Die 6 wichtigsten Anforderungen der DSGVO

Welche Anforderungen nach der DSGVO müssen beim Arbeiten aus dem Home Office beachtet werden?

Hamy Albath - 20.10.2020

Überblick

  • Warum müssen Daten geschützt werden?
  • Worum geht es in der Datenschutz-Grundverordnung (DSGVO)?
  • Die 6 wichtigsten Anforderungen der DSGVO
    1. Rechtmäßigkeit, Fairness und Transparenz
    2. Zweckmäßigkeit
    3. Datenbegrenzung
    4. Begrenzung der Lagerung
    5. Einwilligung
    6. Integrität und Vertraulichkeit

Das Arbeiten aus dem Home Office ist in den letzten Jahren dank technologischer Fortschritte, vor allem durch Cloud-Dienste für Videotelefonie wie Google Hangouts, Skype oder Zoom, zu einer immer beliebteren Option für Unternehmen geworden, die es Mitarbeitern ermöglicht auch außerhalb des Büros zu arbeiten. Diese Technologien sind angesichts der COVID-19-Pandemie nützlicher denn je. Das “Social Distancing” hat viele von uns gezwungen zu Hause zu bleiben. Das Arbeiten aus dem Home Office wurde zur einzigen Möglichkeit, um den Betrieb vieler Unternehmen am Laufen zu halten. Es ist aber auch mit vielen neuen Herausforderungen verbunden einschließlich der Art und Weise wie Sie und Ihr Unternehmen sensible Daten schützen. Ohne die richtigen Sicherheitsvorkehrungen, wie Sie sie hoffentlich im Büro haben, sind Ihre Daten für eine Reihe von Sicherheitslücken anfällig. 

Warum müssen Daten geschützt werden?

Daten müssen sicher gespeichert und übermittelt werden. Im Büro kann jeder Mitarbeiter problemlos auf alle Laufwerke und Verzeichnisse auf dem internen Server des Unternehmens oder der angeschlossenen Cloud zugreifen. Die Datenübertragung erfolgt verschlüsselt oder über ein speziell gesichertes Virtual Private Network (VPN). Anders verhält es sich bei der Internetverbindung zu Hause. Hier sind die Datenleitungen in der Regel offen und ungeschützt und die Nutzung von offenen Cloud-Diensten wie Dropbox, Google Drive oder OneDrive ist aus vielen Gründen für sensible Informationen nicht zu empfehlen oder sogar gesetzlich verboten.

Die einfachste und effizienteste Lösung für das Arbeiten aus dem Home Office sind professionelle, cloud-basierte Lösungen. Cloud-Software funktioniert nach einem ähnlichen Prinzip wie webbasierte E-Mail Nutzung. Benutzer können auf alle Funktionen und Dateien zugreifen ohne den Großteil der Daten auf ihren eigenen Computern gespeichert haben zu müssen. Diese Technologie ermöglicht die Speicherung von Informationen in einem zentralisierten System, auf das von überall zugegriffen werden kann. So können Mitarbeiter beispielsweise über cloud-basierte Software von ihrem Smartphone oder Tablet von zu Hause oder unterwegs auf Kundeninformationen zugreifen und diese Informationen schnell mit anderen autorisierten Parteien überall auf der Welt teilen.

Viele Menschen nutzen bereits eine Vielzahl von cloud-basierten Diensten, ohne sich dessen bewusst zu sein. Microsoft Outlook, Facebook, Instagram u. v. m. sind allesamt cloud-basierte Anwendungen. Bei all diesen Diensten senden die Benutzer ihre persönlichen Daten an einen in der Wolke gehosteten Server, der die Informationen für den späteren Zugriff speichert. Diese Anwendungen sind für den persönlichen Gebrauch sehr nützlich, aber noch wertvoller sind sie für Unternehmen. Diese müssen in der Lage sein auf große Datenmengen über eine sichere online Netzwerkverbindung zugreifen zu können. Und das Ganze unter Einhaltung der DSGVO-Richtlinien. Auch die EU sah die Notwendigkeit des Datenschutzes und verabschiedete deshalb im April 2016 die Datenschutz-Grundverordnung (DSGVO). Die DSGVO enthält Bestimmungen, die Unternehmen verpflichten die persönlichen Daten und die Privatsphäre von EU-Bürgern bei Transaktionen innerhalb der EU-Mitgliedstaaten zu schützen. Die Verordnung soll Unternehmen helfen zu verstehen, welchen Sicherheitsrisiken sie ausgesetzt sind und verpflichtet sie dazu Maßnahmen dagegen zu ergreifen. 

Worum geht es in der Datenschutz-Grundverordnung (DSGVO)?

Die allgemeine Datenschutzverordnung der EU umreißt sechs Datenschutzprinzipien, welche Unternehmen bei der Erhebung, Verarbeitung und Speicherung personenbezogener Daten befolgen müssen. Der für die Datenverarbeitung Zuständige ist für die Einhaltung der Grundsätze verantwortlich und muss in der Lage sein die Compliance Praktiken des Unternehmens nachzuweisen.

Viele Anforderungen beziehen sich nicht direkt auf die Informationssicherheit, sondern auf die Prozesse und Systemänderungen, die zur Einhaltung der Sicherheit erforderlich sind. Die DSGVO lässt viel Interpretationsspielraum. Beispielsweise besagt sie, dass Unternehmen einen angemessenen Schutz für persönliche Daten bieten müssen, definieren aber nicht was “angemessen” ist. Technische Schutzmaßnahmen werden mehrfach in der Verordnung erwähnt, aber sie schreibt keine genaue Implementierung von Sicherheitstechnologien als obligatorisch vor. Es werden nur einige Methoden als optionale Lösungen für den spezifischen Einsatz vorgeschlagen. Die Wahl und die Bewertung der Angemessenheit liegt in der alleinigen Verantwortung des für die Datenverarbeitung Verantwortlichen. 

„Der für die Verarbeitung Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen […] die sich auf die Verarbeitung personenbezogener Daten beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.“ – Art. 12 Abs. 1 DSGVO 

Keine Privatsphäre ohne Sicherheit

Sicherheitskontrollen können in mehrere Gruppen unterteilt werden: präventive, detektive und korrektive Kontrollen. Bestimmte Maßnahmen können dazu beitragen das Risiko einer Gefahr zu minimieren und/oder sein Eintreten zu erkennen und angemessen darauf zu reagieren. 

Die meisten der heutigen Cybersicherheitslösungen fallen in mehr als eine der Kategorien. So verhindern beispielsweise Netzwerk- und Endpunktschutzlösungen den unbefugten Zugriff, überwachen aber gleichzeitig die Nutzung der Systeme und können anomales Verhalten erkennen, sowie bestimmte Aktivitäten blockieren. 

Die DSGVO zu verstehen ist keine leichte Aufgabe, deshalb haben wir Ihnen die wichtigsten Anforderungen leicht verständlich aufgelistet.

Bauprojekte effizienter organisieren

Die 6 wichtigsten Anforderungen der DSGVO

1. Rechtmäßigkeit, Fairness und Transparenz

Organisationen müssen sicherstellen, dass ihre Datenerhebungspraktiken nicht gegen das Gesetz verstoßen und sie den Betroffenen nichts verheimlichen. Um gesetzeskonform zu handeln, muss man ein tiefgehendes Verständnis der DSGVO und seiner Regeln für die Datenerhebung haben. Um gegenüber den Nutzern transparent zu bleiben, muss in den Datenschutzrichtlinien angegeben werden welche Arten von Daten das Unternehmen sammelt.

2. Zweckmäßigkeit

Unternehmen dürfen personenbezogene Daten nur für einen bestimmten Zweck sammeln und müssen klar angeben was das für ein Zweck ist. Sie dürfen Daten nur so lange sammeln, wie es zur Zweckerfüllung erforderlich ist. Archivierungszwecke im öffentlichen Interesse, für wissenschaftliche, historische oder statistische Zwecke enthalten mehr Freiheiten. 

3. Datenbegrenzung

Unternehmen dürfen nur die personenbezogenen Daten verarbeiten, die sie für Verarbeitungszwecke benötigen. Das hat zwei Vorteile. Erstens haben unbefugte Personen im Falle einer Datenverletzung nur Zugang zu einer begrenzten Datenmenge und zweitens erleichtert es die Datenübersicht und es ist einfacher sie auf dem neuesten Stand zu halten.  Einzelpersonen haben das Recht innerhalb von 30 Tagen die Löschung oder Berichtigung unrichtiger/unvollständiger Daten einzufordern. 

4. Begrenzung der Lagerung 

Ebenso müssen Unternehmen persönliche Daten löschen, wenn sie nicht mehr benötigt werden. Woher wissen Unternehmen, wann Informationen nicht mehr gebraucht werden? Die DSGVO hat auch hier keine genauen Angaben gemacht. Unternehmen könnten argumentieren, dass sie die Daten so lange benötigen wie die Person als Kunde betrachtet werden kann. Die eigentliche Frage ist also, wie lange nach Abschluss eines Kaufes die Person als Kunde betrachtet werden kann? Die Antwort darauf variiert je nach Branche und den Gründen aus denen Daten gesammelt werden. Jedes Unternehmen, das sich nicht sicher ist, wie lange sie persönliche Daten aufbewahren darf, sollte einen Rechtsexperten konsultieren. 

5. Einwilligung

Wollen Unternehmen personenbezogene Daten über den legitimen Zweck hinaus verarbeiten, müssen sie dafür eine ausdrückliche Einwilligung des Nutzers einholen. Die Einwilligung muss schriftlich dokumentiert werden und die Person hat das Recht ihre Einwilligung jederzeit zu widerrufen. 

Für die Verarbeitung von Daten von Kindern unter 16 Jahren verlangt die DSGVO eine ausdrückliche Einwilligung der Eltern.

6. Integrität und Vertraulichkeit

Diese Anforderung befasst sich als einzige explizit mit der Sicherheit. Personenbezogenen Daten müssen vor Verlust, Zerstörung, Beschädigung und unbefugter und unrechtmäßiger Verarbeitung durch geeignete technische Maßnahmen geschützt werden. Die DSGVO hält sich absichtlich vage, da sich technologische Gegebenheiten ständig verändern. Gegenwärtig sollen Unternehmen persönliche Daten verschlüsseln und pseudonymisieren. 

Möglichkeiten für reibungsloses und sorgenfreies Arbeiten aus dem Home Office bieten moderne Cloud-Software Lösungen wie Cosuno. Hierbei kann auch aus dem Home Office mit Kollegen an einem Bauprojekt gearbeitet werden. Zeitgleich werden die DSGVO Richtlinien eingehalten und die höchste Datensicherheit durch moderne Serverstrukturen gewährleistet.

Diese sechs Punkte sollen einen relevanten Überblick über die in der DSGVO behandelten Themen geben. Ein tieferes Verständnis für die DSGVO hilft Ihrem Unternehmen dabei, die gesetzlichen Anforderungen einzuhalten. Sollten Sie ein Unternehmen der Baubranche sein, können Sie gerne unseren Support kontaktieren, um sich über die konkreten Risiken in Ihrem Unternehmen zu erkundigen. 

 

Bauprojekte effizienter organisieren