COUNTDOWN EU-Datenschutz

EU-Datenschutz – EU-DSGVO

EU-Datenschutzgrundverordnung

Der Datenschutz wird durch die EU-DSGVO/EU-GDPR seit 2016 einheitlich in der EU geregelt und muss bis Mai 2018 von Unternehmen und Organisationen vollständig umgesetzt werden. Die Anforderungen an den Datenschutz steigen deutlich und die möglichen Strafen sind exorbitant.

Mit der EU-DSGVO bzw. EU-GDPR (EU-General Data Protection Regulation) wird der Datenschutz europaweit harmonisiert. Das erzeugt enormes Einsparungspotential und verhindert die Rechtsunsicherheit im EU-Binnenraum, die durch die unterschiedlichen nationalen Gesetze aktuell bestehen. Mit der EU-DSGVO erhalten natürliche Personen deutlich mehr Kontrolle über Ihre Daten und können von einem verbesserten Datenschutz ausgehen. Jede IT-Abteilung die »personenbezogene Daten« speichert, muss die die Vorgaben der EU-DSGVO spätestens am 25. Mai 2018 einhalten. Ansonsten drohen exorbitante Strafen die auch ohne Datenpanne verhängt werden können.

Um die Vorgaben der EU-DSGVO einzuhalten, reicht es aber nicht aus, einzelne »technische und organisatorische Maßnahmen« zur Verbesserung des Datenschutzes umzusetzen. Organisationen müssen ein wirksames Sicherheits- und Datenschutzkonzept erstellen, durch ein Verfahrensverzeichnis jederzeit und vollständig nachweisen und die Datenschutzverfahren regelmäßig auf Ihre Wirksamkeit überprüfen.

Um ein angemessenes Schutzniveau zu erreichen sind insbesondere die Risiken (Risikobewertung) zu berücksichtigen, die mit der Verarbeitung von personenbezogenen Daten verbunden sind. Basierend auf der Risikobewertung müssen die Maßnahmen und Verfahren dem »Stand der Technik« entsprechen aber auch »verhältnismäßig« sein.

Bereits das Bundesdatenschutzgesetz (BDSG) gehörte zu den strengsten Datenschutzgesetzen weltweit. Im Gegensatz zur EU-DSGVO wurde es vielfach als »zahnloser Tiger« angesehen. Die im BDSG festgelegten Strafen wurden zum Schutz der Wirtschaft nur äußerst selten verhängt und waren im Vergleich zu den möglichen Sanktionen der EU-DSGVO kaum abschreckend.

Wir zeigen Ihnen hier interessante DSGVO-Checklisten, Erklärungen, aufgezeichnete Webinare mit einem externen Datenschutzbeauftragten zu diesem Thema sowie Beispiele wie die praktische Umsetzung für Unternehmen und Organisationen aussehen kann.

EU-DSGVO/EU-GDPR Checklisten und Links

Unsere Sammlung von Orientierungshilfen, Richtlinien, Erklärungen und Beispielkonzepte zur EU-DSGVO Compliance.

Verarbeitungsverzeichnins/Verfahrensverzeichnis – Art. 30 DSGVO

Die Dokumentation von Verfahren oder Verarbeitungsprozessen hat in der EU-DSGVO einen hohen Stellenwert. Damit soll auch erreicht werden, das Verfahren der Datenverarbeitung auf ihre Wirksamkeit hin überprüft worden sind, Außerdem dienen sie bei Audits als Anhaltspunkt für die Auditoren. Der Verzicht auf ein Verfahrensverzeichnis allein ist bereits strafbewehrt.

Die Bitkom bietet eine aktualisierte Version des Verfahrensverzeichnisses zum kostenlosen Download an.

Zur Dokumentation

Besondere Kategorien personenbezogener Daten – Art. 9 DSGVO

Grundsätzlich hat sich bei den besonderen Arten der personenbezogenen Daten gegenüber dem Bundesdatenschutzgesetz (BDSG § 3 Abs. 9) nicht viel in der EU-DSGVO geändert. In dem folgenden Kurzpapier der BayLDA finden Sie die aktuellste Definition.

Besondere Kategorien personenbezogener Daten

Datenschutz-Folgenabschätzung – Art. 35 DSGVO

Die Datenschutz-Folgenabschätzung ist immer dann vorgeschrieben, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung von personenbezogenen Daten voraussichtlich ein hohes Risiko besteht.

Kurzpapier Datenschutz-Folgenabschätzung

Verfahrensdokumentation IT-Security – Art. 32 DSGVO

Einzelne Verfahren (technische und organisatorische Maßnahmen) müssen gemäß den Vorgaben der EU-DSGVO Art. 32 hinreichend  dokumentiert sein. Der Datenschutzbeauftragte empfiehlt in diesem Zusammenhang Leit- und Richtlinien für

  • IT-Sicherheit
  • ITK-Nutzung (Benutzerberechtigungen)
  • Internet- und E-Mail-Nutzung (auch BYOD)
  • Outsourcing (falls zutreffend)
  • Sicherheitshinweise IT-Anwender
  • Sicherheitshinweise IT-Administratoren
  • Änderungskonzept
  • Viren-Schutzkonzept
  • Datensicherungskonzept
  • Notfallvorsorgekonzept (Notfallplan)
  • Archivierungskonzept

Beim Bundesamt für die Informationssicherheit (BSI) finden Sie Musterrichtlinien und Beispielkonzepte zum Download

Musterrichtlinien

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zeigt konkrete Ansätze auf dem Weg zur Umsetzung der EU-DSGVO

EU-DSGVO Umsetzung

 

 

Schutzbedarf und Schutzziele

Der Schutzbedarf von Daten und Verarbeitungsprozessen ist unterschiedlich hoch. Das bedeutet in der Konsequenz auch, dass in Abhängigkeit vom Schutzbedarf angepasste Schutzmaßnahmen erforderlich sind. Dabei gelten die drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit.

Das BSI gibt in seiner IT-Grundschutz Empfehlung entsprechende Orientierungshilfen:

IT-Grundschutz

Allgemeine IT-Grundschutz Informationen, Downloads, Bausteine, BSI-Standards und Umsetzungsempfehlungen.


BSI-Mindeststandards

Praktische Anleitung zu den Mindestvorgaben des BSI. Hier erfahren Sie mehr über Schnittstellenkontrolle, public Cloud, Mobile Device Management uvm.

 

 

Auftragsverarbeitung – Art. 28 DS-GVO

Werden klassische IT-Dienstleistungen wie. z.B Lohnabrechnung oder Finanzbuchhaltung ausgelagert, dann muss mit dem Dienstleister nach EU-DSGVO Artikel 28, Absatz 3 ein Auftragsverarbeitungsvertrag geschlossen werden. Dieser regelt die Datenschutz-Anforderungen bei der Auftragsverarbeitung durch den Dienstleister und schützt Sie vor rechtlichen Konsequenzen.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat zusammen mit anderen Landesdatenschutzbehörden nun einen neuen Mustervertrag bzw. eine Musterformulierung veröffentlicht, die Sie verwenden und auf Ihre Anforderungen anpassen können.

Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO

 

EU-Datenschutz konkret – Webinar Teil 1

Wir haben zusammen mit einem externen Datenschutzbeauftragten bereits in zwei Webinaren über die praktische Umsetzung der EU-DSGVO informiert. Die Aufzeichnung der Webinare können Sie sich hier ansehen.

In der Webinarreihe »EU-Datenschutz konkret - Welche Maßnahmen sind wirklich notwendig« präsentieren wir zusammen mit dem externen Datenschutzbeauftragten von der Datenschutz-Agentur,  praktische Fakten und Handlungsempfehlungen anstatt unverständlicher Paragraphen.

Video

Welche EU-DSGVO Maßnahmen sind wirklich notwendig?

Video ansehen

Fragen Sie die Experten

EU-Datenschutz konkret – Webinar Teil 2

Die technischen und organisatorischen Maßnahmen (TOM) sind nur noch Bausteine zur Einhaltung der EU-DSGVO bzw. EU-GDPR Compliance. Die Datenschutzgrundverordnung erfordert ein ganzheitliches Datenschutzkonzept mit dokumentierten Zuständigkeiten, Verfahren und Notfall-Plänen.

Video

Datenschutzkonzept & Dokumentation

Video ansehen

Fragen Sie die Experten

(Wir geben keine Gewähr für die Richtigkeit und Vollständigkeit der Angaben in diesem Bereich und übernehmen auch keine Haftung.)

 

 

EU-DSGVO-Beratung

Zusammen mit den Datenschutzbeauftragten der Datenschutz-Agentur können wir Ihnen individuelle Beratungen zu den Themen Datenschutz und EU-Datenschutzgrundverordnung anbieten.

EU-DSGVO Beratung