Datenschutzmanagementsysteme – Anforderungen durch die EU-Datenschutz-Grundverordnung

Die neue EU-Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft. Spätestens dann müssen in Unternehmen, in denen personenbezogene Daten verarbeitet werden, die technischen und organisatorischen Datenschutzvorkehrungen geklärt sein. Um den hohen Anforderungen der Datenschutzgrundverordnung gerecht zu werden, ist ein Datenschutzmanagementsystem erforderlich. Es muss konsequent in die Geschäftsprozesse eingebunden werden, um eine rechtskonforme Umsetzung, Kontrolle und gegebenenfalls Anpassung der Abläufe und Verantwortlichkeiten zum Datenschutz zu ermöglichen.

Wir geben Ihnen einen Überblick zu den Herausforderungen der Einhaltung der DSGVO und den in diesem Zusammenhang gestiegenen Anforderungen an ein professionelles Datenschutzmanagementsystem.

Die neue DSGVO: höhere Ansprüche an den Nachweis des Datenschutzes

Laut der am 25. Mai in Kraft tretenden Verordnung müssen Unternehmen, die personenbezogene Daten verarbeiten, jederzeit nachweisen können, dass sie sich dabei an alle Bestimmungen der DSGVO halten. Neben diesen Informationspflichten bringt die Verordnung u.a. folgende Neuerungen mit sich:

  • neuer Bußgeldkatalog mit deutlich höheren Strafgeldern – bis zu 4 % des Konzernumsatzes
  • Privacy by Default: Datenschutzfreundliche Voreinstellungen, besonders in Hinsicht auf weniger technikaffine Personen
  • Privacy by Design: Schon im Entwicklungsstadium von IT-Produkten soll der Datenschutz integriert werden
  • Marktortprinzip: Datenschutzanforderungen betreffen alle auf dem europäischen Markt tätigen Unternehmen, sofern die Datenverarbeitung EU-Bürger betrifft
  • Datenschutzvorfälle sind binnen 74 Stunden zu melden

Funktionsweise eines Datenschutzmanagementsystems

Es gibt nicht das eine Datenschutzmanagementsystem (DSMS), denn je nach Geschäftsabläufen gibt es ganz unterschiedliche Abläufe bei der Datenverarbeitung. Außerdem ist ein DSMS nicht mit einem IT-System gleichzusetzen. IT-Systeme können zur Unterstützung eingesetzt werden, reichen aber allein nicht aus, um den Anforderungen der DSGVO gerecht zu werden. Das ist nur möglich, wenn der Datenschutz fest in die Organisation des Unternehmens eingebunden ist, und genau das leistet ein DSMS.

Besteht bereits ein Management- bzw. Kontrollsystem ist es natürlich sinnvoll, das DSMS damit zu verknüpfen.

Die Umsetzung bzw. Einbindung eines Datenschutzmanagementsystems kann folgendermaßen ablaufen:

Basis für ein DSMS

Organigramm des Unternehmens erstellen, mit genauen Angaben zu Geschäftsprozessen und dahinter stehenden Personen sowie Angaben, an welcher Stelle in welcher Form Daten verarbeitet werden

Dadurch können Sie den konkreten Handlungsbedarf und die Risiken ermitteln, um im Anschluss die ggf. fehlenden Ressourcen zu beschaffen.

Maßnahmen zur Umsetzung

Die konkrete Umsetzung des DSMS ist stark abhängig vom Geschäftsmodell und den Geschäftsabläufen. Sie beinhaltet z.B. Anpassungen bei:

  • unternehmensinternen Prozessen
  • IT-Systemen
  • Kommunikation mit Kunden, Mitarbeitern und Partnern
  • externen Dienstleistern, soweit sie in die Verarbeitung personenbezogener Daten involviert sind
  • Datenschutzerklärungen
  • Einwilligungserklärungen
  • Datenschutz-Folgenabschätzung
  • Wahrung von Betroffenen-Rechten
  • Meldung von Datenschutzverstößen

Wichtig ist hierbei vor allem die erweiterte Rechenschaftspflicht im Zuge der neuen DSGVO. Genau sie macht ein fest in die Unternehmensabläufe integriertes Datenschutzmanagement-System erforderlich. Darin müssen Sie die einzelnen Schritte zur Einhaltung des Datenschutzes dokumentieren, um diese bei einer Prüfung nachweisen zu können.

Wie gesagt, handelt es sich bei den oben beschriebenen Abläufen zur Einbindung eines Datenschutzmanagementsystems lediglich um einen Vorschlag. Der Aufwand variiert nicht nur entsprechend der Unternehmensgröße, sondern auch entsprechend der bisher im Unternehmen etablierten Datenschutzsysteme.

 


4 Kommentare  |  Kommentar schreiben

4 Kommentare zu “Die neue DSGVO tritt am 25. Mai 2018 in Kraft

Michael Krefft #

Geschrieben am 13. April 2018 um 19:18 Uhr

Vielen Dank für den Artikel. Hilfreich wären aber an dieser Stelle auch konkrete Informationen dazu, was das denn für die Beziehung von Webgo-Kunden mit Webgo bedeutet. Z.B.:
– Wann benötigt man einen Auftragsverarbeitungsvertrag mit webgo (aus Hostersicht)?
– Wo bekommt man diesen?
– Ist der Vertragstext schon auf dem neuesten Stand? (ggf. auch ob alte AV-Verträge noch weiterhin gültig bleiben)
– Manche Hoster anonymisieren seit neuestem oder bald die IP-Adressen in ihren Logfiles, sofern Logs erstellt werden. Wie macht es webgo?

LG #

Geschrieben am 9. Mai 2018 um 07:56 Uhr

Gibt es bei Webgo auch einen neuen Auftragsverarbeitung-Vertrag? Ich lese immer wieder davon, dass alle Unternehmen die Daten erheben diesen Vertrag abschließen bzw erneuern müssen.

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 6. September 2018 um 10:31 Uhr

Lieber LG,

selbstverständlich. Im Kundenmenü im „Burger-Menü“ oben rechts zu finden, oder direkt über diesen Link:
https://login.webgo.de/dsgvo

Liebe Grüße
Dein webgo Social Team

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 6. September 2018 um 11:22 Uhr

Lieber Michael,

verzeih uns bitte die späte Rückmeldung!
Um rechtskonform für Dich hosten zu können schließen wir einen AV-Vertrag. Im Kundenmenü im „Burger-Menü“ oben rechts zu finden, oder direkt über diesen Link:
https://login.webgo.de/dsgvo
Ein AV-Vertrag ist für Geschäftskunden zwingend erforderlich und auch für Privatkunden zu empfehlen.
Bzgl. Deiner Frage zu den Logfiles: Diese kannst Du selber anonymisieren. Dazu gehst Du im webgo Webspace Admin auf Server > Webserver Einstellungen > Anzeige der IP in der access_log / error_log > aktivieren bzw. deaktivieren.
Der AV-Vertrag ist auf dem neuesten Stand und müsste neu ausgefüllt werden. Dies geht jedoch schnell und unkompliziert.

Liebe Grüße
Dein webgo Social Team

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.