EU-DSGVO / GDPR

Am 25.05.2018 ist die europäische Datenschutz-Grundverordnung EU-DSGVO (aka GDPR) in Kraft getreten. Die Europäische Union hat mit dieser Verordnung einen weltweit führenden Standard gesetzt. Dieser definiert die Rechte und den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und im freien Datenverkehr.

Jedes Unternehmen hat seine Geschäftsprozesse und die darauf beruhende informationstechnische Verarbeitung so zu gestalten, dass die Erfassung, Speicherung, Darstellung, Verarbeitung und Weitergabe personenbezogener Daten nach den Regeln der EU-DSGVO erfolgt.

Die DSGVO und das darauf beruhende BDSG (Datenschutzrecht) betonen die Verantwortung der Leitung eines Unternehmens, einer Behörde, eines Verbandes, einer Vereinigung usw. (juristische Person) zur Wahrung der Rechte natürlicher Personen bei der Verarbeitung personenbezogener Daten und im freien Datenverkehr. Eine besondere Verantwortung liegt vor, wenn die Verarbeitung personenbezogener Daten bei einem Auftrags-Datenverarbeiter erfolgt.

Die disruptiven Änderungen im neuen Datenschutzrecht haben weitgehende Konsequenzen. Bei Zuwiderhandlungen können drakonische Strafen verhängt werden.

Im neuen Datenschutzrecht werden folgende Pflichten betont:

  • Führen eines Verzeichnisses von Verarbeitungstätigkeiten für personenbezogene Daten (Art. 30 DGSVO),
  • Erstellung eines Notfallplans. Nachweis der Umsetzbarkeit.
  • Beschreibung eines strukturierten Vorgehens für den Fall, dass ein Datenschutzproblem (Datenpannen, Datenverluste) aufgetreten ist.
  • Innerhalb von 72 Stunden nach dem Bekanntwerden eines Datenschutzproblems muss eine Meldung an den Landesdatenschutzbeauftragten erfolgen.

Zum Nachweis eines strukturierten Vorgehens gehören eine verständliche Beschreibung der Prozesse und der technischen Maßnahmen für die Umsetzung

  • Vorgehen bei der Behörden-Kommunikation,
  • Welcher Mitarbeiter wird welche Schritte begleiten, um die Situation zu bereinigen.

Empfindliche Strafen: Die Höhe der Strafen wird sich danach richten, wie Sie in der Umsetzung des Datenschutzrechtes vorangeschritten sind. Bei komplett dargestellten und umgesetzten Prozessen wird eine Strafe milder ausfallen.

  • Benennung eines Datenschutz-Beauftragten
  • Erstellung eines Gefahrenverzeichnisses, darauf aufbauend Bewertung der Risiken, Datenschutz-Folgebewertung
  • Für alle Mitarbeiter im Unternehmen ist eine Datenschutz-Richtlinie zu erstellen
  • Die Prozesse zur Datenverarbeitung müssen regelmäßig optimiert werden (Prozessverbesserung)

Die Rechte der von der Datenverarbeitung betroffenen Personen müssen geschützt werden, d.h.

  • Die Betroffenen müssen in verständlicher Form über ihre Rechte aufgeklärt werden
  • Die Betroffenen haben (neu) ein Recht auf die Mitnahme ihrer Daten
  • Die Betroffenen haben (neu) ein Recht auf „Vergessenwerden“. Das heißt, sie können die vollständige Löschung der sie betreffenden Daten sowie den Nachweis darüber verlangen.

Für personenbezogene Daten müssen zu jedem Zeitpunkt detaillierte Informationen bereit gehalten werden zur

  • Speicherung
  • Verarbeitung
  • Weitergabe (wann, an wen, zu welchem Zweck?)
  • Wo und wie die Daten der Betroffenen erhoben wurden bzw.
  • Wie Sie diese Daten erhalten haben

Auf alle Anfragen muss mediengleich geantwortet werden

(Anfrage digital <-> Antwort digital)

Daten müssen in maschinenlesbarer Form weitergegeben werden.

Ein Zurückbehalten von Daten ist nicht mehr zulässig.

Die Umsetzung der Forderungen EU-DSGVO stellt für viele Unternehmen eine besondere Herausforderung dar. Unsere Senior Berater haben jahrelange Erfahrungen bei der Gestaltung von Geschäftsprozessen zur Verarbeitung personenbezogener Daten. Sie haben sich fortwährend zum Datenschutzrecht weitergebildet und halten Kontakt zu Aufsichtsbehörden und IT-Fachanwälten.

Wir bieten Ihnen an, sie mit unseren Dienstleistungen bei der Erfüllung Ihrer aus der EU-DSGVO resultierenden Pflichten zu unterstützen.

Sie sollten die DSGVO nicht als „Belastung durch die EU-Bürokratie“, sondern als Chance begreifen. Es geht nicht nur um die Privatsphäre der Betroffenen, sondern um die Transparenz, Angemessenheit, Robustheit und insbesondere um die Sicherheit Ihrer Geschäftsprozesse und der zu diesem Zwecke durchgeführten Datenverarbeitung.

Externer Datenschutz-Beauftragter

Am 25.05.2018 ist die europäische Datenschutz-Grundverordnung EU-DSGVO (aka GDPR) in Kraft getreten. Die Europäische Union hat mit dieser Verordnung einen weltweit führenden Standard gesetzt. Dieser definiert die Rechte und den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und im freien Datenverkehr.

Jedes Unternehmen hat seine Geschäftsprozesse und die darauf beruhende informationstechnische Verarbeitung so zu gestalten, dass die Erfassung, Speicherung, Darstellung, Verarbeitung und Weitergabe personenbezogener Daten nach den Regeln der EU-DSGVO erfolgt.

Die DSGVO und das darauf beruhende BDSG (Datenschutzrecht) betonen die Verantwortung der Leitung eines Unternehmens, einer Behörde, eines Verbandes, einer Vereinigung usw. (juristische Person) zur Wahrung der Rechte natürlicher Personen bei der Verarbeitung personenbezogener Daten und im freien Datenverkehr. Eine besondere Verantwortung liegt vor, wenn die Verarbeitung personenbezogener Daten bei einem Auftrags-Datenverarbeiter erfolgt.

Der Verantwortliche und der Auftragsverarbeiter haben auf jeden Fall einen Datenschutzbeauftragten zu benennen, wenn

  • Die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (Ausnahme: Gerichte im Rahmen ihrer justiziellen Tätigkeit),
  • Die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihres Zwecks eine umfangreiche, regelmäßige und systematische Überwachung von Personen erforderlich macht,
  • Besonders schützenswerte personenbezogene Daten verarbeitet werden.

Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrages erfüllen.

Dem Datenschutzbeauftragten obliegen folgende Aufgaben:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten,
  • Überwachung der Einhaltung des Datenschutzrechts
  • Beratung zur Datenschutz-Folgeabschätzung, Überwachung ihrer Durchführung
  • Beratung zur Risikovorsorge
  • Zusammenarbeit mit der Aufsichtsbehörde

Die Umsetzung der Forderungen EU-DSGVO stellt für viele Unternehmen eine besondere Herausforderung dar. Unsere Senior Berater haben jahrelange Erfahrungen bei der Gestaltung von Geschäftsprozessen zur Verarbeitung personenbezogener Daten. Sie haben sich fortwährend zum Datenschutzrecht weitergebildet und halten Kontakt zu Aufsichtsbehörden und IT-Fachanwälten.

Wir bieten Ihnen an, sie mit einem externen Datenschutz-Beauftragten bei der Erfüllung Ihrer aus der EU-DSGVO resultierenden Pflichten zu unterstützen.