KaeferLive - Thomas Käfer

No news are bad news! In diesem Sinne berichtet das Team von KaeferLive im Blog regelmäßig über Neuerungen, Interessantes und wichtige Nachrichten aus der IT-Szene. Stay tuned!

Unterstützung beim Betrieblichen Datenschutz und EU-Datenschutzgrundverordnung

Unterstützung beim Betrieblichen Datenschutz und EU-Datenschutzgrundverordnung

Betrieblicher Datenschutz und EU-Datenschutzgrundverordnung

hier: Dienstleistung als externer betrieblicher Datenschutzbeauftragter

Ab dem 18.05.2018 gilt die neue EU-Datenschutzgrundverordnung (kurz DSGVO), die das bisherige BDSG ablösen wird. Zusätzlich zum bisherigen BDSG wird dann voraussichtlich auch das neue BDSG in Kraft treten, welches die Öffnungsklauseln der EU-Verordnung ausschöpft.

Kurz zusammengefasst wird der Datenschutz EU-weit harmonisiert und vor allem die Staaten, die den Datenschutz bisher nicht so reglementiert hatten wie die BRD, müssen nachziehen. Wir können uns aber auch nicht zurücklehnen, denn es gibt im Detail ein paar Neuerungen, die wir umsetzen müssen. Neu ist hier vor allem, dass die Bußgeldbestimmungen dramatisch verschärft wurden. Es sind nun Bußgelder bis 20 Mio. € oder 4% des Vorjahresumsatzes der gesamten Organisation/Firmengruppe möglich, wenn gegen die DSGVO verstoßen wird. Zudem können Betroffene nun wahlweise die Verantwortliche Stelle oder den Auftragsverarbeiter in Bezug auf Schadenersatzzahlungen in Regress nehmen. Insbesondere die Vertragsgestaltung zur Auftragsverarbeitung bedarf eines besonderen Augenmerks.

Bis zum Inkraftreten der Verordnung sind nur noch wenige Montae Zeit und wenn Sie sich noch nicht mit dem Thema oder gar grundsätzlich mit dem Datenschutz beschäftigt haben, wird es höchste Zeit zu handeln.

Wenn Sie hierzu externe Unterstützung benötigen, so kontaktieren Sie mich so schnell wie möglich!

Ihr Thomas Käfer

 

Bisher gilt (und vieles davon wird auch in der DSGVO gelten):

Das Bundesdatenschutzgesetz (BDSG) verpflichtet Sie als Unternehmer zur Bestellung eines betrieblichen Datenschutzbeauftragten,

  • unabhängig von der Zahl der Beschäftigten, wenn Sie als verantwortliche Stelle personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung erheben, verarbeiten oder nutzen (Beispiele: Auskunfteien, Adressverlage, Markt- und Meinungsforschungsinstitute; Vorschrift: § 4f Abs. 1 S. 6 BDSG);
  • unabhängig von der Zahl der Beschäftigten, wenn Sie als verantwortliche Stelle automatisierte Datenverarbeitungsvorgänge vornehmen, die eine Vorabkontrolle verlangen (z.B. Scoringverfahren, soweit sie selbst Entscheidungscharakter haben; Vorschrift: § 4f Abs.  1 S. 6 BDSG);
  • ansonsten, wenn Sie als verantwortliche Stelle mindestens zehn Arbeitnehmer wenigstens vorübergehend mit automatisierter Datenerhebung, -verarbeitung oder - nutzung beschäftigen (Vorschrift: § 4f Abs.  1 S. 4 BDSG); oder
  • als verantwortliche Stelle mindestens zwanzig Arbeitnehmer wenigstens vorübergehend mit nichtautomatisierter Datenerhebung, -verarbeitung oder - nutzung beschäftigen (Vorschrift: § 4f Abs. 1 S. 3 BDSG).

Der Datenschutzbeauftragte ist schriftlich zu bestellen.

Mit dem Werkzeug „Elektronische Datenverarbeitung" (kurz EDV) sind die Begriffe „Datenschutz" und „Datensicherheit" eng verzahnt und gewinnen gerade in Bezug auf personenbezogene und unternehmenswichtige Daten einen immer größeren Stellenwert. Viele Unternehmen und Institutionen sind ohne diese Daten in der heutigen, schnelllebigen und von riesigen Datenmengen geprägten Welt nicht mehr lebens- oder überlebensfähig.

Dem Schutz der erhobenen, verarbeiteten und gespeicherten Daten kommt daher aus verschiedenen Blickwinkeln eine immer größere Bedeutung zu. So stellt der gespeicherte Datenbestand oft das Rückgrat und die Basis des geschäftlichen Handels der eigenen Firma dar und ist aus eigenem Interesse in höchstem Maße schützenswert. Sei es zum einen, um das Tagesgeschäft aufrecht zu erhalten oder zum anderen, die Daten vor Fremdzugriff (Wettbewerbsvorteil) zu schützen.

Im Fall von personenbezogenen Daten kommt ein weiterer Aspekt hinzu. Die Person, über die die Daten erhoben worden sind, hat ein berechtigtes Interesse daran, dass diese Informationen nicht in fremde Hände fallen und unberechtigterweise ausgewertet oder weiterverarbeitet werden. Hier stößt man auf das weitläufige und zuweilen heiß diskutierte Thema „Datenschutz".

In Bezug auf den Datenschutz gibt es für viele Firmen die gesetzlich verankerte Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten (siehe oben). Der Datenschutzbeauftragte sorgt für die Schulung der Mitarbeiter in Bezug auf den vertraulichen Umgang mit personenbezogenen Daten, der Sensibilisierung für die so genannte Datensparsamkeit (Sammeln nur wirklich benötigter Daten) und der Einhaltung der gesetzlichen und standesrechtlich relevanten Bestimmungen. Der Datenschutzbeauftragte muss dabei nicht aus der eigenen Praxis oder dem eigenen Unternehmen stammen, sondern kann als Dienstleistung z.B. über Standesorganisationen oder EDV-Sachverständige extern beauftragt werden. Ausgeschlossen von der Arbeit als Datenschutzbeauftragter ist der Firmenchef selbst sowie der mit der Wartung der EDV Anlage beauftragte Systemadministrator oder IT-Dienstleister (Vier-Augen-Prinzip).

Konkret biete ich folgende Leistungen an:

  • Schulung der Mitarbeiter hinsichtlich der Einhaltung des Bundesdatenschutzgesetzes (Datengeheimnis § 5 BDSG)
  • Verpflichtung der Mitarbeiter zur Einhaltung des Datenschutzes
  • Erstellung und Aktualisierung des „Verfahrensverzeichnisses für Jedermann"
  • Erstellung und Aktualisierung der „internen Verarbeitungsübersicht" (zukünftig mit dem vorherigen Punkt zusammengefassten, nicht öffentlichen "Verzeichnis der Verarbeitungstätigkeiten")
  • Durchführung von Vorab-Kontrollen
  • Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen
  • Überwachung der technisch-organisatorischen Maßnahmen
  • Beantwortung konkreter Anfragen von Mitarbeitern zum Datenschutz
  • Kontrolle, insbesondere durch Prüfung der Erforderlichkeit einer Vorabkontrolle und Durchführung der Vorabkontrolle (§ 4d Abs.5 BDSG)
  • Hilfestellung am Arbeitsplatz
  • Prüfung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme zur Verarbeitung personenbezogener Daten (§ 4 g Abs.1 Nr.1 BDSG)
  • Prüfung der Einhaltung der datenschutzrechtlichen Erfordernisse in der Betriebskommunikation
  • Auskunfts- und Registeraufgaben, insbesondere durch Auskunftserteilung gegenüber Betroffenen  (Verwaltung der Verfahrensverzeichnisse für die Bereiche, die personenbezogene Daten verarbeiten)
  • Auskunft über etwaige Meldepflichten der verantwortlichen Stelle
  • Optimierung der technischen und organisatorischen Abläufe der Datenerhebung und -verarbeitung, insbesondere durch Erstellung und Pflege der Datenschutz-Dokumente (z.B. öffentliches Verfahrensverzeichnis, Verfahrensbeschreibung/ interne Verfahrensübersicht, Datenschutzkonzeption, notwendige Dokumentationen für automatisierte Abrufverfahren, Definition und Dokumentation technischer und organisatorischer Maßnahmen bei der Auftragsdatenverarbeitung)
  • Unterstützung der Durchsetzung unternehmerischer Entscheidungen, insbesondere durch Prüfung auf Konformität mit datenschutzrechtlichen Vorschriften; ggf. Entwicklung von Alternativlösungen, die datenschutzrechtlich unbedenklich und betriebswirtschaftlich möglichst wenig aufwendig sind
  • öffentlichkeitswirksame Darstellung von Datenschutzmaßnahmen

Phasen der Betreuung durch den Datenschutzbeauftragten

  1. Analyse und Angebot – Festlegung des Betreuungsumfangs
    1. Erste Kontaktaufnahme mit Besuch im Unternehmen; Analyse des Aufwande bzw. Schutzbedarfes; Kostenfestlegung
  2. Grundlagenschulung und Information der Geschäftsführung und der Mitarbeiter
    1. Was bedeutet Datenschutz? Sensibilisierung für das Thema und Aufzeigen der konkreten Auswirkungen auf die eigene tägliche Arbeit
    2. Vorstellung des Datenschutzbeauftragten und seiner Aufgaben
    3. Abstimmen der weiteren Vorgehensweise (Audit, Schulung Teil 2)
  3. Datenschutz-Audit
    1. Das Unternehmen wird vor Ort bzgl. datenschutzrechtlicher Bestimmungen untersucht. Es handelt sich hierbei um eine organisatorische und technische Betrachtung.
  4. Umsetzung des Bundesdatenschutzgesetzes
    1. Verpflichtung der Mitarbeiter zur Einhaltung des Datenschutzes
    2. Erstellung des "Verzeichnis der Verarbeitungstätigkeiten" (früher „Verfahrensverzeichnisses für Jedermann" und „Internen Verarbeitungsübersichten")
  5. Laufende Betreuung
    1. Bei neu einzuführenden IT-Systemen prüft er die datenschutzrechtliche Relevanz und erteilt Freigaben.
    2. Der externe Datenschutzbeauftragte ist Anlaufstelle bei Fragen von Betroffenen im Bereich Datenschutz.
    3. Er steht dem Kunden rund um Fragen des Datenschutzes zur Verfügung.
    4. Er  ist Anlaufstelle für Fragen des Arbeitnehmer-Datenschutzes.
    5. Er übernimmt den Kontakt zur Aufsichtsbehörde.
    6. Der externe Datenschutzbeauftragte besucht das Unternehmen regelmäßig und überprüft die ordnungsgemäße Ausführung der vereinbarten Maßnahmen.
    7. Einmal jährlich wird ein Datenschutzbericht erstellt, in dem die eingeleiteten Maßnahmen, Vorfälle, Anfragen usw. dokumentiert werden.

Ein Angebot für diese Dienstleistung erhalten Sie gern auf Anfrage.

Bewerte diesen Beitrag:
BMW und Digitalisierung: Eine Never Ending Story.....
Öffentliche Bestellung für weitere fünf Jahre verl...

Kommentare

 
Keine Kommentare vorhanden