IT-MÜCKE

DS-GVO (Datenschutz-Grundverordnung)

Beitragsdatum 21.05.2018
Letzte Aktualisierung 23.05.2018
Betrifft 23.11.2023

Ab dem 25. Mai 2018 wird die Datenschutz-Grundverordnung europaweit angewandt. Bis zu diesem Zeitpunkt muss sich jedes Unternehmen auf die neue Rechtslage vorbereitet haben.

Im folgenden finden Sie nützliche Links und Hinweise zur Vorbereitung.

  • Die Stiftung Datenschautz bietet viele Werkzeuge und gut verständliche Einführungen in die Thematik. Ein Quell für Menschen, die sich mit der DS-GVO beschäftigen wollen (und müssen).
  • Speziell für Kleinunternehmen bietet die Stiftung Datenschutz Informationen an.
  • Kurzpapiere des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA): lda.bayern.de
    Hier werden verschiedene Anforderungen, die sich aus der DS-GVO ergeben, kurz und knapp aufbereitet und erklärt
  • Handreichungen des BayLDA für kleine Unternehmen: lda.bayern.de
    Speziell für verschiedene kleine Unternehmen werden die Anforderungen aus der DS-GVO beispielhaft aufgeführt. Die Muster für das Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DS-GVO sind sehr praktisch.
  • Die VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES (DS-GVO): eur-lex.europa.eu
  • Ein Datenschutzgenerator datenschutz-generator.de, der für Privatpersonen und Kleinunternehmer kostenlos benutzt werden kann

Kurz&Knapp

Im folgenden werden einzelne Punkte näher erläutert.

  • Dokumentation aller Maßnahmen, Prozesse, der Selbsteinschätzung
  • Durchführung der Selbsteinschätzung
  • Anpassung der Datenschutzerklärung
  • Erstellen eines Verzeichnisses zu Verarbeitungstätigkeiten
  • Anpassung des IT-Sicherheitskonzepts
  • Entwicklung und Dokumentation von allen benötigten Prozessen

Vorbereitung

  • Um sich selbst für die DS-GVO vorzubereiten, kann der Fragebogen des BayLDA durchgearbeitet werden: lda-bayern.de (PDF)
  • Unter lda.bayern.de gibt es ein sog. Online-Tool zur Selbsteinschätzung

Datenschutzerklärung

  • Die Datenschutzerklärung auf der eigenen Webseite muss an das neue Recht angepasst werden.
  • Für kleine Unternehmen und Privatpersonen sind viele Generatoren, die diese Erklärung erzeugen, kostenfrei benutzbar.
  • Wichtig dabei zu beachten: viele Generatoren setzen bei der Nutzung einen Link auf den Anbieter voraus, der in der Datenschutzerklärung dann angezeigt werden muss. Lesen Sie sich also die Nutzungsbedingungen des Anbieters vorher genau durch.

Selbsteinschätzung und Dokumentation

  • Mit Hilfe des oben genannten Fragebogens (lda-bayern.de (PDF)) können Sie im ersten Schritt eine Selbstanalyse/Selbsteinschätzung vornehmen und beurteilen, welche Maßnahmen für Sie notwendig sind
  • Legen Sie nun ein Dokument an, in dem Sie Ihre Selbsanalyse und Maßnahmen dokumentieren
  • Ein guter Weg ist es, den genannten Fragebogen schriftlich im Dokument zu beantworten, vor allem auch dann, wenn ein Punkt des Fragebogen nicht auf Sie zutreffen sollte. Gerade dann ist wichtig, dass Sie eine schriftliche Begründung dafür haben, warum dieser Punkt nicht auf Sie zutrifft.
  • Halten Sie in diesem Dokument alle weiteren Schritte schriftlich fest

Verzeichnis von Verarbeitungstätigkeiten

  • Erstellen Sie ein Verzeichnis von Verarbeitungstätigkeiten
  • Einen sehr guten Überblick mit Beispielen bietet die Stiftung Datenschutz.
  • Als Vorlage können die Muster des BayLDA dienen: lda.bayern.de

IT-Sicherheit

  • Aus dem Gesetz ergibt sich die Anforderung mit technischen Maßnahmen für Datenschutz zu sorgen
  • Daraus ergibt sich: ein IT-Sicherheitskonzept ist notwendig und muss dokumentiert werden
  • Überlegen Sie sich, wo/wie Sie Daten speichern und verarbeiten
  • Wie sorgen Sie dabei für eine hohe Sicherheit bzgl. Schutz der Daten?
  • Stichworte:
    • Updates der Betriebssysteme
    • Schutz über Firewalls und Protokolle (z.B. TLS)
    • Speicherung von Daten
    • Verschlüsselung
    • Backup-Verfahren und Schutz der Backup-Medien vor Zugriff durch Unbefugte

IT-MÜCKE kann Ihnen speziell in diesem Bereich helfen, Ihre Situation zu analysieren und Maßnahmen zu ergreifen, um einen hohen Schutz zu erreichen. Wenden Sie sich gerne an uns: Kontakt

Prozesse

  • Sie müssen viele der Maßnahmen regelmäßig überprüfen bzw. durchführen
  • Z.B.:
    • regelmäßige Prüfung des IT-Sicherheitskonzepts auf technische Änderungen oder neue Technologien
    • regelmäßige Prüfung der Daten auf Notwendigkeit der Löschung durch den Ablauf von Vorhaltefristen
  • Ferner müssen Sie sich auf Anfragen von Kunden/Nutzern vorbereiten und alle Daten des Benutzers ermitteln können
  • Dokumentieren Sie diese Prozesse in Ihrem Dokument und testen Sie die Prozesse

Hinweise/FAQ

  • Frage: Muss ich einen Kunden explizit um Einwilligung zur Verarbeitung seiner Daten fragen, wenn er mich beauftragt?
    Antwort: Siehe Artikel 6 der DS-GVO, Absatz 1:

    (1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
    a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
    b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

    (Quelle: eur-lex.europa.eu)


Quellen:


Ähnliche Themen im blog:
datenschutz, gvo


zurück