Die DSGVO bringt eine grundlegende Änderung in der Art und Weise, wie Unternehmen ihre Datenverwaltung angehen, mit sich. Sind Sie der Meinung, dass die Botschaft von den luxemburgischen Unternehmen ausreichend ernst genommen wird?
Unsere Gespräche mit Unternehmen in den letzten Monaten haben uns in dieser Hinsicht zwei Erkenntnisse gebracht.
Erstens sind die Unternehmen, die wir auf unseren Konferenzen treffen, oft sehr besorgt, weil sie von den Sanktionen oder von bestimmten Schwierigkeiten gehört haben, die andere Unternehmen bei ihrem Datenmanagement hatten. Für diese Unternehmen besteht die Rolle der nationalen Datenschutzkommission vor allem darin, ihnen die anzuwendenden Grundsätze zu erläutern und ihnen eine Anleitung zu geben, damit sie bei ihren Bemühungen um die Einhaltung der Vorschriften Fortschritte machen können.
Zweitens sind wir der Ansicht, dass es eine große Anzahl von Unternehmen gibt, die sich nicht (oder nicht ausreichend) bewusst sind, welche Regeln sie anwenden müssen. Leider kann man nicht erwarten, sie auf unseren Konferenzen oder Schulungen anzutreffen, einfach weil sie noch nicht die Notwendigkeit erkannt haben, sich zu informieren. Viele Unternehmen fühlen sich nicht betroffen, weil sie keine so genannten "sensiblen" Daten verarbeiten. In Wirklichkeit ist es jedoch nicht so einfach. Alle personenbezogenen Daten fallen in den Geltungsbereich. Auch wenn man davon ausgehen kann, dass die Einhaltung der Vorschriften für diese Unternehmen nicht unbedingt einen enormen Aufwand bedeuten würde, müssten diese Unternehmen dennoch die Übung durchführen, um ihre Konformität zu überprüfen.
Unser Ziel ist es daher, dass die erste Gruppe eine konstruktive Herangehensweise verfolgt und durch die erhaltenen Informationen beruhigt wird - und dass sie diese Botschaft an die zweite Gruppe weitergibt.
Derzeit erfüllt die nationale Datenschutzkommission eine Validierungsfunktion. Diese Funktion wird am 25. Mai wegfallen. An wen können sich Unternehmen dann wenden, wenn sie Beratung oder eine DSGVO-Zertifizierung benötigen?
Die nationale Datenschutzkommission wird weiterhin für die Bereitstellung von Leitlinien zuständig sein. Anleitungen unterscheiden sich von Beratung. Sie richten sich nicht spezifisch an ein Unternehmen, sondern eher an einen Sektor. Grundsätzlich bezieht sie sich auf ein bestimmtes Thema. Dieser Ansatz sollte es ermöglichen, möglichst vielen Unternehmen zu helfen, was durch individuelle "Beratung" nicht möglich wäre. Abgesehen davon wird die nationale Datenschutzkommission natürlich weiterhin Unternehmen zur Verfügung stehen, um ihnen spezifische oder komplexere Fragen zu beantworten, auf die die Leitlinien nicht eingehen können.
Durch ihre Beziehungen zu den zahlreichen Organisationen, die Unternehmen vertreten, hofft die nationale Datenschutzkommission darüber hinaus, diesen Organisationen die notwendigen Instrumente und Leitlinien zu geben, um ihre Mitglieder in Bezug auf den Datenschutz in ihrem jeweiligen geschäftlichen Umfeld zu betreuen. Die nationale Datenschutzkommission hat bereits mehrfach ihre Bereitschaft bekundet, die Unternehmen einzubeziehen und ihnen zu helfen, und diese Botschaft ist gut angekommen. Viele sehr konstruktive Initiativen sind bereits im Gange.
Was die Zertifizierung betrifft, so arbeitet die nationale Datenschutzkommission derzeit an diesem Thema und wird die Unternehmen darüber informieren, sobald die Angelegenheit weit genug fortgeschritten ist. Wir wollen vermeiden, dass Unternehmen glauben, die "Zertifizierung" sei die Lösung für alle Fragen und ihre Bemühungen um die Einhaltung der Vorschriften aufschieben, bis die Zertifizierung verfügbar ist. Wir sind uns der Erwartungen der Unternehmen bewusst und werden diese Angelegenheit so schnell wie möglich vorantreiben. Wir warnen die Unternehmen jedoch davor, dass die Zertifizierung ein Instrument zur "Überprüfung" der Konformität ist. Sie müssen also schon vorher sicherstellen dass sie den neuen Regeln konform sind.
Während strukturierte Daten (vom Typ ERP) recht einfach zu erfassen sind, ist es viel schwieriger, eine Bestandsaufnahme all der kleinen, uneinheitlichen Dateien und Listen (Excel, Text, Briefe, Screenshots...) zu machen. Welche Vorgehensweise empfehlen Sie in Bezug auf diese wenig strukturierten Daten?
Wir empfehlen, zuerst die Verarbeitungen zu identifizieren und dann die Daten auf die Verarbeitungen abzubilden. Tatsächlich kann ein Datensatz in vielen Prozessen verwendet werden (und wird es höchstwahrscheinlich auch). Und es ist der Kontext dieser Verarbeitung, der wichtig ist (z. B. ist ein Name auf einer Liste für einen Newsletter nicht das Gleiche wie ein Name auf einer Liste von Krebspatienten).
Ein weiterer Vorteil dieser Angehensweise könnte die Priorisierung von "Hochrisiko"-Verarbeitungen sein. Inwieweit unstrukturierte Daten bei dieser Art von Verarbeitung eine Rolle spielen, müsste von Fall zu Fall ermittelt werden.
Dieser Angehensweise ist jedoch nicht zwingend erforderlich. Wenn die Übung bis zum Ende durchgeführt wird, sollte das Ergebnis das Gleiche sein. Die nationale Datenschutzkommission macht in diesem Punkt keine Vorschriften und ermutigt die Unternehmen, sich untereinander über Methoden auszutauschen, die gut funktioniert haben.
Einige Wirtschaftssektoren sind stärker von der Verwaltung und Verarbeitung von Daten betroffen als andere. Sehen Sie einen Unterschied in der Anwendung der DSGVO je nach Unternehmenssektor?
Die DSGVO gilt für alle Branchen. Es gibt jedoch Faktoren, die die Anwendung der DSGVO beeinflussen können, wie z. B. die Regulierung eines Sektors. Wenn ein Sektor bereits reguliert ist, sind die Unternehmen vielleicht eher daran gewöhnt, mit den regulatorischen Entwicklungen Schritt zu halten, und haben interne Strukturen aufgebaut, um dies zu gewährleisten.
Wie werden die Kontrollen nach dem 25. Mai 2018 durchgeführt? Sieht sich die nationale Datenschutzkommission nach diesem Datum in einer unterstützenden oder kontrollierenden Rolle?
Die nationale Datenschutzkommission möchte ein Gleichgewicht zwischen Anleitung und Kontrolle wahren. Sie versucht auch, das Bewusstsein dafür zu schärfen, dass die Kontrollen nicht nur dem Zweck dienen, Sanktionen zu verhängen. Sie sollen es der nationale Datenschutzkommission auch ermöglichen, wiederkehrende Fehlerbereiche zu identifizieren, auf deren Grundlage sie eine Leitlinie erarbeiten kann, die den Unternehmen hilft, sich zu verbessern.
Die vier Ziele, die sich die nationale Datenschutzkommission für die Kontrollen gesetzt hat, sind :
- die Identifizierung von einmaligen und wiederkehrenden Problemen ;
- die Anwendung der bereitgestellten Anleitungen zu überprüfen ;
- Untersuchungen bei gemeldeten Problemen durchzuführen ;
- die Kontrolle der Umsetzung von Maßnahmen zur Einhaltung der Vorschriften.
Finden Sie
in diesem Dokument weitere Informationen über die Kontrolle der Einhaltung der Vorschriften.