Ein Verstoß gegen EU-Datenschutzgrundverordnung (DSGVO) kann Bußgelder i.H. von bis zu 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes nach sich ziehen
(NL/9540613024) Betroffen sind alle Unternehmen, die in der EU zur Erreichung Ihres Geschäftszieles personenbezogene Daten vollständig oder teilweise automatisch verarbeiten. Datenschutzverstöße müssen ab dem 25.05.2018 innerhalb von 72 Stunden der nationalen Aufsichtsbehörde gemeldet werden. Alle betroffenen Personen sind hierüber zu informieren und über das entstandene Risiko aufzuklären.
Folgende sechs Felder der EU-Datenschutzgrundverordnung (DSGVO) können Geschäftsführern oder IT-Verantwortlichen (CIOs) in Unternehmen den Schlaf rauben:
* Datenerfassung und -löschung
* Informationspflicht
* Schutzprinzipien
* Datenschutzbeauftragter
* Betroffenenrechte
* Cloud-Sourcing
Wer folgende acht Punkte beachtet, ist auch nach dem 25.5.2018 auf der sicheren Seite und kann ruhig schlafen:
1. So gut wie alle Unternehmen benötigen einen Datenschutzbeauftragten; dieses ist verpflichtend, wenn die nach Artikel 37 DSGVO festgelegten Voraussetzungen erfüllt sind oder mindestens 10 Mitarbeiter Zugriff auf die personenbezogenen Daten haben. Die Kontaktdaten des Datenschutzbeauftragten müssen allen Betroffenen bekannt gegeben sein.
2. Sollte ein Unternehmen heute noch nicht über ein Verfahrensverzeichnis (zukünftig Verarbeitungsverzeichnis) sowie eine durch Datenschutzberichte nachweisbare Historie zum Thema Datenschutz haben wird es höchste Zeit, diese Dinge aufzubauen.
Unternehmen, die personenbezogene Daten speichern, müssen neben dem Nachweis zum berechtigten Interesse an deren Verarbeitung auch über dokumentierte Einwilligungserklärungen aller Betroffenen verfügen.
3. Die Verarbeitung und Speicherung von Daten durch Dritte (Sourcing, Cloud) muss bereits heute durch belastbare Auftragsdatenverarbeitungs-Verträge (§11 BDSG, Artikel 28 DSGVO) abgesichert werden. Die in solchen Verträgen zu hinterlegenden Regelungen werden deutlich intensiviert.
Die Behandlung von sensitiven Daten (i.e. Gesundheit, Religion etc) ist ebenfalls neu geregelt und erfordert bei deren Verwendung eine nachhaltige Prüfung hinsichtlich Artikel 9 der DSGVO. Die Speicherung sensitiver Daten sollte in der Regel vermieden werden.
4. Wo immer möglich sollten die Daten anonymisiert werden. Die Pseudonymisierung von Daten führt nicht dazu, dass die Daten nicht länger als personenbezogene Daten angesehen werden.
5. Bereits jetzt sollte jedes Unternehmen die für die Erfüllung der mit der DSGVO verbundenen Informationspflichten (Datenpannen) und Betroffenenrechte (Auskunft, Löschung; Vergessenwerden, Datenübertragbarkeit, Widerspruch, Verarbeitungseinschränkung) notwendigen Prozesse und Verfahren sowohl für die interne als auch für die externe Kommunikation etablieren, um Erfahrungen zu sammeln und 2018 nicht in Schwierigkeiten zu geraten.
6. Alle Geschäftsbeziehungen mit dem Charakter der Auftragsdatenverarbeitung sollten durch entsprechende Verträge (§11 BDSG, Artikel 28 DSGVO) unterlegt werden. Bereits geschlossene ADV-Verträge sind hinsichtlich der DSGVO zu überprüfen.
7. Jedes Unternehmen sollte bereits jetzt über eine lückenlose Dokumentation der Zutritts-, Zugangs- und Zugriffskontrolle verfügen. Eine regelmäßig durch Tests nachgewiesene Einhaltung der für personenbezogene Daten geltenden Schutzprinzipien (Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit) ist ebenfalls notwendig.
8. Das Verfahren der Vorabkontrolle eines Systems (vor dessen Einführung und bei jedem Change) zur Erfassung und/oder Speicherung von personenbezogenen Daten sollte ebenfalls dokumentiert und durch entsprechende Protokolle nachgewiesen werden.
Handeln Sie jetzt, bevor Sie gezwungen werden!
Eine Checkliste für die 6 relevanten Felder finden Sie unter:
https://www.scopar.de/fileadmin/media/download/IT-Beratung/SCOPAR-S-DSGVO-Datenschutzgrundverordnung-2018-Beratung.pdf
Die SCOPAR unterstützt ihre Kunden in der Bestandsaufnahme und der damit verbundenen GAP-Analyse sowie in der Priorisierung und Umsetzung aller Maßnahmen, die notwendig sind, um gemäß der DSGVO compliant zu werden.
AUTOR:
Peter K. Albrecht, Mitglied des Beratergremiums der SCOPAR GmbH
Schwerpunkte: Digitale Transformation, Datenschutzbeauftragter, IT-Strategie, IT-Governance, IT-Betrieb, IT-Controlling, IT-Service-Management, IT-Einkauf, IT-Lieferanten-Management, IT-Kosten-Optimierung, IT-Anforderungsmanagement, IT-Transition, Sourcing-Strategien, Bimodale IT, SIAM, Cloud Computing, Multi-Projektmanagement, Programm Management, Rollout-Management, RZ-Konsolidierung, Internet of Things, Bring Your Own Device, OneSpeed vs. Bimodale IT.
Als neutrales Beratungsunternehmen steht Ihnen die SCOPAR GmbH (www.SCOPAR.de) bei Fragen rund um Ihre IT sowie den Datenschutz zur Verfügung.
Die SCOPAR Unternehmensberatung bietet:
wissenschaftlich fundierte Beratung, Coaching, Gutachten mit dem Blick fürs Ganze
Strategie, Konzeption und Umsetzung aus einer Hand
neutral, pragmatisch und nutzenorientiert
60 erfahrene Manager, renommierte Wissenschaftler, exzellente Berater
Know-how-Vorsprung von ca. zwei bis drei Jahren
Beratung mit Blick fürs Ganze, menschlich, nachhaltig und nutzenorientiert in den Bereichen:
Management-Consulting
IT-Consulting
HR-Consulting
H2B-Consulting
Firmenkontakt
SCOPAR GmbH
Jürgen T. Knauf
Klara-Löwe-Str. 3
97082 Würzburg
0931-45320500
knauf@scopar.de
http://
Pressekontakt
SCOPAR GmbH
Jürgen T. Knauf
Klara-Löwe-Str. 3
97082 Würzburg
0931-45320500
knauf@scopar.de
http://www.scopar.de