Fast sechs Monate nach der Ankündigung der Annahme der Allgemeinen Datenschutzverordnung (DSGVO) arbeiten die Unternehmen (Anwalts- und Beratungsfirmen) an der Frage der Anpassung ihrer Praktiken an diesen Text im Hinblick auf die Frist Mai 2018 (Zieldatum für die Umsetzung der durch die DSGVO auferlegten Maßnahmen). Bedenken Sie, dass das DSGVO eine neue Verordnung zum Schutz personenbezogener Daten vorschlägt, die für alle Mitgliedstaaten der Europäischen Union gilt. Der Europäische Datenschutzbeauftragte (EDSB) Giovanni Buttarelli seinerseits spricht vom DSGVO als "ein Menschenrechtsmonument". Dennoch hat die neue Verordnung - obwohl viel darüber geschrieben wurde - bisher mehr Fragen aufgeworfen als beantwortet. Nach der Lektüre und Analyse des Textes und dem von der CNIL organisierten Treffen im Juli 2016 werden Synergien zusammengeführt und neue Schritte in den gemeinsamen Bemühungen um die Integration der DSGVO in die Unternehmen insgesamt unternommen.
Arbeitsgruppen und beste Praktiken
Wie die neue europäische Verordnung vorsieht, sind die an der Verarbeitung und Speicherung personenbezogener Daten Beteiligten aufgefordert, Verhaltenskodizes zu definieren und einzuhalten. In diesem Schritt (auf den in Artikel 40 Bezug genommen wird) heißt es daher, dass "das Vorhandensein von Verhaltenskodizes als ein Element verwendet werden kann, mit dem die Einhaltung der Pflichten des für die Verarbeitung Verantwortlichen nachgewiesen werden kann". Sie werden auch dazu ermutigt, über die Schaffung genehmigter Zertifizierungsmechanismen nachzudenken (Artikel 42). Aus diesen Forderungen gingen die ersten Arbeitsgruppen hervor, wie die von Régis Delayat (Vizepräsident der CIGREF und Verwalter der AFAI) und Stanislas de Rémur (Vizepräsident von TECH IN France). Während viele Unternehmen bereits die digitale Transformation und die Migration zur Cloud anführen, werden diese Arbeitsgruppen gleichzeitig wichtige Hebel zur Harmonisierung der Best Practices und zur Beratung der Unternehmen bei der Wahl der Infrastruktur (Struktur und Hosting), sei es vor Ort oder durch einen externen Anbieter (Cloud), sein.
Die CNIL ihrerseits hat 2014 ihre ersten Compliance-Pakete für vertikale Märkte entsprechend ihrer spezifischen "Daten"-Themen auf den Markt gebracht. Die CNIL bietet derzeit auch eine vereinfachte Lesart der Verordnung an, die sie in 3 Zielen definiert: die Rechte des Einzelnen zu stärken, den Akteuren, die die Daten verarbeiten (Sammler und Hosts), mehr Befugnisse zu geben und der Verordnung durch die Umsetzung der DSGVO in allen Mitgliedstaaten der Europäischen Union (EU) Glaubwürdigkeit zu verleihen. Die Nichteinhaltung dieser Ziele wird mit Sanktionen belegt, die bis zu 4 % des Gesamtumsatzes eines Unternehmens betragen können.
IT-Verfahren und Marketing
Der Weg zur Compliance beginnt mit einer akribischen Prüfung der aktuellen Verfahren, die personenbezogene Daten betreffen. In einer zweiten Phase kann die Arbeit an der ISO-Zertifizierung den Unternehmen helfen, die bestehenden Verfahren zu verbessern und sie konform und zertifiziert zu machen, da die durch die neue europäische Verordnung aufgeworfenen Fragen in drei großen, eng miteinander verbundenen Themen zusammengefasst werden können: Tools, Verfahren und die Frage des Cloud Hosting. Unabhängig davon müssen die Unternehmen eine gründliche Untersuchung ihrer Datenverarbeitung und -speicherung durchführen, um die verschiedenen schriftlichen Verfahren, die durch die neue Verordnung vorgeschrieben werden, vollständig zu verstehen. Die erste wird in Artikel 12 behandelt, der die Verfahren und Mechanismen für die Ausübung der Rechte der Personen, denen die personenbezogenen Daten gehören (Berichtigung, Recht auf Vergessen usw.), definiert. Diese Verfahren betreffen in erster Linie die Arbeitsplätze und im Übrigen die Personal- und Marketingdienste, da sie die Eingangsstellen für die personenbezogenen Daten, die Verarbeitung und die Bindung der Kunden und Interessenten an das Unternehmen verwalten. Die zweite Verfahrensanforderung im Zusammenhang mit der Verarbeitung personenbezogener Daten in ihrem technologischen Kontext (Hosting, Speicherung, Migration oder Cybersicherheit) betrifft die IT-Abteilung. In Artikel 32.1.a heißt es nämlich: "Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter ergreifen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wozu unter anderem [...] die Pseudonymisierung und Verschlüsselung personenbezogener Daten gehört".
Verschlüsselung der Daten
Warum ist in diesem Zusammenhang das Thema Verschlüsselung so prominent geworden? Weil sich die Daten jetzt bewegen, von einer Infrastruktur zur anderen, von einem Terminal zum anderen, ohne geographische Beschränkungen und mit einem einzigen Klick. Gabriele Carzaniga, Sales Engineer Manager bei Google, versteht das, wenn er erklärt: "Die digitale Transformation erfordert heute, dass Daten jederzeit verfügbar, zugänglich und gemeinsam nutzbar sind". Das DSGVO hat diesen Aspekt in den oben genannten Artikel 32 aufgenommen. Darüber hinaus ist die Festplattenverschlüsselung (obwohl sie als Teil eines klassischen Cybersicherheitsplans immer noch interessant ist) keine angemessene Lösung, da persönliche Daten vom Arbeitsplatz aus verschlüsselt werden müssen, bevor sie den Unternehmensbereich verlassen. Wenn die Daten mit einem Schlüssel verschlüsselt werden, der auf dem Gebiet der EU gehostet wird, können sie in der Tat jederzeit gespeichert werden.
