Widgetized Section

Go to Admin » Appearance » Widgets » and move Gabfire Widget: Social into that MastheadOverlay zone

Datenschutz-Grundverordnung

Der 25. Mai 2018 hat sich mittlerweile vielerorts als „Stichtag“ herumgesprochen. Die Vorgaben der Datenschutz-Grundverordnung (DS-GVO) kommen ab diesem Datum zur Anwendung und regeln den Datenschutz in der EU neu.

Von vielen Seiten wird gewarnt, dass sich dadurch in der Praxis Vieles ändern wird, dass dramatisch höhere Bußgelder drohen und dass die Zeit für erforderliche Umsetzungsmaßnahmen knapp wird.

Ob die Datenschutz-Welt ab dem 25. Mai tatsächlich ganz anders aussehen, vermag niemand seriös vorherzusagen. Sicher ist aber, dass sich zahlreiche rechtliche Änderungen ergeben, die praktisch jedes Unternehmen und auch die meisten gemeinnützigen Organisationen betreffen werden, und dass die erforderlichen Maßnahmen für eine solide Umsetzung äußerst komplex sind.

Das aus unserer Sicht wichtigste Stichwort lautet dabei: Dokumentation. Denn alle verantwortlichen Stellen unterliegen zukünftig einer Rechenschaftspflicht: Sie müssen die Vorgaben der Grundverordnung nicht nur einhalten, sondern dies auch nachweisen können (Art. 5 Abs. 2 DS-GVO).

Unternehmen sollten sich daher einen Überblick bezüglich der eigenen Datenverarbeitungsvorgänge und der bereits vorhandenen Schutzmaßnahmen verschaffen, um sodann mit Blick auf die neuen gesetzlichen Vorgaben die erforderlichen Maßnahmen zu identifizieren und umzusetzen.

Wer ist betroffen?

Jede Organisation,

die personenbezogene Daten automatisiert verarbeitet (oder nach bestimmten Kriterien zugänglich in einer strukturierten Sammlung speichert), wenn dies durch eine in der EU belegene Niederlassung erfolgt;

die in der EU befindlichen Personen Waren oder Dienstleistungen anbietet und in diesem Zusammenhang deren personenbezogene Daten verarbeitet (Bsp.: Onlineshops);

die mittels Datenverarbeitung das Verhalten von in der EU befindlichen Personen beobachtet (ggf. Tracking, Profiling, Social-Media-Plugins etc.).

Praktisch alle Organisationen in der EU, da jede IT-basierte Datenverarbeitung erfasst ist

Sowohl Unternehmen als auch viele gemeinnützige Träger (bspw. schon bei Lohnabrechnung)

Auch Nicht-EU-Organisationen, die sich an EU-Bürger richten und deren Daten verarbeiten

Was ändert sich?

Dokumentationspflichten werden ausgeweitet

Betroffenenrechte auf „Vergessenwerden“ und auf Datenübertragbarkeit

Erweiterte Informationspflichten, insbesondere bzgl. Datenschutzerklärung

Meldepflichten ggü. Aufsichtsbehörden: Kontakt Datenschutzbeauftragter, Datenpannen

Datenschutz durch „Technikgestaltung“ und „datenschutzfreundliche Voreinstellungen“

Deutlich erhöhter Bußgeldrahmen: Bis zu ? 20 Mio. oder 4 % des weltweiten Jahresumsatzes

Was ist zu tun?

1. Bestandsaufnahme

Bestand bereits die Verpflichtung zur Bestellung eines Datenschutzbeauftragten?

Welche Prozesse im Unternehmen beinhalten eine Verarbeitung personenbezogener Daten?

Auf welcher Rechtsgrundlage erfolgt die jeweilige Datenverarbeitung?

Welche technischen und organisatorischen Maßnahmen zum Schutz der Daten gibt es?

Welche Verträge beinhalten eine Datenverarbeitung/-übermittlung bzw. Auftragsverarbeitung?

Welche Dokumentationen gibt es bereits? (bspw. Verfahrensverzeichnisse, Konzepte/Leitlinien zu Datenschutz und IT-Sicherheit,  Verschwiegenheitserklärungen, Mitarbeiteranweisungen, Betriebsvereinbarungen, Einwilligungserklärungen, Datenschutzerklärung auf der Internetseite)

2. Umsetzungsmaßnahmen

Ggf. Bestellung eines Datenschutzbeauftragten (oft verpflichtend!) + Mitteilung an Behörde

Verzeichnis von Verarbeitungstätigkeiten aktualisieren

Bestehende Verträge (insbesondere zur Auftragsdatenverarbeitung) aktualisieren

Einwilligungen überprüfen, ggf. erneut einholen, Prozess für Widerruf einführen

IT-Sicherheit/technische und organisatorische Maßnahmen anpassen

Datenschutzerklärung aktualisieren

Leitlinien/Mitarbeiteranweisungen erstellen/aktualisieren

Prozess zur Wahrung der Betroffenenrechte einführen

Prozess zur Datenschutz-Folgenabschätzung einführen

Prozess zur Bewertung, Dokumentation und ggf. Meldung von „Datenschutzpannen“ einführen

Speicher- bzw. Löschfristen festlegen, Prozess zur Umsetzung einführen

Schulungen durchführen lassen und Dokumentationen regelmäßig aktualisieren

Sie muessen eingeloggt sein um einen Kommentar zu schreiben Einloggen


Blogverzeichnis - Blog Verzeichnis bloggerei.de Blog Top Liste - by TopBlogs.de Blogverzeichnis