Mit Einführung der EU-Datenschutzgrundverordnung im Jahr 2016 hat die Europäische Union einen dringend notwendigen Schritt in Richtung mehr Transparenz und Datensicherheit vollzogen. Mehrere Jahre nach Umsetzung dieser Gesetzesänderungen, hat sich in Europa vieles getan. Was für viele Manager, Unternehmer, Auditoren und Datenschutzbeauftragte bleibt, ist ein europäischer Flickenteppich. Selbst innerhalb der einzelnen Mitgliedstaaten gibt es zwischen den einzelnen Entitäten unterschiedliche Auffassungen darüber, wie, in welchem Umfang und wo Daten geschützt werden müssen.
Um möglichst viele Menschen in einem Unternehmen oder einer ganzen Bevölkerungsgruppe für ein Thema wie den Datenschutz zu gewinnen, müssen die damit verbundenen Verordnungen und Gesetze klar, eindeutig und verständlich sein. Obwohl das Schutzniveau paneuropäisch heute deutlich höher liegt als vor Einführung der Datenschutzgrundverordnung, liegt es an einzelnen Instituten und Einrichtungen wie datenschutz.com, die Standards entlang der Datenschutzgrundverordnung eindeutig und klar zu definieren.
Einer der größten Kritikpunkte an der EU-Datenschutzgrundverordnung (DSGVO) ist die Schwammigkeit einiger Formulierungen. Viele hatten sich unter der Einführung der DSGVO eine Reform der geltenden Gesetze unter dem Bundesdatenschutzgesetz (BDSG) gewünscht. Ein Blick in die DSGVO zeigt deutlich, dass dies nur zum Teil gelungen ist.
Ein oft zitiertes Beispiel sind die technischen und organisatorischen Maßnahmen, die im alten Bundesdatenschutzgesetz unter § 9 (Anlage) zu finden waren. Diese Maßnahmen, lange Zeit als die „acht Gebote des Datenschutzes“ bezeichnet, gaben einen soliden Überblick über die einzelnen Schutzmaßnahmen, die Organisationen umsetzen mussten, um den geltenden Datenschutz-Standards zu genügen. Für Viele war dieser Katalog aber kaum mehr als ein Maßnahmen-Überblick, gerade Datenschutzbeauftragte kritisierten die Maßnahmen als nicht eindeutig genug und wenig Praxis-bezogen. Viele derselben Kritiker machten sich die Hoffnung, dass mit Einführung der DSGVO und der Überarbeitung des BDSG mehr Klarheit geschaffen würde.
Mit der DSGVO wurden die Technischen und Organisatorischen Maßnahmen in den Artikel 32 der Verordnung überführt. Die acht Gebote wurden zu sechs Absätzen zusammengestrichen und haben aber trotzdem ungefähr denselben Inhalt wie die Anlage aus dem alten BDSG. Mehr Klarheit und Praxisbezug? Fehlanzeige. Auch das neue Bundesdatenschutzgesetz verschafft nicht mehr Klarheit. Aus dem neuen Bundesdatenschutzgesetz wurden die Technischen und Organisatorischen Maßnahmen teilweise entfernt und gelten heute nur noch im Bereich der Strafverfolgung und für Justizbehörden.
Der DSC-Standard schließt zwei für Datenschutzbeauftragte essentielle Lücken: Zum einen hebt der Standard das Schutzniveau deutlich über die geltenden Gesetze. Statt Unwägbarkeiten und wenig eindeutigen Formulierungen in der DSGVO zu folgen, nimmt der DSC-Standard die Gesetze als Grundlage und steigert diese Anforderung mit einem qualitativ und – falls notwendig – quantitativ höherem Schutzniveau. Darüber hinaus werden diese Maßnahmen und Richtlinien mit einem stärkeren Praxisbezug versehen.
Aus Art. 32 DSGVO und den gängigen Kommentaren lässt sich entnehmen, dass Zugänge zu personenbezogenen Daten entsprechend geschützt werden sollen. Was bedeutet das aber konkret? Der DSC-Standard wird in diesem Punkt konkret indem er klare Alltagssituationen definiert, und potenzielle Schutzmaßnahmen, die zu treffen sind. Neben den offensichtlichen Beispielen, die bereits im alten Bundesdatenschutzgesetz genannt werden, geht der Standard auf zahlreiche Schutzmaßnahmen wie bspw. Kennwortschutz ein. Der Standard definiert klar, wie ein Passwort konzipiert werden soll, wer das Passwort kennen sollte und wie häufig es geändert werden muss.
Bei der Entwicklung des DSC-Standards wurden nicht nur die Lücken der DSGVO gefüllt sondern bestehende Richtlinien weiterentwickelt um das Schutzniveau auf eine neue Stufe zu heben. In vielen Organisationen, insbesondere Unternehmen, herrscht häufig die Befürchtung, personenbezogene Daten zu wenig zu schützen, schließlich können die potenziellen Strafen existenzvernichtend für Unternehmen sein. Viele Unternehmer fühlen sich bei Bestandsaufnahmen, Audits und insbesondere bei Prüfungen durch Aufsichtsbehörden schlecht vorbereitet. Ein Datenschutzbeauftragter kann hier Abhilfe schaffen, allerdings auch nur dann, wenn er sein Handwerk versteht und im Zweifel einen deutlich höheren Standard im Unternehmen einführt, als im Branchendurchschnitt üblich.
Während die technischen und organisatorischen Maßnahmen ein wichtiges Thema für Datenschutzbeauftragte darstellt, gibt es noch weitere Themen, wie bspw. die Benennung eines Datenschutzbeauftragten, dessen Qualifikation sowie die Nähe zur Geschäftsleitung, die nicht eindeutig geklärt sind. Diese und viele weitere Teilbereiche bilden den Schwerpunkt im DSC-Standard, der Unternehmen, Behörden und Datenschutzbeauftragten einen klaren und stringenten Einblick in das Thema Datenschutz verschaffen soll.
Der DSC-Standard ist bei uns hinterlegt und bildet die Grundlage unserer Ausbildung zum Datenschutzbeauftragten sowie unserer Dienstleistung Externer Datenschutzbeauftragter. Auf Anfrage können Sie den Standard gerne bei uns erwerben. Melden Sie sich einfach bei uns und wir beraten Sie gerne unverbindlich und kostenlos.