Scribd Logo
Hochladen

Willkommen bei Scribd!

  • DSK KPNR 8

    Hochgeladen von

    NOYDB
    3 Ansichten3 Seiten

    Originaltitel

    dsk_kpnr_8

    Copyright

    © © All Rights Reserved

    Verfügbare Formate

    PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    3 Ansichten3 Seiten

    DSK KPNR 8

    Hochgeladen von

    NOYDB

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 3

    Kurzpapier Nr.

    8
    Maßnahmenplan „DS-GVO“ für Unternehmen
    Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz –
    DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK
    die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffas-
    sung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung des Europäischen
    Datenschutzausschusses.

    Bedeutung fen, ob es einen Anpassungsbedarf im Hinblick auf


    die DS-GVO gibt. Dies betrifft insbesondere die
    Die DS-GVO, die im Mai 2016 in Kraft getreten ist,
    rechtlichen, technischen und organisatorischen
    wird weitreichende Auswirkungen auf nahezu alle
    Bereiche in einem Unternehmen. Da folglich ver-
    Unternehmen in Europa haben. Anders als die bis-
    schiedene Personen bzw. Abteilungen im Unter-
    herige EU-Richtlinie wird diese EU-Verordnung ab
    nehmen beteiligt sind, die untereinander koordi-
    dem 25. Mai 2018 unmittelbar in den Mitgliedsstaa-
    niert werden müssen, bietet es sich an, ein Projekt
    ten der EU anwendbar sein und wird das bis dahin
    mit dem Ziel zu initiieren, die Datenschutzkonzepti-
    geltende Bundesdatenschutzgesetz (BDSG) ablösen.
    on anhand eines Soll-Ist-Abgleichs zu aktualisieren.
    Gleichzeitig sieht das deutsche Datenschutz-
    Die Kernaufgabe wird dabei sein, herauszufinden,
    Anpassungs- und Umsetzungsgesetz-EU (DSAnpUG-
    welche Prozesse im Unternehmen anzupassen sind.
    EU) eine ergänzende Neufassung des nationalen
    Rechts vor (z. B. BDSG-neu), soweit in der DS-GVO
    1. Bestandsaufnahme
    Spielraum für nationale Regelungen besteht. Viele
    Unternehmen sind aber noch nicht auf die DS-GVO Um ein genaues Verständnis davon zu bekommen,
    und deren Auswirkungen auf die Unternehmens- wie in einem Unternehmen mit personenbezogenen
    prozesse vorbereitet. Daher haben die unabhängi- Daten umgegangen wird, sollten die aktuell reali-
    gen Datenschutzbehörden einige Tipps zur Erstel- sierten Rahmenbedingungen aller Datenverarbei-
    lung eines Maßnahmenplans für Unternehmen zu- tungen analysiert werden (Ist-Zustand). Dies betrifft
    sammengestellt. u.a.
    • die derzeitigen Prozesse im Unternehmen,
    Information der Geschäftsleitung in denen personenbezogene Daten verar-
    Alle Entscheidungsträger in einem Unternehmen beitet werden (bestehende Dokumentatio-
    sollten sich der Auswirkungen der DS-GVO bewusst nen, bspw. ein Verfahrensverzeichnis, kön-
    sein und wissen, was dies für den alltäglichen Be- nen hierfür einen Ausgangspunkt bilden),
    trieb in ihrem Unternehmen bedeutet. In einem • die dazugehörigen Rechtsgrundlagen (die
    ersten Schritt ist daher von den betrieblichen Da- Verarbeitung personenbezogener Daten ist
    tenschutzbeauftragten und/oder den IT-Verant- nur dann zulässig, wenn entweder ein Ge-
    wortlichen die Geschäftsleitung zu informieren. setz oder eine Rechtsvorschrift dies erlaubt
    oder der Betroffene eingewilligt hat),
    Start eines Projekts zur Umsetzung der • die Datenschutzorganisation (d.h. alle Vor-
    DS-GVO kehrungen und Maßnahmen, die im Unter-
    nehmen zum Schutz personenbezogener
    Alle Verfahren, mit denen personenbezogene Daten Daten getroffen werden),
    verarbeitet werden, sind dahingehend zu überprü-

    Maßnahmenplan Stand: 17.12.2018 Seite 1


    • die Dienstleistungsbeziehungen (wie etwa • Datenschutz durch Technikgestaltung und
    Verträge über eine Auftragsdatenverarbei- durch datenschutzfreundliche Voreinstel-
    tung), lungen:
    • die Dokumentation (z.B. Verfahrensver- Die DS-GVO enthält spezifische Rahmen-
    zeichnisse, Vorabkontrollen, Datenschutz- bedingungen für die Art und Weise, wie die
    konzepte, IT-Sicherheitskonzepte, Sicher- Anforderungen der DS-GVO schon bei der
    heitsvorfälle) und Prozessgestaltung und bei den Voreinstel-
    • sofern vorhanden Betriebsvereinbarungen, lungen umzusetzen sind (Art. 25 DS-GVO:
    denn diese können auch Regelungen zum Data Protection by design und Data Protec-
    Umgang mit den Daten der Beschäftigten tion by default).
    enthalten. • Dienstleistungsbeziehungen:
    Dabei sollten insbesondere die bestehen-
    2. Handlungsbedarf eruieren den Verträge zur Auftragsverarbeitung
    Nunmehr ist der Soll-Zustand zu ermitteln und im überprüft werden. Die Art. 28 und 29 DS-
    Anschluss daran eine Lückenanalyse zwischen dem GVO enthalten Vorgaben für Vereinbarun-
    jetzigen Ist-Zustand und dem künftigen Soll-Zustand gen mit Auftragsverarbeitern.
    durchzuführen. Dabei sind u.a. folgende Punkte vor • Dokumentationspflichten:
    dem Hintergrund der DS-GVO zu beachten (zu den Die DS-GVO verpflichtet in Art. 5 Abs. 2 DS-
    einzelnen Themen erscheinen weitere Kurzpapiere): GVO den Verantwortlichen zum Nachweis,
    • Rechtsgrundlagen: dass personenbezogene Daten rechtmäßig
    Auch unter der DS-GVO ist für die Verarbei- verarbeitet werden (Rechenschaftspflicht).
    tung personenbezogener Daten eine Legi- Zusätzlich sieht die DS-GVO an unterschied-
    timationsgrundlage erforderlich. Folglich ist lichen Stellen Dokumentationspflichten vor
    zu prüfen, ob das neue Recht für alle Pro- (z.B. für das Verarbeitungs-verzeichnis in
    zesse eine Rechtsgrundlage bereitstellt. So- Art. 30 DS-GVO, für die Dokumentation von
    fern sich die Datenverarbeitung auf eine Datenschutzvorfällen in Art. 33 Abs. 5 DS-
    Einwilligung stützt, ist zu prüfen, ob die An- GVO oder für die Dokumentation von Wei-
    forderungen des Art. 7 DS-GVO erfüllt sind sungen im Rahmen der Auftragsverarbei-
    (bei Einwilligung eines Kindes in Bezug auf tung in Art. 28 Abs. 3 lit. a DS-GVO).
    Dienste der Informationsgesellschaft ist zu- • Datenschutz-Folgenabschätzung:
    dem Art. 8 DS-GVO zu beachten). Die aus dem BDSG bekannte Vorabkontrolle
    • Betroffenenrechte: wird durch die Datenschutz-Folgen-
    Den betroffenen Personen stehen umfang- abschätzung nach Art. 35 DS-GVO abgelöst
    reiche Rechte zu, die der Verantwortliche und erfordert eine umfangreiche Dokumen-
    zu beachten hat (z.B. Informationspflichten tation. Die Datenschutz-Folgenabschätzung
    des Verantwortlichen gegenüber den be- kann zudem eine Konsultation der Auf-
    troffenen Personen nach Art. 13 und Art. 14 sichtsbehörde nach sich ziehen (Art. 36 DS-
    DS-GVO, Auskunftsrecht nach Art. 15 DS- GVO).
    GVO, Recht auf Berichtigung nach Art. 16 • Meldepflichten:
    DS-GVO, Recht auf Löschung nach Art. 17 Nach Art. 37 Abs. 7 DS-GVO muss der Ver-
    DS-GVO, das neue Recht auf Datenüber- antwortliche oder der Auftragsverarbeiter
    tragbarkeit nach Art. 20 DS-GVO, Wider- die Kontaktdaten des Datenschutzbeauf-
    spruchsrecht nach Art. 21 DS-GVO). tragten der zuständigen Aufsichtsbehörde
    melden. Ebenso ist der Aufsichtsbehörde

    Maßnahmenplan Stand: 17.12.2018 Seite 2


    die Verletzung des Schutzes personenbezo- **************************************
    gener Daten zu melden (Art. 33 Abs. 1 DS- Anmerkung zur Nutzung dieses Kurzpapiers:
    GVO).
    • Datensicherheit: Dieses Kurzpapier darf – ohne Rückfrage bei einer
    Unternehmen müssen ein angemessenes Aufsichtsbehörde – kommerziell und nicht kommer-
    Schutzniveau in Bezug auf die Sicherheit der ziell genutzt, insbesondere vervielfältigt, ausge-
    Verarbeitung gewährleisten und die dafür druckt, präsentiert, verändert, bearbeitet sowie an
    implementierten Sicherungsmaßnahmen Dritte übermittelt oder auch mit eigenen Daten und
    einer regelmäßigen Überprüfung unterzie- Daten Anderer zusammengeführt und zu selbstän-
    hen (Art. 24 und 32 DS-GVO). digen neuen Datensätzen verbunden werden, wenn
    der folgende Quellenvermerk angebracht wird:
    • Zertifizierung:
    „Konferenz der unabhängigen Datenschutzbehör-
    Schlussendlich besteht im Rahmen eines
    den des Bundes und der Länder (Datenschutzkonfe-
    Zertifizierungsverfahrens die Möglichkeit,
    renz). Datenlizenz Deutschland – Namensnennung –
    den Nachweis zu erbringen, dass die Daten-
    Version 2.0 (www.govdata.de/dl-de/by-2-0).
    verarbeitung im Einklang mit der DS-GVO
    erfolgt.

    3. Umsetzung bis zum 25. Mai 2018


    Bei der Umsetzung sind dann u. a. folgende Punkte
    wieder zu beachten:
    • Anpassung der betroffenen Prozesse und
    Strukturen,
    • Festlegung der Rechtsgrundlagen und des
    Zwecks der Datenverarbeitung sowie Do-
    kumentation von Interessenabwägungen
    (sofern erfolgt),
    • Implementierung von Informationspflich-
    ten, Betroffenenrechten und Löschkonzep-
    ten,
    • Anpassung der Datenschutzorganisation,
    • ggf. Bestellung eines Datenschutzbeauftrag-
    ten,
    • Reaktionsmechanismen auf Datenpannen,
    • Organisation von Meldepflichten,
    • Anpassung der Dienstleistungsbeziehungen,
    • Aufbau der Dokumentation,
    • Anpassung der IT-Sicherheit und
    • ggf. Anpassung der Betriebsvereinbarun-
    gen.

    Maßnahmenplan Stand: 17.12.2018 Seite 3

    Das könnte Ihnen auch gefallen