Das neue Datenschutzrecht DSGVO Die aus unternehmerischer Sicht entscheidenden Fragen und Themen zum neuen Datenschutzrecht 2018

Größe: px

Ab Seite anzeigen:

Download "Das neue Datenschutzrecht DSGVO Die aus unternehmerischer Sicht entscheidenden Fragen und Themen zum neuen Datenschutzrecht 2018"

Elke Meissner
vor 6 Jahren
Abrufe

1 Das neue Datenschutzrecht DSGVO Die aus unternehmerischer Sicht entscheidenden Fragen und Themen zum neuen Datenschutzrecht 2018 EU-DSGVO DATENSCHUTZGRUNDVERORDNUNG

2 Sehr geehrte Leserinnen und Leser, die EU-Datenschutzgrundverordnung (DSGVO) ist seit dem vom EU Parlament verabschiedet und trat 20 Tage nach der Veröffentlichung am in Kraft. Man hat sodann eine sportliche 2-jährige Übergangsfrist zur Anwendung beschlossen. Somit ergibt sich der Stichtag , zu welchem die DSGVO direkt und unmittelbar geltendes Recht wird. Deckungsgleiche Vorschriften des BDSG werden damit verdrängt. War Datenschutz bislang von vielen Verantwortlichen eher als nice-to-have angesehen und größtenteils sehr minimal erfüllt, so ergibt sich aus den von der Legislativen gesetzten Schwerpunkten im Datenschutzrecht augenblicklich zum ein Must-have. Die Möglichkeit der Aufsichtsbehörden, Bußgelder nunmehr nicht ausschließlich nach den Maßstäben Verhältnismäßigkeit und Angemessenheit zu verhängen, sondern auch mit dem Ziel der Abschreckung, verleiht den neuen Schwerpunkten entsprechend Nachdruck. Zunächst stellt sich Verantwortlichen damit grundsätzlich die Frage der nun tatsächlich dringend notwendigen Maßnahmen um rechtssicher zum Inkrafttreten der DSGVO aufgestellt zu sein und im Ergebnis Geschäftsführer- oder Gesellschafter- Haftung weitestgehend auszuschließen. Die DSGVO hat so weitreichende Auswirkungen auf Ihre IT, wie keine andere gesetzliche Vorgabe oder Änderung in den letzten Jahren. Themen wie Auskunftspflichten gegenüber Betroffenen, Transparenzpflichten, Privacy by Design sowie Meldepflichten stellen große Veränderungen und Anpassungen im Bereich des Compliancemanagements und der gesamten Strukturierung von Unternehmensprozessen dar. Wir beraten und begleiten Sie als Team aus Rechtsanwälten, Datenschützern und IT-Experten auf Ihrem Weg zur Umsetzung der Anforderungen der Datenschutzgrundverordnung. Natürlich stehen wir Ihnen dabei auch als externe Datenschutzbeauftragte zu Verfügung. Thilo Noack Datenschutzbeauftragter SharedIT-Professional GmbH & Co. KG

I.) Was ändert sich ab 2018 mit Einführung des neuen Datenschutzes? Die Änderungen im Datenschutz sind durch die Einführung eines EU-Datenschutzrechtes, der Datenschutzgrundverordnung zum 25.

Die DSGVO legt zwar keine grundsätzliche Änderung in der Idee des Datenschutzes fest, trägt aber den aktuellen Kernproblemen im Datenschutz Rechnung.

Änderungen betreffen damit konkret: Beschäftigtendatenschutz, Bewerber, ehemalige Mitarbeiter (Transparenzpflichten, Unterweisung im Datenschutz, Speicherung u.a.) Nutzung von Laptops, Smartphones, Internet, Email (Privatnutzung, Firewall, Speichern von Logs, Transparenz- Aufklärungspfl.

Drittländer, also außerhalb EWR/EU (genaue Definition der Verfahren, Rechtsgrundlagen, Sicherheit, Zulässigkeit) Datenschutz by Default, Datenschutz by Design (organisatorischer Datenschutz, Prüfung

3 I.) Was ändert sich ab 2018 mit Einführung des neuen Datenschutzes? Die Änderungen im Datenschutz sind durch die Einführung eines EU-Datenschutzrechtes, der Datenschutzgrundverordnung zum (DSGVO) sehr weitreichend. Die Änderungen durch die Grundprinzipien der DSGVO betreffen jedes Verfahren im Unternehmen und verpflichten auf permanente Selbstkontrolle. Die DSGVO legt zwar keine grundsätzliche Änderung in der Idee des Datenschutzes fest, trägt aber den aktuellen Kernproblemen im Datenschutz Rechnung. Hier geht es dem Gesetzgeber darum, Datenschutz und damit auch datenschutzbezogene IT-Sicherheit nunmehr wirklich verpflichtend ausgestaltet zu wissen. Änderungen betreffen damit konkret: Beschäftigtendatenschutz, Bewerber, ehemalige Mitarbeiter (Transparenzpflichten, Unterweisung im Datenschutz, Speicherung u.a.) Nutzung von Laptops, Smartphones, Internet, (Privatnutzung, Firewall, Speichern von Logs, Transparenz- Aufklärungspfl. u.a.) Datenu bermittlung in sog. Drittländer, also außerhalb EWR/EU (genaue Definition der Verfahren, Rechtsgrundlagen, Sicherheit, Zulässigkeit) Datenschutz by Default, Datenschutz by Design (organisatorischer Datenschutz, Prüfung der eingesetzten Software auf DSGVO) Datenu bermittlungen im Konzern oder gemeinsame Verantwortlichkeiten bei Gesellschaften (Rechtsgrundlagen, Bestimmung der Verfu ger, Vereinfachungen, Risiko, u.a.) Verarbeitung von Daten oder Einsicht in Daten durch Dienstleister in EU / ex EU (Verpflichtung zum Datenschutz, Auftragsverarbeitung) IT-Sicherheit in der Verarbeitung herstellen und testen (Informationstechnologie: Integrität, Verfügbarkeit und Belastbarkeit der Systeme gewährleisten) um die wichtigsten Punkte zu nennen.

4 Die zentrale Norm, Art.5 DSGVO, schreibt grundsätzliche Pflichten im Bezug auf die Verarbeitung vor. Hierzu zählen die Rechtmäßigkeit, Transparenz, Zweckbindung, Integrität und Vertraulichkeit (IT), um die entscheidenden Vorschriften zu nennen. Ganz entscheidend fu r die neue Datenschutz-Grundverordnung ist dabei Satz zwei des Art.5, hier wird im sog. Accountability-Prinzip (Rechenschaftsprinzip) festgelegt, dass sämtliche Normen des Datenschutzes nicht nur eingehalten werden müssen, es wird hier mithin die Pflicht des Nachweises der Einhaltung auferlegt. Dies bedeutet auch in der Praxis eine erhebliche Dokumentations- und Nachweispflicht. Ausgestaltet in der Form, dass nicht nur die Einhaltung der Grundsätze nachgewiesen werden muss, sondern auch bei der Gestaltung von Verarbeitungen personenbezogener Daten und dem Einsatz von verarbeitender Technik entsprechende Berücksichtigung vorab getroffen werden mu ssen. Aus dem Grundsatz der Transparenz entstehen weitreichende Auskunftspflichten und Rechte fu r die Betroffenen. Insofern ist die Planung der Dokumentation als Bestandteil entsprechender Verfahrensdokumentation nach Art. 30 (Verfahrensverzeichnis) DSGVO mit einzubeziehen.

II.) Was ist die Folge von unzureichender Einhaltung der neuen Verordnung? Verstöße unter anderem gegen diese Datenschutz-Grundprinzipien sind bußgeldbewehrt.

5 II.) Was ist die Folge von unzureichender Einhaltung der neuen Verordnung? Verstöße unter anderem gegen diese Datenschutz-Grundprinzipien sind bußgeldbewehrt. Vor allem damit auch Verstöße gegen die Dokumentationspflicht. Verstöße sind allerdings auch einfach Datenpannen, also unbeabsichtigte Veröffentlichung oder erfolgreiche Angriffe bei denen personenbezogenen Daten in Mitleidenschaft gezogen wurden. Datenschutz-Verstöße sind auch fehlende Verfahrensanalysen und Risikobewertungen hinsichtlich der Datenverarbeitung besonders schützenswerter Daten, wie zum Beispiel Gesundheitsdaten. Hierbei kann es zu Bußgeldern von bis zu 4% des weltweiten Konzern- Jahresumsatzes kommen, es wird also nicht die einzelne Gesellschaft als Maßgabe herangezogen. Hierbei geht es im Detail nach Art. 82 Abs.1 DSGVO um materielle und immaterielle Schäden, die bei Verstößen oder behaupteten Verstößen ersetzt werden können. Insbesondere auf die Möglichkeit der Verbandsklage, bei dem sozusagen ohne den Betroffenen und vorsorglich gegen den Verantwortlichen, gem. Art. 80 DSGVO, geklagt werden kann, sowie der damit verbundenen, zivilrechtlichen Haftung sei hiermit auch hingewiesen. Die nun deutlich sichtbare Aussage des Gesetzgebers, Datenschutz fu r jedes Unternehmen verbindlich zu gestalten, ist eine Folge der aktuellen Datenhaltung in Unternehmen und dem bisherigen Umgang mit personenbezogenen Daten. Datenschutz begrenzt somit die wirtschaftliche Betätigung im Bereich der Datenverarbeitung auf das erforderliche Maß und so auf einen gesellschaftlich verträglichen Umfang.

DSGVO. Ihr Weg zur Umsetzung. 1. Vorgespräch Analyse-Workshop: Was ist zu tun damit Ihr Unternehmen DSGVO-konform wird? 2. Workshop1 Analyse der Prozesse der Datenverarbeitung (inkl.

Aufbau und Beratung Art 30 DSGVO Verfahrensverzeichnis (Start) Aufbau DSGVO-Konformität: Mitarbeiterdatenschutz, Erklärungen, Richtlinien, Einwilligungen Analyse und Umsetzung der Grundsätze des

6 DSGVO. Ihr Weg zur Umsetzung. 1. Vorgespräch Analyse-Workshop: Was ist zu tun damit Ihr Unternehmen DSGVO-konform wird? 2. Workshop1 Analyse der Prozesse der Datenverarbeitung (inkl. Auftragsverarbeitung) Feststellung Art der Daten Prüfung der Rechtsgrundlage, Prüfung Weitergaben von Daten, Richtlinien 3. Aufbau und Beratung Art 30 DSGVO Verfahrensverzeichnis (Start) Aufbau DSGVO-Konformität: Mitarbeiterdatenschutz, Erklärungen, Richtlinien, Einwilligungen Analyse und Umsetzung der Grundsätze des Datenschutzes aus Art.5 in allen Bereichen 4. Security-Audit, IT-Security Maßnahmenkatalog erstellen Pentest planen 6. Workshop2 Analyse von Datenbanken, Datenspeichern, Software (Erfüllung Privacy by Design) 8. Sensibilisierung Mitarbeiterschulung (Datenschutz und IT Sicherheit) nach DSGVO und BSI 9. Workshop3 finale Erstellung Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO Shared IT Professional GmbH & Co. KG Saebystr. 17a Registergericht: Amtsgericht Kiel Handelsregister: HRA Bad Bramstedt

Ähnliche Dokumente

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte WEIMER I BORK Rechtsanwälte Fachanwälte Historischer Rückblick 1970: Weltweit erstes Datenschutzgesetz in Hessen 1974: zweites Datenschutzgesetz in Rheinland-Pfalz 1977: Bundesdatenschutzgesetz 1995: