Die neue Datenschutz-Grundverordnung legt einen neuen Ansatz für den Schutz personenbezogener Daten fest. Die Unternehmen sind proaktiv verantwortlich. Was bedeutet das? Es bedeutet, dass die Unternehmen sollen sich damit auseinandersetzen und prüfen, welche Risiken bestehen und im Falle, dass sie sie finden, eine Reihe von Maßnahmen ergreifen, um Eindämmung ihrer Auswirkungen.
Alle Unternehmen, für die die DSGVO gilt, sind daher verpflichtet, Risikobewertungen durchzuführen. Dies ist der Hauptgrund, warum sie diese früheren Studien durchführen müssen, denn nur wenn sie kritische Prozesse erkennen, werden sie in der Lage sein, sie durch geeignete Maßnahmen einzudämmen.
Die Unternehmen sind verpflichtet, die Risikobewertungen im Hinblick auf die Art und Weise, den Umfang, der Verarbeitungsart und den Datentyp sie verarbeiten, durchzuführen; in Übereinstimmung mit den Maßnahmen zur Einhaltung gesetzlicher Bestimmungen, die bisher angewandt und durchgeführt wurden und in Bezug auf die Informationssicherheitsmaßnahmen.
Dies bedeutet, dass sie sich sorgen sollten, ob sie eine Passwort-Richtlinie, ein Protokoll für die Zerstörung und erneute Autorisierung von Geräten festgelegt haben oder ob sie zum Beispiel eine Politik für Verwendung der Firmeneinrichtung festgelegt haben, wenn die Arbeiter sich außerhalb des Arbeitsplatzes befinden.
Wessen Verantwortung ist die Durchführung der Risikobewertung? Es ist eine Verpflichtung des Verantwortlichen, nicht des Datenschutzbeauftragten oder einer anderen Stelle im Unternehmen.
Folgenabschätzungen (Privacy Impact Assessment oder PIA)
Im Falle, dass ein extremes Risiko innerhalb der DSGVO erkannt wird, sollten die Unternehmen eine Datenschutz-Folgenabschätzung (Privacy Impact Assessment oder PIA) durchführen. Dies impliziert, dass eine sehr spezifische Studie durchgeführt muss und ein sehr umfangreicher Fragebogen über ein bestimmtes Risiko Punkt für Punkt beantwortet muss. Folgenabschätzungen im Datenschutz sind eine der Neuheiten, die die neue DSGVO enthält und uns im Laufe der Zeit immer wieder dazu zwingen wird, für die Datenverarbeitung in unserem Unternehmen oder unserer Organisation zu sorgen.
Wann wird es notwendig, eine Datenschutz-Folgenabschätzung durchzuführen?
- Wenn das Unternehmen eine systematische und umfassende Bewertung der persönlichen Aspekte (Profile) durchführt
- Wenn sensible Daten in großem Maßstab verarbeitet werden
- Im Falle der systematischen Beobachtung eines öffentlichen Zugangsbereichs in großem Maßstab
Darüber hinaus müssen zwei weitere Aspekte in Bezug auf Folgenabschätzungen berücksichtigt werden. Erstens muss der gesamte Lebenszyklus der Datenverarbeitung, der dieses extreme Risiko beinhaltet, untersucht werden. Zweitens muss die Möglichkeit beurteilt werden, dass der Datenschutzbeauftragte eine wichtige Rolle bei der Lösung und Bewältigung dieses Risikos spielt.
