Verarbeitungsgrundsätze
Applikations – und Serviceanbieter müssen bezüglich der DSGVO einige Themen berücksichtigen, um Ihren Kunden Probleme bei der Verwendung zu ersparen.
Als Verantwortliche müssen Interessenten die folgenden Themen berücksichtigen und werden in Zukunft schon bei der Auswahl abfragen, ob alles berücksichtigt wurde:
Grundsätze der Datenverarbeitung (Art.5)
- Integrität und Vertraulichkeit
- Angemessene Sicherheit
- Schutz vor unbefugter oder unrechtmäßiger Verarbeitung
- Schutz vor unbeabsichtigtem Verlust oder Zerstörung
- Datenminimierung
- Es werden nur jene Daten verarbeitet, die auch wirklich benötigt werden
- Rechenschaftspflicht
- Einhaltung dieser Punkte muss vom Unternehmen nachgewiesen werden können
Sicherheit der Verarbeitung (Art. 32)
Verantwortliche und der Auftragsverarbeiter vereinbaren geeignete Technisch-organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten
- Unter Berücksichtigung des Stands der Technik
- Der Implementierungskosten
- Umfang und Zwecke der Verarbeitung
- Eintrittswahrscheinlichkeit und Schwere des Risikos
Privacy by Design – Datenschutz durch Technikgestaltung (Art. 25)
- MINIMISE: Die Menge der verarbeiteten Daten sollte so gering wie möglich sein (Pseudonymisierung!!).
- HIDE: Alle personenbezogenen Daten und ihre Zusammenhänge sollten möglichst
verborgen bleiben. - SEPARATE: Personenbezogene Daten sollten möglichst verteilt verarbeitet und getrennt
gespeichert werden. - AGGREGATE: Personenbezogene Daten sollten im höchsten Aggregationsniveau und mit
dem niedrigsten Detailgrad verarbeitet werden, in dem sie (noch) ihren Zweck erfüllen. - INFORM: Betroffene sollten angemessen informiert werden, wann immer ihre
personenbezogenen Daten verarbeitet werden. - CONTROL: Betroffene sollten Kontrolle über die Verarbeitung ihrer personenbezogenen
Daten erhalten.
Privacy by Default – Datenschutz-freundliche Voreinstellungen (Art. 25)
- Rechte für andere Personen einschränken
- Passwortschutz für Inhalte obligatorisch
- Zeitliches Limit für Freigaben
- Dem Benutzer freistellen ob er persönliche Daten im System verwendet
- Weiterleitung von Daten aus dem System erfolgen nur nach Intervention mit dem Betroffenen
Darstellung des Risikos
Jedes verantwortliche Unternehmen ist verpflichtet eine Datenschutz-Folgenabschätzung durchzuführen, wenn eine neue Technologie eingeführt wird, in hohem Ausmaß Daten einer besonderen Kategorie verarbeitet werden oder generell ein hohes Risiko vermutet werden muss.
Sinnvoller Weise liefern Sie eine vollständige Datenschutz-Folgenabschätzung mit dem Angebot aus und ersparen sich und Ihren Kunden einen aufwändigen Prozess
Holen Sie sich fünf Sterne und verzichten Sie nicht auf den Wettbewerbsvorteil einer vollständigen Darstellung Ihrer Datenschutz-Maßnahmen. Geben Sie Ihren Kunden und Interessenten die Sicherheit bei Ihnen auch Datenschutz-technisch gut aufgehoben zu sein