DSGVO - Was müssen Unternehmen beachten?

7 Expertenantworten: Foto von Manuel Schmöllerl Foto von Ralf Schulten Foto von Dr. Thomas Lapp Foto von Guido Aßhoff Foto von Kerstin Blossey Foto von Dr. Klaus Meffert Foto von Sonja Holzherr

Antworten:

Foto von Manuel Schmöllerl
Antwort von Manuel Schmöllerl .
Digital Marketing & ePrivacy Wien

Unternehmen jeglicher Größe sollten sich bewusst sein, dass Sie zu 99,9 % personenbezogene Daten – in welcher Form auch immer – verarbeiten. Die Datenschutzgrundverordnung sieht hier einige Auskunfts- und Dokumentationspflichten vor.

Grundsätzlich geht es darum, dass Daten natürlicher Personen geschützt werden müssen. Sollten diese Daten noch dazu sensibel sein, unterliegen diese sogar einem erhöhten Schutzbedarf. Hier müssen besondere Maßnahmen ergriffen werden.
Der komplette Prozess muss in einem Verarbeitungsverzeichnis dokomentiert sein und auf Anfrage der Datenschutzbehörder vorgelegt werden können.
Betroffene haben auch das Recht auf Auskunft, welche Daten in Ihrem Unternehmen verarbeitet werden. Diese Auskunft muss innerhalb von 1 Monat erfolgen.
Bei einer Datenpanne muss sogar innerhalb von 72 Std. ein Meldung an die Datenschutzbehörder ergehen.

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

Foto von Ralf Schulten
Antwort von Ralf Schulten .
Partner Büsing Müffelmann & Theye Frankfurt am Main

Die DSGVO bringt zahlreiche Änderungen in der internen Ablauforganisation eines Unternröksowie u.a. den Zugriffsrechten, den Informatioms- und Auskunftsrechten mit sich. Insgesamt bewirkt die DSGVO daher - zumindest in einigen Bereichen -eine Ausrichtung der Abläufe eines Unternehmens unter steter Beachtung der DSGVO.
Diese Strukturen und Abläufe  müssen für jedes Unternehmen individuell im Einklang mit der DSGVO konzipiert und implementiert werden, um die erforderliche Compliance herzustellen.
Allen Unternehmen kann daher nur geraten werden - sofern noch nicht geschehen - ein entsprechendes Projekt unter fachkundiger Begleitung durch einen externen, erfahrenen Juristen aufzusetzen, um die sich aus den empfindlichen Bußgeldern ergebenden Risiken zu reduzieren.

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

3 passende Publikationen von Ralf Schulten

Cover zu Gesetzeskonforme Datenhaltung in der öffentlichen Verwaltung
Cover zu Rechtliche Gestaltung von Benchmarking Klauseln
Cover zu Leitfaden Benchmarking
Foto von Dr. Thomas Lapp
Antwort von Dr. Thomas Lapp .
Rechtsanwalt und Mediator IT-Kanzlei dr-lapp.de Frankfurt am Main

Ab 25.05.2018 wird die DSGVO europaweit gelten. Damit verbunden sind etliche Änderungen in nahezu allen Bereichen des Datenschutzrechts, sodass auch Unternehmen betroffen sind, die aktuell die geltenden Regelungen korrekt umgesetzt haben. Andere Unternehmen sollten Sie schleunigst mit den Anforderungen der DSGVO auseinandersetzen.

Verstöße gegen Datenschutzrecht werden ab 25.05.2018 mit deutlich höheren Bußgeldern als bisher geahndet. Bußgelder können bis zu 10 Millionen bzw. 20 Millionen € oder für juristische Personen bis zu 2 % bzw. 4 % des weltweiten vor Jahresumsatzes betragen – je nach Art und Schwere des Verstoßes. Außerdem droht ab 25.05.2018 eine Abmahnungswelle.

Änderungen betreffen insbesondere neue Verpflichtung zur Dokumentation der Einhaltung der datenschutzrechtlichen Vorschriften, neue Verfahren bei der Erhebung, Speicherung und Verarbeitung personenbezogener Daten, Durchführung einer Folgenabschätzung, Erstellung von Verarbeitungsverzeichnissen, Neuformulierung der Vereinbarungen mit Dritten (früher Auftragsdatenverarbeitung, jetzt Auftragsverarbeitung mit anderen Anforderungen), Neuformulierung von Betriebsvereinbarungen, geänderte Anforderungen an und Stellung des Datenschutzbeauftragten.

Typischerweise startet man mit einer GAP-Analyse und geht dann daran, die Defizite Stück für Stück bis zum Inkrafttreten der Verordnung 25.05.2018 zu beseitigen.

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

1 passende Publikation von Dr. Thomas Lapp

Cover zu Transparenzgebot bei Online-AGB
Foto von Guido Aßhoff
Antwort von Guido Aßhoff .
Partner, Fachanwalt für gewerblichen Rechtsschutz & Fachanwalt für IT-Recht AßHOFF.Legal Frechen

Privacy is not a goal, it’s a journey!

Wenn Unternehmen die DSGVO umsetzen wollen, müssen Sie das Thema mit Leben füllen! Es bestehen viele Erklärungsdefizite. Es gibt nämlich gute Gründe, Datenschutz im Zeitalter der Digitalisierung anders zu denken. Grundvoraussetzung ist jedoch zu verstehen, was Datenschutz für die täglichen Unternehmensprozesse bedeutet. Hierzu einige Thesen:

  1. Datenschutz ist Prozessmanagement! Grundvoraussetzungen des Datenschutzes ist zu verstehen, wie man personenbezogene Daten und in welchen Prozessen man diese verarbeitet.
  2. Datenschutz ist Teil eines gelebten IT-Security Konzepts, da personenbezogene Daten vor unberechtigtem Zugriff, Veränderung und Verlust geschützt werden müssen.
  3. Workflows und Prozessmanagement muss auf DSGVO ausgerichtet werden.
  4. Auf Grundlage der entsprechenden Dokumentation ist ihnen einerseits die rechtliche Umsetzung sowie die Einhaltung der Rechenschaftspflichten möglich. Auf dieser Grundlage ist dann zu prüfen, auf welcher rechtlichen Grundlage personenbezogene Daten erhoben werden.
  5. Wichtig ist zudem die Transparenz der Verarbeitung im Sinne der §§ 13 und 14 DSGVO und die Berücksichtungung der Betroffenenrechte sowie die Verpflichtung externer Partner ordnungsgemäß Daten zu verarbeiten (Auftragsverarbeitung).

1 Nutzer fand diese Antwort hilfreich. Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

3 passende Publikationen von Guido Aßhoff

Cover zu Virtual Reality and Augmented Reality: A New Reality  for Brand Owners?
Cover zu Mysterium Abmahnwelle – Der Referentenentwurf zum Schutz vor rechtsmissbräuchlicher Abmahnung und seine Wirksamkeit in der Praxis
Cover zu Das Internet vergisst nicht!
Foto von Kerstin Blossey
Antwort von Kerstin Blossey .
Geschäftsführerin Blossey & Partner Datenschutz-Beratung Dürrwangen

Die DSGVO/GDPR ist aus unserer Sicht eine konsequente Weiterentwicklung der bisherigen Datenschutzanforderungen an Personendaten-verarbeitende Stellen. Aus langjähriger Erfahrung mit dem betrieblichen Datenschutz in Konzernen sehen wir unter anderem folgende Aspekte, die Sie beachten sollten - da die Anfrage sehr allgemein gehalten ist, an dieser Stelle nur ein paar Punkte, die Sie vielleicht nicht an jeder anderen Stelle ebenfalls vorgesetzt bekommen...

1. Stellen Sie sicher, dass Datenschutz bei Ihnen Chefsache ist. Nur in dem Maß, in dem die Geschäftsführung den Datenschutz selbst lebt, kann sie ihn auch von ihren Beschäftigten erwarten.

2. Legen Sie fest, wer für den Datenschutz verantwortlich ist - haftungstechnisch steht die Geschäftsführung in der Pflicht, aber auch inhaltlich sollte eine entsprechende Personalie vorhanden sein. Die geltenden Datenschutzanforderungen muss jede Stelle erfüllen, daher sollten Sie einen fachkundigen DSB und/oder Berater haben, der zu Ihrem Unternehmen passt.

3. Wenn Sie bereits eine funktionierende Datenschutzorganisation oder sogar ein Datenschutzmanagement etabliert haben, arbeiten Sie konsequent weiter mit Ihrem Konzept UND...

4. ... erweitern Sie Ihr bestehendes Konzept systematisch um die Punkte, die gemäß DSGVO neu hinzugekommen sind, u.a.

  • Möglicherweise Ernennung eines KonzernDSB - dieser benötigt entsprechende Unterstützung in den Einzelgesellschaften Ihrer Unternehmensgruppe, hierfür sind geeignete Ansprechpartner zu etablieren
  • Neben der bisher schon erforderlichen Feststellung der jeweiligen Rechtsgrundlage für die Datenverarbeitung die Anpassung der Vereinbarungen zur Datenverarbeitung im Auftrag durch Geschäftspartner extern oder im Unternehmensverbund sowie in unsicheren Drittstaaten
  • Bekanntmachung/Meldung des DSB/Datenschutzansprechpartners
  • Anpassung des bisherigen Verfahrensverzeichnisses hin zum Verzeichnis der Verarbeitungstätigkeiten
  • Festschreibung der unternehmensgruppenweiten Datenverarbeitung inkl. Daten-/Kommunikationsschnittstellen, Datenempfänger und eingesetzte Systeme
  • Etablierung von Prozessen, u.a. zur Wahrung der Betroffenenrechte, insbesondere
    • zur internen Meldung, Prüfung und Bewertung maßgeblich geänderter oder neu einzuführender Geschäftsprozesse bzw. Verfahrenweisen, Systeme und Anwendungen
    • zur Durchführung einer Datenschutz-Folgenabschätzung bei besonderen Risiken für die Betroffenen, ggf. inkl. Konsultation der zuständigen Aufsichtsbehörde
    • zur Identifzierung, Behandlungen und fristgemäßen Meldung von Datenschutzvorfällen
    • zur vollumfänglichen Transparenz hinsicht der Datenverarbeitung von Betroffenendaten, insbeondere zur Benachrichtigung über die Datenverarbeitung online (Datenschutzinformations-Seite, EU-Cookie-Richtlinie, Reichweitenmessung etc.)
    • zur geregelten Archivierung und Löschung personenbezogener Daten
    • zur Sichererstellung (und dem Nachweis) der Wirksamkeit getroffener Maßnahmen zu Datenschutz und Datensicherheit (Standards, Audits, Zertifizierungen etc.)
  • Umsetzung von privacy by design bzw. privacy by default, insbesondere auch bei Produkten, die Sie möglicherweise anbieten
  • Schlüssige fortlaufende Dokumentation Ihrer Datenschutztätigkeiten
  • Benennung eines Vertreters in der EU, wenn Sie kein EU-Unternehmen sind und Produkte/Dienstleistungen für EU-BürgerInnen anbieten

5. Sensibilisieren Sie alle Ihre Beschäftigten zu den Anforderungen des Datenschutzes an ihrem Arbeitsplatz, und zwar systematisch und regelmäßig. Stellen Sie eine ausreichende Durchdringung in Ihrem Personalstab sicher.

Noch sind einige Themenbereiche nicht abschließend soweit geklärt, dass es klare Handlungsvorgaben zur Umsetzung gibt. Dies gilt u.a. auch für die Gestaltung der Datenschutz-Folgenabschätzung. Entscheidend ist, dass Sie die potientiellen Risiken für Betroffene (Beschäftigte, Interessenten, Kunden/Patienten, weitere Geschäftspartner, Mitglieder etc.) bei der von Ihnen geplanten oder bereits in Durchführung befindlichen Verarbeitung personenbezogener Daten kennen und richtig einschätzen und daraus angemessene Maßnahmen zum Schutz dieser Daten ableiten, umsetzen und deren Wirksamkeit nachhaltig sicherstellen.

Da die DSGVO bereits seit Mai 2016 in Kraft ist, nützt der Hype um Ende Mai 2018, den wir seit geraumer Zeit "auf allen Kanälen" beobachten können, nicht wirklich weiter. Im Gegenteil: Es wird Zeit, spätestens jetzt einmal tief durchzuatmen und dann beherzt, aber nicht panisch, die ernsthaft wichtigen Aufgaben rund um den gesetzlichen Datenschutz systematisch anzugehen. 

Sie öffnen damit eben nicht die Büchse der Pandora, sondern Sie beseitigen eben dieses Damoklesschwert, das schon viel zu lange über Ihrem Unternehmen drohend schwebt. Praxisorientierter Datenschutz im Sinn der Gesetzgeber ist sicherlich mit Aufwand verbunden, aber er bringt Ihnen Mehrwerte, die gerade in der "Verdigitalisierungsphase", in der wir uns historisch befinden, von entscheidendem Vorteil sein können. Wir empfehlen Ihnen beispielsweise die Durchführung eines Projekts zur Datenhaltung. Hier ermitteln Sie Ihren Datenbestand samt Speicherorten, Datenherkunft und Speicherorten und können in deiner weiteren Phase Schutzklassen und damit einen geregelten sichereren Umgang mit Ihren Daten verwirklichen. Darüber hinaus führt das Projekt zu mehr Kontrolle über Ihren Daten- und Informationsbestand analog und digital und arbeitet Ihnen damit auch bei der nun vorgeschriebenen Datenschutz-Folgenabschätzung in die Hände.

Sicherlich gibt es noch viel mehr, was Sie beachten sollten, doch darüber könnten ganze Bücher geschrieben werden - und letztlich hängt es von Ihrem Unternehmen ab, was für Sie tatsächlich maßgeblich ist.

 

 

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

3 passende Publikationen von Kerstin Blossey

Cover zu Der Weg zum eigenen Datenschutzbeauftragten
Cover zu Datenschutz in der Kommunalverwaltung
Cover zu Heißer Herbst für den deutschen Datenschutz 2009
Foto von Dr. Klaus Meffert
Antwort von Dr. Klaus Meffert .
Geschäftsführer IT Logic GmbH Idstein

Neben zahlreichen anderen Pflichten, die in bisherigen Antworten bereits genannt wurden, müssen Unternehmen insbesondere darauf achten, dass deren Webseite Datenschutz-konform ist. Denn die Webseite ist der öffentlichste und einzige jederzeit zugreifbare und kontrollierbare Teil eines Unternehmens.

Jeder Datenstrom muss berücksichtigt werden, denn seit Mai 2017 gelten sogar dynamische IP-Adressen als personenbezogene Daten. Und gerade jene Daten werden von der DSGVO unter besonderen Schutz gestellt.

Neben einer Datenschutzerklärung, die sowohl Standardtexte (halbwegs einfach) als auch individuelle Erklärungen (selbst kaum zu schaffen) enthalten muss, müssen Komponenten auch rechtskonform konfiguriert sein. Beispielsweise dürfen YouTube Videos NICHT in Standardeinstellung verwendet werden. Einige Social Media Plugins gelten an sich als rechtswidrig.

Um eine korrekte Datenschutzerklärung zu erhalten, müssen Datenströme so stark wie möglich minimiert werden. Weiterhin muss eine VOLLSTÄNDIGE Bestandsaufnahme der Webseite vorgenommen werden. Diese kann ein Mensch schlechterdings leisten, schon gar nicht ein Anwalt (Quelltexte lesen?). Hierzu bieten sich Software-Lösungen an, kombiniert mit einer manuellen Zusatzprüfung durch einen Datenschutzexperten sowie Texten vom Anwalt. Hierzu gibt es beispielsweise die Lösung Meine Datenschutzerklärung, die all diese Elemente kombiniert.

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

Foto von Sonja Holzherr
Antwort von Sonja Holzherr .
Firmeninhaber shQ Consulting Rottenburg

Die wichtigsten Punkte, die Unternehmen beachten müssen sind:

  • Prüfung, ob ein Datenschutzbeauftragter bestellt werden muss
  • Erfüllung der Informationspflichten gegen über Mitarbeitern und Externen Personen (Kunden, Lieferanten etc.)
  • Verpflichtung der Mitarbeiter auf das Datengeheimnis
  • Überprüfung aller Prozessabläufe (z.B. Bewerbungsverfahren, Vertriebs-/ Marketingaktivitäten, Personalverwaltung, IT, kaufmännische Verwaltung usw.) in denen personenbezogene Daten verarbeitet werden, ob alle Vorgaben der DS-GVO, des BDSGs und weiterer relvanter Gesetze eingehalten werden
  • Erfüllung der Rechenschaftspflicht
  • Abschluss von Verträgen zur Auftragsverarbeitung 
  • usw.

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.



Weitere Fragen zum Thema Datenschutz