»Danach müssen je nach Art der Daten „geeignete technische und organisatorische Maßnahmen“ ergriffen werden, um sicherzustellen und den Nachweis dafür erbringen zu können, dass personenbezogene Daten in Übereinstimmung mit den neuen EU-Regelungen verarbeitet werden. […] Zu gewährleisten ist nun aber zusätzlich die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste, mit denen personenbezogene Daten verarbeitet werden. Denkbar ist etwa eine Zertifizierung nach derzeit aktuellen Standards der Informationssicherheit wie der internationalen Norm ISO/IEC 27001.« [1]
»Eine wesentliche Änderung bringen die neuen Vorschriften bei der Sanktionierung von Datenschutzverstößen. Zum einen können Verstöße jetzt mit erheblich höheren Bußgeldern von 2 % des weltweiten Umsatzes oder mit bis zu 10 Mio. Euro von den Aufsichtsbehörden geahndet werden. Bei schweren Verstößen sind sogar 4 % oder 20 Mio. Bußgeld möglich.« [2]
Eine entsprechende Verfahrensdokumentation erfasst alle relevanten Vorgänge und betrieblichen Prozesse bezüglich der Datenverarbeitungssysteme detailliert. Sie ist deshalb eine erste Grundlage für die Bemühungen, der Nachweispflicht über die Einhaltung der geforderten technischen und organisatorischen Maßnahmen, zum Schutz personenbezogener Daten in Übereinstimmung mit den neuen EU-Regelungen, nachzukommen.
[1] https://www.heise.de/ct/ausgabe/2016-9-Welche-Aenderungen-die-neue-EU-Datenschutz-Regulierung-in-Deutschland-bringen-wird-3166896.html