Der Stichtag des Inkrafttretens der EU-Datenschutzgrundverordnung (EU-DSGVO) ist inzwischen hinlänglich bekannt. Weniger bekannt ist oft, welche konkreten Auswirkungen diese Verordnung auf das alltägliche Arbeitsumfeld von Unternehmen haben wird, die personenbezogene Daten verarbeiten. Allein schon die Definition, was darunter zu verstehen ist, zeigt bereits, dass der Schutz der persönlichen Daten für die EU-Behörden einen sehr hohen Stellenwert hat. Eine Vielzahl von Prozessen ist in wesentlich mehr unternehmerischen Bereichen betroffen, als es der erste Anschein vermuten ließe. Können Sie bereits mit Sicherheit sagen, ob und in welcher Form ihr Unternehmen davon betroffen ist?
Auch nach der 2-jährigen Wartefrist seit der Veröffentlichung der Verordnung am 4.5.2016 sind oft noch viele Details unklar. Die gute Nachricht zuerst: Nicht alle diese Details müssen von Fachjuristen beurteilt werden, umfangreiche Hilfestellung ist auch auf technischer Ebene verfügbar. Die schlechte Nachricht dazu: Unwissenheit schützt nicht vor dem ungewöhnlich hohen Strafrahmen. Persönliche Haftung von Verantwortlichen, bis zu 20 Mio. € für Einzelpersonen bzw. bis zu 4% des weltweiten (!) Jahresumsatzes für Firmen sind sehr überzeugende Argumente dafür, sich spätestens jetzt mit dem Thema intensiv zu befassen.
Die Öffnungsklauseln in der Verordnung für die Eingliederung in nationales Recht wurden von Österreich im Datenschutz-Anpassungsgesetz 2018 zeitgerecht umgesetzt. Firmen stehen vor der Herausforderung, die unmittelbar anwendbare DSGVO ab dem ersten Gültigkeitstag erfüllen zu müssen. Neben der stark verschärften Verantwortung der Verantwortlichen und Auftragsverarbeiter im Bereich der personenbezogenen Datenverarbeitung wurden insbesondere die Rechte der Betroffenen massiv gestärkt und flankierende Maßnahmen gesetzt. Die wichtigste ist die über nationalem Recht stehende Einklagbarkeit dieser erweiterten Konsumentenschutzrechte. Dadurch steht ein weitreichendes und wirksames Mittel für den Schutz des Einzelnen zur Verfügung.
Ein Auszug aus diesen Rechten zeigt diesen Ansatz:
- Eine klare Fristsetzungsregelung für die Erfüllung der Betroffenenrechte wurde eingeführt.
- Neben einem erweiterten Auskunftsrecht für Einzelpersonen wurde ein Recht auf die Verwendung korrekter Daten festgelegt. Unternehmen sind zur Richtigstellung verpflichtet und müssen im Anlassfall nachweisen, dass sie keine Kenntnis darüber hatten, mit unvollständigen oder falschen Daten zu hantieren.
- Der Konsument hat ein Recht auf Löschung und „Vergessenwerden“ sowie auf Einschränkung der Verarbeitung.
- Erkannte Verletzungen der Vorgaben sind innerhalb von 72 Stunden von den Firmen aktiv einer Meldestelle bekanntzugeben.
Durch die neue, grundsätzliche Beweislastumkehr zu Gunsten des Konsumenten befinden sich Firmen in einer permanenten Rechtfertigungsstellung. Frühzeitige Adaptierungen interner Prozesse und klare und dokumentierte Handlungsanweisungen für die Zuständigen und Entscheidungsträger im Unternehmen helfen, hier einen rechtskonformen Status zu sichern. Vor allem in den ersten Monaten nach dem Inkrafttreten der DSGVO ist mit erhöhter Unsicherheit zu rechnen. Jede vorher investierte Minute ist hier wertvoll!
Neben allen juristischen Aspekten ergeben sich für Ihr Unternehmen daraus eine Reihe handfester operativer und das Tagesgeschäft unmittelbar berührender Aspekte. Die DSGVO betrifft alle Daten natürlicher Personen, die im Unternehmen mittels IT-gestützter Verfahren verarbeitet werden. Damit sind die Daten sowohl von Mitarbeitern, als auch von Kunden, Lieferanten und anderen Geschäftspartnern im Fokus. Die Wichtigkeit der vertraulichen und sicheren Datenhandhabung im Tagesgeschäft ist mittlerweile wohl hinreichend bekannt. Dass Kundendaten auf verschlungenen Wegen zu einem Werbeanbieter oder an die Öffentlichkeit gelangt sind, ist nicht nur eine Großstadtlegende.
Frühestmögliche organisatorische und technische Maßnahmen sollen in Zukunft solche Formen der missbräuchlichen Verwendung weitestgehend verhindern. Den Betroffenen – und das sind nicht mehr die Besitzer der Daten, sondern die Personen hinter diesen Daten – soll größtmöglicher Schutz geboten werden. Denn eines ist leider Fakt: Irgendwann könnte jeder von uns zu den Betroffenen in der obigen Erhebung gehören.
Testen mit Kopien von Produktivdaten
Ein wichtiger Aspekt in diesem Umfeld sind Gefährdungen, die sich aus der Zusammenarbeit mit externen Projektpartnern ergeben. Viele Aktivitäten, z.B. zu erfüllende Testtätigkeiten, erfordern die Verwendung möglichst realitätsnaher Daten. Auszüge oder vollständige Kopien der operativen Echtdaten bieten sich dafür an, ermöglichen jedoch in der Regel die eindeutige oder mit hoher Wahrscheinlichkeit mögliche Identifikation realer Personen. Damit dürfen diese Daten firmenfremden Personen wie z.B. externen Projektpartnern jedoch nicht mehr zugänglich gemacht werden. Die üblichen Vertraulichkeitsvereinbarungen bieten hier keinen ausreichenden Schutz.
Der abgeschottete Zugriff auf diese Daten durch die externen Entwickler und Tester ausschließlich im eigenen Firmenbereich stellte in manchen Situationen bereits nach bisherigem Datenschutzrecht ein Vergehen dar, in Zukunft gelten hier wesentlich schärfere Regeln. Die vollständige Anonymisierung benötigter Daten als technische Lösungsmöglichkeit ist oft nicht realisierbar. Ebenso wenig ist die Erstellung vollständig synthetischer Testdaten in der geforderten Menge und Qualität machbar. Tests auf solchen Daten sind aber häufig Basisbestandteil des Qualitätsnachweises zu entwickelnder Produkte. Ein umfangreiches Wissen über Testdatenmanagement und praxiserprobte Vorgehensweisen helfen Ihnen, diesen scheinbar nicht auflösbaren Widerspruch dennoch zeitgerecht in den Griff zu bekommen.
Das Konzept der Pseudonymisierung zur Verhinderung der Identifikation von Personen an Hand der verarbeiteten Daten kann durch technische Maßnahmen umgesetzt werden. Beim Entwurf und Erstellung der erforderlichen Umsetzungskonzepte ebenso wie bei der Auswahl adäquater Testverfahren zur Sicherstellung der Wirksamkeit können die Experten von Software Quality Lab unterstützen.
Anforderungen an die IT-Systeme
Datensicherheit und Datenschutz durch Technik („Privacy by Design“) sind nach einer geeigneten Risikoanalyse und darauf basierenden Abwägungen herzustellen.
Zur Erfüllung der datenschutzfreundlichen Voreinstellungen („Privacy by default“) sind die betroffenen Prozesse darauf zu überprüfen, ob sie tatsächlich nur die für die jeweilige Verarbeitung unbedingt benötigten personenbezogenen Daten betreffen. Die Einhaltung eines genehmigten Zertifizierungsverfahrens kann unterstützend herangezogen werden, um die Erfüllung der geforderten Maßnahmen nachzuweisen. Oft ist jedoch diese Einhaltung mit umfangreichen Zusatzaufgaben verbunden, die erst einmal gelöst werden müssen. Eine gut strukturierte Vorgehensweise ist ein wesentlicher Erfolgsfaktor zur Sicherstellung der planmäßigen Zielerreichung.
Unter Umständen bedingen die genannten Aspekte tiefgreifende Eingriffe in Ihre bestehende IT-Umgebung und müssen in unterschiedlicher Form nachgewiesen werden. IT-technische Umsetzungen (gleichgültig, ob in Form interner oder extern vergebener Projekte) erfordern hier eine ganz besondere begleitende Qualitätssicherung. Die nicht verhandelbare zeitliche Begrenzung stellt eine ganz besondere Herausforderung dar, sollten Sie solche Projekte noch vor sich haben. Eine solide Prozessanalyse zur Identifikation alle relevanten Anforderungen an Ihre IT-Umgebung bildet die Grundlage für das weitere Vorgehen. Software Quality Lab verfügt über umfangreiches Wissen im Anforderungsmanagement und unterstützt Sie gerne dabei, effizient und zeitgerecht die für Sie relevanten Anforderungen in hoher Qualität für den weiteren Projektverlauf zu formulieren. Dieses Vorgehen ist der Schlüssel zur Vermeidung spät erkannter Fehler und fördert massiv die schnelle Umsetzung.
Die erforderliche hohe Sorgfalt bei Konzeption, Entwurf und Umsetzung der begleitenden und oft sehr umfangreichen Testaktivitäten ist ein wesentlicher Aufwandsfaktor in Entwicklungs- und Migrationsprojekten. Stellen Sie sicher, dass die Projektergebnisse frühestmöglich in der geforderten Qualität bereitgestellt werden können. Eine gut strukturierte Inbetriebnahme bildet dann den erfolgreichen Abschluss der Anpassung an die geänderten Rahmenbedingungen.
Schulung zur Datenschutzgrundverordnung (DSGVO)
Das Seminar von Software Quality Lab zum Thema DSGVO finden Sie hier.
Es behandelt die DSGVO aus fachlicher Sicht, bietet einen Überblick über die daraus resultierenden Anforderungen an Firmen und liefert praxisbezogene Lösungsvorschläge.