Die EU-Datenschutzgrundverordnung betrifft alle IT-Abteilungen die schützenswerte Daten verarbeiten.
Sind Sie bereit?

EU-DSGVO Webinar

EU-Datenschutz – EU-DSGVO

EU-Datenschutzgrundverordnung

Der Datenschutz wird durch die EU-DSGVO/EU-GDPR seit 2016 einheitlich in der EU geregelt und muss bis Mai 2018 von Unternehmen und Organisationen vollständig umgesetzt werden. Die Anforderungen an den Datenschutz steigen deutlich und die möglichen Strafen sind exorbitant.

Mit der EU-DSGVO bzw. EU-GDPR (EU-General Data Protection Regulation) wird der Datenschutz europaweit harmonisiert. Das erzeugt enormes Einsparungspotential und verhindert die Rechtsunsicherheit im EU-Binnenraum, die durch die unterschiedlichen nationalen Gesetze aktuell bestehen. Mit der EU-DSGVO erhalten natürliche Personen deutlich mehr Kontrolle über Ihre Daten und können von einem verbesserten Datenschutz ausgehen. Jede IT-Abteilung die »personenbezogene Daten« speichert, muss die die Vorgaben der EU-DSGVO spätestens am 25. Mai 2018 einhalten. Ansonsten drohen exorbitante Strafen die auch ohne Datenpanne verhängt werden können.

Um die Vorgaben der EU-DSGVO einzuhalten, reicht es aber nicht aus, einzelne »technische und organisatorische Maßnahmen« zur Verbesserung des Datenschutzes umzusetzen. Organisationen müssen ein wirksames Sicherheits- und Datenschutzkonzept erstellen, durch ein Verfahrensverzeichnis jederzeit und vollständig nachweisen und die Datenschutzverfahren regelmäßig auf Ihre Wirksamkeit überprüfen.

Um ein angemessenes Schutzniveau zu erreichen sind insbesondere die Risiken (Risikobewertung) zu berücksichtigen, die mit der Verarbeitung von personenbezogenen Daten verbunden sind. Basierend auf der Risikobewertung müssen die Maßnahmen und Verfahren dem »Stand der Technik« entsprechen aber auch »verhältnismäßig« sein.

Bereits das Bundesdatenschutzgesetz (BDSG) gehörte zu den strengsten Datenschutzgesetzen weltweit. Im Gegensatz zur EU-DSGVO wurde es vielfach als »zahnloser Tiger« angesehen. Die im BDSG festgelegten Strafen wurden zum Schutz der Wirtschaft nur äußerst selten verhängt und waren im Vergleich zu den möglichen Sanktionen der EU-DSGVO kaum abschreckend.

Wir zeigen Ihnen hier interessante Links sowie weitere Informationen zum Thema Datenschutz und der praktischen Umsetzung für Unternehmen und Organisationen.

EU-DSGVO-Beratung

Zusammen mit den Datenschutzbeauftragten der Datenschutz-Agentur können wir Ihnen individuelle Beratungen zu den Themen Datenschutz und EU-Datenschutzgrundverordnung anbieten. Gerade die EU-DSGVO bzw EU-GDPR bedeutet für viele Unternehmen eine deutliche Forcierung der Maßnahmen zur Einhaltung des Datenschutzes.

Unsere Erfahrung zeigt, dass vielfach der Einstieg in die Datenschutzgrundverordnung das initiale Problem ist. Mit unserem Angebot ermöglichen wir Ihnen den Start in die Umsetzung der EU-DSGVO Anforderungen auf Basis Ihrer Gegebenheiten und zwar praxisbezogen, nachvollziehbar und rechtssicher. Durch die Beratung entsteht selbstverständlich noch kein Mandatsverhältnis.

EU-DSGVO Beratung

 

EU-Datenschutz konkret – Webinar Teil 1

Wir haben zusammen mit einem externen Datenschutzbeauftragten bereits in zwei Webinaren über die praktische Umsetzung der EU-DSGVO informiert. Die Aufzeichnung der Webinare können Sie sich hier ansehen.

In der Webinarreihe »EU-Datenschutz konkret - Welche Maßnahmen sind wirklich notwendig« präsentieren wir zusammen mit dem externen Datenschutzbeauftragten von der Datenschutz-Agentur,  praktische Fakten und Handlungsempfehlungen anstatt unverständlicher Paragraphen.

Video

Welche EU-DSGVO Maßnahmen sind wirklich notwendig?

Video ansehen

Fragen Sie die Experten

EU-Datenschutz konkret – Webinar Teil 2

Die technischen und organisatorischen Maßnahmen (TOM) sind nur noch Bausteine zur Einhaltung der EU-DSGVO bzw. EU-GDPR Compliance. Die Datenschutzgrundverordnung erfordert ein ganzheitliches Datenschutzkonzept mit dokumentierten Zuständigkeiten, Verfahren und Notfall-Plänen.

Video

Datenschutzkonzept & Dokumentation

Video ansehen

Fragen Sie die Experten

EU-DSGVO/EU-GDPR Checklisten und Links

Unsere Sammlung von Orientierungshilfen, Richtlinien, Erklärungen und Beispielkonzepte zur EU-DSGVO Compliance.

Verarbeitungsverzeichnins/Verfahrensverzeichnis – Art. 30 DS-GVO

Die Dokumentation von Verfahren oder Verarbeitungsprozessen hat in der EU-DSGVO einen hohen Stellenwert. Damit soll auch erreicht werden, das Verfahren der Datenverarbeitung auf ihre Wirksamkeit hin überprüft worden sind, Außerdem dienen sie bei Audits als Anhaltspunkt für die Auditoren. Der Verzicht auf ein Verfahrensverzeichnis allein ist bereits strafbewehrt.

Die Bitkom bietet eine aktualisierte Version des Verfahrensverzeichnisses zum kostenlosen Download an.

Zur Dokumentation

Verfahrensdokumentation IT-Security - Art. 32 DS-GVO

Einzelne Verfahren (technische und organisatorische Maßnahmen) müssen gemäß den Vorgaben der EU-DSGVO Art. 32 hinreichend  dokumentiert sein. Der Datenschutzbeauftragte empfiehlt in diesem Zusammenhang Leit- und Richtlinien für

  • IT-Sicherheit
  • ITK-Nutzung (Benutzerberechtigungen)
  • Internet- und E-Mail-Nutzung (auch BYOD)
  • Outsourcing (falls zutreffend)
  • Sicherheitshinweise IT-Anwender
  • Sicherheitshinweise IT-Administratoren
  • Änderungskonzept
  • Viren-Schutzkonzept
  • Datensicherungskonzept
  • Notfallvorsorgekonzept (Notfallplan)
  • Archivierungskonzept

Beim Bundesamt für die Informationssicherheit (BSI) finden Sie Musterrichtlinien und Beispielkonzepte zum Download

Musterrichtlinien

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zeigt konkrete Ansätze auf dem Weg zur Umsetzung der EU-DSGVO

EU-DSGVO Umsetzung

 

 

Schutzbedarf und Schutzziele

Der Schutzbedarf von Daten und Verarbeitungsprozessen ist unterschiedlich hoch. Das bedeutet in der Konsequenz auch, dass in Abhängigkeit vom Schutzbedarf angepasste Schutzmaßnahmen erforderlich sind. Dabei gelten die drei Grundwerte Vertrauclichkeit, Integrität und Verfügbarkeit.

Das BSI gibt in seiner IT-Grundschutz Empfehlung entsprechende Orientierungshilfen:

IT-Grundschutz

(Wir geben keine Gewähr für die Richtigkeit und Vollständigkeit der Angaben in diesem Bereich und übernehmen auch keine Haftung.)