Einheitliches Datenschutzrecht in Europa (2)

Die Regelungen der Datenschutz-Grundverordnung (DSGVO) über die Datensicherheit sind zum Gutteil den inländischen Regelungen des Bundesdatenschutzgesetzes nachempfunden. Verlangt wird unter anderem ein angemessenes Datenschutzkonzept. Der Verantwortliche muss durch technisch-organisatorische Strategien und deren Umsetzung sicherstellen und nachweisen können, dass er die Verordnung einhält. Es besteht die Möglichkeit eines solchen Nachweises durch Zertifizierung oder die behördliche Genehmigung von Binding Corporate Rules (BCR).

Die technischen und organisatorischen Maßnahmen für die Datensicherheit sollen grundsätzlich auf Basis einer Risikobewertung erfolgen. Ähnlich wie im bereits aus dem Aktien- und Handelsrecht bekannten Teilbereich der "Corporate Governance" mit den dortigen Rechtspflichten für ein effizientes Risikomanagement (und ein hierauf bezogenes internes Kontrollsystem) soll diese Risikobewertung dokumentiert sein. Gleiches gilt für die hieraus abgeleiteten Maßnahmen in Bezug auf die IT-Sicherheit und insbesonere für von der IT ausgehende unternehmensgefährdende Risiken durch Datenverlust oder Verletzungen des Datengeheimnisses und des geschäftlichen Geheimnisschutzes.

Die Maßnahmen sollen dabei den aktuellen Stand der Technik für bestimmte Sektoren und Datenverarbeitungssituationen sowie die technologische Entwicklung berücksichtigen. Eine frühzeitige und regelmäßige Soll-/Ist-Analyse mit Risikobewertung und mit einer entsprechenden Datenschutz- und Datensicherheits-Folgeabschätzung ist aus diesem Grund dringend anzuraten. Diese Gap-Analyse ist ein wichtiger Baustein bei der Umsetzung der in der DSGVO postulierten Transparenz-, Dokumentations-, ADV- und Sicherheitsmanagementpflichten. In einem ersten Schritt der Gap-Analyse sollten alle von der Umsetzung der DSGVO betroffenen Organisationseinheiten und Prozesse und rechtlichen Einheiten identifiziert werden.

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.