Page 135 - Handbuch Internet of Things
P. 135
Kapitel 3.6 / EU-DSGVO
HANDBUCH INTERNET OF THINGS
136
lung die Datenschutzrisiken gering gehalten werden können und Datensicherheit gewähr- leistet ist. Schließlich ist auch zu klären wo im Unternehmen die Daten überhaupt gespei- chert sind und wer Zugri darauf hat.
Was ist neu?
Ganz wichtig: Unternehmen haben eine Rechenscha sp icht. Im Fall einer Klage gilt die Beweislastumkehr: Nicht der Klä- ger muss nachweisen, dass die EU-DSGVO verletzt worden ist. Das Unternehmen muss beweisen, dass es die strengen Kriterien der Verordnung erfüllt. Hier könnte sich unter Umständen für Unternehmen ein Betäti- gungsfeld erö nen, um unliebsamen Kon- kurrenten zu schaden. Außerdem muss in bestimmten Fällen ein Datenschutzbeauf- tragter ernannt werden. Hinzu kommt die Verp ichtung, ein sogenanntes „Privacy by Design“ einzuführen, mit dem datenschutz- relevante Maßnahmen von Beginn an in De- sign sowie Entwicklung von Systemen, Pro- zessen und Produkten integriert werden. Auch sind mehr Daten betro en, so etwa Einzelangaben über persönliche und sachli- che Verhältnisse einer bestimmten oder be- stimmbaren Person. Die Anforderungen an „bestimmbare Personen“ sind sehr gering. Auch Lieferanten können betro en sein, zum Beispiel solche, die von einem Unter- nehmen beau ragt werden, personenbezo- gene Mitarbeiterdaten zu verarbeiten.
Mehr Rechte für Beschä igte, mehr P ichten für die Unternehmen
Nach Au assung vieler Fachleute werden die P ichten des Arbeitgebers beim Datenschutz
deutlich erhöht, die Rechte der Beschä igten hingegen gestärkt. Diese erhalten die Hoheit über ihre Daten und das Recht, auf Anfra- ge zu erfahren, ob, welche und in welchem Umfang personenbezogene Daten durch den Arbeitgeber verarbeitet werden. Das muss laut EU-DSGVO schneller und umfassen- der geschehen, als dies früher der Fall war. Unternehmen ohne digitale Personalakte ha- ben hier einen großen Aufwand, da die da- für zuständigen Personalabteilungen meist in einem mühseligen Prozess die zerstückelt geführten Personalakten, Gehaltsabrechnun- gen oder Berichte prüfen müssen.
Vieles hängt von der Art und Größe des Unternehmens ab
Einige Experten warnen, die Aufgaben im Zu- sammenhang mit der Verordnung zu unter- schätzen. Die häu g vertretene Ansicht, dass die Erstellung eines Verarbeitungsverzeich- nisses die Erfüllung der Richtlinien gemäß DSGVO bedeutet, ist leider nicht richtig. Ein Verarbeitungsverzeichnis ist zwar wesentlich, jedoch nur einer von mehreren Schritten der Umsetzung. Jedes Unternehmen muss also auch alle technischen und organisatorischen Maßnahmen zur Sicherung und zum Schutz der Daten umsetzen und auch dokumentie- ren. Nicht zu vergessen, die Einhaltung und Dokumentation aller Betro enenrechte. Eine Lösung muss all diese Aspekte mitberück- sichtigen und ganzheitlich erfüllen. In wel- chem „Detailgrad“ die Umsetzung auf Unter- nehmensebene erfolgt, hängt jedoch von der Art und Größe des Unternehmens sowie den verfügbaren Ressourcen ab. Entscheidend ist auch die Branche, da jede ihre ganz eigenen Anforderungen hat.