Wichtig zu wissen!

Kategorie: Wichtig zu wissen!

2018
06. Feb.

Europäische Datenschutzgrundverordnung (DSGVO)

Am 25.05.2018 ist es soweit: Die DSGVO tritt zwei Jahre nach ihrer Veröffentlichung in Kraft. Die notwendigen Anpassungen könnten Ihr Unternehmen durchaus vor eine größere Aufgabe stellen, sollten Sie nicht bereits tätig geworden und entsprechend vorbereitet sein.

Wichtig für Sie ist, zu prüfen, in welchem Umfang Ihr Unternehmen von den neuen Regelungen betroffen ist und wie Sie momentan mit Blick auf den Datenschutz aufgestellt sind.

Wir bieten Ihnen einen kurzen Überblick über die Neuerungen und stehen Ihnen gern unterstützend zur Verfügung. Für eine rechtliche Beratung oder Hilfestellungen im Bereich Informationstechnologie verweisen wir gern auf einen unserer Netzwerkpartner.

Übersicht
Die DSGVO vereinheitlicht die Regeln zum Datenschutz in Europa. Sie steht über dem Bundesdatenschutzgesetz (BDSG), entsprechend wird dieses überarbeitet, um den Bestimmungen der DSGVO zu genügen.

Die wesentlichen Grundprinzipien der DSGVO:

  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht

Den Personen, deren Daten verarbeitet werden, werden größere Rechte eingeräumt. Die Prozesse innerhalb eines Unternehmens müssen entsprechend geprüft werden, um etwa das „Recht auf Vergessenwerden“ auch umsetzen zu können.  

Die Datenschutzaufsicht in Deutschland unterliegt weiterhin den verschiedenen Landes- und Bundesbehörden. Diese überprüfen die Unternehmen und sind Ansprechpartner bei Datenschutzverstößen. Auch das mögliche Bußgeld wird durch diese Behörden verhängt. Und dieses wurde deutlich erhöht. Der Rahmen umfasst nun bei „normalen“ Verstößen bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes. Maßgeblich ist der höhere Betrag, und bei schweren Verstößen kann sich dieser auch noch verdoppeln.

Eine Herausforderung stellt zudem die Meldepflicht bei Datenschutzverstößen dar. Bereits 72 Stunden nach Bekanntwerden der Verletzung muss die Meldung an die Aufsichtsbehörde erfolgen. Die betroffenen Personen selbst sind unverzüglich zu informieren.

Mit der DSGVO wird der Schutz personenbezogener Daten für Sie zu einer ernst zu nehmenden Aufgabe. Es gilt, die Prinzipien des Datenschutzes nicht nur einzuhalten, sondern dies auch nachweisen zu können. Gut, dass das Bundesdatenschutzgesetz im europäischen Vergleich bereits sehr umfangreich war und nicht alles komplizierter wird. Sie müssen also gegebenenfalls Änderungen durchführen und neue Maßnahmen ergreifen, jedoch keineswegs verzweifeln.

Was ist zu tun?
Um Datenschutzverletzungen innerhalb der vorgegebenen Zeitspanne zu melden, ist es hilfreich, Zugriffe und Zugriffsberechtigungen elektronisch zu erfassen. Mit entsprechenden Lösungen können Sie schnell, einfach und sehr genau nachvollziehen, wer auf welche Daten zugreifen kann und wie lange er diese Berechtigung bereits hat. Dadurch werden nicht nur Fehler im Berechtigungssystem früh erkannt und mögliche Schäden vermieden, es kann hierdurch auch die Meldung an die Aufsichtsbehörden schnell und mit allen notwendigen Informationen erfolgen.

Bei einer Überprüfung müssen Sie nachweisen können, dass personen-
bezogene Daten gegen Verlust, unbeabsichtigte Änderungen und unbefugten Zugriff gesichert sind. Auch hier ist eine gute Software-Lösung in der Lage, die Rechtestruktur auszuwerten und so den Ist-Zustand sowie die Historie übersichtlich darzustellen. Mit einer automatisierten Berechtigungs-
anlage und unmittelbarem Berechtigungsentzug bei Austritt oder Abteilungswechsel kann zum einen die Datensicherheit erhöht werden und können zum anderen Kosten eingespart werden.

Wie bisher auch müssen Sie unter bestimmten Voraussetzungen (Artikel 37 Abs. 1 DSGVO) einen Datenschutzbeauftragten benennen. Hierbei kann es sinnvoll sein, bereits einen Datenschutzbeauftragten zu benennen, bevor die Voraussetzungen erfüllt sind. Aus unterschiedlichen Gründen kann auch die externe Beauftragung eines Experten Vorteile bieten. So können beispielsweise die eigenen Mitarbeiter ihren Kernaufgaben nachgehen, und gleichzeitig verantwortet ein zertifizierter Experte die Einhaltung der Regelungen und bietet weitergehende Beratungsleistungen an.

Bei den drei aufgezählten Punkten handelt es sich lediglich um einen Auszug aus der DSGVO. Es gibt zahlreiche Dienstleister, welche Sie bei der Vorbereitung auf das Inkrafttreten der DSVO und darüber hinaus betreuen können. Gern vermitteln wir Ihnen den richtigen Ansprechpartner.

Nächste Schritte
Wo stehen Sie bei der Umsetzung der Anforderungen aus der DSGVO? Das bayrische Landesamt für Datenschutzaufsicht bietet unterschiedliche Hilfestellungen zur Standortbestimmung an. Auch über die Industrie- und Handelskammern können unterschiedliche Checklisten aufgerufen werden. Zudem werden zahlreiche Seminare und Workshops angeboten. Unter https://www.lda.bayern.de/tool/start.html finden Sie einen interaktiven Online-Test.

Weitere Informationen und Unterlagen:
https://www.lda.bayern.de/media/dsgvo_fragebogen.pdf
https://www.stuttgart.ihk24.de/Fuer-Unternehmen/recht_und_steuern/Aktuelles/prueffragebogen-zur-datenschutz-grundverordnung/3821774

Nach der Standortbestimmung können Sie individuelle Maßnahmen ergreifen. Analysieren Sie, welche Vorgaben Sie zwingend umsetzen müssen, und priorisieren Sie entsprechend. Wo ist es sinnvoll, externe Unterstützung in Anspruch zu nehmen?

Auf die Bestandsaufnahme folgen der Vergleich zum Soll-Zustand und eine damit verbundene Risiko-Analyse. Hierbei gilt es, für die Umsetzungsphase einen Projektplan zu entwickeln und besondere Risiken sowie Quick Wins zu identifizieren.

Haben Sie alle Vorgaben erfüllt und die Maßnahmen in Ihren Alltag implementiert, gilt es, die Prozesse regelmäßig zu prüfen und insbesondere bei Änderungen des Geschäftsbetriebs oder der IT-Infrastruktur genauer hinzusehen.

Fazit
Die Zeit rennt. Wenn Sie noch nicht alle Vorgaben erfüllen, müssen Sie nun tätig werden. Die Verordnung ist ernst zu nehmen und die Höhe der Bußgelder kann wehtun. Gleichzeitig gibt es mittlerweile zahlreiche externe Quellen und Dienstleister, welche bei der Umsetzung der Anforderungen unterstützen.

Prüfen Sie parallel Ihren Versicherungsschutz.

  • Haben Sie eine D&O-Versicherung?
    Die Verantwortung zur Organisation des Datenschutzes liegt bei der Geschäftsleitung und auch der Datenschutzbeauftragte ist zukünftig persönlich in der Haftung.  
  • Haben Sie eine Cyber-Versicherung?
    Die Cyber-Versicherung deckt nicht nur Drittansprüche aufgrund einer Datenschutzverletzung, sondern trägt auch die Abwehrkosten in einem behördlichen Datenschutzverfahren.

Haben Sie Fragen? Wir helfen.

Ihr Ansprechpartner
Thomas Clemens
Tel. +49 7121 923-1159
clemens@rvm.de