EU-DSGVO

Die EU-Datenschutzgrundverordnung betrifft alle IT-Abteilungen die schützenswerte Daten verarbeiten.
Sind Sie bereit?

DSGVO-Checklisten

EU-Datenschutz – EU-DSGVO

EU-Datenschutzgrundverordnung

Der Datenschutz wird durch die EU-DSGVO/EU-GDPR seit 2016 einheitlich in der EU geregelt und muss bis Mai 2018 von Unternehmen und Organisationen vollständig umgesetzt werden. Die Anforderungen an den Datenschutz steigen deutlich und die möglichen Strafen sind exorbitant.

Mit der EU-DSGVO bzw. EU-GDPR (EU-General Data Protection Regulation) wird der Datenschutz europaweit harmonisiert. Das erzeugt enormes Einsparungspotential und verhindert die Rechtsunsicherheit im EU-Binnenraum, die durch die unterschiedlichen nationalen Gesetze aktuell besteht. Mit der EU-DSGVO erhalten natürliche Personen deutlich mehr Kontrolle über Ihre Daten und profitieren zusätzlich von einem deutlich verbesserten Datenschutz. Jede IT-Abteilung die »personenbezogene Daten« speichert, muss die die Vorgaben der EU-DSGVO spätestens am 25. Mai 2018 einhalten. Ansonsten drohen exorbitante Strafen die auch bereits ohne Datenpanne verhängt werden können.

Um die Vorgaben der EU-DSGVO einzuhalten, reicht es aber nicht aus, einzelne »technische und organisatorische Maßnahmen« zur Verbesserung des Datenschutzes umzusetzen. Organisationen müssen ein wirksames Sicherheits- und Datenschutzkonzept erstellen, durch ein Verfahrensverzeichnis jederzeit und vollständig nachweisen und die Datenschutzverfahren regelmäßig auf Ihre Wirksamkeit prüfen.

Um ein angemessenes Schutzniveau zu erreichen sind insbesondere die Risiken (Risikobewertung) zu berücksichtigen, die mit der Verarbeitung von schützenswerten und personenbezogenen Daten verbunden sind. Basierend auf der Risikobewertung müssen die Maßnahmen und Verfahren dem »Stand der Technik« entsprechen und im Verhältnis zum Risiko umgesetzt werden.

Bereits das Bundesdatenschutzgesetz (BDSG) gehörte zu den strengsten Datenschutzgesetzen weltweit. Im Gegensatz zur EU-DSGVO wurde es vielfach als »zahnloser Tiger« angesehen. Die im BDSG festgelegten Strafen wurden zum Schutz der Wirtschaft nur äußerst selten verhängt und waren im Vergleich zu den möglichen Sanktionen der EU-DSGVO kaum abschreckend.

Wir zeigen Ihnen hier interessante DSGVO-Checklisten, Erklärungen, aufgezeichnete Webinare u.a. mit einem externen Datenschutzbeauftragten zu diesem Thema sowie Beispiele wie die praktische Umsetzung für Unternehmen und Organisationen aussehen kann.

EU-DSGVO/EU-GDPR Dokumente und Links

Unsere EU-DSGVO Sammlung von Orientierungshilfen, Richtlinien, Verpflichtungserklärungen und Beispielkonzepten zum kostenlosen Download.  

Auftragsverarbeitung – Art. 28 DS-GVO

Werden personenbezogene Daten von externen Dienstleistern verarbeitet, so muss der Auftraggeber mit dem Dienstleister nach EU-DSGVO Artikel 28, Absatz 3 einen Auftragsverarbeitungsvertrag schließen. Dieser erlaubt grundsätzlich die Verarbeitung dieser Daten, regelt die Datenschutz-Anforderungen bei der Auftragsverarbeitung durch den Dienstleister und schützt Sie vor rechtlichen Konsequenzen. Nach aktueller Auffassung ist mit Steuerberatern, die für Sie eine »klassische Steuerberatungstätigkeit« durchführen, kein Auftragsverarbeitungsvertrag (Funktionsübertragung) zu schließen. Wird durch den Steuerberater rein die Lohn-und Gehaltsabrechnung erstellt, kann eine Auftragsdatenverarbeitung vorliegen.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat zusammen mit anderen Landesdatenschutzbehörden nun einen neuen Mustervertrag bzw. eine Musterformulierung veröffentlicht, die Sie verwenden und auf Ihre Anforderungen anpassen können.

Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO


Sonderfall: Vereinigtes Königreich (UK)

Durch den geplanten Austritt des Vereinigten Königreichs aus der EU wird das Datenschutzniveau durch die EU nach heutigem Stand nicht mehr anerkannt. Damit wird das Vereinigte Königreich voraussichtlich zum 30. März 2019 wie ein Drittland zu behandeln sein. Die folgende Mustervorlage kann verwendet werden, um mit britischen Unternehmen einen Auftragsverarbeitungsvertrag in englischer Sprache gemäß den DSGVO-Vorgaben abzuschließen.

Besondere Kategorien personenbezogener Daten – Art. 9 DSGVO

Das Kernziel der EU-DSGVO ist der bessere Schutz personenbezogener Daten. Die Definition des Begriffs »personenbezogenen Daten« wurde u.a. um genetische und biometrische Angaben, Positionsdaten und IP-Adressen erweitert. 

Die besonderen Kategorien personenbezogener Daten sind besonders schützenswert. Deren Verarbeitung und Speicherung verlangt das höchstmögliche Schutzniveau.

Grundsätzlich hat sich bei den besonderen Arten der personenbezogenen Daten gegenüber dem Bundesdatenschutzgesetz (BDSG § 3 Abs. 9) nicht viel in der EU-DSGVO geändert. In dem folgenden Kurzpapier der BayLDA finden Sie die aktuellste Definition.

Besondere Kategorien personenbezogener Daten

Datenschutz-Folgenabschätzung – Art. 35 DSGVO

Die Datenschutz-Folgenabschätzung ist immer dann vorgeschrieben, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung von personenbezogenen Daten voraussichtlich ein hohes Risiko besteht.

Kurzpapier Datenschutz-Folgenabschätzung

Datenschutz Verpflichtungserklärung für Beschäftigte

Gemäß Art. 29 DSGVO dürfen Beschäftigte personenbezogene Daten nur nach entsprechender Weisung des Verantwortlichen oder Auftragsverarbeiters verarbeiten, es sei denn, eine gesetzliche Regelung schreibt die Verarbeitung dieser Daten vor.

Die Verantwortlichen müssen dementsprechend unbedingt vorgeben, wie und in welchem Umfang diese Daten verarbeitet werden dürfen. Zusätzlich müssen sich die Beschäftigten die personenbezogene Daten verarbeiten zur Vertraulichkeit verpflichten. Dazu gehören sowohl eine »verpflichtende Unterweisung« durch den/die Verantwortlichen als auch eine Vereinbarung die dem Beschäftigten oder Auftragsverarbeiter vorgelegt und von diesem unterzeichnet werden muss.

Das Bayerische Landesamt für Datenschutzaufsicht hat mit dem Dokument »Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach DS-GVO« die Vorgaben beschrieben und ein Musterbeispiel für eine Verpflichtungserklärung freigegeben.

Zum Dokument

Meldeformular Datenschutzvorfall – Art. 33 DS-GVO

Wird der Schutz personenbezogener Daten verletzt, hat der Verantwortliche gemäß Artikel 33 DSGVO möglichst binnen 72 Stunden nachdem ihm der Datenschutzvorfall bekannt geworden ist, eine Meldung an die für ihn zuständige Datenschutzbehörde abzugeben. Dies kann nur dann unterbleiben, wenn der Datenschutzvorfall voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen führt. Eine Verspätung der Meldung ist zu begründen.

Gemäß Absatz 1 muss die Meldung mindestens die Informationen enthalten, die Sie in dem folgenden Dokument »Meldeformular Datenschutzvorfall« finden.

Meldeformular Datenschutzvorfall

Richtlinie für mobile Sicherheit (BYOD)

Mobilgeräte wie u.a. Smartphone oder Tablets werden von vielen Anwendern meist nicht als Bedrohung der Computer- und Datensicherheit gesehen. Für IT-Abteilungen stellen Mobilgeräte jedoch eine echte Herausforderung dar. 

Die nachfolgende Beispielrichtlinie zur mobilen Sicherheit kann an Ihre Situation und Anforderungen angepasst werden. 

Beispielrichtlinie zur mobilen Sicherheit

Schutzbedarf und Schutzziele

Der Schutzbedarf von Daten und Verarbeitungsprozessen ist unterschiedlich hoch. Das bedeutet in der Konsequenz auch, dass in Abhängigkeit vom Schutzbedarf angepasste Schutzmaßnahmen erforderlich sind. Dabei gelten die drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit.

Das BSI gibt in seiner IT-Grundschutz Empfehlung entsprechende Orientierungshilfen:

IT-Grundschutz

Allgemeine IT-Grundschutz Informationen, Downloads, Bausteine, BSI-Standards und Umsetzungsempfehlungen.


BSI-Standards

Praktische Anleitung zu den Mindestvorgaben des BSI. Hier erfahren Sie mehr über Schnittstellenkontrolle, public Cloud, Mobile Device Management uvm.

 

Verarbeitungsverzeichnins/Verfahrensverzeichnis – Art. 30 DSGVO

Die Dokumentation von Verfahren oder Verarbeitungsprozessen hat in der EU-DSGVO einen hohen Stellenwert. Damit soll auch erreicht werden, das Verfahren der Datenverarbeitung auf ihre Wirksamkeit hin überprüft worden sind, Außerdem dienen sie bei Audits als Anhaltspunkt für die Auditoren. Der Verzicht auf ein Verfahrensverzeichnis allein ist bereits strafbewehrt.

Die Bitkom bietet eine aktualisierte Version des Verfahrensverzeichnisses zum kostenlosen Download an.

Zur Dokumentation

Verfahrensdokumentation IT-Security – Art. 32 DSGVO

Einzelne Verfahren (technische und organisatorische Maßnahmen) müssen gemäß den Vorgaben der EU-DSGVO Art. 32 hinreichend  dokumentiert sein. Der Datenschutzbeauftragte empfiehlt in diesem Zusammenhang Leit- und Richtlinien für

  • IT-Sicherheit
  • ITK-Nutzung (Benutzerberechtigungen)
  • Internet- und E-Mail-Nutzung (auch BYOD)
  • Outsourcing (falls zutreffend)
  • Sicherheitshinweise IT-Anwender
  • Sicherheitshinweise IT-Administratoren
  • Änderungskonzept
  • Viren-Schutzkonzept
  • Datensicherungskonzept
  • Notfallvorsorgekonzept (Notfallplan)
  • Archivierungskonzept

Beim Bundesamt für die Informationssicherheit (BSI) finden Sie Musterrichtlinien und Beispielkonzepte zum Download. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zeigt konkrete Ansätze auf dem Weg zur Umsetzung der EU-DSGVO

EU-DSGVO Umsetzung

 

Videoüberwachung: Informationspflicht bei nichtöffentlichen Stellen – Art. 13 DSGVO

Die Transparenzpflichten für die Videoüberwachung durch nichtöffentliche Stellen steigen durch die DSGVO enorm. Erfolgt die Videoüberwachung lediglich zum Schutz vor Einbruch außerhalb der üblichen Arbeitszeiten reduziert sich die Informationspflicht auf ein Hinweisschild (z.B. Piktogramm) beim Betreten des überwachten Bereiches und ein aussagekräftiges Informationsblatt über die beabsichtigte Verarbeitung an gut zugänglicher Stelle.

Nachfolgend finden Sie die Transparenzanforderungen, ein vorgelagertes Hinweisschild und ein Informationsblatt über den Zweck und Umfang der Videoüberwachung.

Hinweisschild Videoüberwachung

Transparenzpflichten Videoüberwachung

Informationsblatt Videoüberwachung

 

 

Alle Dokumente stammen von offiziellen Quellen. Kopieren Sie sich den gewünschten Inhalt und passen Sie ihn an Ihre Vorgaben und Schutzziele an. Wir übernehmen keine Haftung für Inhalt und Vollständigkeit der Dokumente.

 

EU-Datenschutz konkret – Webinar Teil 1

Wir haben zusammen mit einem externen Datenschutzbeauftragten bereits in zwei Webinaren über die praktische Umsetzung der EU-DSGVO informiert. Die Aufzeichnung der Webinare können Sie sich hier ansehen.

In der Webinarreihe »EU-Datenschutz konkret - Welche Maßnahmen sind wirklich notwendig« präsentieren wir zusammen mit dem externen Datenschutzbeauftragten von der Datenschutz-Agentur,  praktische Fakten und Handlungsempfehlungen anstatt unverständlicher Paragraphen.

Video

Welche EU-DSGVO Maßnahmen sind wirklich notwendig?

Video ansehen

Fragen Sie die Experten

EU-Datenschutz konkret – Teil 2/2

Die technischen und organisatorischen Maßnahmen (TOM) sind nur noch Bausteine zur Einhaltung der EU-DSGVO bzw. EU-GDPR Compliance. Die Datenschutzgrundverordnung erfordert ein ganzheitliches Datenschutzkonzept mit dokumentierten Zuständigkeiten, Verfahren und Notfall-Plänen.

Video

Datenschutzkonzept & Dokumentation

Video ansehen

Fragen Sie die Experten

(Wir geben keine Gewähr für die Richtigkeit und Vollständigkeit der Angaben in diesem Bereich und übernehmen auch keine Haftung.)

 

Technische Lösungen

Ein Sicherheitskonzept besteht sowohl aus technischen als auch aus organisatorischen Maßnahmen. Bei ProSoft finden Sie wichtige Bausteine in Form von effizienten IT-Securitylösungen.

Zu Lösungen