Umsetzung der Datenschutz-Grundverordnung in Unternehmen und Arztpraxen - jetzt handeln!

Als Informationssicherheitsbeauftragter (ISB) der satware AG beschäftige ich mich intensiv und aktiv mit dem Thema Datenschutz.

Datenschutz ist wichtig und Datenschutz ist richtig - aber teilweise auch schwierig umzusetzen und mitunter unübersichtlich. In diesem Blogbeitrag finden Sie Informationen zum Datenschutz, der bevorstehenden DSGVO und was Sie dabei beachten müssen. Auch wenn es ein etwas längerer Beitrag ist, empfehlen wir ihn einmal komplett zu lesen.

Als Unternehmer oder Führungskraft kommt man an diesem Datum inzwischen kaum mehr vorbei: seit dem 25.05.2018 gilt in der EU die Datenschutz-Grundverordnung (DSGVO). Sie ersetzt ohne Übergangsfrist das bisherige deutsche Datenschutzrecht (bis auf wenige Ausnahmen, welche dann durch Vorgaben des neuen Bundesdatenschutzgesetz (BDSG-neu) ergänzt werden).

Unter welchen Voraussetzungen personenbezogene Daten verarbeitet werden dürfen, ändert sich in der DSGVO im Vergleich zum aktuellen BDSG nur geringfügig. Vereinfacht dargestellt und ohne Anspruch auf Vollständigkeit, dürfen personenbezogene Daten nach DSGVO von Unternehmen wie folgt verarbeitet werden:

  1. Die Datenverarbeitung ist erforderlich, um Pflichten aus einem Vertragsverhältnis mit dem Betroffenen zu erfüllen oder sie ist notwendig um vorvertragliche Maßnahmen zu ergreifen, die auf Anfrage des Betroffenen erfolgen.
  2. Der Betroffene hat eine wirksame Einwilligung zur Datenverarbeitung vorgenommen.
  3. Gesetzliche Pflichten (z.B. Aufbewahrungspflichten) liegen vor
  4. Lebenswichtige Interessen des Betroffenen machen eine Datenverarbeitung notwendig
  5. Berechtigte Interessen des Verantwortlichen oder eines Dritten ermöglichen eine Datenverarbeitung, sofern die Interessen der betroffenen Person nicht überwiegen (Datenverarbeitung auf Basis der Interessenabwägung)

Die Hauptgründe, warum sich Unternehmen und deren Führungskräfte jetzt um die Umsetzung der DSGVO kümmern müssen, sind:

  • DSGVO-Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro (oder bis zu 4% des gesamten Jahresumsatzes) geahndet werden. Hier kann noch niemand abschätzen, wie sich die Situation im Hinblick auf die Höhe und Quantität bei der Verhängung von Bußgeldern auswirken wird.
  • Die DSGVO ist Compliance Recht - Die Unternehmensführung befindet sich in der Compliance Falle. Die Nichteinhaltung kann unter Umständen zur persönlichen Haftung auch bei vertretungsberechtigen Personen von Kapitalgesellschaften führen.
  • Artikel 5, Abs. 2 der DSGVO führt die sog. Rechenschaftspflicht ein (Accountability-Prinzip). Somit muss die Einhaltung der DSGVO Vorgaben durch das Unternehmen nachgewiesen werden.
  • Verschärfte Meldepflicht bei Datenverlust oder Einsicht unberechtigter Dritte durch Datenpannen.
  • Wesentlich verschärfte Informationspflichten gegenüber Betroffenen mit Folgen für Datenschutzhinweise in Formularen, auf Internetseiten uvm.
  • Bei risikoreichen Datenverarbeitungsvorgängen ist eine Datenschutz-Folgeabschätzung unabdingbar.

Mit Blick auf die erheblichen Bußgeldrisiken sollten  Geschäftsführer von Kapitalgesellschaften Risikovorsorge treffen und geeignete Datenschutzmanagementsysteme (DSMS) einführen. Hier bieten wir als technischen Maßnahme / Lösung z.B. ein Wiki System oder ein DMS (Dokumentenmanagementsystem) mit automatischer Revisionierung an, um das persönliche Haftungsrisiko zu minimieren.

Aber auch Personengesellschaften sind verpflichtet die DSGVO Vorgaben einzuhalten. Die Erstellung und Pflege eines standardisierten Datensicherheits- und Datenschutzmanagementsystems trägt wesentlich dazu bei, den haftungsrelevanten Vorwurf der Fahrlässigkeit besser auszuschließen.

Datenschutzmanagement als Lösungsweg

Teilbereiche der DSGVO erfordern für die gesetzeskonforme Umsetzung einige vom Qualitätsmanagement bekannte Arbeitsweisen. Wir empfehlen prinzipiell jedem Unternehmen, ein Datenschutzmanagementsystem (DSMS) einzurichten.

Wie kommen wir darauf? Laut DSGVO sind im Bereich der Datensicherheit technische und organisatorische Maßnahmen zur Sicherung von personenbezogenen Daten zu treffen, die dem Stand der Technik entsprechen. Der Umfang der Maßnahmen richtet sich auch nach dem Schutzbedarf der Daten und bei der Implementierung dürfen die Implementierungskosten berücksichtigt werden. Für die Umsetzung der Datensicherheit schreibt die DSGVO in Artikel 32, Abs. 1 lit. d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit von technischen und organisatorischen Maßnahmen zu Sicherheit der Verarbeitung vor.

Nichts anderes ist ein Datensicherheitsmanagementsystem (DSMS). Für die Umsetzung empfehlen wir bewährte Standards aus dem Qualitätsmanagement. Beim Thema Datensicherheit bietet hier eine Anlehnung an ISO 27001 oder VdS 3473 eine gute Voraussetzung für hohe und umsetzbare Sicherheitsstandards - wir unterstützen Sie hier umfassend mit unseren Produkten bei der Umsetzung.

Nochmal Klartext: Datensicherheitsmaßnahmen müssen die Vertraulichkeit und Integrität  der Daten bei gleichzeitiger Verfügbarkeit gewährleisten! Die Rechenschaftspflicht aus Artikel 5 Abs. 2 DSGVO fordert den Nachweis über die Einhaltung der DSGVO. Daher ist eine prozessorientierte Beschreibung und Vorgabe von Richtlinien im Unternehmen zwingend erforderlich, wenn Risiken minimiert werden sollen.

War das alles? Leider nein, denn die DSGVO bringt noch eine Reihe weiterer Änderungen mit sich, die Anpassungen an internen Maßnahmen erfordern, z.B.:

  • Bei der Verarbeitung von Daten im Auftrag sind DSGVO Vorgaben einzuhalten und vom Auftragsverarbeiter nachzuweisen
  • Privacy by Design und Privacy by Default (datenschutzfreundliche Voreinstellungen) sind bei der Auswahl von Hard- und Software  und vor allem bei deren Einsatz einzuhalten.
  • Führung eines Verzeichnisses von Verarbeitungstätigkeiten
  • Prüfung und Anpassung bestehender Auftragsdatenverarbeitungsverträge (ADV-Verträge)
  • Bestehende Einwilligungen von Personen zur Datenverarbeitung verlieren ggf. ihre Wirksamkeit und werden zum 25.05.2018 unwirksam.

Es kommt also eine Menge Arbeit auf Unternehmen bei der Umsetzung der DSGVO zum 25. Mai 2018 zu. Wir empfehlen daher vorab die größten Risiken in der Datenverarbeitung im Bezug  auf die Einhaltung der DSGVO einzuschätzen und einen entsprechend priorisierten Maßnahmenplan zu erstellen und mit der Umsetzung umgehend zu beginnen!

Unsere persönliche Meinung zur DSGVO: Wir sehen in der Umsetzung der DSGVO-Vorgaben immensen Zusatznutzen für Unternehmen. Die Bestimmung von internen Prozessen und die Erstellung und Umsetzung von unternehmensweiten Richtlinien führen in der Regel zu besseren Unternehmen und zufriedenen Mitarbeitern. Durch die Aktualisierung der IT Infrastruktur werden lange vernachlässigte "Altlasten" beseitigt - auch Chefs schlafen dann ruhiger. 

Gerne unterstützen wir Sie mit unseren Produkten bei der Umsetzung Ihrer technischen und organisatorischen Maßnahmen zur Erfüllung der Europäischen Datenschutz Grundverordnung, denn wir halten aktiven Datenschutz für einen Wettbewerbsvorteil.

Häufige Fragen zum Thema Datenschutz im Unternehmen / DSGVO (F & A)

F: Kann die satware AG uns einen Datenschutzbeauftragten stellen?  
A: Jein, wir kümmern uns um die technische Umsetzung und den sicheren Betrieb der IT in Unternehmen. Daraus würde hier ein Interessenkonflikt entstehen. Für Unternehmen bis 25 Mitarbeiter haben wir aber die Möglichkeit über einen unabhängigen Kooperationspartner eine umfassende Datenschutzlösung inkl. Bestellung eines DSB für Ihr Unternehmen zu realisieren. Alternativ arbeiten wir eng mit dem DSB Ihres Unternehmens zusammen, um den bestmöglichen Nutzen aus den DSGVO Vorgaben für Ihr Unternehmen zu ziehen. 

F: Brauche ich überhaupt einen Datenschutzbeauftragten (DSB)?
A: Wir gehen davon aus, dass die Regelungen im bisherigen BDSG auch im BDSG-neu erhalten bleiben. Somit müssen Unternehmen mit mehr als 9 Personen, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen DSB (intern oder extern) haben. Hier kann im Zweifelsfall die jeweilig zuständige Landesbehörde für Datenschutz konsultiert werden. Viele Unternehmen stehen an der Schwelle zur DSB-Pflicht, daher macht ein externer DSB auch für kleinere Unternehmen bereits jetzt Sinn.

F: Was sind personenbezogen Daten?
A: Unter personenbezogenen Daten versteht man Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Als Beispiele nennen wir hier Adresse, Telefonnummer, Geburtsdatum, Fotos der Person. Im Arbeitsalltag fallen hier auch die Kennung in einer IT Umgebung, IP Adresse und IT  Nutzungszeiten unter die personenbezogenen Daten. Auch Daten ohne direkten Personenbezug werden zu personenbezogenen Daten, wenn sich hierüber die natürliche Person bestimmen lässt (z.B. Personalnummer, KFZ Kennzeichen). Die meisten unserer Kunden verarbeiten zwangsläufig zumindest einen Teil der genannten Daten automatisiert.

F: Im Titel steht, dass auch Arztpraxen die DSGVO umsetzen müssen. Da habe ich etwas anderes gehört.
A: Dazu möchten wir auf folgende Webseite verweisen und Sie bitten eine eigene Abschätzung vorzunehmen. Für die meisten von uns betreuten Praxen würden wir es nach der dort getroffenen Ausführung empfehlen.

Links zum Thema Datenschutz

 

Fragen zum Thema Datenschutz und Hilfe bei der technischen Umsetzung durch die satware AG

Sie möchten Datenschutz in Ihrem Unternehmen einen neuen Stellenwert geben? Dann nutzen Sie unser Beratungsangebot zum Thema Datenschutz im Hinblick auf die DSGVO! Unsere erfahrenen Mitarbeiter führen eine einmalige Beratung vor Ort durch und erfassen mit Ihnen den Ist-Stand. Sie erhalten umgehend einen Maßnahmenkatalog mit Empfehlungen für die weiteren Schritte zur Erfüllung der DSGVO Anforderungen in Ihrem Unternehmen. 

Ihr Ansprechpartner zum Thema Datenschutz / DSGVO 

Christian Feil
Informationssicherheitsbeauftragter (ISB)

Meine Durchwahl 06241 98728-24
E-Mail feil@satware.com

Die mit einem * markierten Felder sind Pflichtfelder.

Ich habe die Datenschutzbestimmungen zur Kenntnis genommen.

Passende Artikel
Die 3 Säulen der Datenschutz-Grundverordnung DSGVO.jpg Consulting - Technische Maßnahmen...
480,00 € * Bruttopreis: 571,20 € inkl. 91,20 € MwSt. zzgl. Versandkosten
So funktioniert der verschlüsselte Austausch Weblication® SEND - Daten verschlüsselt...
ab 498,00 € * Bruttopreis: 592,62 € inkl. 94,62 € MwSt. zzgl. Versandkosten