Ein Beitrag von unserem Gastautor Frank Richter

Das scharfe Schwert des Datenschutzes?

Ein Beitrag von mib Mitglied DatenschutzExperte.de

Ein Überblick: Vom BDSG zur EU-DSGVO – was bleibt, was ändert sich?

Der 25. Mai 2018 markiert eine Schnittstelle im deutschen Datenschutz­recht, denn an diesem Tag löst die EU-Datenschutzgrundverordnung (EU-DSGVO) das Bundesdatenschutzgesetz (BDSG) ab.
Ziel der DSGVO ist es, den Datenschutz in der Europäischen Union zu vereinfachen und zu vereinheitlichen und damit gleiche Standards für alle Mitgliedsstaaten zu schaffen. Die Änderungen sind zum Teil erheblich und haben nicht nur Auswirkungen auf die europäischen Bürger, deren Daten gesammelt und verarbeitet werden, sondern auch auf Unternehmen und öffentliche Stellen, die mit Daten­verarbeitung beschäftigt sind. Mehr ....

Als mib Mitglied erhalten Sie die wichtigsten Informationen zur DSGVO in knapper Form zusammen mit einigen Arbeitshilfen hier zum Download (setzt  Login voraus).

MIB unterstützt Initiative zur Entschärfung der DSGVO Umsetzeung

Andreas Lorenz, MDL (CSU) wendet sich mit einem offenen Brief an den Ministerpräsidenten Dr. Söder und bittet ihn quasi in letzter Sekunde zur Entschärfung der DSGVO nach dem österreichischen Vorbild. Fakt ist, dass der 25. Mai 2018 als Scharfschaltungstermin der EU-DSGVO auch in der Wirtschaft schon lange bekannt ist, dass sich aber erst in jüngster Zeit die Umsetzungsprobleme, insbesondere für kleine und mittlere Unternehmen zeigen. Diese entstehen vor allem aus der übermäßigen Bürokratie bei gleichzeitiger Unklarheit vieler Bestimmungen. Ohne Rechtsanwalt oder Datenschutzexperten können kleine Betriebe in existenzgefährdende Risiken laufen. mib Präsident Ingolf F. Brauner verweist auf den Artikel 153 der bayerischen Verfassung, der bestimmt, dass kleine und mittlere Unternehmen vor Überlastung zu schützen sind. Mit der DSGVO passiert genau das Gegenteil. Hier finden Sie beide Briefe .... 

Europäische Datenschutzgrundverordnung

Am 25. Mai 2018 wird die EU-Datenschutzgrundverordnung (EU-DSGVO) wirksam und bringt eine grundsätzliche Änderung des europäischen Datenschutzes mit sich. Die bisher geltenden einzelstaatlichen Regelungen innerhalb der Europäischen Union, welche teils erhebliche Unterschiede aufweisen, sollen hiermit harmonisiert und vereinheitlicht werden.

Besonders die personenbezogene Daten rücken nun noch mehr in den Mittelpunkt. Wichtig hierbei: Die EU-DSGVO gilt nicht nur für Unternehmen in Deutschland und in der EU, sondern auch für Unternehmen, welche Daten von EU-Bürgern außerhalb der EU verarbeiten.

Die Einhaltung der datenschutzrechtlichen Regelungen der DSGVO ist als eine unternehmensweite Aufgabenstellung anzusehen. Der Umgang mit personenbezogenen Daten erfordert dabei Kontrolle, Ordnung und Transparenz.

Neben der EU-DSGVO ergeben sich Anforderungen an die Archivierung von E-Mails auch aus den „Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD). Grundsätzlich besteht zwischen DSGVO und den GoBD, im Hinblick auf Datensicherheit, eine hohe Übereinstimmung.

Neben technischen Anwendungen sind für die Einhaltung geltender Regelungen prozessuale und organisatorische Neustrukturierungen zu berücksichtigen. Der Einsatz eines GoBD-konformen, digitalen Archivs für die revisionssichere Ablage von E-Mails ist, im Hinblick auf die Einhaltung rechtlicher Anforderungen im gesamten Bereich E-Mail-Management und Datenschutz, sowohl sinnvoll als auch nahezu unumgänglich.

Bislang unklar bleibt, inwiefern die EU-DSGVO tatsächlich strikter gehandhabt wird, als das bislang geltende Datenschutzrecht in Deutschland. Fest stehen jedoch Sanktionen mit Bußgeldern in Höhe von bis zu 4 % des globalen Jahresumsatzes und der persönlichen Haftung von Geschäftsführern und Vorständen, sodass davon ausgegangen werden kann das dem Datenschutz künftig eine deutlich stärkere Rolle zukommen wird.

Als mib Mitglied erhalten Sie die wichtigsten Informationen zur DSGVO in knapper Form zusammen mit einigen Arbeitshilfen hier zum Download (setzt  Login voraus).

Fünf Schritte zur Umsetzung der Datenschutz-Grundverordnung

Die europäische Datenschutz-Grundverordnung (DS-GVO) tritt zum 25. Mai 2018 in Kraft. Die Neuregelung  des Datenschutzes hat für Selbständige konkrete Folgen. Deshalb geben wir Ihnen fünf Tipps, wie Sie die europäische Datenschutz-Grundverordnung in Ihrem Unternehmen umsetzen sollten.

1. Status Quo ermitteln
Aktuell gilt für die Verarbeitung von Daten das Bundesdatenschutzgesetzes (BDSG). Auf dieser Grundlage, besonders mit Hilfe eines Verfahrensver-zeichnisses nach § 4d Bundesdatenschutzgesetz (BDSG),
sollten Sie zunächst eine Bestandsaufnahme zum
Datenschutz in Ihrem Betrieb vornehmen.

2. „Privacy-by-Design“ und „Privacy-by-Default“
Die DS-GVO sieht sowohl den Datenschutz durch Technikgestaltung (Privacy-by-Design) als auch Datenschutz durch datenschutzfreundliche Voreinstellungen („Privacy-by-Default“) vor. Dies bedeutet, dass Sie bereits bei der Entwicklung von Verarbeitungsprozessen von Daten einen möglichst hohen Datenschutz anstreben müssen. Außerdem müssen Sie darauf achten, dass die Werkeinstellungen beispielsweise Ihrer Software oder Webseite mit denen Ihre Kunden direkt in Kontakt kommen, datenschutzfreundlich ausgestaltet sind.

3. Verträge mit Dienstleistern prüfen
Die zentrale Vorschrift für Auftragsverarbeiter findet sich in Art. 28 der DS-GVO. In Absatz 1 ist die Prüfung der Geeignetheit eines Auftragsverarbeiters festgeschrieben. Sie dürfen demnach nur Auftragsverarbeiter einsetzen, die hinreichend Garantien vorweisen, dass sie geeignete technische und organisatorische Maßnahmen vorgenommen haben um den Datenschutz zu gewährleisten. Als Beleg können Ihre Dienstleister sowohl genehmigte Verhaltensregeln nach Art. 40 DS-GVO oder Zertifizierungen nach Art. 42 DS-GVO vorlegen.

4. Einführung einer Datenschutzfolgenabschätzung
Die Datenschutzfolgeabschätzung ist eine Risikobewertung in Bezug auf die Verarbeitung personenbezogener Daten in Ihrer Firma. Dabei sollten Sie alle Prozesse in denen Sie Daten verarbeiten auf Risiken hin überprüfen und gleichzeitig risikoärmer Optionen prüfen. Eine Dokumentation der Datenschutzfolgenabschätzung hilft Ihnen einerseits die Rechenschaftspflicht nach Art.5/2 DSGVO einzuhalten und bietet Ihnen anderseits die Möglichkeit Ihre internen Prozesse zu überprüfen und zu strukturieren. 

5. Informationspflichten und Rechte der Betroffenen
Die DS-GVO sieht für Betroffene sowohl das Recht auf Löschung, als auch das Recht auf Datenübertragbarkeit und Informationspflichten des Verantwortlichen gegenüber der betroffenen Person vor. Dies muss unternehmensintern festgelegt und dokumentiert werden.