Chefsache Datenschutz-Grundverordnung (DS-GVO)

Dr. Hartmut H. Frenzel, 02.01.2018

Die Datenschutz-Grundverordnung (ebenso BDSG - neu) wird in 2018 scharf geschaltet. Für Sie stellt sich die Frage, was muss ich bis Mai tun?


Chefsache DS-GVO

Noch fünf Monate Schonfrist für Unternehmen

Schließlich bleibt nicht mehr viel Zeit bis zum 25. Mai 2018. Sie müssen handeln!


Sie wägen Ihre Optionen ab. Fragen andere Unternehmer. Besorgen sich Fachbücher. Sie werden durch Ihren Fachverband oder durch Ihre Industrie- und Handelskammer informiert.


Die Zeit läuft.


Langsam bekommen Sie Zweifel, ob Sie die Umsetzung der neuen Anforderungen bis zum 25. Mai 2018 schaffen können.


Aber ich lasse Sie damit nicht allein. Nachstehend finden Sie zwei Aktivitäten, die Sie jetzt starten müssen.

 

Doch, fallen Sie überhaupt unter den Geltungsbereich?

Zunächst sollten Sie prüfen, ob Sie mit Ihrem Unternehmen in den Geltungsbereich der Datenschutz-Grundverordnung fallen.


Beantworten Sie sich bitte folgende Fragen:


  • Bieten Sie Waren oder Dienstleistungen in der europäischen Union oder in Deutschland an? Falls ja, dann haben Sie die Datenschutz-Grundverordnung zu beachten.


und/oder


  • Haben Sie Mitarbeiter? Falls ja, auch dann haben Sie die Datenschutz-Grundverordnung zu beachten.


und/oder


  • Bieten Sie im fremden Namen, d.h. im Auftrag eines Dritten, Waren oder Dienstleistungen in der europäischen Union oder in Deutschland an? Bei der Antwort Ja sind Sie Auftragsverarbeiter und haben die Datenschutz-Grundverordnung zu beachten.


Sie erkennen schon jetzt, dass selbst der Friseursalon oder der kleine Bio-Laden um die Ecke von der EU-Datenschutz-Grundverordnung betroffen ist.

Sechs Grundsätze für die Verarbeitung personenbezogener Daten

Als Erstes sollten Sie die sechs Grundsätze für die Verarbeitung personenbezogener Daten kennen.


Diese sind:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
    Personenbezogene Daten müssen „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden“. Daraus ergeben sich für Sie Dokumentationspflichten.
  • Zweckbindung
    Personenbezogene Daten dürfen nur für festgelegte und eindeutige Zwecke erhoben werden und dürfen nicht in einer anderen Weise verarbeitet werden.
  • Datenminimierung
    Erheben Sie Daten sparsam. Für einen Newsletter ist es ausreichend, wenn Sie nur die E-Mail-Adresse erheben; weitergehende Daten, wie Vorname, Nachname, Beruf etc. sind im Regelfall nicht notwendig.
  • Richtigkeit
    Personenbezogene Daten müssen „sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden“.
  • Speicherbegrenzung
    Personenbezogene Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“.
  • Integrität und Vertraulichkeit
    Personenbezogene Daten müssen „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen“.

Verzeichnis der Verarbeitungstätigkeiten

Wenn Sie betroffen sind, dann sollten Sie kurzfristig mit der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten beginnen. Das Verzeichnis ist nicht öffentlich.


Das Verzeichnis muss mindestens folgende Bestandteile haben:

  • Name und die Kontaktdaten des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • Kategorien von Empfängern von personenbezogener Daten, einschließlich Empfänger in Drittländern oder internationalen Organisationen
  • wenn möglich, die vorgesehenen Fristen für die Löschung
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM)


Es empfiehlt sich, dass Sie das Verzeichnis erweitern:

  • um konkrete Verarbeitungstätigkeiten, einschl. Ihrer beauftragten Auftragsverarbeiter, z.B. Ihr externes Lohn- und Steuerbüro
  • die herangezogenen Rechtsgrundlagen.


Denken Sie auch an Ihr Verbandbuch. Lesen Sie dazu bitte meinen Blogbeitrag "Wenn Blut getropft ist … Verbandbuch / Datenschutz".

Und fangen Sie damit an. Ein schlechtes Verzeichnis ist immer noch besser als gar kein Verzeichnis. Legen Sie sich Terminerinnerungen an, damit Sie Ihr Verzeichnis regelmäßig nachbessern und auf Stand bringen.

Verträge zur Auftragsverarbeitung

Sie müssen mit Ihrem Dienstleister einen Vertrag über die Auftragsverarbeitung schließen. Beispiele dafür sind Durchführung von Lohn- und Gehaltsabrechnungen durch einen Dritten, Auslagerung eines Teils des eigenen Telekommunikationsanlagenbetriebs, Nutzung eines Serviceunternehmens für die Newsletter-Abwicklung (z.B. KLICK-TIPP®), Werbeadressenverarbeitung in einem Letter-Shop.

Sie wickeln Ihre E-Mail-Kommunikation über Dienstleister, wie STRATO® oder 1&1®, ab? Dann sind diese Dienstleister Auftragsverarbeiter! Sie müssen einen Vertrag über Auftragsverarbeitung schließen.


Folgende Inhalte sind zu formulieren:

  • Gegenstand und Dauer der Vereinbarung
  • Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Person
  • Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers
  • Nennung der Weisungsberechtigten des Auftraggebers, Weisungsempfänger des Auftragnehmers
  • Pflichten des Auftragnehmers
  • Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten
  • Unterauftragsverhältnisse mit Subunternehmern
  • Technische und organisatorische Maßnahmen
  • Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags
  • Haftung
  • Vertragsstrafe

Weitere Aufgaben

Es gäbe noch einige Aufgaben, die hier zu erwähnen wären.

Zum Beispiel:

  • IT-Sicherheit
  • Prüfung, ob Sie einen Datenschutzbeauftragten bestellen müssen
  • Ihre Pflichten bei Verletzung des Schutzes personenbezogener Daten
  • ...


Das würde jedoch den Umfang dieses Blogbeitrags sprengen.


Ihr Partner

Sie sehen selbst, dass das Thema komplex ist. Wäre es nicht hilfreich, einen Partner an Ihrer Seite zu haben, der Sie bei der Umsetzung unterstützt? Einen Partner, mit dem Sie sich regelmäßig austauschen können!

Vereinbaren Sie mit mir einen ersten Gesprächstermin. Ich freue mich auf Ihre Nachricht.

Die enthaltenen Informationen stellen keine Beratung in einem konkreten Fall dar. Jeder Einzelfall hat seine Besonderheiten und muss – je nach den Einzelheiten des Sachverhalts – geprüft und bewertet werden. Jegliche Haftung für die Nutzung dieser Informationen ist daher ausgeschlossen. Es wird keine Gewähr für die Richtigkeit, Vollständigkeit und Aktualität übernommen.

Gefallen Ihnen die Themen dieser Website und meine Blog-Beiträge? Dann teilen Sie diese gerne in Ihrem Netzwerk per Facebook, Twitter, Google+, ...


Um keinen Beitrag zu verpassen, können Sie die Blogbeiträge hier abonnieren.

Hinweis:


Mit der Eintragung der E-Mail-Adresse willigen Sie in die Speicherung der Daten ein. Sie können die Einwilligung jederzeit formlos widerrufen.

Informationen zum Datenschutz finden Sie hier: Datenschutz

 

Ihr Partner

Sie sehen selbst, dass das Thema komplex ist. Wäre es nicht hilfreich, einen Partner an Ihrer Seite zu haben, der Sie bei der Umsetzung unterstützt? Einen Partner, mit dem Sie sich regelmäßig austauschen können!

Vereinbaren Sie mit mir einen ersten Gesprächstermin. Ich freue mich auf Ihre Nachricht.

Die enthaltenen Informationen stellen keine Beratung in einem konkreten Fall dar. Jeder Einzelfall hat seine Besonderheiten und muss – je nach den Einzelheiten des Sachverhalts – geprüft und bewertet werden. Jegliche Haftung für die Nutzung dieser Informationen ist daher ausgeschlossen. Es wird keine Gewähr für die Richtigkeit, Vollständigkeit und Aktualität übernommen.

Gefallen Ihnen die Themen dieser Website und meine Blog-Beiträge? Dann teilen Sie diese gerne in Ihrem Netzwerk per Facebook, Twitter, Google+, ...


Um keinen Beitrag zu verpassen, können Sie die Blogbeiträge hier abonnieren.

Hinweis:


Mit der Eintragung der E-Mail-Adresse willigen Sie in die Speicherung der Daten ein. Sie können die Einwilligung jederzeit formlos widerrufen.

Informationen zum Datenschutz finden Sie hier: Datenschutz

 
Bewertung:

0  Kommentare

Schreiben Sie einen Kommentar zu dieser Seite

Antwort auf:  Direkt auf das Thema antworten

DAS Thema 2018

Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DS-GVO) wird in 2018 scharf geschaltet. Sie müssen handeln!

Hier finden Sie zwei Hinweise auf kurzfristige Aktivitäten.


Haben Sie Fragen?
Ich habe Antworten - zur Steigerung Ihres Nutzens!

Lernen Sie mich in einem Erstgespräch kennen; damit Sie sehen, dass ich der richtige Partner für Sie bin.


Dr. Hartmut H. Frenzel


Unternehmensberater BDU
Fuhlrottstraße 15
42119 Wuppertal


WebAkte

BDU

 
 

Erfahrungen & Bewertungen zu Dr. Hartmut H. Frenzel

Dr. Hartmut H. Frenzel - Nachhaltig. Exzellent. Beraten. - Fuhlrottstr. 15 - 42119 Wuppertal - Nordrhein-Westfalen (NRW) - Deutschland
Telefon: +49 202 2541472

Unternehmensberater BDU - Organisationsveränderung und Prozessoptimierung
Arbeitsschutz, Brandschutz, Compliance, Datenschutz, Energie, Qualität, Umweltschutz, Nachhaltigkeit (CSR)

Keine unerlaubte Rechts- und Steuerberatung
Alle Begriffe sind genderneutral zu verstehen.

 

Diese Webseite verwendet Cookies. Durch die Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Datenschutzinformationen