Bewertung: 5 / 5

Stern aktivStern aktivStern aktivStern aktivStern aktiv

Auf dem Weg zur EU Datenschutz-Grundverordnung - Anregung für Unternehmen

Die eurpäischnlw1l36te Datenschutz-Grundverordnung (DSGVO) bringt eine Reihe von Veränderungen in den datenschutzrechtlichen Anforderungen für den Umgang mit personenbezogenen Daten mit sich. Auch Auftrags(daten)verarbeiter müssen sich auf geänderte Rahmenbedingungen einstellen. Lesen Sie unsere Anregungen in den nächsten 10 Punkten.

  1. Sensibilisierung durchführen
    Geschäftsführungen, Datenschutzbeauftragte und andere für das Thema Datenschutz Zuständige sollten innerhalb des Unternehmens dafür sensibilisieren, dass sich ab dem 25. Mai 2018 nicht nur der Name der einer europäischen Datenschutzregelung ändern wird. Die DSGVO wird direkte Auswirkungen auf Unternehmen als datenverarbeitende Stellen haben.
    Anders als eine EU-Richtlinie ist eine EU-Verordnung direkt in den Mitgliedsstaaten der EU anwendbar, also auch in Deutschland. Neben der DSGVO wird es weiterhin ein - neues - Bundesdatenschutzgesetz und sektorales Fachrecht mit ausführenden Regelungen zur DSGVO geben. Bitte beachten Sie: Bis zum 24.05.2018 gilt das jetzige Bundesdatenschutzgesetz.

  2. Bestandsaufnahmen machen
    Um Änderungsbedarf zu identifizieren, sollte in einem ersten Schritt eine Bestandsaufnahme der Prozesse durchgeführt werden, in denen personenbezogene Daten verarbeitet werden. Das Verfahrensverzeichnis nach § 4d Bundesdatenschutzgesetz (BDSG) ist ein Ausgangspunkt zur Identifizierung von Verarbeitungsverfahren. Im Folgenden haben wir beispielshaft einige Themen zusammengestellt, bei denen sich in Unternehmen Änderngsbedarf ergeben kann.

  3. Rechtsgrundlagen prüfen
    Auch unter der DSGVO ist für die Verarbeitung personebezogener Daten eine Rechtsgrund erforderlich (Artikel 6 - 11 DSGVO). Es ist zu prüfen, ob das neue Recht für alle Prozesse Rechtsgrundlagen bereitstellt.

  4. Personenbezogene Daten von Kindern besonders prüfen
    Besondere Anforderungen bestehen für den Umgang mit personenbezogenen Daten von Kindern, wenn es um die Einwilligung in Bezug auf Dienste der Informationsgesellschaft geht (Artikel 8 DSGVO).

  5. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen ("Privacy-by-Design" und "Privacy-by-Default") umsetzen
    Die DSGVO enthält bestimmte Rahmenbedingungen für die Art und Weise, wie die Anforderungen des DSGVP schon bei der Prozessgestaltung und bei Voreinstellungen umzusetzen sind (Artikel 25 DSGVO).

  6. Verträge checken
    Unternehmen sollten insbesondere ihre bestehenden Verträge zur Auftrags(daten)verarbeitung überprüfen und überarbeiten. In den Artikeln 26 bis 28 der DSGVO sind Vorgaben für Vereinbarungen mit Auftrags(daten)verarbeitern und zwischen gemeinsam für die Verarbeitung Verantwortlichen geregelt.

  7. Datenschutzfolgenabschätzung implementieren
    Der europäische Gesetzgeber hat die bisherige Vorabkontrolle (§ 4d Abs. 5 BDSG) nicht in die DSGVO übernommen. Sie wird abgelöst durch die Datenschutz-Folgenabschätzung (Artikel 35 DSGVO). An eine Datenschutz-Folgenabschätzung kann eine verpflichtende Konsultation der zuständigen Aufsichtsbehörde anschließen (Artikel 36 DSGVO).

  8. Melde- und Konsultationspflichten organisieren
    Die Melde- und Konsultationspflichten gegenüber den Aufsichtsbehörden (Artikel 33, 36 und 37 DSGVO) müssen in den internen Abläufen des Unternehmens abgebildet werden.

  9. Betroffenenrechte und Informationspflichten umsetzen
    Die in der DSGVO geregelten Betroffenenrechte müssen in den unternehmensinternen Abläufen abgebildet und gegenüber den Betroffenen umgesetzt werden, etwa das Recht auf Löschung (Artikel 17) und das Recht auf Datenübertragbarkeit (Artikel 20) einschließlich der übergreifenden Rahmenbedingungen (Artikel 12) sowie der Informationspflichten des Verantwortlichen (Artikel 13, 14).

  10. Dokumentation organisieren
    Die DSGVO enthält an verschiedenen Stellen Dokumentationspflichten, beispielsweise in Artikel 30 (Verarbeitungsverzeichnis), Artikel 33 Abs. 5 (Dokumentation von Datenschutzvorfällen) oder Artikel 28 Abs 3 lit. a (Dokumentation von Weisungen im Rahmen von Auftragsverarbeitungsverhältnissen).

 nvinvx6f

Bewertung: 4 / 5

Stern aktivStern aktivStern aktivStern aktivStern inaktiv

Nach Artikel 39 der DSGVO zählen die folgenden Punkte zu den Aufgaben eines DSB:

Hinwirken auf die Einhaltung der Vorschriften

Ausarbeiten und Vorschlagen von Maßnahmen, deren Implementierung und Einhaltung einen ausreichenden Datenschutz gewährleisten.

Datenverarbeitung überwachen

Kontrollieren, ob die Abläufe den gesetzlichen Anforderungen gerecht werden. Diese Maßnahme soll bewirken, dass Datenschutzverstöße gar nicht erst begangen werden. Die Kontrollkompetenz gilt im gesamten Unternehmen.

Risikoabschätzung

Art, Umfang, Umstände und Zweck der Vearbeitung personenbezogener Daten (Art. 32, 35, 36 und 39 der DSGVO) müssen hinsichtlich der Risiken für den Geschäftsbetrieb eingeschätzt werden

Verfahrensverzeichnis führen

Das Verfahrensverzeichnis dokumentiert Art und Umfang der Datenverarbeitung im Unternehmen. Der Datenschutzbeauftrage trägt die relevanten Informationen zusammen und ist zugleich für eine fortlaufende Aktualisierung des Verzeichnisses verantwortlich.

Vorabkontrolle bei Verfahren automatisierter Verarbeitung

Es gibt Verfahren, die aufgrund der gesetzlichen Bestimmungen einer Vorabkontrolle bedürfen. Erste Aufgabe des Datenschutzbeauftragten ist, auf diese Verpflichtung hinzuweisen und ihre Notwendigkeit zu betonen. Sollen relevante Verfahren (z.B. durch Nutzung einer neuen Software) eingeführt werden, kontrolliert der Datenschutzbeauftragte die entsprechenden Prozesse.

Auf Anfrage: Beratung bei der Datenschutz-Folgeabschätzung (Art. 35 DSGVO)

Schulung und Sensibilisierung der Mitarbeiter

Mitarbeiter, die personenbezogene Daten verarbeiten, müssen damit vertraut gemacht werden, welche konkreten Erfordernisse und Vorschriften gelten, damit unbeabsichtigte Datenschutzverstöße ausgeschlossen sind.

Ansprechpartner sein

Diese Aufgabe wird gerne unterschätzt, doch sobald Fragen zum Thema Datenschutz aufkommen, muss eine fachkompetente Beantwortung gewährleistet sein. Hierbei spielt es keine Rolle, ob Kunden, Mitarbeiter, die Geschäftsführung oder Dritte die Fragen stellen.

Zusammenarbeit mit der Aufsichtsbehörde
-------------

Aus dem Vorgenannten ergeben sich diese weiteren Tätigkeiten des DSB:

  • Dokumentation (z. B. das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)
  • Prozessaufnahme (Geschäftsprozesse inkl. zeitlichen Ablauf der (personenbezogenen) Datenverarbeitung
  • Vorlagen
  • Richtlinien
  • Prüfungen
  • Vertragsgestaltung (z. B. für die Auftragsverarbeitung, Art. 28 DSGVO)
  • (Organisationsberatung)
  • (Betriebswirtschaftliche Beratung)

Bewertung: 5 / 5

Stern aktivStern aktivStern aktivStern aktivStern aktiv

Eine Umfrage des Branchenverbandes Bitkom weist auf einen weitverbreiteten Irrtum hin:

Zwar holt sich jedes zweite Unternehmen in Deutschland externe Hilfe für die Umsetzung der EU Datenschutz-Grundverordnung. Aber nur jedes achte wird es bis zum Stichtag 25. Mai 2018 schaffen. Eigene kleine Umfragen und Gespräche verdeutlichen: Nach wie vor wird der administrative gewaltig Aufwand unterschätzt!

Laut der Bitkom geben 48 Prizent der Unternehmen an, externe Spezialisten für die Umsetzung er DSGVO hinzuzuziehen. Mit 35 Prozent werden am häufigsten externe Anwälte eingeschaltet. 29 Prozent ziehen externe Prüfer oder Auditoren hinzu. Eine externe Datenschutzberatung fand in jedem fünften Unternehmen (21 Prozent) statt.

Und dennoch: Nur rund jedes achte Unternehmen werde nach Bitkom-Einschätzung die DSGVO bis zum Stichtag umgesetzt haben. Angesichts dieses geringen Anteils und der Höhe der möglichen Bußgelder ist die Inaspruchnahme von externer Hilfe überraschend.Von den EU-Vorgaben seinen praktisch alle Unternehmen betroffen, da sie für alle gelten, die personenbezogene Daten verarbeiten. Die Zeit wird äußerst knapp.

Wird die DSGVO nicht umgesetzt, drohen hohe Strafen

Die seit zwei Jahren laufende Übergangsfrist , die den Unternehmen für die Umstellung eingeräumt wurde, endet am 25. Mai 2018! Wer dann nicht fertig ist, muss saftige Bußgelder befürchten - maximal bis zu vier Prozent des Jahresumsatzes. Verantwortlich für die rechtzeitige Bestellung eines Datenschutzbeauftragten und/oder von Beratung zum Thema ist grundsätzlich die Geschäftsleitung. Gleichzeitig kann sie sich nicht selbst zum Datenschutzbeauftragten ernennen, ebensowenig wie den IT-Leiter. Nur jedes vierte Unternehmen (25.Prozent) setzt zusätzliches Personal zur Umsetzung der Verordnung ein. Fünf Prizent haben zusätztliches Personal eingestellt.

Wir warnen davor, den Kopf in den Sand zu stecken. Noch haben wir Kapazitäten frei - fragen Sie uns!


 

Diese Fragen zur Datenschutzgrundverordnung (DSGVO) sind für Ihr Unternehmen wichtig

 

1. Wie stehen die aktuellen Maßnahmen zum neuen Gesetz?

Die bisherigen Maßnahmen, die hoffentlich schon den Rahmen bestehender Regelungen entsprechen und umgesetzt worden sind, müssen gegen die neuen abgeglichen bzw. implementiert werden. Der Datenschutzbeauftragte (DSB) und die fachverantwortlichen im Unternehmen entwerfen einen Plan, aus dem Handlungsanweisungen generiert werden. Diese strukturieren die nachfolgenden Arbeitsschritte.

2. Wo sind die personenbezogenen Daten zu finden?

Es müssen alle Systeme identifiziert werden, die personenbezogene Daten speichern oder verarbeiten. Da hilft nur verstärktes Nachdenken: Interne Datenbanken, Speicher für Selektionen (Marketingabteilung), CRM-, ERP-, und HR-Systeme sind ein guter Anfang. Dann kommen die Fragen:
- Tauschen wir personenbezogene (pb) Daten mit anderen Unternehmen aus?
- Wo liegen die per eMail eintreffenden Bewerbungen?
- Enthalten unsere eMails pb Daten?

Es gibt Software, die bei einer umfangreichen Suche hilft.

3. Wie separieren Sie pb Daten für die weitere Verarbeitung?

Nachdem Sie alle pb Daten gefunden haben, verfügen Sie über einen Katalog von Daten. Diese werden möglicherweise für Analysen oder andere Auswertungen benötigt. Bei einer datenschutz-konformen Verarbeitung müssen Sie diese anonymisieren. Das bedeutet: Ordnen Sie jedem Datensatz eine eineindeutige Kennziffer zu, die parallel auch in der Ursprungsdatei der pb-Daten gespeichert wird. Auf diese Datei darf der Analyst keinen Zugriff mehr haben. Der DSB berät in möglichen Ernstfällen.

4. Wie lösche ich Daten DSGVO-konform und protokolliere diese korrekt?

Personenbezogene Daten zu löschen ist eine äußerst sensible Tätigkeit. Generell können interne, oder gesetzliche Vorschriften eine Löschung erfordern. Die Vorgehensweisen sind dementsprechend verschieden:

Basis: Benutzen Sie durchgängig Programme für das sogenannte Information Lifecycle Management.In diesen werden Verfallsdaten und zugeordnete Prozesse definiert, mit denen automatisiert Daten mit Alterslimitierung gelöscht werden. Zu jedem Löschvorgang wird ein Protokoll für etwaige Nachweise erstellt.

Löschen auf Anforderung (z. B. eines Kunden):  Vorsicht! Es gibt Daten, die erst nach dem Ablauf von Aufbewahrungsfristen gelöscht werden dürfen. Manchmal meint der Kunde auch "Sperren Sie meine Adresse", wenn er von Löschen spricht. Daher sind auf alle Fälle bei Löschvorgängen alle betroffenen Bereiche zu informieren. Jeder einzelne Bereich muss zustimmen, oder begründet ablehnen. Alle Anfragen, die Einbeziehung der Bereiche, deren Antworten und die schlussendlich eingeleiteten Maßnahmen zur Löschung sind zu dokumentieren. Ebenfalls ist der Kunde über die erfolgte Löschung zu informieren.
Auch für diese Frage gibt es Software Lösungen.

5. Was passiert mit aufzubewahrenden Daten?

Zum Datenschutz gehört auch die Datensicherheit. Daher müssen Unternehmen pb Daten mit technischen und organisatorischen Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung und Verlust schützen.
Die DSGVO fordert, das diese Maßnahmen umgesetzt werden und zwar durch den Verantwortlichen und ggfs. dem Auftragsdatenverarbeiter. Dazu ist der aktuelle Stand der Technik zu berücksichtigen, aber auch die Implementierungskosten sowie Risikoabwägungen. Wichtig ist, den jeweiligen Zweck der Datenverarbeitung zu berücksichtigen. Daten dürfen nur zu dem Zweck verarbeitet werden, zu dem sie erhoben worden sind.

Fazit: Aufzubewahrende Daten müssen mit Hilfe technischer Lösungen sicher sein gegen unbefugte Bearbeitung, Veränderung, Zerstörung, Diebstahl und Verlust.

6. Wer ist für die korrekte Behandlung pb Daten verantwortlich?

Kurzfassung: Chefe!

Grundsätzlich ist die Geschäftsleitung des für die Daten verantwortlichen Unternehmens verantwortlich. Denn sie gibt das Budget, die Strategie und den Zweck der Datenverarbeitung vor. Diese Verantwortung lässt sich nicht delegieren. Lediglich die Aufgaben, die zur Einhaltung des DSGVO diesen, können an den DSB und den IT-Leiter weitergegeben werden. Auch wenn ein Auftraggeber und ein Dienstleister an Daten arbeiten (Auftragsdatenverarbeitung), bleibt die Verantwortung bei demjenigen, der die Strategie und Zwecke der verarbeitung vorgibt.

Stern inaktivStern inaktivStern inaktivStern inaktivStern inaktiv

DeathtoStock Meticulous 09 reducedDMB&S hat sein Leistungsspektrum um einen Geschäftsbereich erweitert - dem Datenschutz.

Ein weiterer Kern meiner Tätigkeit als Berater ist, Ihnen meine Unterstützung als externer Datenschutzbeauftragter anzubieten. Es gilt bis zum Mai nächsten Jahres die pragmatische Umsetzung datenschutzrechtlicher Vorschriften, wie sie in der EU-Datenschutzgrundverordnung (EU-DSGVO) und im Bundesdatenschutzgesetz (BDSG) definiert worden sind, durchzuführen. Dies klingt leichter, als es ist und ist arbeitsintensiver als zuvor. Ich bin ein zuertifizierter EU-Datenschutzbeauftragter und stehe Ihnen hierbei gern zur Verfügung.

Basis der Tätigkeit ist eine umfassende Fachkunde in rechtlicher wie technischer Hinsicht sowie betriebsorganisatorisches Fachwissen. Für alle Bereiche gilt, sich stets aktuelles, themenbezogenes Wissen anzueignen.

Sie finden Detailinformationen zu diesem Thema unter dieser Rubrik.

 Bei Fragen scheuen Sie sich nicht, einfach anzurufen unter Tel. 05828 9797254, oder zu mailen unter Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!.