Zwei Monate bevor die Regelungen der europäischen Datenschutzgrundverordnung gelten, hat die oberste europäische Datenschutzbehörde zwei neue Leitfäden dazu herausgegeben.

DSGVO UND DATENVERARBEITER

Derzeit bereiten sich Unternehmen und Institutionen in allen europäischen Ländern auf den 25. Mai 2018 vor, ab dem die europäische Datenschutzgrundverordnung (kurz DSGVO oder englisch GDPR für General Data Protection Regulation) wirksam wird. Der oberste europäische Datenschützer Giovanni Buttarelli (European Data Protection Supervisor, EDPS) hat nun zwei Leitfäden mit Hilfestellungen veröffentlicht. Sie sollen EU-Institutionen und -Körperschaften dabei unterstützen, dieses „neue Kapitel im Datenschutz“, das ein besonderes Augenmerk auf die Rechenschaftspflicht der Datenverarbeiter legt, adäquat umzusetzen.

DURCHFÜRHRUNG OPERATIVER UND ADMINISTRATIVER AUFGABEN

Der erste Leitfaden „Guidelines on the protection of personal data in IT governance and IT management of EU institutions“ erklärt, wie die bei der Durchführung operativer und administrativer Aufgaben verarbeiteten personenbezogenen Daten angemessen und rechtskonform geschützt werden. Das umfasst sowohl den Datenschutz „by default“ und „by design“ in den Informationssystemen als auch die Etablierung von IT-Governance unter Einhaltung der Berichts- und Rechenschaftspflichten. Die Liste der vorgeschlagenen Maßnahmen ist weder erschöpfend noch verpflichtend. EU-Institutionen können alternative Mittel wählen, etwa unter Berücksichtigung ihrer spezifischen Bedürfnisse. Sie müssen allerdings nachweisen, dass diese Maßnahmen einen gleichwertigen Schutz der personenbezogenen Daten bedeuten.

PROBLEMATIK DER CLOUD

Der zweite Leitfaden „Guidelines on the use of cloud computing services by the European institutions and bodies“ beinhaltet eine Analyse spezieller Risiken für personenbezogene Daten in Cloud-Umgebungen sowie rechtliche, technische und organisatorische Maßnahmen, wie man mit diesen Risiken umgehen kann. Besondere Aufmerksamkeit gilt den Anforderungen an die Beschaffungsprozesse der öffentlichen Hand. Für die beiden Richtlinienwerke haben sich die europäischen Datenschützer mit IT-, IT-Sicherheitsexperten sowie Managern von EU-Institutionen beraten. Berücksichtigt haben sie außerdem mehrere Hundert Kommentare und Vorschläge.
Wie die Datenschutzbeauftragten sich auf die DSGVO und die ebenfalls in naher Zukunft kommende E-Privacy-Regulierung vorbereiten, zeigt auch der aktuelle EU-Datenschutzbericht, der am 19. März erschienen ist. Auch die deutschen Aufsichtsbehörden sind mit der Umsetzung befasst. Welche konkreten Maßnahmen geplant sind, beleuchtet etwa der ebenfalls gerade veröffentlichte Jahresbericht der Berliner Datenschutzbeauftragen Maja Smoltczyk.
Quelle: https://www.heise.de/ix/meldung/Hilfestellungen-fuer-Datenschutz-in-EU-Institutionen-4004648.html