Triades Datenschutz Datensicherheit Icon aus Logo grün

DIE EU DSGVO

Das neue europäische Datenschutzgesetz wird am 25.05.2017 wirksam!

Nach einem langen Weg hat Europa sich am 25.05.2016 eine neue gesetzliche Grundlage für den Datenschutz gegeben und die Europäische Datenschutzgrundverordnung (EU DSGVO) in Kraft gesetzt. Ziel dieser Verordnung ist die Schaffung eines einheitlichen Datenschutzrecht, sowohl für die Europäer, als auch für die außereuropäischen Marktteilnehmer. Siehe: www.privacy-regulation.eu.

Doch als wäre dies nicht schon genug Veränderung, hat der deutsche Gesetzgeber die Öffnungsklauseln der DSGVO genutzt und das seit 1997 bestehende Bundesdatenschutzgesetz komplett novelliert. Das sogenannte BDSG-neu wird ebenfalls am 25.05.2018 eingeführt und bringt weitere komplizierte Regelungen mit sich. Siehe www.bdsg2018.de.

Am 25.05.2017 endet auch die zweijährige Übergangsfrist zur Umsetzung der DSGVO. Bis dahin haben betroffene Unternehmen noch Zeit die Pflichten der neuen Verordnung aus Brüssel zu erfüllen.

Wer ist davon betroffen?

Jedes Unternehmen in Deutschland, welches personenbezogene Daten verarbeitet (z.B. in E-Mails, oder per Kontaktformular im Internet, oder in Form einer Personalakte) wird den Datenschutz gewährleisten müssen. Sofern dabei mehr als 10 Beschäftigte personenbezogene Daten verarbeiten (weil sie z.B. über einen eigenen E-Mail Account verfügen), hat die Unternehmensleitung in Deutschland auch einen Datenschutzbeauftragten zu benennen.

 

Mehr zum Thema Datenschutzbeauftragter lesen sie hier: Datenschutzbeauftragter DSGVO

Welche Auswirkungen hat die DSGVO?

Was ändert sich?

Die DSGVO hebt dabei den Datenschutz auf ein ganz neues Niveau! Neben vielen neuen Datenschutz-Pflichten kommt auf die Unternehmer das Prinzip der Rechenschaftspflicht (engl. accountability) zu. Das bedeutet den Nachweis zu erbringen, dass der Datenschutz eingehalten wird, was eine umfangreiche Dokumentation zur Folge hat. Und dies ist auch ratsam, denn neben den neuen drastischen Sanktionen hat die EU die Beweislast umgekehrt. Bei Verstößen muss das Unternehmen beweisen können, dass es keine Schuld trägt. Letztlich ist es also notwendig ein systematisches Datenschutz-Managementsystem (mit den üblichen Plan-Do-Check-Act-Zyklen) zu implementieren.

Vergleich BDSG mit DSGVO

Was bedeutet das in der Praxis?

Um die DSGVO erfüllen zu können müsste man die Pflichten kennen, die zu erfüllen sind. Womit die Schwierigkeiten bereits beginnen, denn diese sind im Gesetzestext verborgen. Der Gesetzgeber hat sich nicht die Mühe gemacht, diese herauszustellen oder gar nutzerfreundlich als Checkliste zu präsentieren.

Hat man dann die Pflichten aus den 99 Artikel und 173 Erwägungsgründen herausgefiltert, stellen sich weitere Fragen: Welche Pflichten müssen eingehalten werden? In welcher Reihenfolge kann man sie bearbeiten? Wie kann man den Plan-Do-Check-Act-Zyklus im Datenschutz umsetzen? Wem kann man diese Arbeiten überhaupt übertragen? All dies sind wichtige Fragen, die es zu klären gilt. Besonders viel Zeit dazu haben Unternehmer nicht mehr. Außerdem sind manche Pflichten durchaus zeitaufwändig:

  • Die IT-Sicherheit des Unternehmens darf nicht mehr dem „Zufall“ überlassen bleiben. Vielmehr muss die IT-Sicherheit bedingt durch Artikel 32 komplett auf den Prüfstand. Alles muss begründet, dokumentiert und kontinuierlich geprüft werden. Dies ist der Rechenschaftspflicht geschuldet. Das Resultat ist ein Informations-Sicherheits-Managementsystem (ISMS).

 

  • Jede (Daten-) Verarbeitung muss ca. 30-40 Pflichten erfüllen: Es beginnt bei den Einwilligungen gemäß Artikel 6 und endet mit Übermittlung an außereuropäische Drittländer gemäß Artikel 44.

 

  • Bestehende Auftragsdatenverarbeitungen gemäß § 11 BDSG müssen überführt werden in die Auftragsverarbeitungen gemäß Artikel 28. Keine leichte Aufgabe, weil sich der Prüfkatalog zu den Verträgen auf ca. 40 Fragestellungen verdoppelt hat.

Was ist jetzt zu tun?

Unternehmen in Europa sollten schnellstens mit einem Datenschutz-Projekt zur Erfüllung der Pflichten der DSGVO starten.  Dazu benötigen die Verantwortlichen einen konkreten Projekt-Plan. Dieser muss den Beschäftigten schnell die notwendige Fachkunde vermitteln und die nötigen Instrumente in Form von Unterrichtungen, Anleitungen, Formularen und Checklisten zur Verfügung stellen.

Sollten Sie über keinen derartigen Projekt-Plan verfügen, erlauben wir uns die Anmerkung, dass es auf Grund des Umfangs der Aufgaben, der notwendigen Fachkunde dazu und der verbleibenden Zeit, den meisten Unternehmen kaum gelingen wird einen solchen Projekt-Plan zu entwickeln und fristgerecht umzusetzen.

Wir bei DSB-MIT-SYSTEM® haben deshalb vorausschauend vorgearbeitet und über ein Jahr gebraucht um einen solchen Projekt-Plan zu entwickeln. Aber der Aufwand hat sich gelohnt, besonders für sie als Verantwortliche in den Unternehmen, denn

mit PrivazyPlan® haben wir ein einzigartiges Werk zur Umsetzung der Pflichten der DSGVO geschaffen.

Lesen Sie jetzt unter PrivazyPlan® wie es Ihnen gelingt die Pflichten der DSGVO zu erfüllen und ihr Unternehmen im Datenschutz fit für die Zukunft zu machen.

Besuchen Sie dazu unsere Seite: PrivazyPlan®.