Auf Unternehmen kommen nächstes Jahr im Bereich Datenschutz einige Herausforderungen zu. Mit der Einführung der europaweit geltenden Datenschutz-Grundverordnung (DSGVO) und der dadurch bedingten Änderung des Bundesdatenschutz-Gesetzes (BDSG) ergeben sich wichtige, gesetzliche Neuerungen. Bei Missbrauch oder Verstößen gegen die neuen Regelungen drohen Unternehmen hohe Bußgelder. Die Anforderungen an den Datenschutz von Unternehmen werden ab Mitte 2018 deutlich komplexer und eine der wichtigsten Fragen lautet:

Wie lässt sich die Theorie in die Praxis umsetzen?

DSGVO lernen und verstehen mit unserem Videokurs

Welche Auswirkungen haben die Änderungen auf verschiedene Branchen

Gerade in den letzten Wochen, werden wir als IT-Systemhaus häufiger gefragt: Was bedeutet das für uns? Und wie wichtig ist das in unserem Bereich? Generell ist es erst einmal sehr gut, dass Sie sich bereits über das Thema Gedanken machen. Die DGSVO betrifft jede Branche unterschiedlich, da die Verarbeitung von personenbezogenen Daten unterschiedlich sein kann. Hier einige Praxisbeispiele aus verschiedenen Unternehmensbereichen:

Alle Dienstleister sollten genau Ihre Verarbeitungsprozesse (wo verarbeite ich als Dienstleister personenbezogene Daten meiner Kunden?) und Ihre Formulare Auftragsdatenverarbeitung anpassen.

Auch wenn der Mediziner selbst gemäß §203 StGb bereits der Geheimhaltungspflicht unterliegen, so müssen jedoch die Helferinnen, MTA´s usw. auch auf den Datenschutz verpflichtet werden. Gerade diese Berufsgruppe hat ja mit besonderen personenbezogenen Daten (Gesundheits- und Krankheitsdaten) zu tun.

Alle Unternehmen, die gerade hier bei uns im Grenzgebiet, Handel mit natürlichen Personen betreiben, die im europäischen Ausland wohnen, sind durch die DSGVO betroffen, da diese europaweit gilt.

Auch innerhalb der Produktion werden gegebenenfalls personenbezogene Daten von Lieferanten oder Kunden verarbeitet, auch diese Mitarbeiter müssen auf den Datenschutz in ihren Arbeitsverträgen verpflichtet werden.

Der hall 4-Punkte-Plan für Ihren Datenschutz

Aller Anfang ist schwer. Deshalb haben wir einen 4 Punkte-Plan zusammen gestellt.

Datenschutzgrundverordnung in vier Schritten abhaken

  1. Überprüfung aller Prozesse:

    Generell ist es sinnvoll alle Prozesse zu überprüfen, bei denen personenbezogene Daten verarbeitet werden, z.B. Einwilligungen, Pflichten der Rechenschaft und Informationspflichten.

  2. Lückenlose Dokumentation aller Datenverarbeitungsprozesse, Datenflüsse und –bestände

    Wird ein Unternehmen von der Aufsichtsbehörde überprüft, muss es sein Vorgehen im Umgang mit personenbezogenen Daten nachweisen können. Dabei ist eine gute Dokumentation unerlässlich. Technische Lösungen können hier Unterstützung bieten, z.B. die Installation eines Datenmanagementsystems, um Daten sicher speichern und verarbeiten zu können.

  3. Compliance-Struktur aufbauen

    Existieren noch keine Compliance-Richtlinien im Unternehmen, sollten sie spätestens jetzt aufgebaut werden, um die Maßnahmen und Grundsätze zur Einhaltung des Datenschutzes zu definieren. Ob das Unternehmen den datenschutzgesetzlichen Anforderungen entspricht sollte regelmäßig, z.B. durch Audits, überprüft werden.

  4. Datenschutzerklärungen anpassen

    Ab 2018 gelten erweiterte Informationspflichten und auch Hinweise auf die Rechtsgrundlage der Datenverarbeitung müssen erteilt werden. Datenschutzerklärungen sollten auf diese Punkte hin intensiv überprüft und abgeändert werden.

Sie merken die Umsetzung benötigt nur etwas Struktur und Zeit. Das Ziel der EU-Kommission in Brüssel ist es den Schutz von personenbezogenen Daten zu betonen. Der Umgang in den letzten Jahren war in vielen Fällen unüberlegt und teilweise fahrlässig. Dies wird durch das Inkrafttreten der DGSVO am Mai 2018 geändert.

Häufig gestellte Fragen zur DGSVO der EU

Um die wichtigsten Fragen vorab zu klären, haben wir eine Liste von häufig gestellten Fragen zusammengetragen. Wir werden diese Liste nach und nach ergänzen, sodass Sie für den Eintritt der Grundverordnung keine Fragen offen haben und sich in Ruhe auf das Gesetz vorbereiten können.

Zum Videokurs

DSGVO Video-Kurs für Unternehmen

Unser Einführungskurs für Webseiten-Betreiber, Agenturen und Unternehmen ist da. Lernen Sie, wie Sie datenschutzkonform arbeiten können. In 8 Modulen wird Ihnen die DSGVO von Michael Hall (DEKRA zertifizierter Datenschutzbeauftragter) erklärt.

Zum Videokurs

Welche Unternehmen müssen den Datenschutz beachten?

Generell alle, die personenbezogene Daten verarbeiten und sensible Daten des Unternehmens verarbeiten.

Diese Daten sind nicht nur einfache Profile von Personen, Sie umfassen alles was sich mit Personen verbinden lässt. Kreditkarten, Krankenkassen, Bankkonten, alle Daten, die Relationen zu Personen haben.

Wenn mindestens 10 Personen mit personenbezogenen Daten (automatisiert)  arbeiten oder mindestens 20 Personen erheben und verarbeiten personenbezogene Daten (nicht-automatisiert).

Es kann ein interner Datenschutzbeauftragter ausreichen, je nach Komplexität und Kompetenz sollte die Besetzung abgewogen werden.

Abmahnungen und Bußgelder können von 300.000 Euro (BDSG) bis hin zu 20 Millionen Euro (DSGVO) bei Verstößen liegen.

Der Bußgeldrahmen wird sich mit Inkrafttreten der DSGVO ab Mai 2018 drastisch erhöhen. Waren bislang nach aktuell geltendem BDSG Bußgelder in Höhe von 50.000-300.000 Euro bei Verstößen gegen den Datenschutz vorgesehen, werden es nach Art.83, Abs.4 DSGVO zukünftig bis zu 20 Millionen Euro sein, beziehungsweise sogar 4 Prozent des weltweiten Jahresumsatzes. Unternehmen können sich mit einfachen Mitteln effektiv gegen diese potentiell drohenden Bußgelder schützen.

Unsere Tipps in unserem neuen Artikel helfen Ihnen da weiter. Wir helfen Ihnen gerne bei der Umsetzung des 4-Punkte-Plans.

Wir können Ihnen leider keine ausgesuchte Liste an Software-Produkten geben, die auf jede Branche abgestimmt ist. Gerne können Sie uns den Namen der Software zuschicken und wir prüfen das für Sie.

Generell können Zertifikate und Erfahrungsberichte, sowie die Policy der Unternehmen, die die Software bereitstellen, als Sicherheitsmerkmal dienen. Dennoch sollte jede Software, die mit personenbezogene Daten arbeitet, geprüft werden.

Bonus-Tipp: DSGVO und Teamviewer, was muss ich beachten?

Mit DSGVO und BDSG wird das sogenannte „Privacy by Design and Default“ Pflicht für alle Softwarehersteller und Unternehmen. Software muss so voreingestellt sein, dass sie den Nutzer beim Schutz seiner Daten unterstützen. Praktisch bedeutet das, in der Grundeinstellung der betreffenden Software dürfen nur so wenig personenbezogene Daten wie möglich verarbeitet werden. Nutzer müssen entscheiden können, ob und wie ihre Daten genutzt werden. Softwarehersteller müssen ihre Produkte datenschutzfreundlich entwickeln. Das entbindet Unternehmen aber nicht von der Pflicht, die von ihnen genutzten Softwarelösungen unter die Lupe zu nehmen.

Einfacher Praxistipp: Schauen Sie sich ihre IT-Anwendungen und Software genau an und prüfen Sie, ob sich die Daten durch veränderte Einstellungen besser schützen lassen.

Nein das müssen Sie nicht. Ihr E-Mail-Dienstleister muss sich aber an die Richtlinien anpassen. Sollte das nicht geschehen sollten Sie einen Wechsel in betracht ziehen. Der internationale Datentransfer wird auch weiterhin möglich sein. DGSVO und BDGS haben dafür allerdings strengere Bedingungen formuliert. Eine Nutzung von ausländischen Diensten ist nur dann erlaubt, wenn sie über Zertifizierungen wie dem „Privacy Shield“ verfügen und die grundsätzlichen Regelungen zur Datenverarbeitung eingehalten werden. Grundsätzlich kann noch auf EU-Standardvertragsklauseln vertraut werden. Unternehmen müssen trotzdem überprüfen, ob im betreffenden Land oder beim konkreten Empfänger ein adäquates Datenschutzniveau vorliegt. Ein gewisses Risiko wird aber weiterhin bestehen. Das „Privacy Shield“ wird vom EU-Parlament und dem europäische Gerichtshof (EUGH) in mehreren Punkten kritisiert. Zukünftige Änderungen in diesem Bereich lassen sich noch nicht abschätzen.

Sie haben auch eine Frage? Schreiben Sie uns in den Kommentaren, um den Datenschutz ein wenig einfacher zu gestalten.

Wir sind zertifizierte Datenschutz-Experten