Umsetzung DSGVOUmsetzung DSGVO
Skip to main content

DSGVO

Datenmanagement in EU-Unternehmen

Inhalte

DSGVO Allgemein

DSGVO [Datenschutzgrundverordnung]

  • Ab 24.05.2016 in Kraft und seit 25.05.2018 rechtlich bindend
  • EU-Recht

BDSG [Bundesdatenschutz Gesetz]

  • Ergänzt die DSGVO
  • Löst das BDSG (alt) ab
  • Nationales Recht

Wofür steht die DSGVO?

  • Schutz natürlicher Personen durch Schutz ihrer personenbezogenen Daten
  • Europaweit einheitlicher Datenschutz
  • Herausforderung Digitalisierung annehmen
  • Klare Verantwortlichkeiten
  • Wirksame Strafen

Ziele

  • Stärkere Haftung multinationaler Konzerne
  • Vereinfachung des Datenverkehrs innerhalb der Union und Gewährleistung eines einheitlichen Schutzniveaus

Grundsätze der Datenverarbeitung

Art. 5 DSGVO

  • Abs. 1
    • Rechtmäßigkeit, Verarbeitung nach Treu & Glauben, Transparenz
    • Zweckbindung
    • Datenminimierung
    • Richtigkeit
    • Speicherbegrenzung
    • Integrität & Vertraulichkeit
  • Abs. 2
    • Rechenschaftspflicht des Verantwortlichen

Rechtmäßigkeit

Verarbeitung nur rechtmäßig, wenn ... |Art. 6.1ff|

  • Einwilligung erteilt
  • für die Vertragsdurchführung notwendig ‚ ...soweit erforderlich‘
  • berechtigtes Interesse vorliegt
  • Interessenabwägung:
    • Berechtigtes Interesse vs. Schutzwürdigkeit der Person

Betroffenenrechte

  • Aufklärung (umfassende Informationspflichten) |Art. 12ff|
  • Auskunft (sehr umfassende Auskunftspflicht) |Art. 15|
  • Recht auf Erhalt einer Kopie der Daten
  • Widerspruchsrecht |Art. 21|
  • Berichtigung der Daten |Art. 16|
  • Löschung |Art. 17|
    • Recht auf „Vergessenwerden“
  • Einschränkung der Verarbeitung |Art. 18|
  • Datenübertragbarkeit |Art. 20|
  • Anrufung Datenschutzbehörde |Art. 77|
  • Recht auf Rechtsbehelf |Art. 79|
  • Schadenersatz |Art. 82|

Definition

Verarbeiten von personenbezogenen Daten ist:

  • BDSG [Bisher §28]
    Erheben, Verarbeiten (speichern, ändern, übermitteln, sperren, löschen), Nutzen
  • DSGVO [Neu Art. 4]
    Erheben, Erfassen, Organisation, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen, Übermitteln, Verbreiten, Bereitstellen, Abgleichen, Verknüpfen, Einschränken, Löschen, Vernichten

Schutz der Daten

  • Bisher BDSG [alt §9 inkl. Anlagen]
    • TOMs („8 Gebote“: Zutritt, Zugang, Zugriff, Weitergabe, Eingabe, Auftrag, Verfügbarkeit, Trennung)
  • Neu DSGVO [Art. 5 & 32]
    • Annäherung an Vorgehen der Informationssicherheit nach ISO 27002 => Vertraulichkeit, Integrität, Verfügbarkeit
    • Umsetzung: Risikobasierter Ansatz
      • Orientierung am Risiko der Verarbeitung => Datenschutzfolgeabschätzung
      • Rechenschaftspflicht: Beweislast beim Unternehmen
    • Verstöße
      • Abstrakt bußgeldbewährt (unabhängig vom Eintritt eines Schadens)
      • Bis zu 10 Mio. € oder 2% weltweiter Jahresumsatz evtl. Beispiel für nicht Benennung

Risiken und Fehler bei der Datenverarbeitung

Typische Schwachstellen

  • Papier, Drucker (Entsorgung & Abfalleimer)
  • USB-Sticks (Speicherkarten & Datenträger)
  • Mobile Endgeräte (Handy, Notebook, „bring your own device“)
  • eMail, Messenger Dienste, facebook-Kommunikation
  • Datenverfügbarkeit (Cloud, Backup)
  • Rechtesystem (Gebäude, Systeme, Dokumente)

Fehler

  • Vertrauliche Auskünfte am Telefon
  • Ungesicherter Zugang zu Betriebsräumen
  • Vertrauliche Unterlage offen zugänglich
  • Schwache Passwörter
  • Datenschutz nur in der Firma (.. und Home Office, Dienstreise?)
  • Alte, schlecht gewartete Hard- und Software

Wichtige Bestandteile DSGVO-konformer Datenverarbeitung in Unternehmen

Rechtliche Grundlage

  • Welche Gesetze gelten (DSGVO, BDSG, …)?
  • Habe ich eine Einwilligung (zweckgebunden!)?
  • Gibt es Dritte, die auf meine Daten zugreifen?
    • Auftragsverarbeiter

Achtung!

  • Die Einwilligung muss DSGVO-konform sein
    • Vorhandene Einwilligungen prüfen!
  • Wie sind meine Löschfristen?
  • Sind die Verfahren richtig beschrieben?

Einwilligungserklärung

  • Eindeutig bestätigende Handlung |ErwäGr Art. 32|
  • Nachweispflicht |Art. 7 Abs. 1|
  • Transparenzpflicht / Informiertheit |Art. 7 Abs. 2|
  • Hervorhebungsgebot |Art. 7 Abs. 2|
  • Rechtmäßigkeitspflicht |Art. 6 & Art.8|
  • Treu & Glauben |Art. 5|
  • Jederzeit widerrufbar |Art. 7.3|
  • Freiwilligkeit |ErwäGr Art. 42|
  • Sonderregelung für Einwilligung von Kindern |Art. 8|

Auftragsverarbeitung (AV)

  • Übertragung von kompletten Funktionen (Verarbeiter ist weisungsgebunden)
  • Keine Minderung des Datenschutzniveaus
  • Verantwortung bleibt beim Auftraggeber
  • aber: Gesamtschuldnerschaft mit Auftragnehmer!

Drittlandtransfer (Ex- EU)

  • Zweistufige Prüfung |Art.45 & 46|
    • Rechtsgrundlage?
    • Angemessenes Datenschutzniveau
  • Bisher anerkannt durch EU:
    • Andorra, Argentinien, Faröer Inseln, Guernsey, Isreal, Isle of Man, Kanada, Neuseeland, Schweiz, Uruguay
  • Sonst:
    • Akzeptanz der EU-Standardvertragsklauseln
    • Verbindliche Unternehmensrichtlinien
    • USA Unternehmen [Privacy Shield? (vs. patriot act)]

Der Datenschutzbeauftragte (DSB)

Wann brauche ich einen DSB?

Wenn mindestens einer der folgenden Punkte zutrifft:

  • Bei automatisierter Verarbeitung von personenbezogenen Daten |Art.37|
  • Bei Verarbeitung besonderer Kategorien personenbezogener Daten |Art.37|
    • U.a. rassische und ethnische Herkunft; politische Meinungen; religiöse oder weltanschauliche Überzeugungen; Gewerkschaftszugehörigkeit
    • Sowie z.B. genetischer und biometrischer Daten; Gesundheitsdaten Daten oder Daten der sexuellen Orientierung
  • Mind. 10 Personen (auch Auszubildende, Teilzeit, ...) sind mit der Datenverarbeitung beschäftigt, bspw. durch Tätigkeiten am Computer |BDSG §38|
  • Bei Verarbeitungsvorgängen, die eine Datenschutzfolgeabschätzung benötigen |BDSG §38|
  • Geschäftsmäßige Verarbeitung pers. bezogener Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung |BDSG §38|

Was passiert ohne DSB?

  • Haftungsgefahr Management
    Persönliche Haftung wg. Verstoß Sorgfaltspflicht (HGB)
    Ordnungswidrigkeit (OWiG §130 bis zu 1 Mio. €)
  • Verstoß gegen DSGVO [Geldbuße bis 10 Mio. oder 2 % Konzernumsatz |DSGVO Art. 83|]
  • Abmahnungsrisiko / Reputations -/ Imageschaden & Kundenverlust

Umsetzung der DSGVO in Unternehmen

Analyse

Wo stehen wir heute?

  • Aktuellen Status feststellen und dokumentieren
  • Verarbeitungsprozesse identifizieren
  • Datenflüsse prüfen
    • Welche personenbezogenen Daten habe ich?
    • Wo werden personenbezogene Daten gespeichert?
    • Wer hat Zugang zu diesen Daten?
    • Wer arbeitet mit diesen Daten?

Dokumente prüfen

  • Lieferanten- (AV) / Kundenverträge
  • Mitarbeiterverträge/Verpflichtungserklärungen
  • Vorhandene Einwilligungen
  • ...

Webseite / soziale Medien prüfen

  • Impressum
  • Datenschutzhinweise
  • ...

Technik prüfen

  • Rechner / Server / Notebook / Smartphone /Switch
  • Backup / Archiv / Cloud
  • LAN / WLAN
  • VPN / Verschlüsselung
  • CRM, Dokumentenmanagement, Buchhaltung, HR
  • Telefonanlage, eMail, Messenger
  • Papier: Druck & Entsorgung
  • Videoüberwachung
  • ...

Aufgaben des Verantwortlichen

  • Datenschutzleitlinien erstellen
  • Datenschutz-Management-System installieren
  • Technische und organisatorische Maßnahmen ergreifen
  • Verarbeitungsverzeichnis erstellen
  • Einhaltung der Informationspflichten gem. Art. 13 + 14
  • Privacy-by-design, Privacy-by-default prüfen
  • Meldeverfahren installieren
  • Mitarbeiter informieren und schulen
  • Maßnahmen regelmäßig überprüfen und bewerten

Risikomanagement

  • Risikoorientierung als zentrales Prinzip der DSGVO
    • Schadenspotenzial und Eintrittswahrscheinlichkeit bestimmen das Risiko
    • Risiken aus Unternehmenssicht dürfen/ sollen mitbetrachtet werden (auch monetäre Schäden und Zeitaufwände)
  • Risikoorientiertes Vorgehen wird insbesondere bei folgenden Einzelvorschiften gefordert
    • Datenschutz durch Technikgestaltung |Art. 25|
    • Sicherheit der Verarbeitung |Art. 32|
    • Benachrichtigungen bei Datenschutzverstößen |Art. 33 und 34|
    • Datenschutz-Folgenabschätzung |Art. 35|
  • Große Risiken vermeiden
  • Kleine Risiken akzeptieren

Datenschutzniveau definieren:

  • Was kann / soll das Unternehmen umsetzen?
  • Wie viel benötige ich / will ich mir leisten?
  • Welches Risiko bin ich bereit einzugehen?
  • Soll-Konzept erarbeiten

Umsetzung

  • Verarbeitungsverzeichnis erstellen
    • Beschreibung aller Datenverarbeitungsvorgänge
  • TOMs erstellen / prüfen
  • Abläufe anpassen
    • Prozess zur Einhaltung der Umsetzung von Betroffenenrechten implementieren
    • Einhaltung von Löschfristen sicherstellen
  • Mitarbeiter schulen
    • Schulungstermin festlegen
    • Schulung dokumentieren
  • Auftragsverarbeiter identifizieren
    • Verträge prüfen und ggf. aktualisieren

Evaluation

  • Regelmäßige Überprüfung der Prozesse
    • Z.B. jährliches Audit
  • Ggf. Anpassung der Prozesse
  • Dokumentation der Überprüfung und/oder Änderungen

Vorteile des Unternehmens bei konsequenter Umsetzung der DSGVO

Nutzen für das Unternehmen bei Umsetzung der DSGVO
Kernprozesse identifiziert
Arbeitsabläufe optimiert
IT optimiert
Mitarbeiter sensibilisiert
Prozesse dokumentiert
Qualität gesichert
Qualifikation erhöht
Wettbewerbsvorteile durch bessere Prozesse und höhere Qualität

Konsequenzen bei Verstößen

  • Kunden werden Datenschutz fordern
  • Imageschaden / Reputationsverlust
  • Prüfungen durch Landesdatenschutz jederzeit möglich
  • Anonyme Anzeigen durch Mitbewerber
  • Zunehmendes juristisches Risiko
  • Strafbewehrte Verstöße nach DSGVO & BDSG

DSGVO |Art. 83| Ahndungspflicht

  • 10 Mio. € oder 2% weltweiter Jahresumsatz bei
    • Bestimmung bei Einwilligung von Kindern missachtet
    • Einsatz datenschutzunfreundlicher Technologie
    • Hinderung des Datenschutzbeauftragten bei Ausführung seiner Tätigkeit
  • 20 Mio. € oder 4% weltweiter Jahresumsatz
    • Datenschutz-/Rechenschaftsgrundsätze verletzt
    • Datenverarbeitung ohne Rechtsgrundlage
    • Missachtung der Voraussetzungen für Einwilligung
    • Missachtung Betroffenenrechte

Leistungen und Preise

LeistungInhaltPreis
Stellung eines Datenschutzbeauftragten 
  • Ansprechpartner für Ihre Unternehmung per Telefon und/oder per E-Mail. Maximal 3 Std. pro Monat
  • Lieferung benötigter Dokumentenvorlagen
 
500,00 € / Monat
Bestandsaufnahme der Ist-Situation zum Festpreis 
  • 1. Workshop vor Ort. Ziel: Welche Pflichten werden bereits erfüllt, welche Aufgaben sind offen Im Nachgang: Definition der Arbeitspakete
  • 2. Workshop vor Ort: Übernahme und Besprechung der Ergebnisse aus den Arbeitspaketen
  • Im Nachgang: Weitere ToDo`s und Termine
 
2.500,00 € / Monat
Unterstützung des Verantwortlichen 
  • Schulung der Mitarbeiter
  • Unterstützung bei der Erstellung von Verarbeitungsverzeichnissen
  • Überführung/Anpassung vorhandener Verträge mit Auftragsverarbeitern
 
150,00 € / Stunde
  • Der Vertrag wird mit der DP-Dock GmbH geschlossen (https://www.dp-dock.com)
  • Die Laufzeit des Vertrages ist unbefristet. Kündigung mit einer Frist von 3 Monate zum Halbjahr
  • DP-Dock schlägt eine qualifizierte Person vor, die zum DSB benannt wird
  • Diese Person wird zukünftig Ihr Hauptansprechpartner
  • Vertretungsregelungen werden über (andere) Datenschutzbeauftragte von DP-Dock realisiert, so dass Sie jederzeit einen Ansprechpartner haben
  • Bei Vertragsschluss (oder im Nachgang) wird festgelegt, wie viele Stunden pro Monat geleistet werden sollen
  • Alle Preise verstehen sich zuzüglich Umsatzsteuer und, sofern notwendig, zzgl. Reisekosten und -zeiten ab Hamburg