Neues Datenschutzgesetz (DSGVO) – ab Mai 2018 verbindlich!

 

Sicher haben Sie bereits durch die Medien erfahren, dass das EU-Parlament seine neue Datenschutzgrundverordnung (DSGVO) am 14.04.2016 mit einer Übergangsfrist von 2 Jahren beschlossen hat.

Nachdem der Bundesrat am 12.05.2017 das „BDSG neu“ (DSAnpUG-EU) als nationale Ergänzung hierzu abgesegnet hat, ist der Weg zur Umsetzung seit einigen Wochen frei.

Mit der DSGVO und dem DSAnpUG-EU sind die datenschutzrechtlichen Anforderungen nicht nur gestiegen, es kommen auch erhebliche Neuerungen und einiges an Mehraufwand auf die Unternehmen zu.

Gerne unterstützen wir unsere Mandanten daher bei der rechtskonformen Umsetzung der neuen Regelung. Um so rechtzeitig etwaigen Datenpannen vorzubeugen und Haftungsrisiken sowie wirtschaftliche Schäden zu vermeiden.

Da die neuen Vorgaben gemäß Art. 99 DSGVO bereits am 25. Mai 2018 umgesetzt sein müssen und die Aufsichtsbehörden unlängst damit begonnen haben, Unternehmen zum Stand der Umsetzung zu befragen, ist jedem Unternehmen anzuraten möglichst bald aktiv zu werden. (Anschreiben des Bayerischen Landesamts für Datenschutzaufsicht)

Vorbereitend hierzu haben wir die nachfolgende Checkliste erarbeitet, die einen ersten Überblick zu den wichtigsten Punkten bietet.

Folgende Fragen sollten Vorbereitend geklärt werden…

  • Wurde ein Datenschutzbeauftragter benannt bzw. bestellt und bei der Behörde gemeldet? – (Art. 37 DSGVO in Verbindung mit Art. 38 DSAnpUG-EU)?
  • Sind alle Verfahren (Verarbeitungstätigkeiten) erfasst und dokumentiert? – (Art. 30 DSGVO)
  • Sind die Zuständigkeiten (Rollenkonzept) und Prozesse erfasst und beschrieben?
  • Welche Prozesse sind datenschutzrechtlich relevant und müssen angepasst werden?
  • Wurden Prozessverantwortliche definiert und bereits über bezüglich DSGVO geschult.
  • Sind die Kriterien zur Durchführung einer Datenschutz-Folgenabschätzung geklärt? – (Art. 35 DSGVO)
  • Wurde die neue Regelung für die Verarbeitung besonderer Datenarten bereits berücksichtigt – (Art. 9 u. 10 DSGVO)
  • Wurden bereits Verhaltensregeln (Art. 40 DSGVO) beschlossen und die Mitarbeiter hierzu geschult.
  • Wurden alle Verhaltensregeln als Richtlinie veröffentlicht und haben alle Mitarbeiter Zugriff auf diese Vorgaben.
  • Wurde der Prozess zu Meldepflicht bestimmter Verfahren bereits angepasst – (Art. 36 DSGVO)
  • Werden die Informationspflichten (Art. 12 DSGVO) erfüllt?
  • Kann auf einen Datenschutzverstoß zeitnah und angemessen reagiert werden?
  • Gibt es bereits einen Prozess zur Meldepflicht von Datenschutzverletzungen an die Aufsichtsbehörde und Benachrichtigung der Betroffenen – (Art. 33 und 34)
  • Genügen die Datenschutzunterweisungen durch den Datenschutzbeauftragten dem neuen Gesetz? (Art. 39 DSGVO)
  • Wurde bereits eine Risikoanalyse durchgeführt und die Gefahren bewertet.
  • Sind die Grundsätze Vertraulichkeit, Integrität und Verfügbarkeit bereits bei den technischen und organisatorischen Maßnahmen (Sicherheit der Verarbeitung) berücksichtigt? – (Art. 24 und 32 DSGVO)
  • Sind die Erkenntnisse der Risikoanalyse bereits im Informationssicherheitskonzept berücksichtigt.
  • Ist ein Prozess zur Datenportabilität (Art. 20 DSGVO) nötig und wurde dieser bereits in geeigneter Weise implementiert?
  • Verfügt das Unternehmen über ein geeignetes Löschkonzept und werden die Löschfristen hierbei eigehalten.
  • Werden die Rechte der Betroffenen ausreichend berücksichtigt – (Art. 12 – 17)
  • Bestehen bereits Prozesse zur Information Betroffener und Dritter hinsichtlich Transparenz?
  • Genügen die Prozesse zur Einholung der Einwilligung des Betroffenen der neuen Regelung? – (Art. 7 DSGVO)
  • Wie werden internationale Datentransfers gehandhabt?
  • Werden Clouddienste durch das Unternehmen genutzt und wurden diese bereits berücksichtigt.
  • Genügen die Verträge mit den Auftragsverarbeitern den neuen Anforderungen der DSGVO? – (Art. 28 und 29 DSGVO)
  • Sind erlassene nationale Vorschriften auf Basis der Öffnungsklauseln zu berücksichtigen?
  • Wurde bereits ein Datenschutz-Managementsystem implementiert?
  • Gibt bereits einen Prozess zu Dokumentlenkung – Veröffentlichung?
  • Gibt es einen Prozess zu Genehmigung neuer Verfahren und Prozesse?
  • Wurden die Schulungsunterlagen angepasst und die Mitarbeiter zur DSGVO geschult?
  • Wurde die Dokumentation bereits hinsichtlich der neuen Dokumentationspflicht angepasst?
  • Sind die etablierten Datenübermittlungen, die auf Grundlage eines Angemessenheitsbeschlusses der Kommission (z.B. Standardvertragsklauseln, Privacy Shield usw.) betrieben werden, weiterhin rechtskonform – (Art. 45 DSGVO)

Bitte melden Sie Sich wenn wir auch Sie bei dieser Herausforderung unterstützen dürfen.

Matthias Walter, tec4net GmbH  http://www.tec4net.com
EDV-Sachverständiger | Auditor für Datenschutz und IT-Sicherheit

————————————————————————————————————————-
Quellen und Links:

Unsere Broschüre zum Dateschutz
http://www.tec4net.com/public/tec4net_Flyer_DS.pdf

Die DSGVO auf einen Blick…
http://tec4net.com/public/datenschutz/eu-dsgvo/20170417_info_eu-dsgvo.pdf

Anschreiben des Bayerischen Landesamts für Datenschutzaufsicht
http://www.tec4net/public/datenschutz/eu-dsgvo/20170901_anschreiben_baylda.pdf

Artikel zu den Neuerungen der DSGVO
https://it-news-blog.com/?p=1208