DSGVO

Am 25. Mai 2018 war es zu spät ...

Mit der Datenschutz-Grundverordnung (DSGVO) gibt es seit 25. Mai 2018 eine neue, EU-weit einheitliche Rechtsgrundlage, die rechtliche Verschärfungen und hohe Strafdrohungen vorsieht. Die DSGVO verpflichtet Unternehmen ein Datenschutzmanagement einzuführen, das den Schutz der personenbezogenen Daten in Unternehmen sicherstellen soll.

Die Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr stellt Unternehmen vor eine große Herausforderung. Insbesondere die Erhöhung des Strafrahmens von derzeit max. EUR 25.000,-- auf bis zu EUR 20 Millionen oder bis zu 4 % des weltweiten Jahresumsatzes bei Datenschutzverstößen seit Mai 2018 löst akuten Handlungsbedarf aus.

Einhaltung des DSGVO:

Nur möglich über ein im Unternehmen durchgängig implementiertes Datenschutzmanagementsystem

Wesentliche Vorgaben:

  • Wirksame Umsetzung von angemessenen technischen und organisatorischen Maßnahmen
  • Datenschutz Folgenabschätzung –Risikobewertung (Art 23)
  • Verzeichnispflicht (Verzeichnis der Verarbeitungstätigkeiten) (Art 30)
  • Zweckbindung und Datensparsamkeit (Art 5 Abs 1 lit b undArt 5 Abs 1 lit c)
  • Informationspflichten des Datenverarbeiters
  • Data Breach Notification -Benachrichtigung bei Datendiebstahl/-missbrauch
  • Betroffenenrechte
  • Privacy by Design / Privacy by Default sicherstellen
  • Auskunftsrecht (Art 15 DSGVO)
  • Berichtigungsrecht (Art 16 DSGVO)
  • Recht auf Löschung (Art 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art 20 DSGVO)
  • Recht des Betroffenen auf Schadenersatz (Art 82 Abs 1)
  • Umsetzung der Datensicherheitsmaßnahmen

Wir können Sie bei der Umsetzung und Einführung eines Datenschutzmanagementsystem gemäß der DSGVO mit unserem bewährten Vorgehen unterstützen. Dieses Vorgehensmodell wird speziell auf Ihre Bedürfnisse angepasst:

Notwendige Schritte:

Phase 1: Vorbereitung

1.1 Management Awareness bilden und Management Commitment einholen
1.2 Projektauftrag für Umsetzungsprojekt einholen
1.3 Benötigte Ressourcen bereitstellen
1.4 Schlüsselpersonal initial schulen
1.5 Prüfen, ob Datenschutzbeauftragter (DSB) notwendig ist

Phase 2: Umsetzung

2.1 Verarbeitungstätigkeiten identifizieren
2.2 Verfahrensverzeichnis erstellen
2.3 Risikoanalyse durchführen
2.4 Einhaltung der Datenschutz-Grundsätze sicherstellen
2.5 Datensicherheitsmaßnahmen (TOMs) umsetzen
2.6 Betroffenenrechte wahren
2.7 Einwilligungsprozess einführen
2.8 Informationspflichten einführen
2.9 Auftragsverarbeiter-Rahmenbedingungen sicherstellen
2.10 Privacy by Design / Privacy by Default sicherstellen
2.11 Data Breach-Prozess einführen
2.12 Die Aufgaben des Datenschutzbeauftragten (DSB)
2.13 Datenschutz-Policy erstellen
2.14 Mitarbeiter schulen
2.15 Datenübermittlung (EU / international)

Phase 3: Laufende Tätigkeiten

3.1 Verfahrensverzeichnis aktualisieren
3.2 Audits durchführen
3.3 Kontakt mit Behörden und betroffenen Personen pflegen
3.4 KVP des Datenschutz-Managementsystems (DSMS) sicherstellen

Phase 4: ext. Datenschutzbeauftrager (optional)

Die EU-weite Datenschutzgrundverordnung sieht in vielen Fällen die Benennung eines Datenschutzbeauftragten zwingend vor

4.1 Benennung eines Datenschutzbeauftragten

Die DSGVO sieht die Benennung eines internen oder externen Datenschutzbeauftragten für Kleinstbetriebe sowie für KMUs vor, wenn

  • die Kerntätigkeit des Unternehmens die umfangreiche Verarbeitung von Daten zur regelmäßigen und systematischen Überwachung von betroffenen Personen oder von sensiblen Daten umfasst.

Bei einer Unternehmensgruppe darf die Benennung eines gemeinsamen Datenschutzbeauftragten erfolgen, wenn dieser von jeder Niederlassung „leicht“ erreicht werden kann.
In allen anderen Fällen kann ein Unternehmen einen Datenschutzbeauftragten benennen.
Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen und der Aufsichtsbehörde mitzuteilen.

4.2 Aufgaben des Datenschutzbeauftragten

Folgende Aufgaben (exemplarisch) werden von einem professionellen Datenschutzbeauftragten übernommen:

  • Unterrichtung und Beratung der Geschäftsleitung und Beschäftigten im Hinblick auf Datenschutz des verarbeitenden Unternehmens
  • Überwachung der gesetzlichen Datenschutzvorschriften und der internen Strategie für den Schutz der personenbezogenen Daten
  • Schulung und laufende Sensibilisierung der beteiligten Mitarbeiter
  • Datenschutz Folgeabschätzung und laufende Beratung
  • Anlaufstelle für die Datenschutzbehörde für laufende Anfragen

4.3 Vorteile bei externer Besetzung des Datenschutzbeauftragten

Es bieten sich einige organisatorische sowie finanzielle Vorteile:

  • klar definierte Zuständigkeit bei einer Verpflichtung bezüglich Datenschutz
  • qualifiziertes und zertifiziertes Fachwissen
  • Vorteile beim Handling von Datenschutzanfragen
  • Vermeidung von Betriebsblindheit und Interessenskonflikten durch die Unabhängigkeit
  • Konzentration der eigenen Mitarbeiter auf Kerntätigkeiten
  • Kostenersparnis durch Definition der Arbeitspakete