datenschutz

Das müssen Sie wissen – nachgewiesener Datenschutz gemäß euro-päischer und nationaler Vorgaben für öffentliche und nicht-öffentliche Stellen mit der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO).

Datenschutz – aber sicher!

Die regio iT verwendet eine

juristisch ab- gestimmte

Vertragsvorlage, die sowohl im Kundenverhältnis

als auch im eigenen Dienstleistungsverhältnis

Anwendung findet.

datenschutz

Organisation. Grundlegend sind die für die Verarbeitung verantwortlichen Stellen sowie deren Aufgaben klar zu defi-nieren. Beachten Sie dabei, dass die Verantwortung nicht auf den pflichtgemäß bestellten Datenschutzbeauftragten über-tragbar ist, da dessen Aufgabenschwerpunkt eher beratend und prüfend ist.

Basis ist eine Bestandsaufnahme aller Geschäfts- prozesse und Verfahren, in denen personenbezo- gene Daten verarbeitet werden. Hierbei sind auch rechtliche Grundlagen, bestehende datenschutzbezogene Dokumentationen, Dienstleisterbeziehungen sowie interne Festlegungen zu berücksichtigen.

Im Rahmen eines Soll-Ist-Vergleichs gilt es, den notwendigen Handlungsbedarf zu ermitteln. Be- sonderes Augenmerk ist hierbei auf Organisation und Prozesse zu Informations- und Rechenschaftspflichten ge- genüber Betroffenen, zur Umsetzung der Meldepflicht sowie auf die Dokumentationspflichten zu legen. Diese erfordern die Entwicklung geeigneter Vorlagen und Leitfäden, in denen auch organisationseinheitliche Verfahren zu Bestimmung, Bewer-tung und Umgang mit Datenschutzrisiken festgeschrieben sind.

Die Nachweisdokumente auf Basis der entwickelten Vorlagen sind durch die verantwortlichen Stellen auszufüllen; je nach Sensibilität der Daten ergänzt um die sog. Datenschutz-Folgenabschätzung. Äquivalent hier-zu sind im technischen Bereich auch Sicherheitsmaßnahmen anzupassen.

Zur ordnungsgemäßen Anwendung der geschaffe- nen Prozesse und Maßnahmen sind alle Mitarbei- ter/-innen aufgaben- und oder themenspezifisch zu schulen und die angepassten Verpflichtungserklärungen zu erneuern.

Neben der Anpassung der bestehenden Verfahren sind auch die Prozesse zur künftigen Beschaffung, Implementierung und zum Betrieb neuer bezie-hungsweise geänderter Verfahren datenschutzkonform zu gestalten. Hierbei sind die Datenschutzprinzipien in den Ent-scheidungs- und Beschaffungsprozess einzubringen.

Warum Datenschutz? Jede Verarbeitung personenbezogener Daten bedeutet einen Eingrif f in das Grundrecht der informa-tionellen Selbstbestimmung. Sowohl staatliches als auch wirtschaftliches Handeln hat sich durch die erweiterten technischen Möglichkeiten zur massenhaften Verarbeitung personenbezogener Daten verändert. Damit das Grundrecht auf informationelle Selbstbestimmung auch in der Informationsge-sellschaft als Freiheitsrecht der Bürger/-innen gewahrt bleibt, begrenzt der Datenschutz die Verarbei-tung durch rechtliche Regelungen und technische Maßnahmen.

Datenschutzanforderungen an Kommunen und Unternehmen

Die Verarbeitung personenbezogener Daten ist in Deutschland durch allgemeine und spezifische Gesetze wie beispielsweise das SGB oder TKG geregelt. Seit Mai 2016 wird das allgemeine Datenschutzrecht europaweit durch die EU-DSGVO auf eine völlig neue einheitliche Grundlage gestellt. Sie ist unmittelbares Recht und betrifft ab Mai 2018 sowohl für den öffentlichen Sektor als auch Unternehmen sämtliche Bereiche des Daten-schutzes: von der Zulässigkeit der Datenverarbeitung über er-weiterte Betroffenenrechte bis hin zu neuen und umfangrei-cheren Anforderungen an die Datenschutzorganisation sowie die datenverarbeitenden Stellen. Sie gilt für alle Anwendungs-bereiche, in denen personenbezogene Daten verarbeitet, ge-speichert oder in Papierform abgelegt werden. Grundlage ist die Einwilligung des Betroffenen oder die Erfüllung eines Ver-trages oder einer rechtlichen Verpflichtung.

In erster Linie ist der Datenschutz eine rechtliche Verpflichtung für Unternehmen und Kommunen. Er bietet Ihnen aber auch die Chance, Vertrauen zu schaffen und sich von Mitbewer-bern abzuheben. Denn Kunden geben solchen Geschäftspart-nern den Vorzug, die nachweisbar etwas vom Datenschutz verstehen. Und Bürger/-innen fühlen sich sicherer aufgehoben bei Kommunen, die Datenschutz wichtig nehmen und über eine wirkungsvolle Data-Governance-Strategie verfügen.

Betroffenenrechte – was heißt das?

Betroffenenrechte beschreiben die Rechte der von der Daten-verarbeitung betroffenen Personen, die Ihnen im Vorfeld, während und nach der Datenverarbeitung gegenüber dem für die Verarbeitung Verantwortlichen zustehen:

• Das Recht auf Auskunft und Information über die Datenverarbeitung ihrer Daten • Das Recht auf Berichtigung fehlerhafter Daten

Die Verarbeitung im Auftrage erfolgt durch Dienstleister. Was ist zu tun?

Erfolgt eine Verarbeitung personenbezogener Daten im Auf-trag, so muss sichergestellt sein, dass Festlegungen und Vorga-ben des Verantwortlichen zur Verarbeitung der Daten erhalten bleiben und der Schutz der betroffenen Personen gemäß der EU-DSGVO nicht gefährdet wird.

Die Verarbeitung der Daten im Auftrag erfolgt somit nur auf Grundlage eines Vertrages, der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und Grundlagen der Verarbeitung sowie Rechte und Pflichten beider Parteien ge-mäß der EU-DSGVO festlegt.

• Das Recht auf Löschung/Einschränkung nach Zweckerfüllung oder bei unrechtmäßiger Verarbeitung• Das Recht auf Widerspruch • Das Recht auf Datenübertragbarkeit

Darüber hinaus sind die Informationspflichten gegenüber der Betroffenen im Vergleich zum bisherigen Datenschutz-recht deutlich gestiegen. Es besteht nunmehr die Pflicht zur verständlichen und leicht zugänglichen Information über Ver-arbeitungsgrundlage und -inhalt sowie zu obigen Rechten der Betroffenen. Das setzt allerdings voraus, dass das Unter-nehmen oder die Kommunen, die die Daten verarbeiten, zu-erst selbst ein genaues Bild über Umfang, Art und Weise der Verarbeitung sowie den Kreis der Betroffenen haben und dies in einem entsprechenden Verzeichnis dokumentieren.

Meldepflicht bei Datenpannen – ein besonderes Betroffenenrecht

Bereits heute sieht das Bundesdatenschutzgesetz vor, dass unter bestimmten Voraussetzungen neben den Aufsichtsbe-hörden auch die Betroffenen selbst über eine unrechtmäßige Kenntniserlangung von Daten zu informieren sind. Die EU-DS-GVO verschärft dies durch eine unmittelbare, umfassende und verständliche Informationspflicht an Betroffene in beson-deren Fällen. Unternehmen und Kommunen müssen sich also besser darauf vorbereiten, bei Datenpannen mehr als nur technische Fehlermeldungen zu kommunizieren. Treffen Sie hierzu vorbereitende Maßnahmen wie die Etablierung von Meldeprozessen und die Definition von Sofortmaßnahmen.

Umsetzung der Datenschutzanforderungen

Aus den Vorgaben der EU-DSGVO ergeben sich vielfältige Anforderungen zu personellen und technischen Festlegun-gen sowie zu Datenschutz-Prozessen innerhalb der eigenen

Unsere Kompetenz ist Ihr Vorteil

Im Rahmen eines ganzheitlichen Ansatzes bieten wir alle Leistungen an, die eine Konformität Ihrer Prozesse und Verfahren zu den neuen Anforderungen ermög- lichen. Unser Service beinhaltet die Themen:

• Datenschutz-Organisation• Vorlagen zu Datenschutz-Verzeichnissen, Datenschutz-Folgeabschätzungen etc.• Muster zu Mitarbeiter-Verpflichtungen• Integration von Datenschutzmaßnahmen in den Geschäftsprozess• Checklisten zur internen und externen Auditierung durch den DSB

Datenschutz geht nicht ohne Informationssicherheit – selbstverständlich behalten wir immer beides im Blick. Informieren Sie sich über unsere Möglichkei-ten einer bedarfsgerechten und praxisorientierten Unterstützung über unser kostenfreies Infotelefon: 0800 - 734 46 48.

regio iT gesellschaft für informationstechnologie mbh

Sitz der Gesellschaft: Aachen Lombardenstraße 24 52070 Aachen tel + 49 241 413 59 – 0

Niederlassung: Gütersloh Carl-Bertelsmann-Straße 29 33332 Gütersloh tel + 49 5241 2113 – 0

info@regioit.de www.regioit.deSt

and:

11/

2017