Mit Einführung der EU-DSGVO werden umfangreiche Dokumentations-Pflichten eingeführt (Artikel 5, Absatz 2) und außerdem gibt es eine Beweislastumkehr bei Cloud- und Auftrgagsdatenverarbeitungen (Artikel 82). Hohe Strafen (20 Millionen Euro bzw. 4% vom Jahresumsatz!) sollen dafür sorgen, dass die Bestimmungen auch eingehalten werden.
Es muss kein Schaden eingetreten sein, die Verantwortlichen müssen jederzeit nachweisen können, dass sie alle erforderlichen Maßnahmen zur Einhaltung der DSGVO getroffen haben. Das ist die Konsequenz der Beweislastumkehr nach Artikel 82.
In einem modernen Betrieb werden neben PC Arbeitsplätzen und Servern auch immer mehr Smartphones, Tablets und andere mobile Devices eingesetzt. Jedes dieser Geräte speichert in irgend einer Form personenbezogene Daten (und sei es nur die Kontaktliste). Wenn nun geschäftliche und private Daten auf diesen Geräten verwendet wird, müssen Maßnahmen getroffen werden, um eine sichere Trennung zu gewährleisten. Auch auf diesen Geräten müssen personenbezogene Daten gemäß DSGVO geschützt werden.
Für den Umgang mit personenbezogenen Daten gelten strenge Regeln:
- Der für die Datenverabeitung Verantwortliche muss jederzeit nachweisen können, dass alle Regeln der DSGVO eingehalten werden.
- Die Gründe zur Verarbeitung der personenbezogenen Daten müssen valide und dokumentiert sein.
- Die Verarbeitung muss gesetzeskonform, angemessen und transparent sein.
- Es muss einen klaren und triftigen Grund für die Verarbeitung der personenbezogenen Daten geben.
- Es dürfen nur die Daten verarbeitet werden, die dem betreffenden Zweck eindeutig dienlich sind (Datensparsamkeit).
- Zugang darf nur den Personen gewährt werden, die ihn für den betreffenden Zweck benötigen.
- Daten müssen korrekt sein, Fehler müssen beseitigt werden (Datenwahrheit)
- Daten dürfen nur so lange gespeichert werden, wie es für den betreffenden Zweck notwendig ist.
- Es müssen technische und organisatorische Maßnehmen ergriffen und dokumentiert werden, die verhindern, dass ein Verlust, genauso wie eine Verarbeitung, durch Unbefugte stattfindet
- Wenn ein Sicherheitsproblem aufgetreten ist (z.B. ein Virus auf einem PC!), muss dieser Vorfall, eine Beurteilung der Auswirkungen, die getroffenen Maßnahmen zur Problembeseitigung und zum Schutz vor Wiederholung den Behörden gemeldet werden