Wie sich Verlage auf die neue EU-Datenschutz-Grundverordnung einstellen müssen

Die EU-Datenschutz-Grundverordnung (DS GVO) entfaltet zwar erst ab 25. Mai 2018 ihre Wirkung in Deutschland und der EU.
 Es muss aber bereits jetzt begonnen werden, sich mit den zahlreichen neuen Herausforderungen vertraut zu machen und das Datenschutzkonzept auf die geänderte Rechtslage anzupassen. Im IT-Channel von buchreport erläutert Norbert Geyer, Fachanwalt für IT-Recht, Grundsätze und Auswirkungen für Verlage.

Gerade der Umstand, dass Verlage über eine große Anzahl an Kunden- und Zahlungsdaten verfügen, macht den Einsatz sicherer und datenschutzkonformer CRM- und ERP-Systeme unumgänglich. Sollen andere Unternehmen mit der Bearbeitung von Kundenanfragen und Abrechnungsdiensten beauftragt werden, müssen die Verlage sicherstellen, dass die Kundendaten auch in den Dienstleistungsunternehmen sicher verarbeitet werden.

Verlage müssen sich darüber im Klaren sein, dass sie zukünftig vor allem wegen den drastisch erhöhten Bußgeldern dem Datenschutz eine herausgehobene Rolle in der Unternehmensorganisation einräumen müssen.
Dienstleister, die ihre Systeme und Dienste nach den hohen Datenschutzstandards der DS GVO entwickelt haben, können einen entscheidenden Zugewinn an Datenschutzkonformität geben und den Datenschutz-Aufwand der Verlage verringern. Voraussetzung hierfür ist unter anderem, dass die Daten der Kunden in nach dem aktuellen Stand der Technik gesicherten Rechenzentren in Deutschland verarbeitet werden.

Als Datenschutzbeauftragte der Rhenus Media Services haben wir geprüft, welche Anforderungen die DS GVO an den Einsatz von Cloud-Diensten und das Outsourcing von Dienstleistungen in Unternehmen stellt.
Hauptanliegen von Olaf Remmele, Geschäftsführer der Rhenus Media Services, ist die Konzeption und Bereitstellung von Dienstleistungen, die bereits jetzt den erhöhten Anforderungen der DS GVO entsprechen.

Verlage, die Dienste wie IT-Services, ERP, Buchhaltung und Kundensupport an Dienstleister wie die Rhenus Media Services auslagern, sollen zum einen sicher sein, dass diese datenschutzkonform arbeiten, zum anderen soll Verlagen mit dieser Auslagerung geholfen werden, zahlreiche Pflichten der DS GVO bereits durch die Inanspruchnahme der Dienste zu erfüllen.

Die neuen Grundsätze der EU Datenschutz Grundverordnung:

„Privacy by Design“ / „Privacy by Default“

Die DS GVO verankert die Grundsätze „privacy by design“ / „privacy by default“ nun gesetzlich. Sämtliche Software-Anwendungen und Dienste müssen bereits in den Werkseinstellungen auf höchstmöglichen Datenschutz konfiguriert sein und die personenbezogenen Daten der Betroffenen bestmöglich schützen.

Datenschutz darf nicht erst durch ein „opt-in“ geschaffen werden, im Gegenteil, wer in einzelnen Fällen weniger an Schutz will, muss hierfür aktiv Einstellungen ändern (privacy by default). Zudem müssen Anwendungen und Dienste derart entwickelt werden, dass Grundsätze wie Datensparsamkeit und Datentrennung bestmöglich seitens der Software verwirklicht werden (privacy by design).

Praxistipp:

Diese Grundsätze treffen zwar an erster Stelle die Hersteller der Anwendungen. Aber auch Verleger sind für eine datenschutzkonforme Umsetzung dieser Grundsätze verantwortlich und haften hierfür. Um diesen gesetzlichen Verpflichtungen nachzukommen, müssen sie prüfen, ob die eingesetzten Dienste und Anwendungen diese Grundsätze beachten. Dies betrifft zum einen die eigene IT und selbst gehostete Anwendungen, zum anderen besteht im Rahmen des Auswahlprozesses externer Dienstleister eine Prüfpflicht, ob die einzelnen angebotenen Lösungen datenschutzkonform arbeiten. Teil einer Datenschutzorganisation ist der geregelte und dokumentierte Auswahlprozess, an dessen Ende die Auswahl eines Dienstleisters steht, der die gesetzlichen Anforderungen erfüllt.

Datenportabilität

Im Rahmen der erweiterten Compliance- und Dokumentationspflichten muss auch das Recht auf Datenportabilität beachtet werden.
Damit ist die Übertragbarkeit von Daten gemeint. In Erweiterung des bisher bereits bestehenden Auskunftsrechts über die Art und den Umfang der gespeicherten personenbezogenen Daten haben Betroffene, mit denen ein vertragliches Verhältnis besteht oder eine auf Einwilligungen begründete Datenverarbeitung stattfindet, das Recht, die Daten, die von ihnen bereitgestellt worden sind, vollständig und in einem gängigen maschinenlesbaren Format zu erhalten.
Dieser Anspruch stellt Unternehmen vor folgendes Problem: Das Unternehmen muss – wie zur Erfüllung eines Auskunftsanspruches nach geltendem Recht – zum einen wissen, welche Daten wo verarbeitet werden. Zudem müssen diese Daten aus den einzelnen Systemen einfach und in einem gängigen Format wieder auslesbar sein, um an den Betroffenen herausgegeben werden zu können.

Praxistipp:

Für die tägliche Arbeit des Datenschutzbeauftragten bedeutet dies, dass die internen Verfahrensverzeichnisse noch umfassender und gründlicher geführt werden müssen. Anwendungen, mit denen vom Betroffenen bereitgestellte personenbezogene Daten verarbeitet werden, müssen auf die Fähigkeit der Datenportabilität hin geprüft werden. Zudem hat eine genaue Dokumentation dieser Daten zu erfolgen.

Bei der Auswahl von Dienstleistern muss hinterfragt werden, ob und in welchem Format die Daten der Betroffenen jederzeit exportiert werden können.

Privacy-Impact-Assessment

Die Dokumentation und die sorgfältige Behandlung der Verfahrensverzeichnisse betreffen einen weiteren Punkt, der zukünftig zu einem erheblichen Mehraufwand in Unternehmen führen wird: Zum einen muss gem. Art. 24 DS GVO jederzeit der Nachweis geführt werden können, dass die Datenverarbeitung nach den Grundsätzen der Verordnung erfolgt.

Zudem ist mit der Pflicht zur Durchführung einer Datenschutzfolgenabschätzung eine umfassende Risikoabwägung fest in die Datenschutz-Prozesse zu implementieren. Im Rahmen dieses so genannten „Privacy- Impact-Assessments“ ist bei Einführung neuer Verfahren, die voraussichtlich ein hohes Risiko für die personenbezogenen Daten der Betroffenen darstellen, der Zweck der Datenverarbeitung mit dem Risiko für die Betroffenen abzuwägen. Im Rahmen dieser Abwägung ist unter anderem auch zu berücksichtigen, ob der Grundsatz der Verhältnismäßigkeit gewahrt ist und ob Maßnahmen zur Minimierung der Risiken für die Betroffenen getroffen wurden.

All diese Abwägungsgesichtspunkte und Vorgänge sind nicht nur durchzuführen, sie sind auch zu dokumentieren, um im Zweifel einen Nachweis darüber erbringen zu können.

Fazit

Viele zukünftige Anforderungen sind im Vergleich zum bisherigen Recht nicht vollkommen neu. Durch eine stark erweiterte Fassung der Verfahrensverzeichnisse kann bereits im Rahmen der Führung dieser Verfahrensverzeichnisse ein Großteil der Dokumentationspflichten umgesetzt werden. Die Verfahrensverzeichnisse bilden z.B. auch die Grundlage für ein Löschkonzept – damit ist die zukünftig erforderliche Bekanntgabe der Löschfristen ebenfalls leicht zu bewerkstelligen. Verlage, die in diesem Bereich bisher schlecht aufgestellt waren, müssen dies dringend ändern und ein tragfähiges Datenschutzkonzept entwickeln.
Zudem ist bei der Auswahl von Dienstleistern, die personenbezogene Daten im Auftrag verarbeiten sollen, verstärkt auf Datenschutzkonformität der Auftragnehmer zu achten.
Einen wichtigen Beitrag hierzu kann die Auswahl von Cloud-Diensten „Made in Germany“ leisten, wenn sichergestellt ist, dass diese Dienste die Anforderungen, die die DS GVO stellt, erfüllen können.

Norbert Geyer, RDP Rechtsanwälte

Als Fachanwalt für IT-Recht ist Rechtsanwalt Norbert Geyer seit Jahren als externer Datenschutzbeauftragter für Unternehmen tätig, darunter Rhenus Media Services. Das Referat IT-Recht von RDP Rechtsanwälte entwickelt Datenschutzkonzepte und begleitet deren Umsetzung. Zudem führt RDP Schulungen und rechtliche Beratung interner Datenschutzbeauftragter durch.

Kommentare

Kommentar hinterlassen zu "Wie sich Verlage auf die neue EU-Datenschutz-Grundverordnung einstellen müssen"

Hinterlassen Sie einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.


*


IT-Channel

buchreport IT-Channel
  • Internet der Dinge – technische Revolution oder sozialer Zündstoff?  …mehr
  • Wenn ERPs verheiratet werden… Reclam profitiert vom Digitaldruck  …mehr
  • Internet-Sicherheit: Priorität für IT und Management  …mehr

  • Webinar-Video

    webinar_videos

    Webinar verpasst?

    Falls Sie ein Webinar verpasst haben, können Sie nachträglich das Video zum Webinar bestellen und sich die Inhalte bequem am Computer anschauen. Hier finden Sie eine Übersicht der verfügbaren Webinar-Videos.

    Hardcover Belletristik
    3
    Ferrante, Elena
    Suhrkamp
    4
    Adler-Olsen, Jussi
    dtv
    5
    Korn, Carmen
    Kindler
    24.07.2017
    Komplette Bestsellerliste Weitere Bestsellerlisten

    Veranstaltungen

    1. 22. August - 26. August

      Gamescom

    2. 23. August - 27. August

      Buchmesse Peking

    3. 25. August - 27. August

      Maker Faire Hannover

    4. 31. August - 10. September

      Bienal do Livro, Buchmesse Brasilien

    5. 5. September

      Libri Gründerworkshop