Datenschutz – Umsetzung der EU-DSGVO-Anforderungen

Mit der am 25. Mai 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung (EU-DSGVO) wird das europäische Datenschutz-Recht grundlegend verändert. Zu diesem Zeitpunkt sollten alle Unternehmen ihre internen Prozesse, Vorgaben und Verfahren an das neue Regelwerk angepasst haben, um den drohenden Strafen zu entgehen. Dabei baut die EU-DSGVO grundsätzlich auf vier Säulen auf:

  • Erhöhung der Daten- und Systemsicherheit
  • Umsetzungskontrolle sowie Melde- und Rechenschaftspflichten
  • Transparenz der Datenverarbeitung und Stärkung der Betroffenenrechte
  • Rechtmäßigkeit der Verarbeitung, Zweckbindung und Richtigkeit von personenbezogenen Daten

Zur Umsetzung der geforderten Maßnahmen und der Etablierung eines Rahmenwerkes zum korrekten Umgang mit personenbezogenen Daten ist es angeraten, ein Datenschutz-Management-System zu etablieren, das die Anforderungen der EU-DSGVO erfüllt. Sofern im Unternehmen bereits ein Management-System etabliert ist (z.B. ein ISMS in Form von ISIS12) bietet es sich an, die bestehenden Prozesse und Strukturen um das Thema Datenschutz zu erweitern.

Ihre Standortbestimmung

Nutzen Sie unseren kostenlosen Check zur Überprüfung Ihrer EU-DSGVO-Compliance.

Datenschutz-Quick Check durchführen

ISIS12 + EU-DSGVO

Unsere Leistungen für die Umsetzung der Datenschutzanforderungen gemäß EU-DSGVO

  • Datenschutz-Quick Check
    Überprüfen Sie mit der Beantwortung einiger weniger Fragen Ihren aktuellen Umsetzungsgrad der EU-DSGVO.
  • Datenschutz-CheckUp
    Im Rahmen eines Workshops identifizieren unsere erfahrenen Berater gemeinsam mit den Wissensträgern aus Ihrem Hause den IST-Zustand Ihres Datenschutz-Programms und identifizieren Verbesserungspotentiale.
  • Herstellung EU-DSGVO-Compliance
    Basierend auf den Ergebnissen des durchgeführten Datenschutz-CheckUps implementieren wir gemeinsam mit Ihnen ein Datenschutzmanagement-System. Ausgangspunkt dieser Aktivitäten bilden das sogenannte Verzeichnis von Verarbeitungstätigkeiten (VVT), von dem aus die weiteren Schritte geprüft und implementiert werden.
  • ISIS12-Integration
    Sollten Sie bereits ein ISMS nach ISIS12 implementiert haben, erweitern wir dieses um die Aspekte der EU-DSGVO. Gerne etablieren wir auch beide Systeme parallel.

Ihre Vorteile bei der gemeinsamen Umsetzung der Datenschutzanforderungen gemäß EU-DSGVO und Informationssicherheit

Mit der EU-DSGVO findet der prozessorientierte Ansatz Berücksichtigung bei der Umsetzung des Datenschutzes – einer Vorgehensweise, die seit jeher in der Informationssicherheit etabliert ist. Außerdem konkretisiert sie in den folgenden Bereichen die Anforderungen an den Datenschutz:

  • Technische und organisatorische Maßnahmen (TOM’s)
  • Rollen und Verantwortlichkeiten
  • Dokumentationsanforderungen
  • Schulungen
  • risikobasierte Vorgehensweise

Diese Themengebiete sind bereits heute Kernelemente der Informationssicherheit. Beim Vorhandensein eines ISMS können die darin enthaltenen Informationen schnell in das Datenschutz-Management-System überführt bzw. von diesem „genutzt“ werden (z.B. IT-Strukturanalyse und Dokumentation der umgesetzten Sicherheitsmaßnahmen zur Konkretisierung  der technischen und organisatorischen Maßnahmen).

Die folgende Grafik zeigt auf, welche ISIS12-Schritte um die EU-DSGVO erweitert werden:

ISIS12 ergänzt um EU-DSGVO

Ihre Ansprechpartner zur Umsetzung der Datenschutzanforderungen gemäß EU-DSGVO

Volkan Bingöl

Volkan Bingöl

Berater für Informationssicherheit
Sandro Cumini

Sandro Cumini

Berater für Informationssicherheit
Claus Möhler

Claus Möhler

Leiter Consulting
Heiko Wessner

Heiko Wessner

Vertriebsbeauftragter
18421964182120506

Häufige Fragen zur Umsetzung der Datenschutzanforderungen gemäß EU-DSGVO

Wann tritt die EU-DSGVO in Kraft?

Die EU-DSGVO trat am 24. Mai 2016 in Kraft. Nach einer zwei-jährigen Übergangsfrist wird sie am 25. Mai 2018 wirksam.

Für wen gilt die EU-DSGVO?

Die EU-DSGVO gilt grundsätzlich für alle Unternehmen mit Sitz in der EU. Darüber hinaus aber auch für alle Unternehmen, die entweder eine Niederlassung in der EU haben oder aber personenbezogene Daten von EU-Bürgern verarbeiten.

Was hat sich im Vergleich zum BDSG geändert?

Mit der EU-DSGVO wird der Datenschutz nicht neu erfunden – bestehende Grundsätze (wie z.B. Datensparsamkeit, Zweckbindung oder Verbotsprinzip) behalten ihre Gültigkeit. Ergänzungen finden sich vielmehr in den Bereichen „Rechenschaftsprinzip“, „Privacy by Design“, „Privacy by Default“ und „Recht zur Berichtigung und Löschung“.

Welche Prozesse und Dokumente müssen in einem Unternehmen vorhanden sein?

Der „Meldeprozess“ bei bekanntwerden eines Datenschutz-Vorfalls sowie der Prozess zu „Auskünfte & Rechte Betroffener“ müssen etabliert werden. Die Dokumetationsanforderungen wurden massiv verschärft, um dem „Rechenschaftsprinzip“ gerecht zu werden. Zu erstellen ist hier u.a. Dokumentation 1) dass Datenschutz durch Technik eingehalten wird, 2) dass Informationspflichten eingehalten werden oder 3) dass Einwilligung erteilt wurde. Des weiteren müssen die techn. und organisatorischen Maßnahmen dargelegt werden.

Welche Abteilungen sollten involviert werden?

Neben dem Datenschutzbeauftragten sollten Sie all die Abteilungen in Ihrem Unternehmen über die Anforderungen der EU-DSGVO informieren, die mit personenbezogenen Daten arbeiten:

  • Die Geschäftsleitung, da sie in letzter Konsequenz sicherstellen muss, dass die rechtlichen Vorgaben eingehalten werden. Kommt es doch zu Verstößen, haftet der Geschäftsführer – auch persönlich mit seinem privaten Vermögen.
  • Die Personalabteilung und ggf. der Betriebsrat, da sie mit den personenbezogenen Daten der Mitarbeiter arbeiten und eventuelle Betriebsvereinbarungen angepasst werden müssen, was Mitbestimmung des Betriebsrates erfordert.
  • Das Marketing
  • Forschung und Entwicklung
    Vorschriften wie »Privacy by Design« und »datenschutzrechtliche Voreinstellungen« stellen u.a. auch Anforderungen an die Produktentwicklung- und Implementierung. Es sollten daher schon in frühem Projektstadium bei Produktentwicklungen auf die Einhaltung datenschutzrechtlicher Prinzipien geachtet werden.
  • Recht und Compliance
    Durch die DS-GVO müssen voraussichtlich eine Vielzahl an Verträgen angepasst werden. Ihre Compliance-Abteilung muss zudem bei der Gefährdungsanalyse Risiken für Datenschutzverstöße miteinbeziehen, die durch die hohen Bußgelder deutlich höher zu bewerten sind.
  • IT-Sicherheit
    Für das geforderte Risk Assessment zur Festlegung der technischen und organisatorischen Maßnahmen sollte man prüfen, wie diese sinnvoll mit ohnehin bereits durchgeführten IT-Security Risikoassessments harmonieren oder sich ergänzen können.

Nächste Schritte, wenn Sie sich für die Umsetzung der Datenschutzanforderungen gemäß EU-DSGVO interessieren

Rückruf anfordern

Kontakt

Wir möchten Sie optimal betreuen und rufen Sie gerne zurück! Füllen Sie einfach das Formular aus und wir kümmern uns um Ihr individuelles Anliegen.

+49 (0) 60 22 / 263 38 – 0
info@apsec.de

Ich bin mit den Datenschutzbestimmungen einverstanden

Sie haben jederzeit die Möglichkeit der Nutzung Ihrer Daten zu widersprechen. Schreiben Sie uns einfach eine kurze Mail an kontakt@apsec.de oder rufen Sie uns an: +49 (0) 60 22 / 263 38 - 0

Termin vereinbaren

Kontakt

Sie möchten gerne eine Vorort-Analyse? Dann melden Sie sich einfach bei uns. Entweder über unser Kontaktformular oder auch direkt unter sales@apsec.de sowie der Telefonnummer +49 (0) 6022 / 26 338 - 200.

Wir freuen uns auf Ihre Nachricht!

Ich bin mit den Datenschutzbestimmungen einverstanden

Sie haben jederzeit die Möglichkeit der Nutzung Ihrer Daten zu widersprechen. Schreiben Sie uns einfach eine kurze Mail an kontakt@apsec.de oder rufen Sie uns an: +49 (0) 60 22 / 263 38 - 0