Neueste Beiträge
Archive
- Juli 2023
- April 2023
- März 2023
- Februar 2023
- Dezember 2022
- November 2022
- September 2022
- August 2022
- Juli 2022
- Juni 2022
- Mai 2022
- März 2022
- Januar 2022
- Dezember 2021
- November 2021
- Oktober 2021
- September 2021
- August 2021
- Juli 2021
- Juni 2021
- Mai 2021
- April 2021
- März 2021
- Februar 2021
- Januar 2021
- Dezember 2020
- November 2020
- Oktober 2020
- September 2020
- August 2020
- Juli 2020
- Juni 2020
- Mai 2020
- April 2020
- März 2020
- Februar 2020
- Januar 2020
- Dezember 2019
- November 2019
- Oktober 2019
- September 2019
- August 2019
- Juli 2019
- Juni 2019
- Mai 2019
- April 2019
- März 2019
- Februar 2019
- Januar 2019
- Dezember 2018
- November 2018
- Oktober 2018
- September 2018
- August 2018
- Juli 2018
- Juni 2018
- Mai 2018
- April 2018
- März 2018
- Februar 2018
- Januar 2018
- Dezember 2017
- November 2017
- Oktober 2017
- September 2017
- August 2017
- Juli 2017
- Juni 2017
- Mai 2017
- April 2017
- März 2017
- Februar 2017
- Januar 2017
- Dezember 2016
- November 2016
- Oktober 2016
- September 2016
- August 2016
- Juli 2016
- Juni 2016
- Mai 2016
- April 2016
- März 2016
- Februar 2016
- Januar 2016
- Dezember 2015
- November 2015
- Oktober 2015
- September 2015
- August 2015
- Juli 2015
- Juni 2015
- Mai 2015
- April 2015
- März 2015
- Februar 2015
- Januar 2015
- Dezember 2014
- November 2014
Das achte Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) beschreibt einen sinnvollen Maßnahmenplan zur DS-GVO für Unternehmen.
INFORMATION DER GESCHÄFTSLEITUNG
Alle Entscheidungsträger in einem Unternehmen sollten sich der Auswirkungen der DS-GVO bewusst sein und wissen, was dies für den alltäglichen Betrieb in ihrem Unternehmen bedeutet. In einem
ersten Schritt ist daher von den betrieblichen Datenschutzbeauftragten und/oder den IT-Verantwortlichen
die Geschäftsleitung zu informieren.
PROJEKT ZUR UMSETZUNG
Alle Verfahren, mit denen personenbezogene Daten verarbeitet werden, sind dahingehend zu überprüfen, ob es einen Anpassungsbedarf im Hinblick auf die DS-GVO gibt. Dies betrifft insbesondere die rechtlichen, technischen und organisatorischen
Bereiche in einem Unternehmen. Da folglich verschiedene Personen bzw. Abteilungen im Unternehmen beteiligt sind, die untereinander koordiniert werden müssen, bietet es sich an, ein Projekt
mit dem Ziel zu initiieren, die Datenschutzkonzeption anhand eines Soll-Ist-Abgleichs zu aktualisieren. Die Kernaufgabe wird dabei sein, herauszufinden, welche Prozesse im Unternehmen anzupassen sind.
BESTANDSAUFNAHME
Um ein genaues Verständnis davon zu bekommen, wie in einem Unternehmen mit personenbezogenen Daten umgegangen wird, sollten die aktuell realisierten Rahmenbedingungen aller Datenverarbeitungen analysiert werden (Ist-Zustand). Dies betrifft
u.a.
- die derzeitigen Prozesse im Unternehmen, in denen personenbezogene Daten verarbeitet werden (bestehende Dokumentationen, bspw. ein Verfahrensverzeichnis, können
hierfür einen Ausgangspunkt bilden), - die dazugehörigen Rechtsgrundlagen (die Verarbeitung personenbezogener Daten ist nur dann zulässig, wenn entweder ein Gesetz oder eine Rechtsvorschrift dies erlaubt
oder der Betroffene eingewilligt hat), - die Datenschutzorganisation (d.h. alle Vorkehrungen und Maßnahmen, die im Unternehmen zum Schutz personenbezogener Daten getroffen werden),
- die Dienstleistungsbeziehungen (wie etwa Verträge über eine Auftragsdatenverarbeitung),
- die Dokumentation (z.B. Verfahrensverzeichnisse, Vorabkontrollen, Datenschutz-konzepte, IT-Sicherheitskonzepte, Sicher-heitsvorfälle) und
- sofern vorhanden Betriebsvereinbarungen, denn diese können auch Regelungen zum Umgang mit den Daten der Beschäftigten enthalten.
HANDLUNGSBEDARF ERUIEREN
Nunmehr ist der Soll-Zustand zu ermitteln und im Anschluss daran eine Lückenanalyse zwischen dem jetzigen Ist-Zustand und dem künftigen Soll-Zustand durchzuführen. Dabei sind u.a. folgende Punkte vor dem Hintergrund der DS-GVO zu beachten (zu den einzelnen Themen erscheinen später noch weitere Kurzpapiere):
- Rechtsgrundlagen: Auch unter der DS-GVO ist für die Verarbeitung personenbezogener Daten eine Legitimationsgrundlage erforderlich. Folglich ist zu prüfen, ob das neue Recht für alle Prozesse eine Rechtsgrundlage bereitstellt. Sofern sich die Datenverarbeitung auf eine Einwilligung stützt, ist zu prüfen, ob die Anforderungen des Art. 7 DS-GVO erfüllt sind (bei Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft ist zu-dem Art. 8 DS-GVO zu beachten).
- Betroffenenrechte: Den betroffenen Personen stehen umfangreiche Rechte zu, die der Verantwortliche zu beachten hat (z.B. Informationspflichten des Verantwortlichen gegenüber den betroffenen Personen nach Art. 13 und Art. 14 DS-GVO, Auskunftsrecht nach Art. 15 DS-GVO, Recht auf Berichtigung nach Art. 16 DS-GVO, Recht auf Löschung nach Art. 17 DS-GVO, das neue Recht auf Datenübertragbarkeit nach Art. 20 DS-GVO, Widerspruchsrecht nach Art. 21 DS-GVO).
- Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen: Die DS-GVO enthält spezifische Rahmenbedingungen für die Art und Weise, wie die Anforderungen der DS-GVO schon bei der Prozessgestaltung und bei den Voreinstellungen umzusetzen sind (Art. 25 DS-GVO: Data Protection by design und Data Protection by default).
- Dienstleistungsbeziehungen: Dabei sollten insbesondere die bestehenden Verträge zur Auftragsverarbeitung überprüft werden. Die Art. 28 und 29 DS-GVO enthalten Vorgaben für Vereinbarungen mit Auftragsverarbeitern.
- Dokumentationspflichten: Die DS-GVO verpflichtet in Art. 5 Abs. 2 DS-GVO den Verantwortlichen zum Nachweis, dass personenbezogene Daten rechtmäßig verarbeitet werden (Rechenschaftspflicht). Zusätzlich sieht die DS-GVO an unterschiedlichen Stellen Dokumentationspflichten vor (z.B. für das Verarbeitungsverzeichnis in Art. 30 DS-GVO, für die Dokumentation von Datenschutzvorfällen in Art. 33 Abs. 5 DS-GVO oder für die Dokumentation von Weisungen im Rahmen der Auftragsverarbeitung in Art. 28 Abs. 3 lit. a DS-GVO).
- Datenschutz-Folgenabschätzung: Die aus dem BDSG bekannte Vorabkontrolle wird durch die Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO abgelöst und erfordert eine umfangreiche Dokumen-tation. Die Datenschutz-Folgenabschätzung kann zudem eine Konsultation der Auf-sichtsbehörde nach sich ziehen (Art. 36 DS-GVO).
- Meldepflichten: Nach Art. 37 Abs. 7 DS-GVO muss der Verantwortliche oder der Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde melden. Ebenso ist der Aufsichtsbehörde die Verletzung des Schutzes personenbezogener Daten zu melden (Art. 33 Abs. 1 DS-GVO).
- Datensicherheit: Unternehmen müssen ein angemessenes Schutzniveau in Bezug auf die Sicherheit der Verarbeitung gewährleisten und die dafür implementierten Sicherungsmaßnahmen einer regelmäßigen Überprüfung unterziehen (Art. 24 und 32 DS-GVO).
- Zertifizierung: Schlussendlich besteht im Rahmen eines Zertifizierungsverfahrens die Möglichkeit, den Nachweis zu erbringen, dass die Datenverarbeitung im Einklang mit der DS-GVO erfolgt.
UMSETZUNG BIS ZUM 25. MAI 2018
Bei der Umsetzung sind dann u. a. folgende Punkte wieder zu beachten:
- Anpassung der betroffenen Prozesse und Strukturen,
- Festlegung der Rechtsgrundlagen und des Zwecks der Datenverarbeitung sowie Dokumentation von Interessenabwägungen (sofern erfolgt),
- Implementierung von Informationspflichten, Betroffenenrechten und Löschkonzepten,
- Anpassung der Datenschutzorganisation,
- ggf. Bestellung eines Datenschutzbeauftragten,
- Reaktionsmechanismen auf Datenpannen,
- Organisation von Meldepflichten,
- Anpassung der Dienstleistungsbeziehungen,
- Aufbau der Dokumentation,
- Anpassung der IT-Sicherheit und
- ggf. Anpassung der Betriebsvereinbarungen.
Ähnliche Artikel
Richtige E-Mail...
Im vergangenen Monat überprüfte das Bayerische Landesamt für Datenschutzaufsicht...
- By Martin Henfling
- Datenschutz
Datenschutzerklärung für...
Der Anteil von Nutzern, die heutzutage lieber mit dem Smartphone oder Tablet im Internet...
- By Ingo Kaiser
- Datenschutz
Datenschutz und WhatsApp? Wo...
Der Smartphone-Messenger Anbieter WhatsApp steht immer wieder in der Kritik, es mit dem...
- By Ingo Kaiser
- Datenschutz