Zahlenschloss an weißer Holztür

Am 25. Mai 2018 greift die Datenschutzgrundverordnung (DSGVO) und schafft damit einen EU-einheitlichen Rechtsrahmen zum Schutz personenbezogener Daten für den gesamten EU-Raum. Im Rahmen der DSGVO wurden die Bußgelder zur Sicherstellung der Umsetzung auf bis zu 20 Mio. Euro (oder bei Unternehmen auf bis zu 4 % seines weltweit erzielten Jahresumsatzes) angehoben. Die DSGVO macht für Betreiber von Webseiten und Online-Shops eine Aktualisierung bisheriger Erklärung zum Datenschutze notwendig - Hierzu eignen sich der Datenschutzgeneratoren von eRecht24.de oder der Deutschen Gesellschaft für Datenschutz. Zudem müssen Verantwortliche und Verarbeitungsprozesse dokumentiert werden, sodass bei entptrechender Kontrolle durch Aufsichtsbehörden das Unternehmen aussagekräftig ist.

Zusätzlich müssen geeignete technische und organisatorische Maßnahmen getroffen werden, welche erhobene personenbezogene Daten und deren Verarbeitung angemessen schützen (Art. 32 DSGVO). Hierzu gehören nach DSGVO:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • ergreifen geeigneter technischer Maßnahmen zum Schutz von Daten bezüglich des genutzten Systems und in der Verarbeitung (Wahrung von Vertraulichkeit; Integrität; Verfügbarkeit und Belastbarkeit der Systeme)
  • regelmäßige Erstellung und Bereitstellung von Sicherheitskopien zur raschen Datenwiederherstellung nach einem physischen oder technischen Zwischenfall
  • regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

Dokumentation der Schutzmaßnahmen

Um ein wenig mehr Übersicht in die zu ergreifenden Maßnahmen zu bekommen, sollten somit vorab nachfolgende Punkte zu jeder Tätigkeit des Unternehmens mit Bezug zur Erhebung und Verarbeitung personenbezogenen Daten geklärt und dokumentiert werden.

01 Pseudonymisierung

Wie werden persönliche Daten pseudonymisiert, sodass diese nicht mehr einer Person konkret zuordenbar sind? Beispiel: ersetzen einer E-Mail-Adresse durch eine User-ID, IP-Anonymisierung bei Nutzung von Google Analytics

02 Verschlüsselung

Wie werden personenbezogene Daten vor unberechtigten Zugang oder Zugriff geschützt? Beispiel: SSL für E-Mails, Passwörter auf Archive

03 Gewährleistung der Vertraulichkeit

Wie wird der Zutritt und Zugang zu personenbezogene Daten reglementiert? Beispiel: Sicherheitstür zum Serverraum, Passwortschutz

04 Gewährleistung der Integrität

Wie wird gewährleisten, dass erhobene Daten die zur Verarbeitung bereitstehen richtig sind? Wie wird mit Änderungen oder Löschungen erhobene Daten die umgegangen – Welche Prozesse liegen vor? Gibt es ein Löschformular bzw. ein Formular für Auskunftsersuche?

05 Gewährleistung der Verfügbarkeit

Wie wird gewährleistet, dass bei einem physischen oder technischen Zwischenfall die Daten verfügbar bleiben? Beispiel: Server mit Notstromaggregat

06 Gewährleistung der Belastbarkeit der Systeme

Wird regelmäßig geprüft, dass die Systeme einem Zwischenfall gewappnet sind? Beispiel: Überprüfung der Zugangskontrolle zum Serverraum, technische Abnahmen durch Prüfpersonal

07 Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall

Gibt es einen Reaktionsplan der Datenpannen der gewährleistet, dass ninnerhalb von 72 Stunden die zuständige Aufsichtsbehörde informiert ist? Welche Schutzmaßnahmen wurden getroffen? Beispiel: Brand im Serverraum - einspielen Back-ups auf Notserver

08 Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

Werden getroffene Maßnahmen regelmäßige hinsichtlich der Wirksamkeit geprüft? Welche Prozesse liegen dem zugrunde?

09 Schriftliche Dokumentation von sonstigen Maßnahmen

Wurden Datenschutz Anweisungen an Mitarbeiter ausgegeben? Liegt eine IT-Sicherheitszertifizierung vor? Wurden Weiterbildungen besucht?

Beispiele zur Dokumentation technischer und organisatorischer Schutzmaßnahmen

An dieser Stelle nun zwei Beispiele für die Dokumentation technischer und organisatorischer Schutzmaßnahmen, welche zur Wahrung der DSGVO getroffen wurden.

Nutzung von Google Analytics

  • Anonymisierung der IP Adressen wurde angelegt - Analytics-Code wurde hierzu um die IP-Masken-Methode „_anonymizeIp()“ erweitert
  • Ein Hinweis zur Nutzung von Cookies wird beim Aufruf der Seite angezeigt und muss aktiv bestätigt werden.
  • Vertrag zur Nutzung von Analytics wurde mit Google abgeschlossen
  • Datenschutzerklärung wurde um einen Hinweis auf die Nutzung von Google Analytics erweitert
  • Widerspruchsrecht der Betroffenen wurde technisch angelegt (Beispiel: Opt-out-Link in den Datenschutzhinweisen)
  • Die Nutzung von Google Analytics wurde geprüft und hinsichtlich technischer und organisatorischer Schutzmaßnahmen für ausreichend befunden

Nutzung einer Kundendatenbank auf einem Server

  • Server auf dem alle Kundendaten liegen ist nur mit Passwort und Nutzername zu erreichen
  • Serverraum ist mit einfachem Schlüssel verschlossen, der physische Zugang ist mittels eines Protokolls (Name, Datum, Unterschrift) dokumentiert
  • Jede Nutzung der Kundendatenbank wird protokolliert (Login/Logout, Änderungen am Datensatz, Logins sind eineindeutig einer Person zuweisbar – es gibt keinen gemeinsamen Login
  • Lese und Schreibrechte können nach Bedarf verteilt werden
  • Kunden werden nicht unter dem Klarnamen, sondern mit einer User-ID gespeichert
  • es werden regelmäßig Back-ups/Sicherheitskopien verschlüsselt erstellt und sicher abgelegt
  • eine Überprüfung der Wirksamkeit der Maßnahmen erfolgt quartalsweise
  • Mitarbeiter haben eine Datenschutzvereinbarung nach einer Datenschutzeinweisung unterschrieben. Quartalsweise werden Datenschutzhinweisen an alle Mitarbeiter per E-Mail verschickt

Was Youbility für Sie tun kann: Technische Maßnahmen zum Schutz personenbezogenen Daten

Die DSGVO verpflichtet geeignete Maßnahmen zu treffen, welche personenbezogene Daten in der Erhebung und Verarbeitung schützt. Hierfür können wir seitens des technischen Systems Ihrer Webseite oder Ihres Online-Shops bestimmte Voraussetzungen schaffen:

  • IP- Anonymisierung in Google Analytics
  • Einbindung eines Opt-Out-Links für das Nutzertracking von Google Analytics in Ihrer Datenschutzerklärung 
  • Erweiterung des Google Analytics-Skripts Ihrer Webseite oder Ihres Online-Shops für eine Opt-Out-Funktionalität 
  • Implementierung Cookie-Hinweis auf Ihrer Webseite oder in Ihrem Online-Shop
  • aktualisierte Datenschutzerklärung auf entsprechender Unterseite einpflegen
  • Einrichtung eines Double-Opt-In für Ihre Newsletterregistrierung (Anmeldung zum Newsletter mit seperater Bestätigung des Newsletters via E-Mail)
  • Einbindung eines Datenschutzhinweises in Ihrem Kontaktformular
  • Anonymisierung der Kundendatenbank
  • Optimierung und Anpassung der Datenstruktur aller personenbezogenen und auf Ihrem Server gespeicherten Daten des Online-Shops oder der Webseite
  • Einrichtung eines Back-up-Prozessen Ihrer Datenbank
  • Einbindung eines SSL-Zertifikates sowie einer automatisierten Weiterleitung zur HTTPS-Version Ihrer Webseite oder Ihres Online-Shops 
  • Umzug Ihrer gehosteten Daten auf einen in Deutschland befindlichen Server 
  • Ablegen aller Scripte und Schriften externer Quellen (u. a. GoogleFonts) auf Ihrem Server und Entfernen aller Links der Ressourcen
  • Erstellen eines Formulars für Auskunftsersuche und Datenlöschung

Als technischer Dienstleister weisen wir darauf hin, dass wir mit unseren Empfehlungen keine Rechtsberatung ersetzen und somit nicht als rechtsverbindlich angesehen werden. Organisatorische Maßnahmen wie u. a. die Dokumentation der Schutzmaßnahmen und der  Verarbeitungsprozesse obliegen individuellen Bedingungen. Gern vermitteln wir Ihnen einen fachkundigen Anwalt, der abhängig Ihres Einzelfalls eine entsprechende Rechtsberatung vornimmt.

Weitere Artikel zum Thema DSGVO

Hier finden Sie unsere Artikel zum Thema Datenschutzgrundverordnung (DSGVO). Unsere Artikelliste wird kontinierlich fortgesetzt.

Bildquellen: © Debby Hudson | combination lock - unsplash.com

 

 


Dieser Artikel erhebt keinen Anspruch auf Richtigkeit und Vollständigkeit. Wir möchten darauf hinweisen, dass wir keine Rechtsberatung vornehmen. Wir möchten einzig unsere Eindrücke zu dem Sachverhalt schildern und Sie auf etwaige Entwicklungen hinweisen.

Redaktion, 27.04.2018