Datenschutz-Grundverordnung (DSGVO) · Datenerhebung · Datenverarbeitung

Informationen zur EU DSGVO Umsetzung in Unternehmen

Ab 25.05.2018 gilt in der EU die neue EU-Daten­schutz-Grund­ver­ord­nung (EU DSGVO).

Diese Grundverordnung des Europäischen Parlaments bringt neue datenschutzrechtliche Verpflichtungen für alle in der EU bzw. im europäischen Wirtschaftsraum ansässigen Unternehmen.

Hinweise für Webseiten-Betreiber

Europa Datenschutz Grundverordnung - EU-DSGVO

Gebote zum Datenschutz - Grundlagen nach DSGVO und BDSG

1. Die Daten-Erhebung, Speicherung und Verarbeitung von personen­bezogenen Daten ist grund­sätzlich verboten!

Ausnahmen - Wann ist eine personen­bezogene Daten­erhebung erlaubt:

  • es liegt eine Erlaubnis des Betroffenen vor, indem der Betroffene der Daten­verarbeitung aktiv zustimmt
  • die Datenerhebung ist zum Zweck einer Vertrags­durch­führung notwendig
  • eine Rechts­schrift (Gesetz oder Verordnung) erlaubt explizit die Daten­verarbeitung
  • eine Rechts­schrift (Gesetz oder Verordnung) gibt die Notwendig­keit der Daten­verarbeitung vor

2. Datenminimierung und Datensparsamkeit

Es dürfen nur so viele Daten erhoben werden wie tatsächlich für einen bestimmten Zweck (siehe Zweckbindung) benötigt werden.

3. Speicherbegrenzung

Daten dürfen nur so lange aufgehoben bzw. gespeichert werden (analog/digital und inkl. Backups) wie es für die Verarbeitungszwecke erforderlich ist oder andere Rechtsschriften/Gesetze eine Datenspeicherung zwingend erforderlich machen.

4. Zweckbindung

Daten dürfen Sie nur zu dem Zweck verarbeiten, für die Sie sie erhoben haben.

5. Rechtmäßigkeit der Verarbeitung und Transparenz

Die Verarbeitung von Daten muss für Betroffene auf nachvollziehbare Weise (offensichtlich) Ersichtlich sein (Transparenz).

6. Datenrichtigkeit

Daten müssen inhaltlich und sachlich richtig sein und sollten möglichst aktuell gehalten/aktualisiert werden.

7. Datensicherheit, Integrität, Vertraulichkeit, Datenschutz-Risikomanagement

Für die Speicherung von personenbezogenen Daten müssen unter Berücksichtigung diverser Umstände (aktueller Stand der Technik, Art, Umfang, Implementierungskosten, Risiko etc.) geeignete technische und organisatorische Maßnahmen getroffen werden (TOM) um ein angemessenes Schutzniveau zu gewährleisten. Das Schutzniveau orientiert sich auch an der Schutzbedürftigkeit der erhobenen/gespeicherten Daten.

8. Betroffenen-Rechte, Auskunftspflicht

Sogenannte „betroffene Personen“ haben das Recht auf Einsicht, Auskunft, Änderung, Sperrung oder Löschung Ihrer gespeicherten personenbezogenen Daten.

DSGVO/BDSG Umsetzung im Unternehmen

Die Umsetzung der EU Datenschutz-Grundverordnung und die Einhaltung der Auflagen der Datenschutz-Gesetze in Unternehmen ist teilweise mit sehr großem Aufwand verbunden.

1. Die wichtigsten und zeitaufwändigsten Schritte zur Vorbereitung und Implementierung sind ...

  • die Risikoanalyse und Risikobewertung des Unternehmens in Bezug auf die Datensicherheit
  • die Analyse der Anforderungen des Unternehmens an die Datenverarbeitung
  • die Erstellung von Konzepten zum Datenschutz basierend auf der Anforderungs-Analyse des Unternehmens und der gesetzlichen Vorgaben
  • die Dokumentation aller Prozesse die im Bereich der Datenverarbeitung innerhalb des Unternehmens unternommen werden

Für die Umsetzung eines gesetzeskonformen Datenschutz-Konzeptes im Unternehmen müssen alle Unternehmensbereiche tätig werden die personenbezogene Daten verarbeiten, dazu gehören z.B. Human Resources, Information-Technology, Business Development, Sales, Marketing, Public Relation, Presse und Rechtsabteilungen.

Ein „Datenschutz“-Projektteam zur Umsetzung der DS-GVO sollte für die betroffenen Unternehmensbereiche vorab eine Risikoanalyse durchführen. Darauf aufbauend können dann individuelle Konzepte mit detaillierten klaren Anweisungen und Vorgaben zum Datenschutz und zu allen Datenverarbeitungs-Prozessen erstellt werden. Außerdem muss die zur Umsetzung notwendige Infrastruktur (z.B. IT, Computer, Netzwerk, Software-Programme, Datenschutzmanagementsystem DSMS, Büromaterialien, Aktenvernichter etc.) den betroffenen Unternehmensbereichen zur Verfügung gestellt werden.

2. Die weiteren Schritte beim Aufbau des rechtskonformen Datenschutzmanagements ...

  • Umsetzung der im Datenschutz-Konzept definierten Anforderungen und Prozesse
  • Fortlaufender aktiver Datenschutz während des Betriebs vor allem bei der Verarbeitung von Daten
  • Fortlaufende Pflege der gespeicherten Datenbestände nach Datenschutzrichtlinien
  • Aktualisierung und Weiterentwicklung der Anforderungen, Prozesse, Konzepte und Dokumentationen
  • Bearbeitung von Anfragen in Bezug auf „Auskunftspflicht“ oder „Löschpflicht“

Checkliste - DSGVO/BDSG Umsetzung im Unternehmen

  1. Rechtsgrundlagen für die Verarbeitung personenbezogener Daten prüfen,

    d.h. den Zweck der Datenerhebung, Daten-Speicherung und Daten-Verarbeitung auf Rechtmäßigkeit prüfen und bei Verstößen entsprechende Anforderungen umsetzen.

  2. Risikoanalyse und Risikobewertung zum Datenschutz

    durchführen und dokumentieren. Was für Risiken gibt es? z.B. Daten-Diebstahl durch Fremde oder Mitarbeiter, Datenverluste durch fahrlässiges Handeln, technische Fehler oder Sicherheitslücken. Welche Stellen gibt es für möglichen Daten-Diebstahl? z.B. direkt physikalisch am Unternehmens-Standort, im Unternehmens-Netzwerk, privaten und öffentlichen Netzwerken, im Internet, bei der Datenübertragung.

  3. Verarbeitungsverzeichnis

    Ihrer Datenerhebung, Datenspeicherung, Datenverarbeitung erstellen und pflegen, d.h. laufend aktualisieren.

  4. Konzept zu Aufbewahrungsfristen und Löschung

    erstellen und dies in einem klar dokumentierten Löschkonzept unter berücksichtigung der Löschpflichten umsetzen.

  5. Software und Prozesse prüfen

    und bei Verstößen entsprechend korrigieren. Das sogennante „Privacy by design“ / „Privacy by default“ sollte in allen Prozessen und Software-Anwendungen umgesetzt werden.

  6. Andere Technisch-organisatorische Maßnahmen (TOM)

    müssen zur Realisation einer rechtskonformen Datenverarbeitung geprüft, definiert, dokumentiert und umgesetzt werden. Zu den TOM müssen Datenschutz- und Sicherheitsaufgaben definiert werden, z.B. in den Bereichen IT-Sicherheit mit Client-/Server-Netzwerken, Datenfernübertragung, Fernwartung, Zutrittssicherheit, Benutzerverwaltung, Passwortsicherheit, Datenträger, Backup-Systeme und Medien, Webseiten, Cloud- und Hosting-Dienstleister

  7. Mitarbeiter Schulung (Sensibilisierung)

    zum Thema Datenschutz, Datengeheimnis, Datenverarbeitung, Private Nutzung von Unternehmens-Infrastrukturen, Löschung bzw. Vernichtung von Daten/Dokumenten durchführen.

  8. Vereinbarungen und Verträge mit Auftragsverarbeitern

    müssen eventuell aktualisiert werden und den neuen Gesetzesvorgaben und Richtlinien angepasst werden. Auftragsverarbeiter sind Dienstleister die für Sie tätig sind oder personenbezogene Daten von Ihnen verarbeiten. Auftragsverarbeiter können zum Beispiel sein: Cloud- und Hosting-Dienstleister, Newsletter-Mail-Systemanbieter, Anbieter von Online-Marketing-Tools, Anbieter von Online-Applikationen z.B. Shopsysteme, CMS-Systeme, Social-Media-Portale, Dienstleister von Post-Mailing-Lösungen etc.

  9. Ernennung eines Datenschutzbeauftragten

    zum Beispiel einen externen Datenschutzbeauftragten der CosmosNet IT-Services GmbH München bestimmen

  10. Folgenabschätzung

    durchführen und dokumentieren - zu möglicherweise eintretenden Verstößen gegen das Datenschutzgesetz bzw. Datenschutz-Grundverordnung z.B. bei „Datenpannen, Datenlecks, Datendiebstahl“.

  11. DSGVO Umsetzung auf Online-Medien wie Internetpräsenz, Website und anderen Online-Applikationen

    z.B. Datenschutzerklärung, Datenschutz-Funktionen für die Datenübermittlung, Verschlüsselungs-Technologien, Privacy by Design und Privacy by Default umsetzen

  12. Verfahren in Bezug auf das Auskunftsrecht

    sollten umgesetzt und in Richtlinien dokumentiert werden. Anträge von betroffenen Personen die Ihr Recht auf Auskunft, Änderung, Löschung zu den eigenen personenbezogenen Daten einfordern, können dadurch zeitnah und ressourcenschonend durchgeführt werden.

  13. Die Pflicht zur Nachweisbarkeit (Rechenschaftspflicht) für Verantwortliche und Auftragsverarbeiter

    muss durch das erstellen der notwendigen Dokumentationen gewährleistet werden. Zu den Nachweispflichtigen Sachen gehört alles was der Gewährleistung der Sicherheit dient. Dies sind z.B. das Verzeichnis der Verarbeitungstätigkeiten, das Vorhandensein von Einwilligungen zur Datenverarbeitung personenbezogener Daten, das Ergebnis der Folgenabschätzung und die Dokumentation der technischen und organisatorischen (Datensicherheits)-Maßnahmen (TOM).

  14. Die Meldepflicht

    erfordert, dass Vorfälle bei Verletzung von Rechten betroffener Personen, bei sogenannten „Datenpannen“, dokumentiert werden müssen und den zuständigen Behörden, Aufsichtsbehörden oder Datenschutzbehörden innerhalb von 72 Stunden gemeldet werden. Dies ist der Fall wenn personenbezogene Daten nicht rechtmäßig verwendet/verarbeitet wurden, zum Beispiel bei Datenlecks, Datendiebstahl und nicht rechtmäßiger Veröffentlichung von personenbezogenen Daten.

Allgemeine Hinweise zur DSGVO

  1. Die Datenschutzgrundverordnung gilt für alle, die in der EU im Europäischen Wirtschaftsraum ansässig sind oder in der EU/EWR Geschäfte tätigen bzw. in der EU/EWR Daten von EU-Bürgern erheben
  2. Bei Verstößen der EU DSGVO drohen empfindliche Strafen und Bußgelder bis zu 20 Millionen Euro bzw. bis zu 4% des weltweiten Jahresumsatzes. Bereits die fehlende Nachweisbarkeit der Datenschutz-Maßnahmen ist mit Einführung der DSGVO bußgeldbewehrt. Bisher wurden Bußgelder nur dann verhängt, wenn Datenschutzverstöße (Datenpannen) vorgefallen waren.
  3. Mit der DSGVO gibt es für Auftragsdatenverarbeiter (ADV) neue einheitliche europäische Anforderungen zur Auftragsverarbeitung (AV)
  4. Bei Datenschutzverstößen können sich betroffene Personen an die Datenschutzbehörde bzw. die zuständige Aufsichtsbehörde im eigenen Land wenden

Die genauen Anforderungen und Gesetzestexte entnehmen Sie bitte der Verordnung des Europäischen Parlaments zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in der EU und im EU Wirtschaftsraum: EU-Daten­schutz-Grund­ver­ord­nung auf https://eur-lex.europa.eu

Dienstleistungen von CosmosNet



* Die CosmosNet Hosting-Lösungen laufen auf eigenen, sicheren Servern in der EU (Standort: München, Deutschland)

CosmosNet
Klenzestrasse 23
München
Deutschland / Bayern 80469
Phone: +49 89 451 503 0