Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Newsletter EU-DSGVO
EU-Datenschutz – das müssen Unternehmen unbedingt wissen
02 18
Zusammenfassung
Gleichgültig, ob Sie einen Sitz in der Europäischen Union (EU) haben oder nur in die EU liefern: Die Europäische Datenschutzgrundverordnung (EU-DSGVO) ist ab dem 25. 5. 2018 in allen Unter - nehmen anzuwenden. Sie gilt für alle Unternehmen gleichermaßen, somit auch für gemeinnützige Unternehmen und auch für den öffentlichen Sektor. Ziel der Verordnung ist es, innerhalb der EU ein einheitlich hohes Daten schutzniveau durchzusetzen. Dafür sorgen Dokumentationspflichten, empfindliche Bußgelder von bis zu 20 Mio € oder 4 % des globa len Unternehmensumsatzes und umfangreiche Betroffenenrechte.
Zentrales Anliegen der EU-DSGVO ist es, in allen Unternehmen eine der Verordnung entsprechende Datenschutzorganisation zu etablieren, sprich ein Datenschutz-Management-System nachweisbar aufzubauen und auch im Unternehmensalltag „zu leben“. Hierzu gehören neben den datenschutz-rechtlichen Vorgaben für das Unternehmen und klaren Zuständigkeitszuweisungen vor allem auch
2
Kontrollen und Prozesse zur Verbesserung der Datenschutzorganisation. Weiter fordert die EU-DSGVO angemessene Datensicherheits-maßnahmen. In diesem Zusammenhang ist die IT-Sicherheit in besonderer Weise angesprochen, die anhand eines Informationssicherheits-Manage-ment-Systems (ISMS) ausgerichtet werden sollte.
Die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (DatenschutzGrund-verordnung) wurde vom Europäischen Parlament und dem Rat der Europäischen Union im April 2016 nach fast vierjähriger Debatte auf den Weg gebracht. Der Bundestag hatte im Anschluss die Aufgabe, die Öffnungsklauseln zu füllen. Im April letzten Jahres hat das Datenschutz-Anpassungs- und Umsetzungsgesetz („BDSG-neu“) den Bundestag passiert. Das neue Recht ist ab dem 25. 5. 2018 in allen Unternehmen anzuwenden.
3
Mit konkreten Schritten zur Umsetzung
Implementierung Datenschutz-Grundverordnung (DSGVO)
Initiierung
Pro
zessT
ätigkeit
Do
kum
ente
Planung LückenanalyseMaßnahmen- bestimmung Umsetzung
Information der
Geschäfts- leitung
gesetzliche Neuerungen Rechenschaftspflichten Auskunftspflichten an Betroffene Bußgelder
Bedeutung des Projekts
gesetzliche Neuerungen Projektziel Verantwortlichkeiten Zeitplan Projektkalkulation
Projektplan
Dokumentation Soll-Ist-Abgleich inkl. Identifikation Handlungsbedarf
Maßnahmenkatalog inkl. Priorisierung
Dokumentation der Maßnahmen- umsetzung
Aufbau, Projekt
organisation
Soll-Ist-Abgleich
Festlegung der Maßnahmen
unter Berück-sichtigung der Risiken
Umsetzung der festgelegten Maßnahmen
Kommunikation
Weitere Details zur Skizze finden Sie auf den Folgeseiten.
4
Die Zeit läuft – jetzt starten
Initiierung: Information
der Geschäftsleitung
Obwohl bereits umfangreiche Kommuni-kationsmaßnahmen auf breiter Ebene zur EU-DSGVO stattfanden, ist vielen Entschei-dern noch immer nicht so recht bewusst, was dies ganz konkret für das eigene Un-ternehmen bedeutet. Je nach Unterneh-mensgröße und Geschäftsfeld stellt die Umstellung auf die EU-DSGVO einen nicht unerheblichen Projektumfang dar. Spätes-tens jetzt muss ein solches Projekt ini-tiiert werden. Denn es drohen erhebliche Bußgelder, wenn die Datenschutzorgani-sation bis zum 25. 5. 2018 nicht nachweisbar auf die EU-DSGVO ausgerichtet wird. Es sollten finanzielle und personelle Ressour-cen eingeplant werden, insbesondere auch, um die IT-Sicherheit auf den geeigneten Stand zu bringen.
Aufbau Projekt
organisation
Planen Sie das Umstellungsprojekt ganz konkret. Wichtig sind Aufgabenverteilung und Verantwortlichkeiten, insbesondere mit Blick darauf, welche Aufgaben intern und extern erledigt werden.
Soll-Ist-Abgleich
Nehmen Sie zu Beginn den datenschutz- rechtlichen Ist-Zustand auf. Hierzu gehören neben der Aufnahme der Kern-Daten-schutz-Themen auch die Unternehmens-organisation und vor allem die IT-
Land schaft. Bestimmen Sie dann den Soll- Zustand. Hierfür sollten zunächst die Pflichten skizziert werden, die sich aus der EU-DSGVO ergeben:
Rechtmäßigkeit der Verarbeitung Ohne Erlaubnis darf kein personenbezo-genes Datum verarbeitet werden. Daher bedarf es für jede Datenverarbeitung einer dokumentierten Erlaubnis. In der Regel handelt es sich dabei um explizite Einwilligungen. Daneben existieren ge-setzliche Erlaubnisse (Vertragserfüllung, Interessenabwägung, Spezialnormen). Eine besondere Herausforderung stellt der Nachweis der Rechtmäßigkeit für eine Verarbeitung von Altdatenbeständen dar. Korrespondierend zur Erlaubnis zu Beginn der Datenverarbeitung ist sicher-zustellen, dass mit dem Wegfall der Er-laubnis (z.B. Widerruf Einwilligung, Ende Aufbewahrungsplicht) eine Löschung erfolgt.
Betroffenenrechte Durch die umfangreichen Betroffenen-rechte sollen die Bürger in die Lage ver-setzt werden, ihr Recht auf Datenschutz durchsetzen zu können. Betroffenen-rechte sind: Recht auf Auskunft, Recht auf Berichtigung, Recht auf Löschung/ Recht auf Vergessenwerden, Recht auf Sperrung und Recht auf Datenübertrag-barkeit. Eines haben die Betroffenen-
5
Was will ich erreichen?
Ziele
Was muss ich dafür tun?Maßnahmen
Wie gehe ich weiter vor?
Neue Maßnahmen und Ziele
Wie nahe bin ich am Ziel?
Überprüfen der Zielerreichung
rechte gemeinsam: Das Unternehmen kann ihnen nur dann entsprechen, wenn es einen Überblick über die verwende-ten Daten hat und datenschutzkonform arbeitet.
Dokumentationspflichten In den Dokumentationspflichten liegt ein wesentlicher Unterschied zum
alten Recht. Künftig muss nicht nur die Verfolgung der Datenschutzgrundsät-ze, sondern auch die Erfüllung sämtli-cher Detailverpflichtungen durch das Unternehmen nachgewiesen werden. Praktisch erfolgt die Dokumentation durch das Verzeichnis der Verarbeitungs-tätigkeiten, eine Datenschutzrichtlinie mit geeigneten Prozessen, Folgenab-schätzungen und den Jahresbericht des Datenschutzbeauftragten.
6
In der Datenschutzrichtlinie wird die Daten-schutzorganisation beschrieben. Hier geht es darum, ein wirksames Datenschutz- Management-System aufzubauen, sprich einen lebenden Organismus mit geeigne-ten Prozessen, klaren Zuständigkeiten und ständiger Anpassung und Optimierung. Dies beinhaltet selbstverständlich nicht nur zu befolgende Regeln, sondern auch wirksame Kontrollen. Hierdurch wird gewährleistet, dass auf Betroffenenrechte fristgerecht geantwor-tet wird, dass im Verfahrensverzeichnis die ak-tuellen Verarbeitungsvorgänge dokumentiert sind, dass Datenschutzpannen umgehend an die Aufsichtsbehörde gemeldet werden etc.
Ein wichtiger Teilaspekt sowohl der Daten-schutzrichtlinie als auch der Datenschutz-organisation ist die Folgenabschätzung und ein diesbezüglicher Prozess. Es gilt, bei kritischen Datenverarbeitungen (z.B. Videoüberwachung, Einsatz von Big Data/Profiling-Tools, neuar-tige IT-Verarbeitungsvorgänge, Verarbeitung großer oder sensibler Datensätze) vorab den Verarbeitungsprozess zu beschreiben und die datenschutzrechtliche Zulässigkeit des Ver-fahrens zu untersuchen, wobei insbesondere die Risiken für den Betroffenen und die Abhil-femaßnahmen darzustellen sind. Bei Zweifeln hinsichtlich der Zulässigkeit der Verarbeitung ist die Aufsichtsbehörde zu konsultieren.
Der vielleicht wichtigste Aspekt der Daten-schutzorganisation ist die Datensicherheit. Dahinter verbergen sich angemessene IT- Sicherheitsmaßnahmen, die wir später noch ausführlich darstellen.
Auftragsverarbeitung
Die Weitergabe personenbezogener Da-ten an Dritte oder der Zugriff von diesen auf die Daten ist grundsätzlich unzulässig. Eine wichtige Privilegierung hiervon ist die Auftragsverarbeitung. Anwendungs-fälle sind die Beauftragung von IT-Dienst-leistern, Rechenzentren, Cloud-Anbietern und auch der Datenaustausch im Kon-zern. Achten Sie darauf, potenzielle Auf-tragsverarbeiter unter Datenschutzaspek-ten sorgfältig auszusuchen und mit ihm eine Vereinbarung zur Auftragsverarbei-tung zu schließen.
Festlegung Maßnahmen
Nach der Lückenanalyse geht es an die eigentliche Umsetzung der EU-DSGVO. Auch wenn alle Unternehmen sie am 25. 5. 2018 umgesetzt haben müssen, so bedarf es einer Priorisierung der Maßnah-men, da die EU-DSGVO vom Verhältnis-mäßigkeitsprinzip geleitet ist und insofern immer zuerst die wesentlichen Risiken an-zugehen sind.
Umsetzung Maßnahmen
Die festgelegten Maßnahmen sind im Zuge der Umsetzung zu dokumentie-ren. Auf die Maßnahmenumsetzung folgt dann der laufende Betrieb, der von Kon-trollen und der Weiterentwicklung der Da-tenschutzorganisation geprägt ist.
7
EU-Datenschutz-Grund-verordnung fordert ange-messene IT-Sicherheits-maßnahmen
Datenschutz und IT-Sicherheit sind eng miteinander verbunden. Fehlende oder unzu reichende IT-Sicherheitsmaßnahmen kö nnen ab dem 25. 5. 2018 aufgrund der erweiterten Vorgaben der EU-Datenschutz-Grundverordnung (EU-DSGVO) für die IT- Sicherheit mit weiteren Bußgeldern sanktio-niert werden. Zudem müssen Datenpannen in den meisten Fällen innerhalb von 72 Stun den der Aufsichtsbehörde gemeldet werden. Sowohl der Verantwortliche als auch der Auftragsverarbeiter werden, wie bisher auch, verpflichtet, technische und organisatorische Maßnahmen für die Daten- sicherheit zu ergreifen. Diese gehen über die bisher bekannten Maßnahmen des BDSG hinaus.
Informationssicherheits-Management-System ist ein Muss
Die EU-DSGVO fordert Datensicherheits-maßnahmen, die geeignet sind, ein Schutz-niveau zu gewährleisten, das dem Risiko für die Rechte und Freiheiten der Betrof-fenen angemessen ist und den aktuellen Stand der Technik berücksichtigt. Mithin müssen die Datensicherheitsmaßnahmen verhältnismäßig sein. Weiterhin fordert die EU-DSGVO ein Verfahren zur regelmäßi-gen Überprüfung, Bewertung und Evalu-ierung der Wirksamkeit der technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleis-ten. Damit unterstellt die EU-Datenschutz- Grundverordnung prinzipiell, dass ein Infor-
mationssicherheits-Management umgesetzt ist, beispielsweise nach dem Standard DIN ISO/IEC 27001 (Managementsysteme für Informationssicherheit, ISMS). Hierdurch werden die klassischen IT-Sicherheitsziele wie Vertraulichkeit, Integrität und Verfüg-barkeit im Hinblick auf personenbezogene Daten wie Name, Adresse, Telefonnummer, Gehaltsdaten, Gesundheitsdaten, Religion etc. verfolgt und gewährleistet.
Aufbau des EU-DSGVO-Informations-sicherheits-Managements in vier Schritten
Konkret sollte wie folgt vorgegangen werden:
Datenklassifizierung (Einteilung in drei Schutzklassen (hoch, mittel, niedrig), z.B. Einteilung in Klasse „hoch“ bei hohem Schutzbedarf, z.B. bei Gesundheitsdaten)
Risiken analysieren und bewerten (Ermitt-lung von Schwachstellen und Bedrohun-gen sowie Betrachtung der Auswirkun-gen und der Eintrittswahrscheinlichkeit)
Mit Blick auf das Risiko sind verhältnismä-ßige Maßnahmen zu ergreifen (z.B. Pseu-donymisierung, Verschlüsselung, Kontrol-len, Berechtigungen etc.)
Nachweise erbringen (Prozess dokumen-tieren, regelmäßige Überprüfungen)
Die dargestellten Schritte zeigen, dass zu-nächst sachgerechte Maßnahmen innerhalb des Unternehmens konzipiert werden müs-sen. Der Arbeitsaufwand hierfür wird häufig unterschätzt. Zu bedenken ist jedoch, dass ohne angemessene IT-Sicherheitsmaßnah-men für ein Unternehmen auch jenseits des Datenschutzes Gefahren drohen, die exis-tenzbedrohlich werden können.
Zertifizierungsmöglichkeiten nach DIN ISO/IEC 27001 werden empfohlen
8
Um nachzuweisen, dass die DSGVO bei Verarbeitungsvorgängen von Verantwort-lichen oder Auftragsverarbeitern eingehal-ten wird, wäre für den Bereich der Anbieter- bzw. Auftragsverarbeiter-Zertifizierung die DIN ISO/IEC 27001-Familie zu empfehlen, denn hier sind bereits branchenspezifische Standards entwickelt worden, die in ein ISMS integriert werden können.
Datenschutzbeauftragter bei vielen Unternehmen jetzt Pflicht
Ab dem 25. 5. 2018 kommt dem Daten-schutz beauftragten eine noch wichtigere Stellung zu. Nachfolgend werden die sieben wichtigsten Fragen zum Datenschutzbeauf-tragten unter der EU-DSGVO beantwortet:
1. Wer muss einen Datenschutzbeauf- tragten bestellen?
Fast jeder. § 38 BDSG-neu, der die Rege-lungen der EU-DSGVO verschärft, normiert, dass eine Bestellung eines Datenschutz-beauftragten erforderlich ist, wenn sich mindestens zehn Personen ständig mit der automatisierten Verarbeitung personen-bezogener Daten beschäftigen. Im Ergeb-nis benötigt jedes Unternehmen, in dem zehn Personen einen Bildschirmarbeitsplatz haben, einen Datenschutzbeauftragten. Bei kritischen Datenverarbeitungen ist zudem unabhängig von der Mitarbeiterzahl ein Da-tenschutzbeauftragter erforderlich.
2. Wer kann als Datenschutzbeauftragter bestellt werden?
Erforderlich sind nachgewiesene daten-schutzrechtliche Fachkenntnisse, die sich auf die rechtlichen, technischen und or-ganisatorischen Aspekte des Datenschut-zes beziehen. Es kann eine interne oder externe Person eingesetzt werden. Bei in-ternen Personen ist verstärkt zu beachten, dass diese nicht in einem Interessenkonflikt mit den datenschutzrechtlichen Anforde-rungen stehen, wie dies beispielsweise bei Geschäftsführern und IT-Leitern der Fall ist. Aufgrund der komplexen Anforderungen der EU-DSGVO gehen viele Unternehmen zur Bestellung eines externen Datenschutz-beauftragten über.
3. Welche Aufgaben hat der Datenschutz-beauftragte?
Der Datenschutzbeauftragte unterrichtet und berät das Unternehmen und die Mit-arbeiter. Er überwacht die Einhaltung des Datenschutzes sowie insbesondere die Durchführung der erforderlichen Folgen-abschätzungen und ist der Ansprechpartner für die Aufsichtsbehörde. Daneben können ihm weitere Aufgaben übertragen werden.
4. Welche Konsequenzen drohen bei Nichtbestellung eines Datenschutzbe-auftragten?
Art. 83 EU-DSGVO eröffnet für die Nicht-bestellung einen nicht unerheblichen Buß-geldrahmen.
9
Ihr dhpg-Kompetenzteamin Fragen des Datenschutzes und der IT-Sicherheit
Dr. Christian Lenz Rechtsanwalt/Fachanwalt für Steuerrecht T +49 2261 8195 0E [email protected]
Markus Müller Diplom-Wirtschaftsinformatiker/CISA ISO 27001-Certified Information Security Auditor T +49 221 33636 0 E [email protected]
Philipp Rothmann CISA/ISO 27001-Certified Information Security AuditorT +49 221 33636 0 E [email protected]
5. Muss die Bestellung des Datenschutz-beauftragten veröffentlicht werden?
Die Kontaktdaten des Datenschutzbeauf-tragten müssen der Aufsichtsbehörde mit-geteilt und veröffentlicht werden, beispiels-weise auf der Homepage.
6. Wie haftet der Datenschutzbeauftragte?
Zunächst kommt eine zivilrechtliche Haf-tung wegen Pflichtverletzung infrage, wo-bei der Pflichtenkreis umfassend ist. Bei internen Datenschutzbeauftragten sind hier die Grundsätze des innerbetrieblichen Schadensausgleichs zu berücksichtigen, die den Arbeitnehmer haftungsrechtlich privi-legieren. Die EU-DSGVO sieht keine Geld-bußen für den Datenschutzbeauftragten bei Schlechterfüllung seiner Aufgaben vor. Noch in der Diskussion ist, inwiefern eine Strafbarkeit durch Unterlassen als Garant in Betracht kommt, wenn der Datenschutz-beauftragte nicht seiner Überwachungs-pflicht nachkommt.
7. Was ändert sich hinsichtlich des Daten-schutzbeauftragten nach dem neuen Recht?
Viele Aspekte des neuen Datenschutz-beauftragten sind Datenschützern nicht un-bekannt. Zu beobachten ist eine graduelle Verschiebung dergestalt, dass der Daten-schutzbeauftragte in der neuen theoreti-schen Konzeption weniger operativ und mehr kontrollierend tätig wird. Allerdings besteht die Möglichkeit, den Datenschutz-beauftragten durch den Verantwortlichen mit operativen Aufgaben zu betrauen, was
die theoretische Verschiebung in der Praxis teilweise einebnen dürfte. Insgesamt dürfte die Bedeutung des Datenschutzbeauftrag-ten steigen, da die Bedeutung des Daten-schutzes steigt und der Datenschutzbeauf-tragte auch nach neuem Recht die zentrale Rolle ausfüllt.
10
Machen Sie den Datenschutz Ihres Unternehmens zur Chefsache.
Als modernes mittelständisches Beratungsunternehmen mit
über 60 Jahren Erfahrung im sicheren Umgang mit Daten
entwickeln wir im persönlichen Austausch mit Ihnen pass
genaue Lösungen. An unseren Standorten in Deutschland und
als Teil von Nexia International.
www.dhpg.de
Wir beraten Sie persönlich
Nationale und internationale Kooperation
dhpg Standorte
Nexia Deutschland GmbHwww.nexia.de
Nexia Internationalwww.nexia.com
BonnMarie-Kahle-Allee 253113 BonnT +49 228 81000 0F +49 228 81000 20E [email protected]
AachenAdalbertsteinweg 3452070 AachenT +49 241 8874783 0F +49 241 8874783 20E [email protected]
BerlinJean-Monnet-Straße 2 10557 BerlinT +49 30 203015 0F +49 30 203015 20E [email protected]
BornheimAdenauerallee 45−4953332 BornheimT +49 2222 7007 0F +49 2222 7007 199E [email protected]
EuskirchenCarmanstraße 4853879 EuskirchenT +49 2251 7009 0F +49 2251 7009 50E [email protected]
Frankfurt am MainLurgiallee 1660439 Frankfurt am MainT +49 69 57005 0F +49 69 57005 190E [email protected]
GummersbachBunsenstraße 10a51647 GummersbachT +49 2261 8195 0 F +49 2261 8195 199E [email protected]
KölnErnaSchefflerStraße 351103 KölnT +49 221 33636 0F +49 221 33636 36E [email protected]
SaarbrückenAm Staden 1366121 SaarbrückenT +49 681 387242 0F +49 681 387242 10E [email protected]
TrierSimeonstiftplatz 154290 TrierT +49 651 2006853 0F +49 651 2006853 60E [email protected]
WiesbadenKranzplatz 1165183 WiesbadenT +49 611 99930 0F +49 611 99930 30E [email protected]