Sie sind hier
IHK bietet Unternehmen sehr gute Übersicht über Datenschutzverordnung
Bei der Suche nach hilfreichen Aussagen zu dem seit einem halben Jahr geltenden Datenschutz - der eigentlich auf die Datenkraken abzielte, von dem aber befürchtet wurde, das er zur Keule gegen KMU eingesetzt werden würde, wurde ich bei der IHK Köln fündig.
Eine wunderbar vollständige Auflistung, die an dieser Stelle widergegeben wird, der Vollständigkeit halber blieben alle Links erhalten:
Alle Infos zur EU-Datenschutz-Grundverordnung (DSGVO) – was müssen Unternehmen jetzt beachten?
Zum 25. Mai 2018 musste die europäische Datenschutz-Grundverordnung (DSGVO) umgesetzt werden – auch in privaten Unternehmen. Höchste Zeit, alle relevanten Unternehmensprozesse an die Vorgaben der EU anzupassen.
Die DSGVO vereinheitlicht das Datenschutzrecht in Europa
Personenbezogene Daten, wie zum Beispiel Name, Alter, Anschrift, E-Mail-Adresse oder die Kontonummer, dürfen weiterhin nur verarbeitet und gespeichert werden, wenn die betroffene Person ihr Einverständnis gegeben hat. Dies ist so auch schon im Bundesdatenschutzgesetz (BDSG, Art. 6) geregelt – also im Prinzip nichts Neues. Ab dem 25. Mai kann dieses Einverständnis jedoch beispielsweise auch durch das Anklicken eines Kästchens auf der Internetseite erteilt werden und muss nicht mehr schriftlich erfolgen.
Bereits erteilte Einwilligungen der Betroffenen bleiben nur wirksam, wenn sie den Bedingungen der DSGVO entsprechen. Die bekannten datenschutzrechtlichen Grundprinzipien Datensparsamkeit, Zweckbindung und Datensicherheit wurden fortentwickelt.
So besteht etwa eine engere Zweckbindung, weshalb Daten grundsätzlich nur zu dem ursprünglichen Erhebungszweck verwendet werden dürfen. Dieser Erhebungszweck muss eindeutig, festgelegt und legitim sein.
Die Datensparsamkeit wird durch das Prinzip der Datenminimierung abgelöst. Dies besagt, dass Daten nur dem Zweck angemessen sowie auf das notwendige Maß beschränkt gesammelt werden dürfen. An dieser Stelle sollte auch die Speicherbegrenzung beachtet werden: Daten dürfen nur so lange gespeichert werden, wie es erforderlich ist. Dabei muss eine angemessene Datensicherheit von Seiten des Unternehmens gewährleistet werden, damit die Daten nicht in falsche Hände geraten können.
Wie sollten Unternehmen jetzt vorgehen? Fünf erste Schritte zur Umsetzung der DSGVO
1. Strukturen und Verantwortlichkeiten schaffen
Informieren Sie in Ihrem Unternehmen zum Thema Datenschutz und benennen Sie einen Datenschutzbeauftragen. Dazu ist jedes Unternehmen mit mehr als neun Mitarbeitern verpflichtet, das personenbezogene Daten verarbeitet. Vergessen Sie hier nicht die freien Mitarbeiter und Teilzeitkräfte. Der oder die Datenschutzbeauftragte sollte regelmäßig geschult werden.
2. Verschaffen Sie sich einen Überblick, welche Daten in Ihrem Unternehmen wo und zu welchem Zweck verarbeitet und gespeichert werden
Dies betrifft zum Beispiel die Bereiche Personalverwaltung und Lohnbuchhaltung, Kundendaten (die etwa über die Website, Mailinglisten oder eine Telefon-Hotline erhoben werden), Bewerbungen – eben jeder Umgang mit personenbezogenen Daten. Dieser Überblick kann zum Beispiel eine Tabelle sein, in der dargestellt wird, welche Daten erhoben werden. Sie sollte immer aktuell gehalten werden: Er ist die Basis für eine strukturierte DSGVO-Compliance. Auch die IT-Sicherheit darf hier nicht vergessen werden.
3. Auftragsverarbeiter prüfen
Wenn Sie personenbezogene Daten außer Haus geben (zum Beispiel indem Sie Cloud-Services nutzen oder das Zeiterfassungssystem eines externen Dienstleisters), so sind Sie verpflichtet, sich von der Eignung des Dienstleisters zu überzeugen und die Details der Datenverarbeitung vertraglich festzulegen. Auch hier ist eine aktuelle Übersicht der Auftragsverarbeitungen wichtig.
4. Transparenz herstellen
Betroffene müssen verständlich darüber informiert werden, was mit ihren Daten passiert. Sie haben ein Widerspruchsrecht bezüglich der weiteren Datenverarbeitung. Ebenfalls gibt es nun ein Recht auf Berichtigung, Sperrung und Löschung der Daten. Eine besondere Ausformung des Löschungsanspruchs stellt das „Recht auf Vergessenwerden“ dar – das bedeutet, dass ein Unternehmen die Kundendaten zeitnah und umfassend löschen muss, wenn dies verlangt wird. Und: Soweit die zu löschenden Daten an dritte weitergegeben wurden, muss der Verantwortliche die datenverarbeitende Stelle darüber informieren, dass die betroffene Person die Löschung aller Links zu diesen Daten und von Kopien oder Replikationen verlangt.
Auf Basis des neu eingeführten Rechts auf Datenübertragbarkeit haben betroffenen Personen unter bestimmten Voraussetzungen einen Anspruch, eine Kopie der sie betreffenden personenbezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat zu erhalten. Unternehmen sollten insofern überprüfen, ob vorhandene Systeme die Datenübertragbarkeit unterstützen.
5. Was tun im Fall von Datenschutzverletzungen?
Neben der Beachtung der Betroffenenrechte müssen Unternehmen weiteren Verpflichtungen nachkommen, die in erster Linie dazu dienen, den Aufsichtsbehörden die Kontrolle zu erleichtern. So besteht im Fall von Datenschutzverletzungen eine Meldepflicht bei der zuständigen Aufsichtsbehörde. Und: Soweit Verarbeitungsvorgänge besonders sensible Daten (wie zum Beispiel in Arztpraxen) betreffen, muss der Verantwortliche eine Datenschutz-Folgenabschätzung durchführen. Hier wird derzeit noch von den Behörden ausgearbeitet, für welche Verarbeitungsvorgänge dies zutrifft.
Anwendungsbereich der DSGVO und Sanktionsmöglichkeiten
Nach dem Marktortprinzip gelten die Vorgaben der DSGVO für alle Unternehmen unabhängig von ihrer Niederlassung soweit sie ein Angebot an einen bestimmten nationalen Markt in der EU richten. Im Falle von grenzüberschreitenden Datenverarbeitungen sind dem One-Stop-Shop-Mechanismus entsprechend die Aufsichtsbehörden an der Hauptniederlassung zuständig, so dass es einen zentralen Ansprechpartner gibt.
Durch die DSGVO wurde der Sanktionsrahmen bei Pflichtverletzungen drastisch erhöht. So drohen bei schwerwiegenden Verstößen Geldbußen bis zu 20 Millionen Euro und für Unternehmen Bußgelder von bis zu 4 % des gesamten weltweiten Umsatzes.
Hier noch vier hilfreiche Links:
- Unternehmen müssen nicht nur die EU-Datenschutz-Grundverordnung, sondern auch das Bundesdatenschutzgesetz beachten. Dieses trat ebenfalls am 25. Mai 2018 in Kraft. Auf Bundesgesetzblatt online finden Sie das sogenannte Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAppUg-EU).
- Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen gibt auf ihrer Internetseite weitere Hinweise zur DSGVO für Unternehmen in NRW.
- Die Datenschutzkonferenz hat zur ersten Orientierung diverse Kurzpapiere zur DSGVO veröffentlicht.
- Die Universität Münster hat eine Musterdatenschutzerklärung veröffentlicht.
Außerdem bieten wie Ihnen in den nachfolgenden Newslettern der IHK Köln einen ersten Überblick über die Änderungen:
Achtung es sind keine Links auf Internetseiten, es sind PDF, geeignet zum Ausdruck und Studium.
- Newsletter Nr. 1 Datenschutzmanagement
- Newsletter Nr. 2 Datenschutz und -sicherheit
- Newsletter Nr. 3 Allgemeines
- Newsletter Nr. 4 Zulässigkeit
- Newsletter Nr. 5 betrieblicher DSB
- Newsletter Nr. 6 Einwilligung
- Newsletter Nr. 7 Betroffenenrechte
- Newsletter Nr. 8 Dokumentationspflichten
- Newsletter Nr. 9 Privacy by Design
- Newsletter Nr. 10 Datenschutzverletzungen
- Newsletter Nr. 11 bestehendes Musterunternehmen
- Newsletter Nr. 12 Datenschutz Unternehmensgründung
- Newsletter Nr. 13 Datenschutzfolgenabschätzung
- Newsletter Nr. 14 Muster Verpflichtung Datengeheimnis Unternehmen
- Newsletter Nr. 15 Beschäftigtendatenschutz
- GDD whitepaper (1)
Zudem gab es unmittelbar vor Einführung der Verordnung eine große IHK Veranstaltung zum Thema, diese Veranstaltung mit über 2 Stunden Dauer, also ein echtes Lernprogramm wurde bei youtube eingestellt und eignet sich zum Sebststudium am Wochenende oder zur gemeinsamen Betrachtung mit entsprechenden MitarbeiterInnen, geplant in der Arbeitszeit, begleitet von dem einen oder anderen Dokument. Für zertifizierte Unternehmen kann es hilfreich sein das Thema im Rahmen des Qualitätsmanagements jährlich zu wiederholen in einem Halbtagesprogramm und entsprechend jährlich angepasste Maßnahmen zu prüfen. Die Porzer Illustrierte wird die IHK Köln bitten, uns auf neue weitere Dokumente aufmerksam zu machen, um diese dann in der bestehenden Aufstellung aufzunehmen.
Wir bitten zudem um hinweise aus dem kreis der LeserInnen
Unter diesem Link können Sie sich den Livestream der IHK Köln Informationsveranstaltung vom 17. Mai 2018 auf Youtube noch einmal ansehen.
- Zum Verfassen von Kommentaren bitte Anmelden.