Neuerungen der EU-Datenschutzgrundverordnung (Video-Interview)

EU-DSGVO

Andreas Schmidt ist stellvertretender IT-Leiter des Bundespräsidialamts, ISO 27001 Auditor, IS-Revisor und IT-Grundschutzauditor. Als Experte im Bereich Datensicherheit und Datenschutz im öffentlichen Dienst erklärt er kurz gegenüber Zentralblick, was die ab dem 25. Mai 2018 anzuwendende EU-Datenschutzgrundverordnung für die deutschen Behörden mit sich bringt.

Was sind die wichtigsten Neuerungen der EU-DSGVO und Schritte zu deren Umsetzung?

Die EU-Datenschutzgrundverordnung wird uns ab Mai 2018 wirksam begleiten. Für das deutsche Datenschutzrecht ist es keine so große Neuerung, weil viele Prinzipien der Datenschutzgrundverordnung heute schon bekannt sind, wie Datensparsamkeit oder Datenvermeidung – das, was wir heute Privacy-by-Design oder Privacy-by-Default kennen.

Allerdings gibt es auch neue Konzepte, wie zum Beispiel die Pflicht, ein Risikomanagement zu betreiben, um mit den Risiken, die für die betroffenen Personen bestehen, umgehen zu können und diese Risiken möglichst klein zu halten durch Maßnahmen.

Weitere Dinge, die tatsächlich neu sind, sind neue Rollen für die Aufsichtsbehörden, aber auch die Datenschutzbeauftragten in den Behörden selbst. Und für die Umsetzung empfiehlt es sich ein stufiges Vorgehen. Das heißt, dass die Verantwortlichen in den Behörden, die auch explizit in der Datenschutzgrundverordnung genannt sind:

  • sich in dem ersten Schritt über das kundig machen, was jetzt zukünftig umzusetzen ist,
  • eine Sensibilisierung der Hausleitung vornehmen, um klarzumachen, dass hier etwas Neues umgesetzt werden muss,
  • und in der Folge feststellen, was in der Behörde schon vorhanden ist und was als Differenz oder als Delta-Analyse dazu noch zusätzlich umgesetzt werden muss.

Und dann müssen einzelne Umsetzungsprojekte gestartet werden, zum einen natürlich unter der Beteiligung derer, die davon in der Behörde betroffen sind, zum anderen sollen aber beispielsweise auch Personalvertretungen nicht vergessen werden, die ein erhebliches Mitspracherecht haben, was sicherlich auch dazu führen wird, dass zahlreiche Dienstvereinbarungen geändert oder neu abgeschlossen werden müssen.

Was heißt die Pflicht zum Risikomanagement nach der DSGVO?

Das Risikomanagement ist tatsächlich ein neues Konstrukt, was wir so bisher im Datenschutzrecht noch nicht kannten. Das heißt, dass mit den Risiken, die für die betroffenen Personen bestehen, umgegangen werden muss.

Das bedeutet nicht, dass alle Risiken verschwinden, aber (A) man muss sie erst mal kennen und (B) man muss sich überlegen, was man damit tut. Da gibt es verschiedene Optionen:

  • Zum einen natürlich vermeiden, dass überhaupt Risiken entstehen. Das ist allerdings nicht immer möglich.
  • Dann müssen Maßnahmen ergriffen werden, technische oder organisatorische Maßnahmen beispielsweise, mit denen diese Risiken abgemildert werden können, die in der Regel auch in Konzepten dann zusammengefasst sind.
  • Man kann Risiken in einem gewissen Grade transferieren, das heißt auf Dienstleister bestimmte Tätigkeiten übertragen. Auch dafür gibt es Normierungen in der Datenschutzgrundverordnung.

Und es werden immer Restrisiken verbleiben, die dann beispielsweise durch eine Hausleitung übernommen werden müssen.

Neu in der Datenschutzgrundverordnung ist, dass alle hohen Risiken, die verbleiben, tatsächlich meldepflichtig geworden sind. Sie müssen zum einen den Aufsichtsbehörden aber zum anderen auch den betroffenen Personen mitgeteilt werden.

Es empfiehlt sich in der Praxis, dabei zum Beispiel mit IT-Sicherheitsbeauftragten oder auch einer Innenrevision zusammenzuarbeiten, die in der Regel schon Risikomanagementprozesse aufgebaut haben und das halt nicht separat nur für das Datenschutzmanagement zu machen, sondern hier auf Kooperationen zu setzen.

 

Anm. d. R.: Andreas Schmidt ist Experte für IT-Sicherheit und Datenschutz in der öffentlichen Verwaltung. Im Mai 2018 wird er auf der Veranstaltung „Risikomanagement beim Datenschutz in öffentlichen Institutionen und Unternehmen“ zu mehreren Themen referieren. Mehr Informationen zum Seminarprogramm und zur Anmeldung finden Sie auf der Website der Europäischen Akademie für Steuern, Wirtschaft & Recht.

Thema Datenschutz: Weiterbildungsangebot

Lernen Sie, wie Datensicherheit und Datenschutz in den öffentlichen Einrichtungen in der Praxis erfolgreich umgesetzt werden können.

Referatsleiter IT und Geheimschutz im Bundespräsidialamt, ISO 27001 Auditor, IS-Revisor und IT-Grundschutzauditor
Zum Autorenprofil