Der Schutz personenbezogener Daten ist in allen IT-Bereichen ein Thema, dem man sich sowohl vorausschauend bei neuen Vorhaben als auch ständig prüfend im laufenden Betrieb widmen muss. Die gesetzlichen und andere bereichsspezifische Vorschriften sind komplex, teilweise miteinander verknüpft und erfordern Sachkunde bei der Analyse und Umsetzung.
Seit vielen Jahren bilden EU-Richtlinien und die daraus resultierenden nationalen Gesetze zu ihrer Umsetzung sowie weitere Bundesgesetze, bereichsspezifische Vorschriften und andere Vorgaben, z.B. aus der Rechtsprechung, den rechtlichen Rahmen des Datenschutzes. Gemeint ist hiermit ausschließlich der Schutz von Daten natürlicher Personen, die es ermöglichen, eine Person aufgrund bestimmter Merkmale zu identifizieren.
Hierbei gelten Grundsätze, die geeignet sind, den Schutz dieser personenbezogenen Daten sicherzustellen. Dieses sind u.a.
- Datensparsamkeit
- enge Zweckbindung der Daten
- Definition von Zugriffsrechten
- Pseudonymisierung und Anonymisierung
- Definition von Aufbewahrungsfristen
Bei der Verarbeitung personenbezogener Daten mittels IT fallen derartige Daten in großen Mengen an und können durch geringfügige Verfahrensfehler unabsichtlich in erheblichem Umfang offenbart werden. Daher gilt es, die Datenverarbeitungsverfahren auf Schwachstellen und mögliche Gefährdungen zu untersuchen. Die datenschutzrechtlichen Vorschriften machen hierzu eine Reihe von Vorgaben, wie z.B. das Führen von Verfahrensverzeichnissen und Verarbeitungsübersichten, die Pflicht zur Bestellung eines Datenschutzbeauftragten, der über eine entsprechende Sachkunde verfügt, und die Einhaltung und Sicherstellung der organisatorischen und technischen Maßnahmen laut der Anlage zu § 9 Satz Nr. 1 BDSG (Bundesdatenschutzgesetz).
Insbesondere bei IT-Vorhaben, in denen neue Verfahren implementiert werden, aber auch bei Migrationen bestehender Lösungen, gilt es, sich im Vorfeld mit den datenschutzrechtlichen Aspekten auseinanderzusetzen, denn diese sollten bereits beim Lösungsdesign berücksichtigt werden, um ein später notwendig werdendes Überarbeiten zu vermeiden.
Jedoch spielt der Datenschutz auch bei der Projektorganisation eine wichtige Rolle. So sollte vermieden werden, in Entwicklungs- und Testphasen mit echten Daten zu operieren, oder diese gar aus dem Haus zu geben. Stattdessen ist es sinnvoll, Testdatensätze zu generieren, oder, wenn denn ob der Komplexität der Daten die Generierung solcher Daten zu aufwendig ist, die Testdatensätze durch Verwürfelung vorhandener Datensätze zu erzeugen.
Auch die rechtssichere Verpflichtung der Mitarbeiter der beteiligten Auftragnehmer auf das BDSG und weitere geltende Rechtsvorschriften muss zwingend mit der Auftragsvergabe erfolgen. Zusätzlich sind Überwachungs-, Kontroll- und technische Funktionen erforderlich, um die Daten vor unberechtigten Zugriffen, Entwenden oder Beschädigung, Verfälschung oder Verlust bei der technischen Umsetzung des Vorhabens zu schützen.
Gerne unterstützen wir sie bei der Umsetzung datenschutzrechtlicher Vorgaben und beraten Sie zu möglichen Lösungen und bewährten Prozessen im IT-Umfeld. Die folgenden Leistungen können Sie von uns erwarten:
- Verfahrens- / Prozess-Analyse
- Schwachstellen-Analyse
- rechtliche Bewertung und Risiko-Darstellung
- Erstellung von Vorlagen und Empfehlungen für die verantwortliche Ebene
- Beratung Ihres / Ihrer Datenschutzbeauftragten zu benannten Fragestellungen und Themen
- Workshops zur Erarbeitung sicherer Verfahren