datenschutzgrundverordnung - DatenschutzProfi24.de

Die Informationspflichten nach EU-DSGVO

Die Informationspflichten nach EU-DSGVO Art. 13 und 14 sehen erweiterte, teilweise über die bisherigen Pflichten des BDSG erheblich hinausgehende Auskunftspflichten vor.

Was sich im Wesentlichen ändert betrifft vorwiegend die folgenden Punkte.

Es reicht nicht mehr lediglich die reine Angabe der Identität der verantwortlichen Stelle aus, es müssen künftig sowohl Kontaktdaten des für die Verarbeitung Verantwortlichen und ggf. seines Vertreters, sondern auch die Kontaktdaten des Datenschutzbeauftragten angegeben werden, insofern ein solcher bestellt wurde.

Eine Benennung der Rechtsgrundlage, auf der die Datenerhebung basiert und das berechtigte Interesse der verantwortlichen Stelle muss dem Betroffenen bekannt gemacht werden, ebenso die Kategorien von Empfängern der personenbezogenen Daten. Völlig neu ist die Informationspflicht bezüglich der Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation.

Darüber hinaus werden in der Grundverordnung die Bekanntmachung weiterer Informationen vorgeschrieben. Der für die Verarbeitung Verantwortliche hat hiernach neuerdings über die Dauer der Speicherung oder falls dies nicht möglich ist, über die Kriterien der Festlegung der Dauer zu informieren. Zu informieren ist zudem über Betroffenenrechte wie Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs- und Widerspruchsrechte sowie das Recht auf Datenübertragbarkeit.

Der Betroffene muss darauf hingewiesen werden, dass er bei Erteilung einer Einwilligung diese jederzeit widerrufen kann, ohne dass die Rechtmäßigkeit der bis dahin vorgenommenen Verarbeitung entfällt. Er ist zudem über seine Beschwerderechte bei der Aufsichtsbehörde und über die möglichen Folgen der Nichtbereitstellung in Kenntnis zu setzen.

Sollte eine automatisierte Entscheidungsfindung einschließlich dem sog. Profiling stattfinden, müssen dem Betroffenen aussagekräftigte Informationen über die verwendete Logik, die Tragweite und angestrebten Auswirkungen einer derartigen Verarbeitung mitgeteilt werden und möchte der für die Verarbeitung Verantwortliche Daten für einen anderen Zweck weiterverarbeiten, als er die Daten ursprünglich erhoben hat, so muss er ab Geltung der Verordnung die betroffenen Personen vor der Weiterverarbeitung über diesen anderen Zweck informieren.

Es handelt sich hier um eine große Bandbreite an Verpflichtungen die der Gesetzgeber der verantwortlichen Stelle auferlegt hat. Vielen wird die Tragweite jetzt erst klar, je mehr sie sich mit der Thematik Datenschutz befassen. Aber auch bei diesem Thema wird Sie Ihr Datenschutzbeauftragter gerne informieren.

BSI und Datenschutz

Eines der großen Herausforderungen der EU-Datenschutzgrundverordnung ist die Definition und Anwendung der technisch organisatorischen Maßnahmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) legt die Rahmenbedingungen zur Umsetzung fest.

Die Festlegung der Rahmenbedingungen für die organisatorischen Maßnahmen liegt grundsätzlich in der Verantwortung des Geschäftsführers. Je größer das Unternehmen und je schützenswerter die Daten die das Unternehmen nutzt, umso höher liegen auch die Anforderungen an die technischen Voraussetzungen. Die größte Herausforderung liegt darin den Geschäftszweck, die gesetzlichen Vorgaben und die Kosten aufeinander abzustimmen.

Ob eine firmeninterne IT oder ein externer IT-Dienstleister, ob 10- oder 500 Mitarbeiter, die Unterschiede zur Umsetzung sind maginär. Im besten Fall sind Teile der Anforderungen durch den IT-Verantwortlichen bereits umgesetzt. Meist jedoch fehlt in den Unternehmen die schriftliche Dokumentation und auch für einen risikobasierten Ansatz sind keine Grundlagen vorhanden.

Abhilfe kann hier die Vorlage des Bundesinstituts für Informationssicherheit geben. In Formularen und Checklisten, Beispielen und Maßnahmenkatalogen wird exakt definiert wie die IT-Strukturen abgebildet werden können, wie Sicherheitsmechanismen implementiert und die Wiederherstellung nach einem Störungsfall gewährleistet werden kann.

Natürlich sind auch hier kompetentes Fachwissen und eine gewisse Anpassung der Vorlagen notwendig, um Unternehmen der verschiedenen Größenordnungen optimal und kosteneffektiv abzubilden. Der Verantwortliche erhält jedoch nicht nur den Gegenwert in der optimalen Absicherung seiner IT- und Unternehmenslandschaft, auch die Anforderungen der Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes-neu werden optimal umgesetzt und erfüllt.

Für die Praxis sind künftig exakte Dokumentationen notwendig. Ob entsprechend der Vorgaben des BSI oder selbst erstellter Templates. Das Handeln der Unternehmen in der Nachweisbarkeit von Maßnahmen, werden ebenso wie das Reagieren bei Vorfällen beurteilt und gewertet werden. Die Messlatte legen hierbei unter anderem die EU-DSGVO und das IT-Sicherheitsgesetz fest.

Kompetente Ansprechpartner sowohl im IT, als auch im Datenschutzumfeld bedeuten zunächst Aufwand, sowohl in zeitlicher, personeller und finanzieller Weise. Der Mehrwert zeigt ich jedoch unmittelbar nachdem ein Schaden eingetreten ist. Die Abwägung von Kosten und Nutzen obliegt grundsätzlich dem Geschäftsführer. Doch vielleicht kommt man unter dem Strich, durch die Zuhilfenahme der betreffenden Fachkräfte günstiger weg als ohne die dringend benötigte Fachkompetenz. Fragen sie Ihren Datenschutzbeauftragten.

Ein ereignisreiches Jahr beim Datenschutz

Ein Jahr geht zu Ende, welches mit vielen Ereignissen im Bereich Datenschutz aufwarten konnte.

Für uns waren die Einführung der Datenschutzgrundverordnung und die des Bundesdatenschutzgesetzes-neu die wichtigsten Ereignisse des Jahres im Bereich Datenschutz; auch wenn bis zum Inkrafttreten der EU-DSGVO noch ein paar wenige Monate vergehen werden.

Gefeiert als Meilensteine im Datenschutz, gefürchtet wegen des hohen administrativen Aufwandes und der zu erwartenden hohen Strafen, rückt die EU-Datenschutzverordnung immer mehr in den Fokus der Unternehmensführung.

Wir haben uns im laufenden Jahr mit vielen Themen zur EU-DSGVO auseinandergesetzt. IT-Grundschutz, technisch organisatorisch Maßnahmen, Haftungsregelungen und Notfallregelungen sind nur einige der Dinge mit denen wir uns beschäftigt haben und die wir versucht haben Ihnen näher zu bringen.

Auch im neuen Jahr werden wir Themen aufgreifen und diese näher beleuchten um Sie zu Unterstützen. Für Unternehmen die sich jedoch bislang noch nicht mit der EU-DSGVO auseinandergesetzt haben, wird die Zeit knapp. Bis um 25.05.18 müssen in den Unternehmen die neuen Regelungen zum Datenschutz eingeführt und umgesetzt sein. Im Mai erst mit der Umsetzung zu beginnen wird dann viele Unternehmer vor ein Problem stellen.

Die Umsetzung der gesetzlichen Vorgaben lässt sich auch bei größtmöglicher Kompetenz des Datenschutzbeauftragten nicht aus dem Ärmel schütteln, insofern dann kurzfristig ein solcher zur Verfügung steht. Die interne Prüfung des Unternehmens, das Sammeln und Zusammenführen der Dokumente, die Abwägung und Umsetzung der Vorgaben im Betrieb…ein Datenschutzbeauftragter sollte über ausreichend Fachkompetenz, Erfahrung und die Orientierung zur Praxis verfügen um diese Hürden zu meistern. Kurzfristig einen Mitarbeiter zum Datenschutzbeauftragten „auszubilden“ und Ihm diese Arbeit aufzubürden wird dem Unternehmen nicht gerecht werden. Auch befreit dieses Vorgehen die Geschäftsführung als verantwortliche Stelle nicht vor dem zu erwartenden Regress der Behörden.

Schließen wir das Jahr in Ruhe ab. Genießen wir die Feiertage und kommen etwas zur Ruhe. Und einer der Vorsätze für das Neue Jahr 2018 könnte dann sein, sich für die Umsetzung der Datenschutzgrundverordnung die Zeit zu nehmen die Notwendig ist, um die Einführung und Umsetzung datenschutzkonform anzugehen.

Und wenn sie Fragen haben hilft Ihnen wie immer ihr kompetenter Datenschutzbeauftragter.

E-Privacy-Verordnung und Online Marketing

Das EU-Parlament hat mit einer klaren Mehrheit den Entwurf zur neuen E-Privacy-Verordnung verabschiedet und damit auch das Online Marketing nachhaltig verändert.

Ein deutliches Signal für mehr Datenschutz der Bürger im Internet. Allerdings mit schwerwiegenden Folgen im Bereich des Online Marketing für die Unternehmen.

Die geplanten Inhalte könnten den Fortbestand bestimmter Angebote im Internet, im Online-Handel und Werbewirtschaft deutlich einschränken, so die Kernaussage der Verordnung und somit die Befürchtungen der Wirtschaft.

Um was es geht, hier ein Auszug: Bisher war in Deutschland gemäß § 15 Abs. 3 TMG für die Verwendung von Cookies die sogenannte Opt-out-Lösung gefordert.

Hier war es ausreichend, dass Unternehmen die Nutzungsprofile auf pseudonymer Basis erstellen hierüber in der Datenschutzerklärung informieren. Zusätzlich müssen sie den Nutzern die Möglichkeit geben, der Erstellung von Nutzungsprofilen zu widersprechen. Auch auf diese Möglichkeit wird in der Regel in der Datenschutzerklärung hingewiesen.

Diese Regelung wird nach der E-Privacy-Verordnung ersatzlos gestrichen. Sollte ein Unternehmen weiterhin Nutzungsprofile erstellen, wird dies künftig nur nach vorheriger ausdrücklicher Zustimmung des Nutzers möglich sein. Also beispielsweise mittels eines vorabgestellten Fensters, das vor der Anzeige einer Webseite ausdrücklich darauf hinweist. Davon wird es aber Ausnahmen geben. Ein Beispiel ist hier die Warenkorbfunktion in einem Online-Shop der ja ohne diese Funktion nicht funktionieren würde.

Auch betrifft es den Versand einer E-Mail mit werblichem Inhalt. Dieser ist entsprechend der E-Privacy-Verordnung erst nach vorheriger ausdrücklicher Einwilligung des Kunden möglich.

Doch es gibt auch Ausnahmen. Eine Einwilligung ist nicht notwendig, wenn das werbende Unternehmen die E-Mail-Adresse des Kunden im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung erhalten hat und diese für eigene ähnliche Produkte oder Dienstleistungen verwendet. Außerdem muss der Kunde jederzeit einer solchen Nutzung kostenlos und auf einfache Weise widersprechen können. Eine Umsetzung erfolgt hier meistens mit einem Link am unteren Rand der werbe Mail, der durch einfaches anklicken weitere Mails unterbindet.

Bei Nichtbeachtung fordert die E-Privacy-Verordnung, wie auch die EU-DSGVO, drakonische Bußgelder von bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist.

Aus diesem Grund sollten Unternehmen bereits jetzt damit beginnen sich, ebenso wie auch mit der EU-DSGVO, mit den Auswirkungen für Ihr Geschäftsmodell auseinander zu setzen.

EU-DSGVO und IT-Grundschutz

Ein besonderes Mittel für die Einhaltung der technisch organisatorischen Maßnahmen der Datenschutzgrundverordnung ist die Zuhilfenahme des IT-Grundschutz und Maßnahmenkatalogs.

Das Grundschutz-Kompendium (IT-Grundschutz), welches durch das Bundesamt für Sicherheit und Informationstechnik erarbeitet und zur Verfügung gestellt wird, ist jetzt zum 06.10.17 in einer neueren und überarbeiteten Form veröffentlicht worden.

Was genau hat diese Vorlage mit den Anforderungen der EU-DSGVO zu tun?

Im Grundschutz werden explizit Gefährdungslagen erörtert, beschrieben und passende Lösungswege dargestellt. Diese Vorgaben können zur Erfüllung der in den technisch organisatorischen Maßnahmen geforderten Sicherheitsmechanismen als direkte Vorlage genutzt und angewendet werden. Zusätzlich können die erstellten Unterlagen, nach Umsetzung und Prüfung der Maßnahmen, als Nachweis zur Erfüllung der Anforderungen des Artikel 5 – Grundsätze für die Verarbeitung personenbezogener Daten, des Artikel 24 – Verantwortung des für die Verarbeitung Verantwortlichen und des Artikel 25 – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen der EU-DSGVO dienen. Um hier nur einige der Artikel aus der Datenschutzgrundverordnung zu nennen in welcher die technischen und organisatorischen Maßnahmen (TOM) explizit Betrachtung finden. Wobei hier natürlich auch die Vorgaben der DSGVO-neu in die Betrachtung einbezogen werden müssen.

Einige Beispiele hierzu wären der Ausfall oder die Störung der Stromversorgung und der Verlust oder Diebstahl von Geräten. Aber auch der häusliche- und mobile Arbeitsplatz und viele andere Themen finden ihren Platz.

Im ersten Schritt mögen die Vorgaben gerade auch für kleine oder mittlere Unternehmen etwas zu überzogen wirken. Bei genauerer Betrachtung und im direkten Vergleich mit den gesetzlichen Anforderungen zeigt sich aber das hier ein nachvollziehbarer und nützlicher Weg zur Umsetzung der TOM`s aufgezeigt wird.

Sprechen Sie doch Ihren IT-Verantwortlichen oder Ihren Datenschutzbeauftragen einfach einmal darauf an.

Passwörter – Zugriffschutz und technisch organisatorische Maßnahmen

Eine der expliziten Themen der technisch organisatorischen Maßnahmen ist jene, welche den Zugriffschutz durch Passwörter Wiederspiegelt.

Die bislang gängigen Methoden sind Passwörter mit 8 Zeichen Eingabelänge, Groß- und Kleinschreibung und Sonderzeichen. Doch schon bei der Einführung von Passwörtern mit beispielsweise 16 Zeichen stößt man in der Umsetzung und beim Endanwender auf Probleme und Widerwillen. Wird dann auch noch gefordert, den Bildschirmschoner nach 5 Minuten aktiv zu setzen, so dass sich der Endanwender nach Ablauf dieser Zeit mit Passwort anmelden muss, wird in vielen Fällen der verantwortliche IT-Leiter mit dem Vorwurf der Unzumutbarkeit konfrontiert.

Doch die Realität aus Sicht der IT-Sicherheit und des Datenschutzes lässt hier kaum Spielraum für diese Auslegung. Die Sicherheit von Passwörtern und damit das Risiko, dass die eigenen Zugangscodes geknackt werden, sind eine äußerst komplexe Angelegenheit. Jenseits aller Theorie haben die Entwicklungen der vergangenen Jahre signifikante Auswirkungen auf die Wahrscheinlichkeit, dass man Ihre Kennwörter überlistet und damit an personenbezogene Daten oder Unternehmensdaten kommt. Selbst ein langes und mit diversen Kniffen versehenes Passwort ist oft nur vermeintlich sicher. Alleine die verfügbare Leistung eines kleinen Rechnerverbundes mit zwei Dutzend Grafikkarten ist so groß, dass ein achtstelliges Passwort nach wenigen Stunden durch schlichtes Durchprobieren geknackt ist. Und die Hacker verwenden längst andere Methoden…

Nicht zuletzt aufgrund der zahlreichen Online-Einbrüche der vergangenen Jahre, bei denen die Daten von Millionen Kunden teilweise mit den Zugangscodes im Klartext gestohlen und später geleakt wurden, kennt man eine Unmenge gängiger Passwörter. Diese braucht man nur noch mit mehrsprachigen, vollständigen Wörterbüchern zu kombinieren, um dann Angriffe mit diesen „wahrscheinlichsten“ Ausdrücken durchzuführen. Ein paar Millionen Ausdrücke sind eben schneller abgearbeitet als eine Billiarde systematischer Versuche. Doch damit nicht genug, denn die erbeuteten Listen zeigen auch vielverwendete Muster. So sind simple Phrasen wie „12345..“, „Password“ oder die Namen von Partnern, Kindern oder Haustieren auf dem Rückzug, einfache Änderungen gewöhnlicher Worte und andere Muster sind aber nach wie vor an der Tagesordnung.

Wie also weiter vorgehen? Sichere Passwörter zu managen ist nicht ganz einfach. Ein einziger sicherer Zugangscode für mehrere Konten verbietet sich, denn wenn Hacker das Kennwort für ein Konto haben, haben sie zugleich Zugang zu weiteren. Einfache Phrasen, Zitate und Ähnliches inklusive simpler Zahlen-Buchstaben-Änderungen stehen längst in sogenannten „Wörterbüchern“, also Kennwortlisten, die in Hacker-Tools implementiert sind und das Knacken erleichtern.

Mehr Schutz bieten die Zwei- oder Drei-Faktor-Authentifizierung. Die Umsetzung der Sicherheitsmechanismen „etwas wissen, etwas besitzen, etwas sein“ sind heute einfach umzusetzen. Die Kombination aus Passwort, USB-Key und beispielsweise eines Fingerprint-Sensors sind sicher und zwischenzeitlich gerade auch für sensible Bereiche einfach und bezahlbar umsetzbar.

Sie wollen mehr über das Thema wissen? Sprechen Sie mit Ihrem kompetenten IT-Verantwortlichen oder Datenschutzbeauftragten.

Datenschutz-Compliance nach der DSGVO

Eines der großen Themen die uns im Bereich der DSGVO beschäftigen ist die Datenschutz-Compliance. Die Planung, Einführung und letztendlich die datenschutzkonforme Überwachung aller Prozesse.

Die bislang nach BDSG ausgearbeiteten und gepflegten Checklisten und Unterlagen sind künftig nicht mehr ausreichend. Der Fokus der EU-DSGVO und der Behörden richtet sich auf andere Bereiche und auch der Ansatz zur Umsetzung der Vorgaben wurde angepasst. IT-Sicherheit, Risikoplanung, Risikoabschätzung und Prozessüberwachung sind nur einige der Stichpunkte der zur Betrachtung stehenden Thematiken. Viele der gerade auch kleinen- und mittelständischen Unternehmen sind jedoch gerade hier in der Umsetzung überfordert.

Die verantwortliche Stelle eines Unternehmens ist grundsätzlich die Geschäftsleitung. So ist die Geschäftsleitung des Unternehmens der erste Ansprechpartner für die Aufsichtsbehörden, sowie Verantwortlicher bei Datenschutzverstößen. Der Geschäftsführer kann die Verantwortung nicht an andere Stellen delegieren. Viele Geschäftsführer sind sich jedoch dessen immer noch nicht bewusst.

Die Einbeziehung des Datenschutzes in alle Belange des Unternehmens, in die Planung von Prozessen, die Umsetzung dieser Prozesse, letztendlich die Überwachung und Prüfung auf eventuelle Folgen von Datenschutzverstößen sind das Kernthema der DSGVO. Doch wie auch im Bereich der IT- und IT Sicherheit werden das die Geschäftsführer alleine nicht lösen können.

Es ist zwischenzeitlich Normalität das sich Unternehmen bei IT-Projekten die Hilfe externer, professioneller Unternehmen sichern. Angefangen bei der laufenden Wartung von Geräten bis zur Umsetzung komplexer Strukturierungen in Rechenzentren und Cloud-Diensten. Doch genauso Normalität muss es werden, das in alle Prozesse der Datenschutzbeauftragte als fachlich kompetenter Dienstleister der Geschäftsleitung eingebunden wird.

Die prozessorientierte Betrachtung und Einteilung beinhaltet drei Kernprozesse, datenschutzkonforme Verarbeitung, Sicherstellung der Betroffenenrechte und den Umgang mit Datenschutzverletzungen. Diese Prozesse lassen sich nicht im „Notfall“ aus dem Ärmel schütteln. Hier sind ausführliche Vorarbeiten Voraussetzung um zum Beispiel in einem Schadensfall sicher und Datenschutzkonform zu agieren. Wenn die Behörde wegen eines Vorfalles auf das Unternehmen aufmerksam geworden ist. Weil beispielsweise die Meldepflicht verletzt wurde, wird sich das künftig auch in der Höhe der Bußgelder wiederspiegeln, die von der Behörde verhängt werden MÜSSEN. Entsprechend sollte sich die Geschäftsleitung eines Unternehmens vorab absichern und die Pflichten der DSGVO ernstnehmen.

Grundsätzlich lassen sich jedoch auch mit einem gut ausgearbeiteten Datenschutzkonzept, einer guten Compliance und einem kompetenten Ansprechpartner solche Vorfälle nicht 100% verhindern. Sie zeigen jedoch sowohl der Behörde, als auch den Betroffenen und unter Umständen der Öffentlichkeit, dass alle Maßnahmen ergriffen wurden um mögliche Schäden zu verhindern und einzugrenzen. Das ist es was letztendlich durch die DSGVO erreicht werden soll und im Schluss auch durch die Behörde, die Betroffenen und ggf. die Öffentlichkeit betrachtet und gewertet wird.

 

Jedes fünfte IT-Unternehmen ignoriert die DSGVO

Noch wenige Monate bleiben bis zur Wirksamkeit der europäischen Datenschutz-Grundverordnung – DSGVO

Doch rund ein Fünftel der IT-Unternehmen hat sich noch nicht ausreichend mit der Thematik DSGVO befasst.

Nach einer Umfrage haben sich bislang rund 42% aller Unternehmen bereits mit der Thematik Datenschtuz-Grundverordnung befasst und beginnen zumindest mit der Planung einer Anpassung und Umsetzung an die bestehenden Regelungen. Von den IT- und Digitalunternehmen jedoch haben sich annähernd 20 % noch nicht mit den Anforderungen der Datenschutzgrundverordnung befasst.

Für die betroffenen Unternehmen tickt die Uhr. Nicht nur dass Sie das Unternehmen in den noch verbleibenden rund 35 Wochen fit für die neuen gesetzlichen Regelungen der EU machen müssen. Auch andere angepasste und geänderte Gesetze sind zur Beachtung der Compliance notwendig. Die der EU-Regulierungen angepassten Vorgaben der BDSG-neu und der Landesgesetze müssen umgesetzt werden… Telemediengesetz, Telekommunikationsgesetz, Risiko-Management, Gefahrenabwägung und BSI – IT-Grundschutz sind nur Stichpunkte zur Compliance die ein erfolgreiches Unternehmen im Auge haben sollte.

Doch was heißt das für die Auftraggeber?

Da sich jedes Unternehmen an die gesetzlichen Vorgaben zu halten hat, geraten auch die Auftraggeber dieser Unternehmen zunehmend unter Druck diese Vorgaben umzusetzen. Wenn der Dienstleister die vorgeschriebenen Sicherheiten und Garantien nicht vorweisen kann, beispielsweise in der Verfügbarmachung eines ordnungsgemäßen Vertrags zur Auftragsdatenverarbeitung (ADV) ist der Auftraggeber gezwungen sich an einen anderen Dienstleister zu wenden. Kein Geschäftsführer wird das Risiko tragen sich mit den Behörden auseinanderzusetzen, weil sein Dienstleister sich nicht rechtzeitig um die Einhaltung der gesetzlichen Vorgaben gekümmert hat.

Was bislang als Wettbewerbsvorteil gegolten hat wird zunehmend zum Hemmschuh der Kundenbindung bei fehlender Vorbereitung und Umsetzung.

Der Kernpunkt jedoch ist, dass viele technische Dienstleister und Unternehmer; gerade auch kleinerer und mittelständischer Unternehmen personell und zeitlich möglicherweise nicht in der Lage sind die Vorgaben datenschutzkonform und zeitnah umzusetzen. Hier droht eine Abwanderung der Kunden hin zu den großen Anbietern von IT-Dienstleistungen.

Abhilfe kann hier durch die Unterstützung eines spezialisierten externen Dienstleisters geschaffen werden. Dieser muss nicht unbedingt den Datenschutzbeauftragten stellen, insofern das betroffene Unternehmen gesetzlich nicht dazu verpflichtet ist. Hier geht es vorrangig um die personelle Unterstützung des Betriebes durch Fachkompetenz. Das Unternehmen entsprechend der Datenschutzgrundverordnung soweit fit zu machen das die geforderten Anforderungen umgesetzt werden und sich das Unternehmen seinem Kerngeschäft zuwenden kann. Das ist Ziel und Sinn der Einbeziehung eines externen Datenschutz-Dienstleisters in kleineren und mittelständischen Unternehmen.

Sie haben Fragen zu diesem Thema? Dann sprechen Sie uns an.

 

Die Regelung der Haftung in der EU-DSGVO

Die Regelung der Haftung in der EU-DSGVO

Die Bundesregierung arbeitet mit Hochdruck daran, das nationale Datenschutzrecht neu zu strukturieren und an die EU-DSGVO anzupassen. Was sich dabei abzeichnet, ist, dass durch die Neuregelung Bußgeldhöhen für Unternehmen, wie in der EU-DSGVO gefordert, stark angehoben werden.

Der Art. 83 Abs. 5 der DSGVO bietet unter anderem den Aufsichtsbehörden die Möglichkeit, Bußgelder bis zu 20 Millionen Euro beziehungsweise bei Konzernen bis zu vier Prozent des weltweiten Umsatzes des Vorjahres zu verhängen. Diese hohen Bußgelder sollen abschrecken und die Behörden sind aufgefordert grundsätzlich die maximale Bußgeldhöhe einzufordern.

In dem nunmehr eingebrachten Entwurf zum Datenschutz- Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG) sieht es so aus, als würde der deutsche Gesetzgeber von dieser Möglichkeit Gebrauch machen. So sieht das neue Umsetzungsgesetz Sanktionsmöglichkeiten bei Datenschutzverletzungen auch gegenüber natürlichen Personen vor. Damit steigt das Haftungsrisiko für Datenschutzverletzungen nicht nur für Unternehmen, sondern auch für Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte.

Grundsätzlich sollte sich das Unternehmen also bereits vor Ende der Umsetzungsfrist um eine ausreichende Compliance im Unternehmen kümmern. Entscheidend ist beispielsweise auch, Management und Mitarbeiter in Bezug auf Datenschutz zu schulen und sie für den Umgang mit personenbezogenen Daten zu sensibilisieren.  Weiter sollte das Unternehmen genau prüfen, welche Daten es in ihrem Unternehmen gibt, durch wen und wie diese verarbeitet werden. Und ob eine Auftragsdatenverarbeitung vorliegt.

Diese Vorgehensweise ist sowohl für Auftraggeber, als auch für Auftragnehmer ein wichtiger Schritt. Gerade Auftragnehmer können hier bereits im Vorfeld durch die zur Verfügungstellung eines Datenschutzkonformen ADV (Vertrag zur Auftragsdatenverarbeitung) für Sicherheit im eigenen Unternehmen- und im Unternehmen des Auftraggebers sorgen und sich einen Wettbewerbsvorteil gegenüber der Mittbewerber sichern.

Besonders zu beachten ist nach wie vor der Umstand das, wenn ein Unternehmen besonders sensible Daten, erhebt oder übermittelt oder verarbeitet, es personenbezogene Daten geschäftsmäßig verarbeitet oder es mindestens zehn Mitarbeiter beschäftigt, die personenbezogene Daten automatisiert verarbeiten – dann einen Datenschutzbeauftragten bestellt werden muss. Diese Vorgabe wurde sogar noch expliziter bezeichnet und erweitert.

Gerade für kleine und mittelständische Unternehmen ist es oftmals schwierig, eigene Mitarbeiter mit dieser Aufgabe zu betrauen. Die Freistellung zur Erfüllung der Aufgabe, die Ausbildung zum zertifizierten Datenschutzbeauftragten, regelmäßige Weiterbildungen und Schulungen… alles sehr kosten- und zeitaufwendige Faktoren, ohne das dem eigentlichen Ziel der Datenschutzkonformität ein Schritt nähergekommen wird. Viele Unternehmen scheuen diese Aufgabe.

Die Bestellung eines externen Datenschutzbeauftragten kann hier eine gute Alternative sein. Sprechen Sie doch mit dem Datenschutzbeauftragten Ihres Vertrauens und nutzen Sie die Gelegenheit sich im Vorfeld zu Informieren.

 

Wozu auch noch einen Datenschutzkoordinator?

In vielen Unternehmen wird gerade damit begonnen die EU-DSGVO umzusetzen und dann kommt noch die Frage nach einem Datenschutzkoordinator.

Ob die Lösung der Aufgabe mittels eines internen oder externen Datenschutzbeauftragten erfolgt ist meist eine rein firmenpolitische Entscheidung der Geschäftsführung. Die Problematik in der Bewältigung der Aufgabe ist jedoch die gleiche. Der Datenschutzbeauftragte sollte vorwiegend eine beratende und prüfende Tätigkeit in der Umsetzung der Regularien haben. Dass sich die Geschäftsleitung wünscht, oder einfordert das der Datenschutzbeauftragten die Dokumente selbst erstellt und/oder beschafft, wirft jedoch dabei auch einige Probleme auf.

Sobald ich als Datenschutzbeauftragter in die entscheidenden Schritte eines Verfahrens direkt eingebunden bin, steht immer Zweifel offen, ob ich der gesetzlich geforderten Prüfpflicht in ausreichendem Maße und ungebunden Genüge leisten kann. Des Weiteren sind die Aufgaben und Tätigkeiten, gerade auch in mittlernen und großen Unternehmen, so vielfältig und Facettenreich das dies für eine einzelne Person möglicherweise nicht mehr umsetzbar ist.

Abhilfe schafft hier ein interner und fachlich kompetenter Ansprechpartner, der sowohl den Datenschutzbeauftragten, als auch die Geschäftsleitung und die Fachbereichsleitung unterstützen kann. Die Entlastung in den Fachabteilungen und die fachlich korrekte Zuarbeitung an den Datenschutzbeauftragten stellen jedoch auch hohe Anforderungen an den Datenschutzkoordinator. Dabei ist der Begriff des Datenschutzkoordinators rein rechtlich und auch sachlich nicht definiert.

Datenschutzkoordinatoren werden gewöhnlich im Datenschutz geschult und verfügen dadurch über eine gewisse Fachkunde im Bereich des Datenschutzes. Sie sind gerade deshalb in der Lage, den Datenschutzbeauftragten bei seinen Aufgaben zu unterstützen. Sie sammeln in den Fachabteilungen relevante Informationen, verwalten die Dokumentation, setzen Prozesse um und geben regelmäßige Reports an den Datenschutzbeauftragten.

Erfahrungsgemäß sind gerade auch interne Datenschutzbeauftragte nicht unbedingt die „Lieblinge“ der Geschäftsleitung. Denn Datenschutz ist unbequem,  kostet grundsätzlich Geld, benötigt einen nicht unerheblichen Zeitaufwand und bindet die Fachkräfte in den Fachabteilungen… die Liste kann noch lange fortgeführt werden.

Ein Datenschutzkoordinator beschleunigt Projekte

Ein Datenschutzkoordinator kann da jedoch unter Umständen Abhilfe schaffen. Eine beschleunigte Umsetzung der Projekte, eine geringere Ressourcenbindung in den Fachabteilungen und ein besseres und einfacheres Arbeitsumfeld, auch für den Datenschutzbeauftragten, egal ob Voll- oder Teilzeit, sind die Vorteile eines entsprechnden Mitarbeiters.

Der Datenschutzkoordinator kann den Datenschutzbeauftragten nicht ersetzen, aber gerade auch für einen externen Datenschutzbeauftragten ist ein derartiger Ansprechpartner ein effektiver Partner in der Umsetzung der gesetzlichen Vorgaben. Und gerade darauf kommt es auch der Geschäftsleitung an.

Haben Sie noch Fragen zur Tätigkeit eines Datenschutzkoordinators? Sprechen Sie uns.

Datenschutzbeauftragter / Datenschutzkoordinator Praxistag

Erfahren Sie in unserem 1tägigen Praxisseminar für Datenschutzbeauftragte und Datenschutzkoordinatoren wie Sie gekonnt die DSGVO in die Praxis umsetzen.