Datenschutz-Grundverordnung (DSGVO) · Datenerhebung · Datenverarbeitung
Informationen zur EU DSGVO Umsetzung in Unternehmen
Ab 25.05.2018 gilt in der EU die neue EU-Datenschutz-Grundverordnung (EU DSGVO).
Diese Grundverordnung des Europäischen Parlaments bringt neue datenschutzrechtliche Verpflichtungen für alle in der EU bzw. im europäischen Wirtschaftsraum ansässigen Unternehmen.
Gebote zum Datenschutz - Grundlagen nach DSGVO und BDSG
1. Die Daten-Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten!
Ausnahmen - Wann ist eine personenbezogene Datenerhebung erlaubt:
- es liegt eine Erlaubnis des Betroffenen vor, indem der Betroffene der Datenverarbeitung aktiv zustimmt
- die Datenerhebung ist zum Zweck einer Vertragsdurchführung notwendig
- eine Rechtsschrift (Gesetz oder Verordnung) erlaubt explizit die Datenverarbeitung
- eine Rechtsschrift (Gesetz oder Verordnung) gibt die Notwendigkeit der Datenverarbeitung vor
2. Datenminimierung und Datensparsamkeit
Es dürfen nur so viele Daten erhoben werden wie tatsächlich für einen bestimmten Zweck (siehe Zweckbindung) benötigt werden.
3. Speicherbegrenzung
Daten dürfen nur so lange aufgehoben bzw. gespeichert werden (analog/digital und inkl. Backups) wie es für die Verarbeitungszwecke erforderlich ist oder andere Rechtsschriften/Gesetze eine Datenspeicherung zwingend erforderlich machen.
4. Zweckbindung
Daten dürfen Sie nur zu dem Zweck verarbeiten, für die Sie sie erhoben haben.
5. Rechtmäßigkeit der Verarbeitung und Transparenz
Die Verarbeitung von Daten muss für Betroffene auf nachvollziehbare Weise (offensichtlich) Ersichtlich sein (Transparenz).
6. Datenrichtigkeit
Daten müssen inhaltlich und sachlich richtig sein und sollten möglichst aktuell gehalten/aktualisiert werden.
7. Datensicherheit, Integrität, Vertraulichkeit, Datenschutz-Risikomanagement
Für die Speicherung von personenbezogenen Daten müssen unter Berücksichtigung diverser Umstände (aktueller Stand der Technik, Art, Umfang, Implementierungskosten, Risiko etc.) geeignete technische und organisatorische Maßnahmen getroffen werden (TOM) um ein angemessenes Schutzniveau zu gewährleisten. Das Schutzniveau orientiert sich auch an der Schutzbedürftigkeit der erhobenen/gespeicherten Daten.
8. Betroffenen-Rechte, Auskunftspflicht
Sogenannte „betroffene Personen“ haben das Recht auf Einsicht, Auskunft, Änderung, Sperrung oder Löschung Ihrer gespeicherten personenbezogenen Daten.
DSGVO/BDSG Umsetzung im Unternehmen
Die Umsetzung der EU Datenschutz-Grundverordnung und die Einhaltung der Auflagen der Datenschutz-Gesetze in Unternehmen ist teilweise mit sehr großem Aufwand verbunden.
1. Die wichtigsten und zeitaufwändigsten Schritte zur Vorbereitung und Implementierung sind ...
- die Risikoanalyse und Risikobewertung des Unternehmens in Bezug auf die Datensicherheit
- die Analyse der Anforderungen des Unternehmens an die Datenverarbeitung
- die Erstellung von Konzepten zum Datenschutz basierend auf der Anforderungs-Analyse des Unternehmens und der gesetzlichen Vorgaben
- die Dokumentation aller Prozesse die im Bereich der Datenverarbeitung innerhalb des Unternehmens unternommen werden
Für die Umsetzung eines gesetzeskonformen Datenschutz-Konzeptes im Unternehmen müssen alle Unternehmensbereiche tätig werden die personenbezogene Daten verarbeiten, dazu gehören z.B. Human Resources, Information-Technology, Business Development, Sales, Marketing, Public Relation, Presse und Rechtsabteilungen.
Ein „Datenschutz“-Projektteam zur Umsetzung der DS-GVO sollte für die betroffenen Unternehmensbereiche vorab eine Risikoanalyse durchführen. Darauf aufbauend können dann individuelle Konzepte mit detaillierten klaren Anweisungen und Vorgaben zum Datenschutz und zu allen Datenverarbeitungs-Prozessen erstellt werden. Außerdem muss die zur Umsetzung notwendige Infrastruktur (z.B. IT, Computer, Netzwerk, Software-Programme, Datenschutzmanagementsystem DSMS, Büromaterialien, Aktenvernichter etc.) den betroffenen Unternehmensbereichen zur Verfügung gestellt werden.
2. Die weiteren Schritte beim Aufbau des rechtskonformen Datenschutzmanagements ...
- Umsetzung der im Datenschutz-Konzept definierten Anforderungen und Prozesse
- Fortlaufender aktiver Datenschutz während des Betriebs vor allem bei der Verarbeitung von Daten
- Fortlaufende Pflege der gespeicherten Datenbestände nach Datenschutzrichtlinien
- Aktualisierung und Weiterentwicklung der Anforderungen, Prozesse, Konzepte und Dokumentationen
- Bearbeitung von Anfragen in Bezug auf „Auskunftspflicht“ oder „Löschpflicht“
Checkliste - DSGVO/BDSG Umsetzung im Unternehmen
-
Rechtsgrundlagen für die Verarbeitung personenbezogener Daten prüfen,
d.h. den Zweck der Datenerhebung, Daten-Speicherung und Daten-Verarbeitung auf Rechtmäßigkeit prüfen und bei Verstößen entsprechende Anforderungen umsetzen.
-
Risikoanalyse und Risikobewertung zum Datenschutz
durchführen und dokumentieren. Was für Risiken gibt es? z.B. Daten-Diebstahl durch Fremde oder Mitarbeiter, Datenverluste durch fahrlässiges Handeln, technische Fehler oder Sicherheitslücken. Welche Stellen gibt es für möglichen Daten-Diebstahl? z.B. direkt physikalisch am Unternehmens-Standort, im Unternehmens-Netzwerk, privaten und öffentlichen Netzwerken, im Internet, bei der Datenübertragung.
-
Verarbeitungsverzeichnis
Ihrer Datenerhebung, Datenspeicherung, Datenverarbeitung erstellen und pflegen, d.h. laufend aktualisieren.
-
Konzept zu Aufbewahrungsfristen und Löschung
erstellen und dies in einem klar dokumentierten Löschkonzept unter berücksichtigung der Löschpflichten umsetzen.
-
Software und Prozesse prüfen
und bei Verstößen entsprechend korrigieren. Das sogennante „Privacy by design“ / „Privacy by default“ sollte in allen Prozessen und Software-Anwendungen umgesetzt werden.
-
Andere Technisch-organisatorische Maßnahmen (TOM)
müssen zur Realisation einer rechtskonformen Datenverarbeitung geprüft, definiert, dokumentiert und umgesetzt werden. Zu den TOM müssen Datenschutz- und Sicherheitsaufgaben definiert werden, z.B. in den Bereichen IT-Sicherheit mit Client-/Server-Netzwerken, Datenfernübertragung, Fernwartung, Zutrittssicherheit, Benutzerverwaltung, Passwortsicherheit, Datenträger, Backup-Systeme und Medien, Webseiten, Cloud- und Hosting-Dienstleister
-
Mitarbeiter Schulung (Sensibilisierung)
zum Thema Datenschutz, Datengeheimnis, Datenverarbeitung, Private Nutzung von Unternehmens-Infrastrukturen, Löschung bzw. Vernichtung von Daten/Dokumenten durchführen.
-
Vereinbarungen und Verträge mit Auftragsverarbeitern
müssen eventuell aktualisiert werden und den neuen Gesetzesvorgaben und Richtlinien angepasst werden. Auftragsverarbeiter sind Dienstleister die für Sie tätig sind oder personenbezogene Daten von Ihnen verarbeiten. Auftragsverarbeiter können zum Beispiel sein: Cloud- und Hosting-Dienstleister, Newsletter-Mail-Systemanbieter, Anbieter von Online-Marketing-Tools, Anbieter von Online-Applikationen z.B. Shopsysteme, CMS-Systeme, Social-Media-Portale, Dienstleister von Post-Mailing-Lösungen etc.
-
Ernennung eines Datenschutzbeauftragten
zum Beispiel einen externen Datenschutzbeauftragten der CosmosNet IT-Services GmbH München bestimmen
-
Folgenabschätzung
durchführen und dokumentieren - zu möglicherweise eintretenden Verstößen gegen das Datenschutzgesetz bzw. Datenschutz-Grundverordnung z.B. bei „Datenpannen, Datenlecks, Datendiebstahl“.
-
DSGVO Umsetzung auf Online-Medien wie Internetpräsenz, Website und anderen Online-Applikationen
z.B. Datenschutzerklärung, Datenschutz-Funktionen für die Datenübermittlung, Verschlüsselungs-Technologien, Privacy by Design und Privacy by Default umsetzen
-
Verfahren in Bezug auf das Auskunftsrecht
sollten umgesetzt und in Richtlinien dokumentiert werden. Anträge von betroffenen Personen die Ihr Recht auf Auskunft, Änderung, Löschung zu den eigenen personenbezogenen Daten einfordern, können dadurch zeitnah und ressourcenschonend durchgeführt werden.
-
Die Pflicht zur Nachweisbarkeit (Rechenschaftspflicht) für Verantwortliche und Auftragsverarbeiter
muss durch das erstellen der notwendigen Dokumentationen gewährleistet werden. Zu den Nachweispflichtigen Sachen gehört alles was der Gewährleistung der Sicherheit dient. Dies sind z.B. das Verzeichnis der Verarbeitungstätigkeiten, das Vorhandensein von Einwilligungen zur Datenverarbeitung personenbezogener Daten, das Ergebnis der Folgenabschätzung und die Dokumentation der technischen und organisatorischen (Datensicherheits)-Maßnahmen (TOM).
-
Die Meldepflicht
erfordert, dass Vorfälle bei Verletzung von Rechten betroffener Personen, bei sogenannten „Datenpannen“, dokumentiert werden müssen und den zuständigen Behörden, Aufsichtsbehörden oder Datenschutzbehörden innerhalb von 72 Stunden gemeldet werden. Dies ist der Fall wenn personenbezogene Daten nicht rechtmäßig verwendet/verarbeitet wurden, zum Beispiel bei Datenlecks, Datendiebstahl und nicht rechtmäßiger Veröffentlichung von personenbezogenen Daten.
Allgemeine Hinweise zur DSGVO
- Die Datenschutzgrundverordnung gilt für alle, die in der EU im Europäischen Wirtschaftsraum ansässig sind oder in der EU/EWR Geschäfte tätigen bzw. in der EU/EWR Daten von EU-Bürgern erheben
- Bei Verstößen der EU DSGVO drohen empfindliche Strafen und Bußgelder bis zu 20 Millionen Euro bzw. bis zu 4% des weltweiten Jahresumsatzes. Bereits die fehlende Nachweisbarkeit der Datenschutz-Maßnahmen ist mit Einführung der DSGVO bußgeldbewehrt. Bisher wurden Bußgelder nur dann verhängt, wenn Datenschutzverstöße (Datenpannen) vorgefallen waren.
- Mit der DSGVO gibt es für Auftragsdatenverarbeiter (ADV) neue einheitliche europäische Anforderungen zur Auftragsverarbeitung (AV)
- Bei Datenschutzverstößen können sich betroffene Personen an die Datenschutzbehörde bzw. die zuständige Aufsichtsbehörde im eigenen Land wenden
Die genauen Anforderungen und Gesetzestexte entnehmen Sie bitte der Verordnung des Europäischen Parlaments zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in der EU und im EU Wirtschaftsraum: EU-Datenschutz-Grundverordnung auf https://eur-lex.europa.eu
Dienstleistungen von CosmosNet
- Hosting-Services* - Web-Hosting, Application-Hosting, SAS-, Cloud- und Backup-Lösungen. Datenhaltung in Deutschland.
- IT-Sicherheits-Lösungen zum Schutz vor Datenverlust und Daten-Diebstahl
- Umsetzung (Programmier-Arbeiten) zur Einhaltung der EU-DSGVO auf Ihrer Website
- Ernennung eines externen Datenschutzbeauftragten
* Die CosmosNet Hosting-Lösungen laufen auf eigenen, sicheren Servern in der EU (Standort: München, Deutschland)