DSGVO: Könnten Sie auf einen derartigen Brief bereits korrekt reagieren?
(19.04.2018) Der kanadische Datenschutzexperte Constantine Karbaliotis von PwC konnte mit seinem Nightmare Letter veranschaulichen, was auf die Unternehmen und Tierärzte mit der ab 25. Mai 2018 geltende Datenschutzgrundverordnung zukommt.
Auf die Notwendigkeit zur Anpassung der Prozesse und Computersysteme sowie Schulungen der Mitarbeiter haben wir hier in unserer Artikelserie bereits ausführlich hingewiesen. Sehr anschaulich beschäftigte sich der kanadische Datenschutzexperte Constantine Karbaliotis von PwC mit den neuen Anforderungen durch die ab 25. Mai 2018 geltende Datenschutzgrundverordnung.
Worst-Case-Szenario
Eine gängige Praxis bei Was-wäre-wenn-Überlegungen ist die Beschreibung eines Worst-Case-Szenarios. Das Team rund um Karbaliotis machte sich also Gedanken darüber, wie der größte Querulant (in der DSGVO-Nomenklatura dann in der Rolle des Betroffenen) den größtmöglichen Aufwand verursachen könnte. Diese datenschutzrechtliche Anfrage nannten sie GDPR Nightmare Letter (Anm: GDPR ist die englische Abkürzung für die DSGVO).
Der Brief ist ein Schreiben eines fiktiven Kunden, der im maximalen Rahmen der rechtlichen Möglichkeiten Auskunft über seine gespeicherten Daten will und sich dabei mit Technologie und Recht perfekt auskennt. Jeder Unternehmer ist also gefordert, darauf angemessen vorbereitet zu sein. Angesichts der hohen Strafdrohung ein ziemlich guter Rat, denn manche warten nur noch auf das ominöse Datum, um dann endlich losschlagen zu können.
Der im Englischen vorliegende Brief[1] wurde dabei von Roman Abashin von der adesso AG ins Deutsche übersetzt[2]. Die Reaktionszeit ist hier mit 1 Monat nur oberflächlich großzügig. In der Praxis zeigt sich rasch, dass eine gesetzeskonforme Beauskunftung mehrere Stunden Arbeitszeit in Anspruch nimmt, ganz unabhängig davon, ob überhaupt alles so einfach ermittelt werden kann.
Besonders bitter ist die Forderung Bitte stellen Sie mir eine Kopie von oder Zugang zu meinen persönlichen Daten zur Verfügung, die Sie haben oder bearbeiten. Facebook hat darauf bereits reagiert und diese Funktionalität unlängst implementiert[3]. Kann Ihre Software dies auch bereits?
Auskunft zu Datenschutzverletzungen
Der Verfasser des Briefs möchte außerdem Auskunft darüber, ob seine persönlichen Daten in der Vergangenheit versehentlich von Ihrem Unternehmen oder aufgrund einer Sicherheits- oder Datenschutzverletzung offengelegt wurden und konkretisiert dies Wenn Sie nicht mit Sicherheit sagen können, ob ein solcher Verstoß stattgefunden hat, geben Sie bitte an, welche mildernden Maßnahmen Sie unter Verwendung geeigneter Technologien ergriffen haben.
Spätestens da sind Sie auch zur Offenlegung Ihrer getroffenen Schutzmaßnahmen aufgefordert. Eine nicht zufriedenstellende Antwort kann hier rasch zu weiterem Ärger führen nämlich dann, wenn Sie bei der Datenschutzbehörde verpfiffen werden. Sie sollten hier also
schnellstens sicher stellen, dass Ihre IT-Verantwortlichen die geeigneten Dokumentationen erstellen und gegebenenfalls Umstellungen vornehmen.
[1] The Nightmare Letter: A Subject Access Request under GDPR
[2] Der DSGVO-Albtraum-Brief: Ein Kunde will an seine Daten
[3] Deine Informationen herunterladen | Facebook-Hilfebereich | Facebook
Bilden Sie sich weiter!
Zum Thema der Datenschutzgrundverordnung (DSGVO) bieten wir Ihnen als Tierarzt in Zusammenarbeit mit VETS4VETS und B.Braun unter dem Titel "Datenschutz mit der neuen EU-Verordnung" eine praxisorientierte Fortbildung, wie Sie Ihre Tierarztpraxis gesetzeskonform machen.
Der Vortrag wird von Christoph Illnar gehalten, der als technisch Verantwortlicher im COMMUNITOR Verlag unter anderem auch für den Betrieb des VET-MAGAZIN verantwortlich ist. Als Co-Herausgeber vereint er langjährige Erfahrung im Bereich der IT Security mit profunder Kenntnis der tierärztlichen Praxis.
Die Termine und Anmeldelinks sind:
Für Sie als VET-MAGAZIN-Leser gibt es 25,- Ermäßigung!
Verwenden Sie bitte bei der Buchung den Gutschein-Code: DSGVO4VET