DSGVO – Datenschutzgrundverordnung
Kein Grund zur Panik
Sicher haben Sie schon davon gehört, dass die neue EU DSGVO Ende Mai in Kraft tritt und sich damit auch für alle Unternehmen, die mit Daten arbeiten oder mit einem Auftritt in der weiten Welt des Netzes präsent sind, neue Pflichten ergeben.
Damit Sie sich einen kurzen Überblick verschaffen können und nicht große Panik ausbricht, haben wir das Wichtigste für Sie zusammengefasst.
In Deutschland sind wir so oder so nur minimal betroffen, weil unsere nationalen Datenschutzbestimmungen schon recht fortschrittlich waren und sind. Vieles von dem, was die DSGVO bringt, ist also eine detaillierte Klarstellung bereits bestehender Regeln.
Was bleibt wenn etwas geht?
Weiterhin gilt der Gesetzesvorbehalt. Das heißt, es ist alles verboten, was nicht ausdrücklich durch Gesetz oder Einwilligung des Betroffenen erlaubt ist. Das Problem bei der Umsetzung der DSGVO ist, dass sie keinen Maßnahmenkatalog enthält, den der Unternehmer einfach abarbeiten kann. Vielmehr ist jeder Unternehmer angehalten, die Datenschutzgrundsätze eigenverantwortlich in seinem Unternehmen zu implementieren. Es ist also keine einmalige Anstrengung des Unternehmers gefordert, sondern die Etablierung einer konkreten Strategie. Unser kleiner Leitfaden soll Sie bei der Umsetzung unterstützen und führen – hat dabei aber natürlich nicht den Anspruch vollständig und juristisch bindend zu sein.
Zwei kurze Schritte führen Sie schon auf den rechten Weg zur Erfüllung der DSGVO:
Schritt 1: Ist-Stand feststellen
Mit drei einfach zu beantwortenden Fragen verschaffen Sie sich einen ersten Überblick:
- Wo sind die Daten?
- Wer arbeitet mit den Daten
- Wohin fließen die Daten?
Schritt 2: Soll-Zustand festlegen
Nun müssen Leitlinien, Richtlinien und die Reihenfolge der Umsetzung festgelegt werden.
Wer vorbereitet ist, wird keine Überraschung erleben.
Und um gut vorbereitet zu sein, geben wir Ihnen eine kurze Compliance-Strategie in vier Punkten an die Hand:
1.
Jedes Unternehmen mit mehr als neun Mitarbeitern muss einen Datenschutzbeauftragten berufen. Sollten aber besondere personenbezogenen Daten verarbeitet werden, so ist die Berufung eines Datenschutzbeauftragten in jedem Falle Pflicht.
2.
Nicht nur die Humanressourcen müssen überprüft und in die Pflicht genommen werden. In jedem Unternehmen müssen sich auch die IT-Systeme auf den Prüfstand stellen. Wie ist der Stand der Technik? Sind alle Dokumentationen gemacht und sind diese vollständig? Hat der Verantwortliche die Website und alle anderen Online-Auftritte des Unternehmens geprüft?
Der Unternehmer hat Schutzmaßnahmen zu treffen, damit die Daten seiner Kunden nicht verloren gehen oder unbefugten Dritten in die Hände fallen. Dafür muss ein angemessenes Schutzniveau eingerichtet werden, welches sich an den Risiken im Falle eines Datenschutzverstoßes bemisst. Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste muss genauso sichergestellt werden wie auch gewährleistet werden muss, dass Daten nach einem Zwischenfall schnell wieder verfügbar sind.
3.
Wir empfehlen bis zum 25.05.2018 ein Verarbeitungsverzeichnis anzulegen. Ein solches ist nach Artikel 30 DSGVO Pflicht. Das Verfahrensverzeichnis kann in schriftlicher oder elektronischer Form angelegt werden und muss folgende Pflichtangaben enthalten: Name und Kontaktdaten des Verantwortlichen und gegebenenfalls des Datenschutzbeauftragten, Zwecke der Verarbeitung, Beschreibung der Kategorien betroffener und personenbezogener Daten, Auskunft, ob die Daten in ein Drittland übermittelt werden, Löschfristen sowie eine Beschreibung der getroffenen Technisch-organisatorischen Maßnahmen (TOMs).
folgende TOMs sind dabei festzulegen:
Zutrittskontrolle – Maßnahmen, damit Unbefugten der Zutritt zu Datenverarbeitungsanlagen verwehrt wird
Zugangskontrolle – Maßnahmen, die verhindern, dass Unbefugte Datenverarbeitungsanlagen /-verfahren benutzen
Zugriffskontrolle – Maßnahmen, die gewährleisten, dass nur die Befugten ausschließlich zugreifen können
Weitergabe – Maßnahmen, die gewährleisten, dass Daten bei der Übertragung nicht unbefugt gelesen, geändert werden
Eingabekontrolle – Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, wer Daten verarbeitet hat
Verfügbarkeitskontrolle – Maßnahmen, die gewährleisten, dass Daten gegen zufällige Zerstörung geschützt sind
4.
Die Rechte der Betroffenen
Gegenüber Kunden müssen Unternehmen diese über deren Rechte transparent informieren, etwaigen Auskunftsansprüchen unverzüglich nachkommen, gegebenenfalls die Daten berichtigen und Löschungsansprüchen nachkommen.
pic by freepik.com
Datensicherheit ist kein Glücksspiel.
Natürlich klingt das alles erst einmal schrecklich aufwendig und kaum in gegebener Zeit umsetzbar. Wenn man aber damit begonnen hat den Katalog abzuarbeiten stellt man schnell fest, dass das meiste im Laufe der letzten Jahre schon erledigt wurde und nur noch einer Anpassung bedarf.
Bei Unsicherheiten in juristischen Fragen sollten Sie unbedingt einen Spezialisten konsultieren. Ihr persönlicher HIC GmbH FinanzConcepter® stellt Ihnen bei Bedarf gerne Kontakt zu kompetenten Fachanwälten her.