Datenschutz

Wäre es nicht schön, wenn ...

der Datenschutz die Daten schützt?

Seit Mai 2018 ist die EU-DSGVO (Europäische Datenschutz Grundverordnung) in Kraft gesetzt. Zu den neuen Anforderungen gehören die verschärften Regelungen in Bezug auf Privacy by Design and Privacy by Default oder anders ausgedrückt Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen.

Dem Datenschutz in Deutschland liegt das Bundesdatenschutzgesetz sowie weitere länderspezifische Datenschutzgesetze zu Grunde, woraus das sogenannte Verbotsprinzip mit Erlaubnisvorbehalt entspringt. Dies bedeutet für unser Unternehmen, dass die Nutzung und Verarbeitung von personenbezogenen Daten im Prinzip verboten ist. Sie ist nur dann erlaubt, wenn

  • es entweder eine klare rechtliche Regelung gibt oder
  • die betroffene Person ausdrücklich ihre Zustimmung zur Erhebung, Verarbeitung und Nutzung Ihrer personenbezogenen Daten gegeben hat.

Anders als das Thema Informationssicherheit basiert das Thema Datenschutz auf klaren gesetzlichen Anforderungen, die auch von den Datenschutzaufsichtsbehörden eingefordert und überprüft werden.

Der Datenschutz fokussiert sich auf den Schutz personenbezogener Daten (und nur dieser), die dann in jedweder Art verarbeitet werden können. Er unterscheidet hier nicht zwischen manuellen oder technisch unterstützten Vorgängen. Der Schutz der "sonstigen" Daten ist Aufgabe der Informationssicherheit.

Seit Mai 2018 wurden 3 Kernforderungen mit den Anforderungen an die Informationssicherheit abgeglichen. Auch der Datenschutz fordert ausdrücklich:

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit

Wenn alle Daten geschützt werden, ist sowohl dem Datenschutz als auch den Interessen des Unternehmens geholfen. Und tatsächlich: Viele Anforderungen und methodische Ansätze lassen sich zwischen Datenschutz und Informationssicherheit vereinheitlichen und damit vereinfachen. Anders ausgedrückt: Man muss nur einmal durch das Tal der Tränen.

VdS 10010 – Richtlinien zur Umsetzung der DSGVO

Die VdS 10000 Richtlinie hat bei den Unternehmen aufgrund ihrer schlanken und effektiven Anforderungen sehr viel Zuspruch erhalten. Was liegt näher, als die Methodischen Ansätze auch auf die Anforderungen des Datenschutzes zu übertragen. Genau dies ist das Ziel der VdS 10010. Genau wie bei der VdS 10000 ist es den Unternehmen auch hier möglich, sich am Ende der Reise formal zertifizieren zu lassen.

Selbstverständlich werden in der Richtline auch die die anderen üblichen Verdächtigen, z.B.

  • Verarbeitungsverzeichnis
  • Datenschutzfolgeabschätzung (DSFA)
  • Löschkonzept

berücksichtigt.