Die Datenschutzgrundverordnung vereinheitlicht die Verarbeitung von personenbezogenen Daten EU-weit und betrifft jedes Unternehmen. Spätestens mit dem Inkrafttreten der Verordnung sind Unternehmen dazu verpflichtet, bei der Kommunikation per E-Mail personenbezogene Daten entsprechend zu schützen. Dies gilt auch dann, wenn der Firmensitz außerhalb der EU liegt, aber Daten von Personen aus der EU verarbeiten werden.
Ab wann tritt die EU-Datenschutzgrundverordnung endgültig in Kraft?
Bereits seit 2016 ist die EU-Datenschutzgrundverordnung in Kraft. In einzelnen Ländern der EU wird das Thema aktuell unterschiedlich heiß diskutiert, für alle gilt jedoch: Bis zum 25.05.2018 müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Höchste Zeit also, sich mit den neuen Anforderungen auseinanderzusetzen. Jedes Unternehmen muss nun solche Fragen überdenken wie z.B.:
• Welche personenbezogenen Daten werden gespeichert?
• Wie sieht eine datenschutzkonforme Kommunikation aus?
• Welche Prozesse müssen in Gang gesetzt werden?
→ Definition personenbezogener Daten, Artikel 4:
Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Personenbezogene Daten sind z.B.:
• Name
• Adresse
• E-Mail-Adresse
• IP-Adresse
• Telefonnummer
• Geburtstag
• Konto- oder Kreditkartendaten
• Kraftfahrzeugnummer/ KFZ-Kennzeichen
• genetische Daten und Krankendaten
• Werturteile wie Zeugnisse
• Achtung! Auch Bilder, Videos und Tonaufnahmen oder Röntgenbilder können personenbezogene Daten enthalten!
→ Grundsätze der Verarbeitung von personenbezogenen Daten
Artikel 5, Absatz 1 f:
f. (…)in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
• Bei der Übertragung von personenbezogenen Daten müssen diese verschlüsselt werden (TLS, Passwort, PKI etc.)!
Artikel 5, Absatz 2:
2. Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
• Der Verantwortliche muss aktiv nachweisen können, dass eine E-Mail mit personenbezogenen Daten geschützt beim Empfänger ankam.
→ Sicherheit der Verarbeitung
Artikel 32, Absatz 1a:
1. (…)
a. Die Pseudonymisierung und Verschlüsselung personenbezogener Daten.
• Verschlüsselung von personenbezogener Daten während des E-Mail Transports.
• Keine Speicherung von personenbezogenen Daten (True Delivery) in der Cloud.
• Verschlüsselung und Signatur des Originalinhalts der E-Mail.
Praxis-Tipp:
Egal, in welcher Form personenbezogene Daten verarbeitet werden, Unternehmen sollten tunlichst darauf achten, dass nebst der Nachvollziehbarkeit von Prozessen auch sämtliche Aktivitäten zum Datenschutz (Entscheide, Analysen, Risikodefinitionen etc.) nachvollziehbar sind. Kundendaten gehören dabei ebenso zu personenbezogenen Daten wie die Personaldaten von Mitarbeitern!
Gerne sind wir auch Ihr Partner bei der digitalen Kommunikation!
Seit mehr als 45 Jahren ist Frama in der Kommunikation zu Hause. Wir bieten Ihnen qualitativ hochwertige Produkte und Dienstleistungen für die digitale Kommunikation. Es ist unser Anspruch, Ihnen in allen Belangen einen ausgezeichneten Service zu bieten und Ihre Wünsche zu verfüllen. Sprechen Sie uns an! https://www.frama.de/rmail/
Diese Checkliste ist nur ein erster Anhaltspunkt für notwendige Maßnahmen und erhebt keinen Anspruch auf Vollständigkeit oder Rechtssicherheit.
• Bestehende Datenschutzerklärungen anpassen
• Ansprechpartner für Datenschutz bestimmen
• Vorhandene IT-Sicherheit überprüfen und dokumentieren
• Mitarbeiter schulen und Betriebsvereinbarungen anpassen
• Formulare und Einwilligungen anpassen
• Verträge zur Auftragsdatenverarbeitung anpassen
• Vertragsmanagement: Haftungs- und Datenschutzregeln in Verträgen überprüfen
• Vorhandene Cloudspeicher auf Datenschutz-Konformität überprüfen
• Kommunikationskanäle für Kunden überprüfen (z. B. E-Mail-Versand)
Firmenkontakt und Herausgeber der Meldung:
Frama Deutschland GmbH
Christinenstr. 2
40880 Ratingen
Telefon: +49 (2102) 8927-0
Telefax: +49 (2102) 8927-77
http://www.frama.de