Präventive Maßnahmen zum Datenschutz beginnen bereits mit der Gestaltung der technischen Vorgänge und Voreinstellungen. Die Datenschutz-Grundverordnung macht diesen Grundsatz zur Vorgabe für jegliche Verarbeitungstätigkeiten von Verantwortlichen. Dabei spielt es keine Rolle, ob die Verarbeitung elektronisch stattfindet, was im digitale Zeitalter meist der Fall ist. Das Risiko der Offenlegung personenbezogener Daten ist bei mangelnder Zutrittskontrolle zu einem Serverraum oder einem Aktenarchiv vergleichbar hoch.
Verschiedene Berufsgruppen speichern Daten noch häufig in Aktenordnern und Registern (bzw. legen diese dort ab). Für bestimmte Vorgänge lässt sich das aufgrund rechtlicher Gegebenheiten schwer anders darstellen – beispielsweise bei Urkundenrollen im Notariatsbetrieb.
Die technischen und organisatorischen Maßnahmen zum Datenschutz sind hierbei nicht pauschal zu benennen. Da die unterschiedlichen Tätigkeiten und Vorgänge einer Verarbeitung unterschiedliche technische Voraussetzungen, Umfang und Zweck haben, nimmt die DS-GVO den Verantwortlichen in die Pflicht, hierbei abzuwägen und entsprechend umzusetzen. Dabei gilt es auch, den Stand der Technik und die Implementierungskosten zu berücksichtigen.
Technische und Organisatorische Maßnahmen nach DS-GVO
Die Datenschutz-Grundverordnung trifft leider nur schwammige Aussagen zu den konkreten Maßnahmen, die ein Verantwortlicher treffen muss. In der Praxis wird oft kritisiert, dass die unkonkrete Formulierung eine Rechtsunsicherheit schaffe. Indirekt wird damit auf spätere Rechtsprechungen verwiesen, die diese Regelungen ggf. konkretisiert. Die hauptsächlichen Probleme sind die Verschiedenheit der Ausgangslage in der Praxis und dem sich rasant änderndem Stand der Technik.
Auch durch Rechtsprechungen in diesem Bereich ist deshalb eine eindeutige Richtlinie nicht zu erwarten. Vielmehr sollten sich Maßnahmen zum technischen und organisatorischen Daten am „Best Practice“ orientieren, sowie spezifischen Vorgaben von Zertifizierungsprogrammen und Normen folgen. Aber auch eine Zertifizierung in diesem Bereich ist kein Garant für DS-GVO konforme Verarbeitungstätigkeiten. Vielmehr sollte sich der betriebliche Datenschutz ständig selbst hinterfragen und bestehende Konzepte ggf. anpassen oder umstellen.
Zutritts- und Zugriffskontrolle
Ein grundsätzlicher Aspekt jedes Datenschutzkonzeptes ist ein umfassendes Berechtigungskonzept. Bei dessen Erstellung wird die Frage danach beantwortet, welche Person (oder Abteilung / Organisation) zu welchem Zeitpunkt Zugriff auf welche Daten haben darf. Darüber hinaus verlangt die DS-GVO die strenge Umsetzung von Datenschutzgrundsätzen wie Datenminimierung und Begrenzung der Speicherdauer.
Nicht selten erfolgt für die Überwachung bestimmter Bereiche die Zugangskontrolle, bzw. -überwachung durch eine Videoüberwachung. Diese DS-GVO konform zu gestalten ist vor allem deshalb schwierig, da biometrische Daten erhoben werden die zu einem späteren Zeitpunkt zu eindeutigen Identifikation einer betroffenen Person führen kann. Hierbei gelten spezielle Anforderungen bei der Verarbeitung besondere Kategorien von Daten (biometrische Daten).
Das Beispiel eines Server- oder Archivraumes verdeutlicht es: Daten werden (der Einfachheit halber) auf einem zentralen Server gespeichert oder einem Zentralarchiv abgelegt. Müssen Daten abgerufen werden, sollte im Vorfeld klar sein, welcher Mitarbeiter mit der Verarbeitung betraut wird und welche Daten er für diese Vorgänge benötigt. Wird z.B. eine Bestellung aufgenommen und die Warenlieferung einem Postunternehmen übergeben, benötigt dieser Dienstleister Name und Anschrift der betroffenen Person, nicht aber deren Geburtsdatum, IP-Adresse oder dergleichen.
Weitere lesenswerte Artikel finden sie im übergeordneten Bereich DS-GVO Basics