Bußgelder für Datenschutzverstöße drastisch erhöht worden.

Beispiele für verhängte Bußgelder in Deutschland:

• Unerlaubte Werbeanrufe – 145.00€
• fehlender AV-Vertrag, Verstoß gegen Transparenz- und Verständlichkeitsgebot – 50.000€
• Unerlaubte Kameraüberwachung eines Gastraums – 2.000€
• fehlende Benennung eines Datenschutzbeauftragten – 10.000 €
• Patientenverwechslung bei der Aufnahme eines Patienten – 105.000 €
• Mißachtung von persönlichen Rechten, keine Löschung ehemaliger Kundendaten und unerwünschte Werbemails -195.407 €
• Privatperson – veröffentlichung personenbezogener Daten eines Dritten – 118 €

Beim Datenschutz geht es um die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, die Rechte der betroffenen Personen und um die Informationspflicht der erhebenden bzw. verarbeitenden Stelle.

Mit dem Inkrafttreten der DSGVO im Mai 2018 wurden zudem explizite Anforderungen an die technische Umsetzung (Art.25) und die Sicherheit der Verarbeitung (Art.32) verankert. Die Datensicherheit ist seitdem Bestandteil einer wirksamen Datenschutzorganisation.

Der Schutz der personenbezogenen Daten steht im Fokus der Datensicherheit.

Typische Schutzmaßnahmen sind beispielsweise:

• Zutrittskontrolle – Maßnahmen, die nur autorisierten Personen physikalischen Zutritt zu einem geschützten Gebäude, Raum, Tresor etc. ermöglichen.
• Zugangskontrolle – Maßnahmen, die sicherstellen, dass nur autorisierte Personen den Zugang zu den geschützten Systemen / Bereichen erhalten.
• Zugriffskontrolle – Maßnahmen, die gewährleisten, dass nur befugte Personen Zugriff auf die geschützten Daten erhalten.

Beispiel für die technische-organisatorische Umsetzung und Sicherheit der Verarbeitung : Serverraum – Server – Datei

Zutritt zum Serverraum – Tür mit Schlüssel nur für befugte Personen

Zugang zum Server – Administrator mit Administrator-Passwort

Zugriff auf Datei  – mit sensiblen Daten nur für befugte Personen mit festgelegten Berechtigungen wie – „darf nur lesen“, „darf Daten hinzufügen“, „darf korrigieren“, „darf lösche“n usw.

Beispiel für technische Umsetzung: Consent Banner – Setzen von Cookies

Der IT-Grundschutz ist eine Methode für ein systematisches Vorgehen, um notwendige Sicherheitsmaßnahmen der unternehmenseigenen Informationstechnik zu identifizieren und umzusetzen. Sie ist zudem sehr interessant für kleinere und mittelständische Unternehmen.

Art. 4 Nr. 1 DSGVO – Personenbezogene Daten (pbD) sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (auch betroffene Person) beziehen.“

Art. 9 DSGVO – Besondere Kategorien pbD

Diese Daten unterliegen einem besonderen Schutz, da sie ein hohes Risiko (bspw. für Diskriminierung) für die betroffene Person darstellen.

Daher ist die Verarbeitung dieser Daten grundsätzlich untersagt! – Art.9 Abs. 1

Die Ausnahmen, wann diese Daten verarbeitet werden dürfen, ist in Art. 9 Abs. 2 geregelt. Greift eine Ausnahme nicht, dann ist die Verarbeitung untersagt.

… in progress …

… in progress

Nach Art. 30 Abs. 1 DSGVO hat jeder Verantwortliche ein Verarbeitungsverzeichnis zu führen. Diese sind schriftlich zu führen, wobei auch ein elektronisches Format erlaubt ist.

Es gibt Ausnahmen, wann dieses Verzeichnis nicht zu führen ist. Doch sobald Sie Mitarbeiter beschäftigen und die Religionszugehörigkeit (pbD besonderer Kategorie) erfassen (müssen), sind sie verpflichtet, ein solches Verzeichnis zu führen.

Ein Verarbeitungsverzeichnis beinhaltet neben den Kontaktdaten des Verantwortlichen bspw. den Zweck der Verarbeitung, Kategorien betroffener Personen und Kategorien personenbezogene Daten und weitere Informationen … nicht ganz einfach, weshalb es oft am DSB „hängen“ bleibt, obwohl es eigentlich nicht ihre/seine Aufgabe sein sollte… schön gedacht, in der Praxis häufig nicht umsetzbar.