Die neue EU-Datenschutz-Grundverordnung hebt den Datenschutz auf einen bislang nie gekannten Level!
Handeln Sie jetzt, um teure Pannen zu vermeiden!
Lesen hierzu den Auszüge aus dem folgenden Gastbeitrag von Stefan Dross - zertifizierter Datenschutzbeauftragter - aus der Mandantenzeitschrift "Lotse" für Januar 2018:
Die neue EU-Datenschutz-Grundverordnung: Im April 2016 vom Europäischen Parlament beschlossen und gültig ab 25. Mai 2018. Bis zu diesem Zeitpunkt hatten Unternehmen also noch Zeit ihre IT-Infrastruktur und Organisation an diese neue Rechtsprechung anzupassen.
Die EU-Datenschutz-Grundverordnung (DSGVO) hat das bislang geltende Bundesdatenschutzgesetz (BDSG) abgelöst. Ziel der neuen Vorschriften ist, dem Grundsatz einer transparenten Datenverarbeitung gerecht zu werden sowie alle Mitgliedstaaten der EU einheitlich für die Digitalisierung fit zu machen und den Bürgern mehr Rechte und Kontrolle ihrer personenbezogenen Daten im digitalen Zeitalter zu verleihen. Ein jeder soll zukünftig besser in der Lage sein, eine Verarbeitung seiner personenbezogenen Daten zu überprüfen.
Wurde der Datenschutz bislang gerne als zahnloser Tiger angesehen, hat sich der europäische Gesetzgeber durch die neue DSGVO eine nie dagewesene Transparenz geschaffen und bereits angekündigt, die „(…) Herausforderungen mit allen zur Verfügung stehenden Mitteln anzunehmen, damit Verstöße gar nicht erst passieren, aber auch nicht davor zurückzuschrecken, bei festgestellten Verstößen wirksame, verhältnismäßige und abschreckende Sanktionen auszusprechen (…).“
Die wichtigsten Änderungen der DSGVO auf den Punkt gebracht – der 10-Punkte-Plan
1. Verschärfte Meldepflicht des Datenschutzbeauftragten
Die bislang nur intern vorgesehene Bestellung des Datenschutzbeauftragten (DSB) entfällt. Die Kontaktdaten des Datenschutzbeauftragten sind nicht nur intern publik zu machen sondern der zuständigen Aufsichtsbehörde zu melden! (Ein DSB ist zu bestellen, wenn in der Regel mindestens 10 Personen ständig personenbezogene Daten im Unternehmen verarbeiten)
2. Meldepflicht bei Datenpannen
Nach EU-DSGVO sind Unternehmen verpflichtet, Datenpannen und Datenschutzverstöße umgehend den Aufsichtsbehörden immer und den Betroffenen dann zu melden, wenn der Verstoß zu hohen Risiken führt – und zwar innerhalb einer Reaktionszeit von 72 (!) Stunden nach Kenntniserlangung! Datenpannen liegen dann vor, wenn z. B. Dritte unrechtmäßig Kenntnis erlangen. Unternehmen müssen also spätestens jetzt anfangen, zuverlässige Reaktionsprozesse zu implementieren und ihre Mitarbeiter zu schulen, um dieser Verpflichtung nachzukommen.
3. Erlaubnis zur Datenerhebung und -verarbeitung, Einwilligungen
Die Datenerhebung erfordert rechtliche Grundlagen: entweder den Verträgen mit Kunden, den Arbeitsverträgen oder anderen vertraglichen Vereinbarungen. Unternehmen haben sicherzustellen, dass sie über unmissverständliche und aktiv formulierte Einwilligungen zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. In diesem Zusammenhang sind nach Art. 13 DS- GVO die sog. Betroffenen unverzüglich bei Erhebung ihrer Daten zu informieren. Am besten Sie prüfen sofort alle Vertragsvorlagen Ihres Unternehmens.
4. Sicherstellung des „Rechts auf Vergessen“
Die meisten Unternehmen sammeln Massendaten - aber die Wenigsten achten darauf, sie auch wieder aus ihren Systemen zu löschen. Nach Art. 17 DSGVO müssen die Daten gelöscht werden
5. Auftragsverarbeitung
Zwischen Auftraggeber und Auftragnehmer müssen spezielle Verträge zur Auftragsdatenverarbeitung geschlossen werden (Art. 28 EU-DSGVO). Der Verantwortliche muss darüber hinaus die Auftragsverarbeiter kontrollieren (Kontrollpflicht). Am besten, Sie fragen gleich ihren Datenschutzbeauftragten, wie man diese gesetzliche Regelung in der Praxis umsetzt.
6. Datenschutz-Folgenabschätzung
Fortan sind Unternehmen unter bestimmten Voraussetzungen verpflichtet, VOR dem Einsatz einer bestimmten Technologie (z. B. eine neue Cloud-Anwendung) oder einem neuen Arbeitsablauf eine sog. Folgenabschätzung zur Vorbewertung von Risiken durchzuführen. - Ihr Datenschutzbeauftragter ist auch hier Ihr erster Ansprechpartner!
7. Verzeichnis von Verarbeitungstätigkeiten
Mit der DSGVO hat ein Unternehmen nach Artikel 30 DSGVO ein Verzeichnis aller Verarbeitungstätigkeiten von personenbezogenen Daten zu führen. Dieses bildet die Grundlage aller Datenschutztätigkeiten im Unternehmen und soll die Verfahren transparent machen. Die Pflicht zur Führung des althergebrachten Öffentlichen Verfahrensverzeichnisses entfällt. Ein Verzeichnis der Prozesse wie etwa dem QM-Handbuch hilft zwar weiter, erfüllt letztendlich aber nicht alle Pflichtbestandteile.
8. Sensibilisierung von Mitarbeitern
Vor Inkrafttreten der DSGVO sollten Ihre Mitarbeiter sensibilisiert werden. Es sind Prozesse zur regelmäßigen Mitarbeitersensibilisierung zu implementieren und zu dokumentieren (z. B. durch Teilnehmerlisten).
Neue Mitarbeiter oder Aushilfskräfte sind ebenso nachweisbar zu schulen.
9. Technische und organisatorische Maßnahmen
Mit der EU-DSGVO werden Maßnahmen zur Sicherheit der IT-Systeme vor ungewollten Zugriffen weiter verbessert: Gefordert ist beispielsweise, dass Unternehmen geeignete Kontrollen manifestieren, um Kunden- und Personaldaten zu schützen. Auch das Internet-Recht wurde überarbeitet. Das IT- Sicherheitsgesetz trägt den gestiegenen Anforderungen Rechnung und nimmt Unternehmen, die eine eigene Website betreiben, wie auch deren Dienstleister noch mehr in die Pflicht.
10. Datenschutzmanagementsystem und -Zertifizierung
Bei der Vielzahl der Anforderungen kann man schnell mal den Überblick verlieren. Daher bietet sich ein Datenschutzmanagementsystem an, um die Einhaltung aller Vorgaben systematisch zu planen, umzusetzen und turnusgemäß zu kontrollieren. Ergänzen lässt sich dieses durch die Begutachtung und Zertifizierung eines unabhängigen Dritten (Datenschutzaudit und Datenschutzzertifizierung).
Umsetzung und empfindliche Strafen
Die maximale Geldbuße für vorsätzliche oder fahrlässige Verstöße der Bestimmungen beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr. Die empfindlichen Sanktionen sollen von Datenschutzverstößen abhalten und das Bewusstsein dafür schärfen, dass Verstöße gegen die Verordnung zugleich Verletzungen der Grundrechtecharta der Europäischen Union sind.
Unternehmen tun gut daran, sich umgehend mit dem Thema zu beschäftigen. Sie sollten klären, wie die Regelungen der DSGVO für ihr Unternehmen umzusetzen sind. Hierbei kann der Rat vom Anwalt und IT-Spezialisten / Datenschutzbeauftragten eingeholt werden. Anschließend sind die erforderlichen organisatorischen oder technischen Maßnahmen einzuleiten.
Stand Januar 2018 Aktualisierter Lotse Gastbeitrag von Stefan Dross – zertifizierter Datenschutzbeauftragter https://www.sdw-consulting.de | dross@sdw-consulting.de
Wir empfehlen in diesem Zusammenhang auch die Seiten des Bayrischen Landesamt für Datenschutzaufsicht unter https://www.lda.bayern.de/de/kleine-unternehmen.html . Hier erhalten Sie auch für kleine Unternehmen hilfreiche Tipps zu den Anforderungen und Arbeitshilfen zum neuen Datenschutzrecht.
weitere Informationen finden Sie hier>>
W
we