Datenschutz – Umsetzung der EU-DSGVO-Anforderungen
Mit der am 25. Mai 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung (EU-DSGVO) wird das europäische Datenschutz-Recht grundlegend verändert. Zu diesem Zeitpunkt sollten alle Unternehmen ihre internen Prozesse, Vorgaben und Verfahren an das neue Regelwerk angepasst haben, um den drohenden Strafen zu entgehen. Dabei baut die EU-DSGVO grundsätzlich auf vier Säulen auf:
- Erhöhung der Daten- und Systemsicherheit
- Umsetzungskontrolle sowie Melde- und Rechenschaftspflichten
- Transparenz der Datenverarbeitung und Stärkung der Betroffenenrechte
- Rechtmäßigkeit der Verarbeitung, Zweckbindung und Richtigkeit von personenbezogenen Daten
Zur Umsetzung der geforderten Maßnahmen und der Etablierung eines Rahmenwerkes zum korrekten Umgang mit personenbezogenen Daten ist es angeraten, ein Datenschutz-Management-System zu etablieren, das die Anforderungen der EU-DSGVO erfüllt. Sofern im Unternehmen bereits ein Management-System etabliert ist (z.B. ein ISMS in Form von ISIS12) bietet es sich an, die bestehenden Prozesse und Strukturen um das Thema Datenschutz zu erweitern.
Ihre Standortbestimmung
Nutzen Sie unseren kostenlosen Check zur Überprüfung Ihrer EU-DSGVO-Compliance.
Unsere Leistungen für die Umsetzung der Datenschutzanforderungen gemäß EU-DSGVO
- Datenschutz-Quick Check
Überprüfen Sie mit der Beantwortung einiger weniger Fragen Ihren aktuellen Umsetzungsgrad der EU-DSGVO. - Datenschutz-CheckUp
Im Rahmen eines Workshops identifizieren unsere erfahrenen Berater gemeinsam mit den Wissensträgern aus Ihrem Hause den IST-Zustand Ihres Datenschutz-Programms und identifizieren Verbesserungspotentiale. - Herstellung EU-DSGVO-Compliance
Basierend auf den Ergebnissen des durchgeführten Datenschutz-CheckUps implementieren wir gemeinsam mit Ihnen ein Datenschutzmanagement-System. Ausgangspunkt dieser Aktivitäten bilden das sogenannte Verzeichnis von Verarbeitungstätigkeiten (VVT), von dem aus die weiteren Schritte geprüft und implementiert werden. - ISIS12-Integration
Sollten Sie bereits ein ISMS nach ISIS12 implementiert haben, erweitern wir dieses um die Aspekte der EU-DSGVO. Gerne etablieren wir auch beide Systeme parallel.
Ihre Vorteile bei der gemeinsamen Umsetzung der Datenschutzanforderungen gemäß EU-DSGVO und Informationssicherheit
Mit der EU-DSGVO findet der prozessorientierte Ansatz Berücksichtigung bei der Umsetzung des Datenschutzes – einer Vorgehensweise, die seit jeher in der Informationssicherheit etabliert ist. Außerdem konkretisiert sie in den folgenden Bereichen die Anforderungen an den Datenschutz:
- Technische und organisatorische Maßnahmen (TOM’s)
- Rollen und Verantwortlichkeiten
- Dokumentationsanforderungen
- Schulungen
- risikobasierte Vorgehensweise
Diese Themengebiete sind bereits heute Kernelemente der Informationssicherheit. Beim Vorhandensein eines ISMS können die darin enthaltenen Informationen schnell in das Datenschutz-Management-System überführt bzw. von diesem „genutzt“ werden (z.B. IT-Strukturanalyse und Dokumentation der umgesetzten Sicherheitsmaßnahmen zur Konkretisierung der technischen und organisatorischen Maßnahmen).
Die folgende Grafik zeigt auf, welche ISIS12-Schritte um die EU-DSGVO erweitert werden:
Ihre Ansprechpartner zur Umsetzung der Datenschutzanforderungen gemäß EU-DSGVO
Matthias Ballreich
Sandro Cumini
Claus Möhler
Heiko Wessner
Klaus Zoll
Häufige Fragen zur Umsetzung der Datenschutzanforderungen gemäß EU-DSGVO
Wann tritt die EU-DSGVO in Kraft?
Die EU-DSGVO trat am 24. Mai 2016 in Kraft. Nach einer zwei-jährigen Übergangsfrist wird sie am 25. Mai 2018 wirksam.
Für wen gilt die EU-DSGVO?
Die EU-DSGVO gilt grundsätzlich für alle Unternehmen mit Sitz in der EU. Darüber hinaus aber auch für alle Unternehmen, die entweder eine Niederlassung in der EU haben oder aber personenbezogene Daten von EU-Bürgern verarbeiten.
Was hat sich im Vergleich zum BDSG geändert?
Mit der EU-DSGVO wird der Datenschutz nicht neu erfunden – bestehende Grundsätze (wie z.B. Datensparsamkeit, Zweckbindung oder Verbotsprinzip) behalten ihre Gültigkeit. Ergänzungen finden sich vielmehr in den Bereichen „Rechenschaftsprinzip“, „Privacy by Design“, „Privacy by Default“ und „Recht zur Berichtigung und Löschung“.
Welche Prozesse und Dokumente müssen in einem Unternehmen vorhanden sein?
Der „Meldeprozess“ bei bekanntwerden eines Datenschutz-Vorfalls sowie der Prozess zu „Auskünfte & Rechte Betroffener“ müssen etabliert werden. Die Dokumetationsanforderungen wurden massiv verschärft, um dem „Rechenschaftsprinzip“ gerecht zu werden. Zu erstellen ist hier u.a. Dokumentation 1) dass Datenschutz durch Technik eingehalten wird, 2) dass Informationspflichten eingehalten werden oder 3) dass Einwilligung erteilt wurde. Des weiteren müssen die techn. und organisatorischen Maßnahmen dargelegt werden.
Welche Abteilungen sollten involviert werden?
Neben dem Datenschutzbeauftragten sollten Sie all die Abteilungen in Ihrem Unternehmen über die Anforderungen der EU-DSGVO informieren, die mit personenbezogenen Daten arbeiten:
- Die Geschäftsleitung, da sie in letzter Konsequenz sicherstellen muss, dass die rechtlichen Vorgaben eingehalten werden. Kommt es doch zu Verstößen, haftet der Geschäftsführer – auch persönlich mit seinem privaten Vermögen.
- Die Personalabteilung und ggf. der Betriebsrat, da sie mit den personenbezogenen Daten der Mitarbeiter arbeiten und eventuelle Betriebsvereinbarungen angepasst werden müssen, was Mitbestimmung des Betriebsrates erfordert.
- Das Marketing
- Forschung und Entwicklung
Vorschriften wie »Privacy by Design« und »datenschutzrechtliche Voreinstellungen« stellen u.a. auch Anforderungen an die Produktentwicklung- und Implementierung. Es sollten daher schon in frühem Projektstadium bei Produktentwicklungen auf die Einhaltung datenschutzrechtlicher Prinzipien geachtet werden. - Recht und Compliance
Durch die DS-GVO müssen voraussichtlich eine Vielzahl an Verträgen angepasst werden. Ihre Compliance-Abteilung muss zudem bei der Gefährdungsanalyse Risiken für Datenschutzverstöße miteinbeziehen, die durch die hohen Bußgelder deutlich höher zu bewerten sind. - IT-Sicherheit
Für das geforderte Risk Assessment zur Festlegung der technischen und organisatorischen Maßnahmen sollte man prüfen, wie diese sinnvoll mit ohnehin bereits durchgeführten IT-Security Risikoassessments harmonieren oder sich ergänzen können.
