Rechtliche Grundlagen: BDSG (neu) und DSGVO
Standort(e) dokumentieren
Wichtige Personen und Abteilungen identifizieren
Relevante Betriebsvereinbarungen sichten
Vorhandene Dokumentationen und Verfahren sichten
Überblick über Software Systeme verschaffen
Internetauftritt überprüfen
Sicherheitskonzept überprüfen
Sensibilisierung der Mitarbeiter für das Thema Datenschutz
Schulung in den Grundlagen
Information der Mitarbeiter über die weiteren Maßnahmen
Geheimhaltungspflicht
Verschwiegenheits- und Sorgfaltspflicht
Etablierung eines Datenschutz-Managements
Einführung eines Datenschutz-Handbuchs
Kontrolle von Regelungen und Verboten
Softwareanbieter
EDV-Partner
Wartungsunternehmen für Fax- und Druckergeräte
Wartungsunternehmen für TK-Anlage
Wartungsunternehmen für Internetseitenerstellung und -pflege
Sicherheitsunternehmen
u.v.m.
Einführung neuer Verfahren
Umsetzung der Transparenzpflichten des BDSG und der DSGVO
Erstellung von Verträgen
Technische und organisatorische Sicherheitsmaßnahmen
Durchführung von evtl. notwendigen Vorabkontrollen
Sicherstellung der Rechte der Betroffenen
Dokumentation schriftlicher Einwilligungen
Erhebung, Verarbeitung oder Nutzung personenbezogenen Daten im Auftrag prüfen
Prüfung und Kontrolle des Trennungsgebotes
Unternehmen mit mindestens zehn Mitarbeitern, die EDV-basiert mit personenbezogenen Daten (also insbesondere Mitarbeiter- und Kundendaten) arbeiten, benötigen gemäß § 38 BDSG (Art. 37 DSGVO) einen internen oder externen Datenschutzbeauftragten.
Viele kleine und mittlere Unternehmen sehen sich vor einer großen Herausforderung. Bestimmungen zum Datenschutz und zur Datensicherheit müssen aufgrund gesetzlicher Vorschriften umgesetzt werden. Nach BDSG (neu) und DSGVO besteht die gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten. Dieser Datenschutzbeauftragte muss für die Einhaltung zahlreicher formaler Regelungen und Festlegungen zum Schutz von personenbezogenen Daten Betroffener sorgen. Aber nicht nur der Gesetzgeber fordert solche Maßnahmen und Regelungen sondern auch die Kunden die Ihre personenbezogenen Daten an Dritte weitergeben.
Der Datenschutz ist nicht nur ein Kostenfaktor, den das Gesetz vorschreibt. Er kann, wenn er im Unternehmen gelebt wird, sich als Marketinginstrument zu einem Wettbewerbsvorteil auswachsen. So können Sie Ihren Kunden durchgängig Qualität anbieten.
Als zertifizierter Datenschutzbeauftragter kann ich die vom Gesetzgeber geforderten Regelungen und Festlegungen mit Ihnen und den Mitarbeitern Ihrer Firma erarbeiten, dokumentieren und umsetzen. Das Augenmerk liegt hier auf Lösungen die auf die Abläufe in Ihrer Firma zugeschnitten sind
Kalkulierbare Kosten durch ein definiertes Zeitbudget
Keine Nebenkosten für z. B. Weiterbildung
Kurzfristig verfügbar
Schwerpunktmäßig einsetzbar
Hohe Fachkunde
Kein Kündigungsschutz
EU-DSGVO und BDSG 2018 – Begrifflichkeiten und Hintergründe
Die neue EU-DSGVO beinhaltet rund 60 sogenannte „Öffnungsklauseln“, die es den Mitgliedstaaten in vielen Bereichen erlauben, unter gewissen Voraussetzungen von den europäischen Standards abzuweichen. Diese Möglichkeit hat Deutschland genutzt: mit dem DSAnpUG-EU, das das derzeit noch gültige BDSG durch ein vollständig reformiertes „Bundesdatenschutzgesetz 2018“ ersetzen wird. Das BDSG 2018 enthält zahlreiche Bestimmungen, die die DSGVO ergänzen, konkretisieren bzw. modifizieren. Alle datenverarbeitenden Unternehmen in Deutschland sollten sich eingehend mit den neuen Regelungen auseinandersetzen. Insbesondere die Reichweite der komplexen Ausnahmetatbestände sollten sie gewissenhaft und im Zweifel mit Hilfe externer Sachverständiger prüfen. Nach der DSGVO verstößt ein Unternehmen auch dann gegen die Verordnung, wenn es nationale Anpassungs- bzw. Umsetzungsregelungen verletzt, die auf der Grundlage von Öffnungsklauseln erlassen wurden. Insbesondere Unternehmen, die in mehreren EU-Mitgliedstaaten präsent sind und dort personenbezogene Daten verarbeiten, ist zu raten, die DSGVO über weite Strecken eins zu eins umzusetzen. Die Vorteile: Ein einheitliches Datenschutz-Management mit klaren Regeln in allen EU-Mitgliedstaaten ist effizienter und damit kostensparender als ein geographisch fragmentierter Datenschutz-Ansatz. Nichtsdestotrotz entscheidet am Ende der Einzelfall, ob und in welchem Ausmaß eine Nutzung von Ausnahmetatbeständen im BDSG 2018 unternehmerisch sinnvoll ist. Dies gilt sowohl für Konzerne als auch für kleinere und mittlere Unternehmen. Für eine zuverlässige Vorhersage über die Auslegung und Anwendung der DSGVO durch Aufsichtsbehörden und Gerichte kann es zu diesem Zeitpunkt noch keine Erfahrungswerte geben. Auch in der noch recht spärlichen Literatur werden unterschiedliche Meinungen vertreten. Unklar ist beispielsweise die Reichweite des „Rechts auf Vergessenwerden“ sowie des Rechts auf Datenportabilität. Dennoch müssen Organisationen trotz dieser Rechtsunsicherheit bereits jetzt handeln. Welche Punkte der EU-DSGVO sollten Unternehmen also im Fokus haben?
Auszug aus dem Erfahrungsbericht der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Anwendung der DS-GVOEU-DSGVO und BDSG 2018
Nach einem Jahr der Geltung der DS-GVO zieht die Europäische Kommission im Juli 2019 zu Recht eine positive Bilanz. Die DS-GVO habe die EU-Bürger zunehmend auf die Datenschutzbestimmungen und ihre Rechte aufmerksam gemacht, die Unternehmen passen ihre Praktiken an, sie erhöhen die Sicherheit ihrer Daten und entwickeln den Datenschutz als Wettbewerbsvorteil. Die Verordnung habe den nationalen Datenschutzbehörden mehr Befugnisse zur Durchsetzung der Vorschriften gegeben. Im ersten Jahr haben die nationalen Datenschutzbehörden diese neuen Befugnisse bei Bedarf wirksam genutzt, sie arbeiten im Rahmen des Kooperationsmechanismus enger zusammen. Die DSK teilt die Auffassung, dass sich die DS-GVO mit ihrem Regelungskonzept und ihren Zielen im Wesentlichen bewährt. Die Ziele des verbesserten Grundrechtsschutzes und der Schaffung eines einheitlichen digitalen Binnenmarktes erscheinen durch die DS-GVO vorangebracht und auch tatsächlich erreichbar. Als ein zentraler Aspekt der gesellschaftlichen Wahrnehmung und als Motor zur Entwicklung eines breitangelegten datenschutzrechtlichen Bewusstseins erwies sich, dass bei Verstößen gegen Datenschutznormen erstmals empfindliche Geldbußen drohen. Behörden und Betriebe stellen sich den Anforderungen. Sie agieren aber teilweise unsicher, Umsetzungsdefizite sind zu beobachten. Die Vorgaben an die Verantwortlichen sind vielfältig (die DS-GVO selbst, die Erwägungsgründe, Guidelines), sodass ein umfassendes Datenschutzmanagement des Verantwortlichen geboten ist. Dazu bedarf es einer Interpretation der Vorgaben, die unzählige Datenschutzberater anbieten. Der Bedarf, Orientierung durch die Aufsichtsbehörden zu erhalten ist noch immer sehr hoch. Dieser erhöhten Nachfrage begegneten die Aufsichtsbehörden mit einer intensiven Beratungstätigkeit, deren Kern darin besteht aus einer gestiegenen Anzahl von Rechts- und Informationsquellen einen roten Faden zu wirken, der es erlaubt, den Verantwortlichen pragmatische Handlungsempfehlungen zu geben. Die so gestiegene Akzeptanz des Datenschutzrechts und der Arbeit der Aufsichtsbehörden muss nunmehr erhalten und ausgebaut werden.