Die Zeit läuft.
Schon in weniger als zwei Monaten kommt eine europäische Verordnung zur
Anwendung, die ein Umdenken in der Arbeit mit Daten verlangt. Diejenigen, die
mit den Daten von Menschen arbeiten (z.B. Gesundheitsdaten), müssen jetzt auf
Verlangen in kürzester Zeit aufklären und berichten. Tun sie es nicht, ja
ignorieren sie sogar ein solches Verlangen von Betroffenen, kann es sehr
schwerwiegend ausgehen.
Es gibt viel zu
tun. Was genau aber zu tun ist, darüber wird noch nicht sehr viel informiert.
Um was es geht
· Die Datenschutzgrundverordnung gibt es schon
seit dem Jahr 2016, aber anzuwenden ist sie ab dem 25. Mai 2018.
· Es handelt sich dabei um eine Grundverordnung,
was somit bedeutet, dass sie das Fundament stellt für weitere Verordnungen.
· Diese Verordnung gilt unmittelbar in allen
EU-Mitgliedsstaaten. Um aber eigene Besonderheiten zu erlauben, kann z.B. die
Bundesregierung das nationale Bundesdatenschutzgesetz zur weiteren
Ausgestaltung ändern; das bisherige nationale Recht wird mit dieser DSGVO nicht
außer Kraft gesetzt.
· Drakonische Strafen sind nunmehr möglich. Die
Bußgelder können bis zu 10 / 20 Mio. Euro betragen oder 2 % / 4 % eines
Nettojahresumsatzes bei Verstößen gegen u.a. das Anonymisierungsgebot oder z.B.
die Grundsätze der Verarbeitung personenbezogener Daten (vgl. Art. 83 DSGVO).
Zudem richten sich diese Bußgelder gegen die Unternehmensleitung bzw. die
Gesamtleitung – aber nicht gegen den Datenschutzbeauftragten.
Es ändert sich nun sehr viel, so dass jede
datenverarbeitende Stelle, sei es Leistungserbringer oder Leistungsträger
(öffentliche Stellen) hier etwas unternehmen muss. Man kann sich dabei noch
nicht einmal auf eine „Geringfügigkeit“ oder „Mindestgröße“ verlassen. Man muss
sich vielmehr darüber im Klaren sein, dass es um personenbezogene Daten geht in
einem sehr sensiblen Bereich. Es geht um Sozial- und Gesundheitsdaten von
Menschen, die der Gefahr einer Diskriminierung unterliegen. Und da gibt es für
keinen Beteiligten irgendwelche Erleichterungen.
Es muss ein Umdenken passieren. Wenn man bisher noch
geneigt war, „Datenvorräte“ anzulegen für Zwecke einer späteren Analyse
(Stichworte: Business Intelligence, Data
Mining), muss jetzt ein Löschen solcher Datenbanken stattfinden (das kann
sehr kompliziert werden, wenn erforderliche Daten für die Vertragserfüllung
vermengt sind mit anderen Daten).
Die Menschen haben ein Recht darauf, „vergessen“ zu
werden – „das Internet vergisst nie“.
Den Datenschutz
schematisieren
Dass Daten erhoben und erfasst werden müssen, um etwas zu
leisten, versteht sich von selbst. Dennoch ist es jetzt wichtig geworden, dem
Gegenüber zu erklären, welche Daten gebraucht und für welchen Zweck diese Daten
gesammelt werden müssen. Ohne diese erforderlichen Daten könnte es keine
Leistungserbringung oder Leistungsgewährung geben. Man braucht bestimmte Daten
also, um einen Vertrag zu erfüllen. Das Verarbeiten von Daten, die über diese
Erforderlichkeit hinausgehen, kann nur noch auf freiwilliger Basis geschehen.
Eine Freiwilligkeit wiederum kann aber nur dann entstehen,
wenn umfassend und detailliert der Zweck für die Datenerhebung und die
Verarbeitung derselben erklärt worden ist. Damit wird ein Vertrauen geschaffen,
aus dem schließlich die (freiwillige) Einwilligung resultiert. Mit anderen
Worten, die Einwilligung des Betroffenen (d.h. Leistungsberechtigten, Kunden)
betrifft also Daten, die nicht aufgrund eines Gesetzes zur Datenverarbeitung
berechtigen. Vielmehr sollen dadurch Informationen erfasst werden, die man für
Zwecke braucht, die nichts mit der Leistungserbringung an sich zu tun haben
(z.B. Angaben zu Eltern und Geschwister, Konfession, eine bestimmte
Orientierung).
Mit früheren Einwilligungen gibt es das Problem, dass sie
ohne eine gleichartige Grundlage, wie sie jetzt erforderlich wäre, eingeholt
wurden. Sie verlieren zwar nicht automatisch ihre Gültigkeit, doch weil die datenverarbeitende
Stelle nunmehr nachweisen muss, dass eine umfangreiche Aufklärung stattgefunden
hat, verlieren sie ihre Vertrauenswürdigkeit.
Hat man jetzt aus reiner Vorsorge eine Einwilligung
eingeholt, die auch die erforderlichen Daten zum Zwecke der Vertragserfüllung
betrifft, gibt es bei einem Widerruf dieser Einwilligung plötzlich einen
Konflikt (rot-markierter Bereich). Von daher ist ein gut schematisiertes
Verarbeitungsverzeichnis unabdingbar, um diese beiden Bereiche zu trennen.
Richtlinien
dienen der Orientierung
Es geht allerdings nicht nur um die einzelnen Daten
selber. Als datenverarbeitende Stelle muss man sich ebenfalls Gedanken darüber
machen, wie die gesammelten Informationen verarbeitet werden. Die Erhebung der personenbezogenen
Daten, die Weiterleitung von Informationen, die Speicherung und Präsentation
geschieht auf bestimmten Medien und mit Hilfe von Kommunikationsmitteln. Welche
das sind und welche Risiken diese bergen, muss man sich klar machen.
· Smartphones enthalten oft Programme (sogenannte Apps),
die auf Adressbücher unbeschränkt zugreifen und auslesen. Braucht es solche
modernen Geräte oder reichen nicht auch „altmodische“ Handys? Muss ein Messenger-Dienst unbedingt benutzt
werden? Und wenn ja, dann welcher?
· Kopierer und Drucker, die in der Lage sind,
Dokumente zu scannen, speichern Kopien davon auf internen Festplatten. Wer
kümmert sich um das Entfernen und Vernichten dieser Festplatten, wenn mit dem
Leasing-Vertrag ständig ein neues Gerät zum Einsatz kommt?
· Eine unverschlüsselte Email kann von Dritten
ebenso mitgelesen werden, wie z.B. Bewerber-Daten auf einer Webseite (z.B.
ISP). Wer könnte ein Add-On für die Verschlüsselung einrichten? Oder ein
SSL-Zertifikat für das Tunneln von Datenübertragungen?
Geraten solche personenbezogene Daten in die Hände von
Dritten, ist die datenverarbeitende Stelle meldepflichtig! Das heißt zwar noch
nicht, dass die Aufsichtsbehörde sofort Sanktionen erlässt, es kann den Ruf
schädigen, wenn bekannt wird, dass man die Vorgaben der DSGVO nicht umgesetzt
hatte.
Darum ist es hilfreich, wenn man als datenverarbeitende
Stelle Richtlinien ausarbeitet, an denen sich Mitarbeiter orientieren können.
So können dann auch Datensammlungen hinterfragt werden, um die Notwendigkeit zu
erarbeiten und Begründungen zu finden. Natürlich ist diese „selbstkritische“
Arbeit kostenintensiv und nicht wirklich effizient, scheinbar behindert sie
eine zielführende Leistung, doch sie schützt vor einer möglichen Auseinandersetzung
mit einer Aufsichtsbehörde und sie „unter-stützt“ bei Auskunftsersuchen von
Betroffenen.
Dies alles würde sicher viel schneller gelingen, wenn ein
Umdenken stattfindet. Gerade auch bei sozialen Unternehmen und den vielen
öffentlichen Stellen.
CGS
Quelle:
Wikipedia
(letzter Aufruf vom 17.3.2018)
Bitte lesen Sie die Hinweise
zum Rechtsstatus der Webseite, Urheberrechtsbestimmungen und Haftungsausschluss
sowie die Datenschutzerklärung.
Hat Ihnen der Beitrag gefallen? Empfehlen Sie ein//gegliedert weiter.
Wollen Sie Ihre Meinung sagen? Ihre Kritik interessiert
mich. Vielleicht können Sie mir sogar eine neue Perspektive aufzeigen. Darüber
würde ich mich freuen. Meine Email-Adresse finden Sie auf der Seite Über mich.
Datenschutz – Mit der DSGVO wird es jetzt anders –
eingegliedert.blogspot.com