Fit für die EU-DSGVO am 25.05.2018 Checkliste mit Tipps für Unternehmer, Freiberufler und KMU Mit praktischen Tipps & Checkliste Ab 25.05.2018 gilt die neue EU-Datenschutz-Grundverordnung (DSGVO). Sind Sie bereit? In diesem Whitepaper finden Sie praktische Tipps und eine Checkliste für die nächsten Schritte. Stand: März 2018
Für viele Unternehmer ist das Thema Datenschutz bisher nur ein weiterer Punkt auf der ToDo-Liste. Doch was versteht man darunter eigentlich genau? Datenschutz bedeutet, Maßnahmen zu beschreiben, um personenbezogene Daten vor Missbrauch zu schützen und ist übrigens ein elementares Menschenrecht. Jeder Mensch muss selbst entscheiden können, welche persönlichen Daten er wem, wann und zu welchem Zweck zugänglich macht. Heute werden an den unterschiedlichsten Stellen im Unternehmen Daten verarbeitet (erhoben, gespeichert, übermittelt, verändert oder gelöscht). Dabei steigen die verarbeiteten Datenmengen exponentiell an, daher muss dem Datenschutz eine immer größere Bedeutung beigemessen werden. Zeit also zu handeln aus diesem Grund habe ich Ihnen als Hilfestellung dieses Whitepaper erstellt. Hier finden Sie in einer übersichtlichen Checkliste alle wichtigen Punkte zusammengefasst, die Sie bei der Umsetzung Ihres eigenen Datenschutzkonzeptes im Unternehmen beachten müssen. 2 Whitepaper Fit für die EU-DSGVO (März 2018) 2018 Digimojo // Agentur für Datenschutz und Inbound-Marketing
Ausgangslage Am 25.05.2018 läuft die Frist zur Umsetzung der Vorgaben in der europäischen Datenschutz-Grundverordnung (DSGVO) und im neuen Bundesdatenschutzgesetz (BDSG-neu) ab. Ab diesem Zeitpunkt muss jedes Unternehmen egal ob Kleinunternehmen, Freiberufler, KMU, Vereine, Mittelstand oder Konzern die neuen Regelungen umgesetzt haben. Wichtig für Sie zu wissen: Die DSGVO ist bereits seit Mai 2016 verabschiedet, die Übergangsfrist endet am 25.05.2018. Neuerungen Mit der DSGVO wird nun erstmalig das Datenschutzrecht auf europäischer Ebene einheitlich umgesetzt. So gelten ab dem 25.05.2018 innerhalb der Europäischen Union die gleichen Standards beim Schutz persönlicher Daten. Zusammengefasst gibt es unter anderem folgende Neuerungen in der DSGVO: Das Marktortprinzip Um die Rechte der Verbraucher zu stärken, gilt künftig das Prinzip des Marktortes. Entscheidend ist nun, auf welchen Märkten das Unternehmen aktiv ist und nicht mehr der Sitz des Unternehmens. So entsteht auch eine Chancengleichheit der Marktteilnehmer. Beispiel: Ein Unternehmen mit Sitz in den USA verkauft Waren an Unternehmen oder Privatpersonen innerhalb der EU. Künftig muss das Unternehmen alle Prozesse und Datenverarbeitungen auch DSGVO-konform ausführen und dies dokumentieren. Verzeichnis der Verarbeitungstätigkeiten Die verantwortliche Stelle und alle Auftragsverarbeiter müssen ein Verzeichnis aller Datenverarbeitungstätigkeiten führen. Dieses Verzeichnis muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden. Informationspflichten Jeder Betroffene muss vor der Erhebung personenbezogener Daten in einer präzisen, verständlichen, transparenten und leicht zugänglichen Form und in einer einfachen und klaren Sprache über die Verwendung informiert werden. Whitepaper Fit für die EU-DSGVO (März 2018) 2018 Digimojo // Agentur für Datenschutz und Inbound-Marketing 3
Ernennung eines Datenschutzbeauftragten Jedes Unternehmen mit mehr als neun Mitarbeitern, die personenbezogene Daten automatisiert (IT-gestützt) verarbeiten (dazu zählen auch z. B. E-Mails) muss laut DSGVO einen Datenschutzbeauftragten (DSB) haben. Es kann entweder einen Mitarbeiter als internen DSB oder einen externen DSB bestellen. In beiden Fällen ist eine Fachkunde nachzuweisen. Dies bedeutet, dass die Aufrechterhaltung des Wissens und die Kenntnis von aktuellen Themen und Neuerungen im Bereich Datenschutz über geeignete Fortbildungen gewährleistet und dokumentiert werden muss. Kinder und personenbezogene Daten In der DSGVO wird erstmalig festgehalten, dass Kinder erst mit 16 hren in eine Verarbeitung ihrer personenbezogenen Daten einwilligen können. Für Kinder unter 16 hren ist immer eine Einwilligung der Eltern erforderlich, die vor der Verarbeitung abgegeben wird. Eine nachträgliche Einwilligung der Eltern ist nicht möglich. Das Recht auf Vergessenwerden Mit dem Recht auf Vergessenwerden soll sichergestellt werden, dass jegliche personenbezogenen digitalen Daten nicht dauerhaft zur Verfügung stehen. Damit muss ein Unternehmen künftig sicherstellen, dass personenbezogene Daten gelöscht werden, sobald diese für den Zweck nicht mehr benötigt werden und ggf. Aufbewahrungsfristen aus steuerlichen Gründen abgelaufen sind. Auch kann ein Betroffener die Löschung seiner Daten vom Unternehmen verlangen. Meldepflicht von Verstößen für Unternehmen Kommt es in einem Unternehmen zu einer Verletzung des Datenschutzes, so muss die verantwortliche Stelle innerhalb von 72 Stunden nach Bekanntwerden des Verstoßes den Fall bei der zuständigen Aufsichtsbehörde melden. Haftung bei Verstößen Nach dem Ende der Übergangsfrist am 25. Mai 2018 ist mit erheblichen Bußgeldern bei Verstößen gegen die DSGVO zu rechnen. Die Bußgelder sollen künftig auch eine abschreckende Wirkung haben. Die Höhe des Bußgeldes richtet sich unter anderem nach der Art und Schwere des Verstoßes. Für leichtere Verstöße 4 Whitepaper Fit für die EU-DSGVO (März 2018) 2018 Digimojo // Agentur für Datenschutz und Inbound-Marketing
gegen die Pflichten aus der DSGVO sind Bußgelder in Höhe von max. 10 Mio. oder 2 % des weltweiten Konzern-hresumsatzes vorgesehen. Bei schwerwiegenden Verstößen, z. B. gegen die Grundprinzipien der DSGVO kann das Bußgeld bis zu 20 Mio. oder 4 % des weltweiten Konzern-hresumsatzes betragen. Dies sind die jeweiligen Höchstgrenzen. Management Summary Datenschutz ist Chefsache! Bleiben Sie mit Ihrem Unternehmen auf der Höhe der Zeit und kümmern Sie sich um einen funktionierenden Datenschutz. Handeln Sie jetzt und prüfen Sie gewissenhaft, was vor dem 25.05.2018 in Ihrem Unternehmen noch zu tun ist. Letztendlich ist ein funktionierendes Datenschutz-Managementsystem nicht nur unabdingbar sondern kann für Sie auch zum Wettbewerbsvorteil werden. Lassen Sie sich beraten und holen Sie sich fachkundige Hilfe. Über mich Seit über 15 hren bin ich im B2B Vertrieb und digitalen Marketing tätig. Dabei habe ich mich auch viel mit der Verarbeitung personenbezogener Daten und den Herausforderungen beschäftigt, die sich daraus für Unternehmen ergeben. Heute berate ich mittelständische B2B Unternehmen bei den Themen Datenschutz und Inbound-Marketing. Als externer Datenschutzbeauftragter (zertifiziert nach DSB-TÜV) helfe ich bei Datenschutzfragen und unterstütze Unternehmer bei der Vorbereitung auf die DSGVO. Whitepaper Fit für die EU-DSGVO (März 2018) 2018 Digimojo // Agentur für Datenschutz und Inbound-Marketing 5
Checkliste In der folgenden Checkliste können Sie schnell und einfach selbst überprüfen, wie der Status Quo in ihrem Unternehmen ist und wo noch Lücken vorhanden sind. Das Ergebnis ist eine gute Vorbereitung für die anschließende Umsetzung der notwendigen Schritte. Verantwortlichkeit im Unternehmen Die verantwortliche Stelle im Unternehmen ist immer die Geschäftsführung. Diese Verpflichtung kann auch nicht vertraglich z. B. auf einen Mitarbeiter übertragen werden. Wurden die Geschäftsleitung, das Management und die Mitarbeiter sensibilisiert? Gibt es bereits im Unternehmen jemanden, der für Datenschutzthemen zuständig ist? Gibt es bereits einen bestellten Datenschutzbeauftragten? Haben Sie im Unternehmen für jede Verarbeitung einen Nachweis über die Rechtmäßigkeit? Gibt es im Unternehmen ein Datenschutzmanagementsystem? Status Quo feststellen Gibt es bereits ein Verzeichnis der Verarbeitungstätigkeiten? Falls ja, wer ist für das Verzeichnis verantwortlich? Wird es regelmäßig aktualisiert? Falls nein, wurde eine Bestandsaufnahme aller Verfahren und Prozesse gemacht, in denen personenbezogene Daten verarbeitet werden? Haben Sie bereits einen Abgleich des Ist-Zustandes mit dem Soll-Zustand (nach DSGVO) erstellt (GAP-Analyse)? 6 Whitepaper Fit für die EU-DSGVO (März 2018) 2018 Digimojo // Agentur für Datenschutz und Inbound-Marketing
Externe Dienstleister / Cloud-Services Gibt es externe Dienstleister, die im Auftrag personenbezogene Daten verarbeiten? Dies kann z. B. auch ein Lettershop sein, der ein Briefmailing produziert. Werden Cloud-Services im Unternehmen genutzt? Falls ja, haben Sie mit allen Auftragsverarbeitern eine erforderliche Vereinbarung abgeschlossen? Rechtsgrundlage für die Verarbeitung personenbezogener Daten Haben Sie alle Verarbeitungen von personenbezogenen Daten in Ihrem Unternehmen auf die Zulässigkeit überprüft? Ist für alle Verarbeitungen eine Rechtsgrundlage nach neuem Recht vorhanden? Existiert bereits eine Dokumentation der Rechtsgrundlage? Sind Ihre Einwilligungserklärungen für Betroffene an die Anforderungen der DSGVO angepasst, vor allem z. B. die erweiterten Informationspflichten und die Möglichkeit des jederzeitigen Widerrufs der Einwilligung? Sind Ihre Datenschutzerklärungen (z.b. auf der Webseite) an die neuen Anforderungen angepasst? Transparenz Werden die Betroffenen vor der geplanten Verarbeitung ihrer Daten umfassend und rechtzeitig informiert? Werden z. B. Zweck und Zweckänderung der erstmaligen Erhebung oder der geplanten Datenverarbeitung transparent kommuniziert? Ist ein Löschkonzept mit entsprechenden Löschfristen vorhanden? Whitepaper Fit für die EU-DSGVO (März 2018) 2018 Digimojo // Agentur für Datenschutz und Inbound-Marketing 7
Informationspflichten und Betroffenenrechte Informieren Sie die Betroffenen über die beabsichtigte Verarbeitung ihrer Daten? Diese Information muss in einer klaren und einfachen Sprache und in leicht zugänglichen Form erfolgen. Haben Sie die Betroffenenrechte sichergestellt? Folgende Informationen sind besonders wichtig: Kontaktdaten des Datenschutzbeauftragten (wenn ein DSB erforderlich ist) Speicherdauer der Daten Zweck der Verarbeitung Datenherkunft Betroffenenrechte Recht auf Widerruf der Einwilligung Recht auf Beschwerde bei der Aufsichtsbehörde Umgang mit Risiken Sind TOMs (Technische und Organisatorische Maßnahmen) vorhanden und ausreichend dokumentiert? Gibt es eine regelmäßige Überprüfung und Verbesserung der Sicherheitsmaßnahmen im Unternehmen? Privacy by Design Sind Ihre IT-gestützten Prozesse und IT-Systeme durch geeignete technische und organisatorische Maßnahmen datenschutzfreundlich gestaltet? Privacy by Default Werden bei Ihren eingesetzten IT-Systemen so wenig Daten wie nötig erhoben? 8 Whitepaper Fit für die EU-DSGVO (März 2018) 2018 Digimojo // Agentur für Datenschutz und Inbound-Marketing
Verträge mit Auftragsverarbeitern Sind mit allen Auftragsverarbeitern (AV) Verträge vorhanden? Gibt es bei Auftragsverarbeitern, bei denen Daten in ein Drittland übermittelt werden, erweiterte Vertragsvereinbarungen (EU-Standardvertragsklauseln, Binding Corporate Rules, Privacy Shield bei US-Unternehmen)? Wurden die bestehenden Verträge mit Ihren externen Partnern, die in Ihrem Auftrag personenbezogene Daten verarbeiten (Auftragsverarbeiter) an die DSGVO angepasst? Meldepflichten Gibt es einen dokumentierten Prozess zur Meldung von Datenschutzverstößen an die Aufsichtsbehörde? Datenschutz-Managementsystem Haben Sie die Einhaltung aller Pflichten und die umgesetzten Anforderungen der DSGVO schriftlich und nachweisbar dokumentiert? Ist sichergestellt, dass die Dokumentation regelmäßig geprüft und auf den aktuellen Stand gebracht wird? Whitepaper Fit für die EU-DSGVO (März 2018) 2018 Digimojo // Agentur für Datenschutz und Inbound-Marketing 9
Weiterführende Informationen Gesetzestexte Amtsblatt der Europäischen Union Veröffentlichung der DSGVO (deutsch, PDF-Download) Download Amtsblatt der Europäischen Union Veröffentlichung der DSGVO (englisch, PDF-Download) Download Veröffentlichung des BDSG-neu im Bundesgesetzblatt (PDF-Download) Download Weblinks IT-Sicherheit in kleinen und mittleren Unternehmen (KMU) BSI-Studie zum Grad der Sensibilisierung des Mittelstandes in DE Weblink IT-Grundschutz kompakt BSI - Leitfaden Informationssicherheit Weblink GDD-Mustervertrag zur Auftragsverarbeitung Weblink Verarbeitung personenbezogener Daten in Drittländern Bitkom Leitfaden Weblink Datenschutz-Wiki Der Ruhr-Universität Bochum und des BvD e.v. Weblink 10 Whitepaper Fit für die EU-DSGVO (März 2018) 2018 Digimojo // Agentur für Datenschutz und Inbound-Marketing
Datenschutz-Tipps per E-Mail War dieses Whitepaper für Sie hilfreich? Möchten Sie beim Thema DSGVO und Datenschutz auf dem Laufenden bleiben? Dann abonnieren Sie meine Datenschutz-Tipps und erhalten Sie regelmäßig hilfreiche Praxistipps und Neuigkeiten per E-Mail. Sie können den Bezug jederzeit wieder beenden. Der Service ist für Sie kostenlos und unverbindlich. Jetzt anmelden Kontakt Der Datenschutz in Ihrem Unternehmen ist eine wichtige Aufgabe. Ich unterstütze Sie bei der Vorbereitung auf die EU-DSGVO. Als zertifizierter Datenschutz-Beauftragter helfe ich Ihnen bei der Erstellung eines Datenschutz-Managementsystems und stehe als externer Datenschutzbeauftragter zur Verfügung. Schreiben Sie mir Zertifikate und Mitgliedschaften Als Datenschutzbeauftragter bin ich zur Erhaltung meiner Fachkunde verpflichtet. Daher nehme ich regelmäßig an Weiterbildungen und Fachveranstaltungen teil. Weiterhin bin ich vom TÜV-Süd zertifiziert und Mitglied im BvD e. V. und der DSB- Group. Whitepaper Fit für die EU-DSGVO (März 2018) 2018 Digimojo // Agentur für Datenschutz und Inbound-Marketing 11
4. überarbeitete Auflage, Stand März 2018 2018 Digimojo // Agentur für Datenschutz & Inbound-Marketing Thorsten Wälde, Im Bainken 3, D-72127 Kusterdingen E-Mail: dsgvo@digimojo.de Web: digimojo.de Dieses Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors nicht gestattet. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmung und die Einspeicherung und Verarbeitung in elektronischen Systemen. Alle in diesem Leitfaden enthaltenen Informationen sind nach bestem Wissen des Autors zusammengestellt. Trotzdem sind Fehler nicht auszuschließen. Daher sind die Informationen mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Der Autor übernimmt keine juristische Verantwortung und keine daraus folgende oder sonstige Haftung, die auf irgendeine Art aus der Benutzung dieser Informationen entsteht, auch nicht für die Verletzung von Patentrechten und anderer Rechte Dritter, die daraus resultieren können. Ebenso übernimmt der Autor keine Gewähr dafür, dass die beschriebenen Verfahren usw. frei von Schutzrechten Dritter sind. Alle genannten Warenzeichen und Markennamen sind Eigentum der jeweiligen Besitzer. Warenzeichen werden nicht ausdrücklich als solche gekennzeichnet. Aus dem Fehlen von Urheber- oder Markenrechtskennzeichen darf jedoch nicht geschlossen werden, dass es sich um einen nicht geschützten Namen oder um eine nicht geschützte Marke handelt. Bildnachweise: Titelbild Toronto, Canada - Photo by Matthew Henry on Unsplash, Portrait Tobias Ulrich, alle anderen Digimojo.