Die neue Datenschutz-Grundverordnung – es ist fünf vor zwölf!20 | 04 | 17

Datenschutz - Schlüssel und Schlüsselloch

Datenschutz ist ein allgegenwärtiges Pflichtthema für Unternehmen und Behörden sowie für medizinische und soziale Facheinrichtungen.  Die EU-Datenschutz-Grundverordnung (DSGVO) wird am 25. Mai 2018 in Kraft treten. Unternehmen und Organisationen haben somit kaum noch Zeit, ihre Prozesse den neuen Regelungen der Datenvereinbarung anzupassen. Eine knappe Frist.

Was sollte nun auf Ihrer To-do-Liste stehen? Ich habe die fünf wichtigsten To-Dos für Sie zusammengefasst.

Handlungsbedarf ermitteln

Für Ihr Unternehmen heißt es jetzt Endspurt, um bis zum 25.05.2018 Prozesse den neuen Regelungen der Datenvereinbarung anzupassen. Zeitnah muss geprüft werden, ob die bei Ihnen bestehenden Regelungen zum Datenschutz den neuen Anforderungen genügen.

Eine Bestandsaufnahme und ein Abgleich mit dem notwendigen SOLL ist zwingend erforderlich. Das daraus ermittelte Delta müssen Sie zeitnah bereinigen. Hierzu bedarf es des notwendigen Fachwissens einer/eines Datenschutzbeauftragten.

Prüfen und Beraten mit dem SDM

Prüfen und Beraten mit dem SDM.
Quelle: https://www.datenschutzzentrum.de/artikel/1038-Pruefen-und-Beraten-mit-dem-SDM-Datenschutzmanagement.html

Maßnahmen frühzeitig einführen – Fachkräfte einsetzen

Der Aufbau eines prüffähigen Datenschutzmanagementsystems (DSMS) sowie die konsequente Durchführung einer Risiko-Folgeabschätzung verlangen aktives Handeln und kompetente Fachleute. Nur wenn Sie entsprechende Maßnahmen frühzeitig einführen und erfahrene Fachkräfte einsetzen, sind die Herausforderungen in der gegebenen Frist für Sie umsetzbar.

Auf diese Weise lassen sich die erheblichen Haftungsrisiken für Sie deutlich reduzieren. Immerhin reichen die Bußgelder von 2 % des konzernweiten Jahresumsatzes oder 10 Millionen Euro bis hin zu 4 % des konzernweiten Jahresumsatzes oder 20 Millionen Euro.

Prüfbare Prozesse implementieren

Die DSGVO fordert von Unternehmen und Behörden künftig die Einführung prüfbarer Prozesse zur Sicherstellung der datenschutzrechtlichen Anforderungen. Es kommt also nicht mehr nur darauf an nachzuweisen, dass Sie etwas getan haben, sondern vielmehr auch, wie Sie es sichergestellt haben. Die Prozesse müssen zudem den Anforderungen eines prüffähigen Standards genügen.

Dies bedeutet, dass ein Datenschutzmanagementsystem zwingend benötigt wird, was wiederum qualifizierte Datenschutzbeauftragte voraussetzt (zum Beispiel durch eine Weiterbildung zum DGQ-Datenschutzbeauftragten).

Das Standard-Datenschutzmodell (SDM) anwenden

Das Standard-Datenschutzmodell (SDM) ist eine Methode, um die Übereinstimmung der gesetzlichen Anforderungen des Datenschutzrechts und deren Beachtung bzw. Umsetzung in personenbezogenen Verfahren überprüfbar zu machen.

Das SDM soll zu deutschlandweit transparenten Beratungs- und Prüftätigkeiten der Datenschutzbehörden führen. Gleichzeitig wird Organisationen ein Werkzeug an die Hand gegeben, um selbsttätig personenbezogene Verfahren datenschutzgerecht einrichten und betreiben zu können.

Die wesentliche Komponente des SDM besteht aus einem Konzept von einheitlichen und elementaren Gewährleistungszielen (auch bekannt als Schutzziele). Neben dem allgemeinen Gewährleistungsziel der Datenminimierung (Datensparsamkeit) gehören hierzu:

  • Verfügbarkeit
  • Integrität
  • Vertraulichkeit
  • Transparenz
  • Nichtverkettung
  • Intervenierbarkeit

Risikoanalyse und Datenschutz–Folgenabschätzung (DSFA) durchführen

Vor einer geplanten Datenverarbeitung sind außerdem Risikoanalysen und ggf. datenschutzrechtliche Folgenabschätzungen durchzuführen (Art. 32a ff. DS-GVO). Die Datenschutz-Folgeabschätzung (DSFA) kann hierbei als Instrument zur Identifikation und Bewertung von Risiken genutzt werden. Hierbei wird der Frage nachgegangen, welches Risiko für das Individuum in dessen unterschiedlichen Rollen (als Bürger, Kunde, Patient etc.) durch den Einsatz einer bestimmten Technologie oder eines Systems durch Ihre Organisation entsteht.

Werden hierbei besondere Risiken festgestellt, sind diese u.U. der zuständigen Datenschutzaufsichtsbehörde zu melden. Bedacht werden muss allerdings, dass bei der Risikoanalyse der Betroffene im Mittelpunkt der Betrachtung steht.

Bei den Folgeabschätzungen ist ein umfängliches und kontinuierliches „Datenschutz-LifeCycle Management“ zu etablieren (Art. 33 Abs. 3 DS-GVO). Darüber hinaus ist sicherzustellen, dass die Systeme und Prozesse, mit denen personenbezogene Daten verarbeitet werden, von vorneherein den datenschutzrechtlichen Anforderungen entsprechen und auch datenschutzfreundlich ausgestaltet werden (sog. Datenschutz by Design) (Art. 23 DS-GVO).

Risikobestimmung

Risikoanalyse.
Quelle: www.lda.bayern.de

Sie möchten mehr über die Anforderungen an das Datenschutzmanagement in Ihrem Unternehmen erfahren oder selbst Datenschutzbeauftragte/r werden? Dann empfehle ich Ihnen das Webinar „Aktuelle Anforderungen an das Datenschutzmanagement in Unternehmen nach EU-Datenschutzgrundverordnung“ vom 20.12.2016 und die Weiterbildung zum DGQ-Datenschutzbeauftragten. Die Webinar-Aufzeichnung steht Ihnen jederzeit kostenlos zur Verfügung.

Über den Autor:

Dirk-Michael Mülot ist zertifizierter Datenschutzbeauftragter, -manager und -auditor und als freier Sachverständiger in den Bereichen Datenschutz, Datensicherheit und IT-Forensik tätig.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.