Zum Inhalt springen

Datenschutz - Stichworte

2018-datenschutz-news.png

Kurz angerissen - bei Interesse bitte melden.


Von A - Z

Was ändert sich mit der DSGVO?

Die DSGVO hat die Auftragsverarbeitung neu geregelt und Neuerungen eingeführt, die beachtet werden müssen. Hier ein paar Stichworte:

Bisher sprach man von "Auftragsdatenverarbeitung", die DSGVO spricht von "Auftragsverarbeitung" und von "Auftragsverarbeitern" bzw. "AV-Verträgen"

Verträge auch in elektronischer Form. Um die Abwicklung zu erleichtern, können AV-Verträge auch in elektronischer Form abgeschlossen werden (Art. 28)

Zertifizierungen oder genehmigte Verhaltensregeln können als Nachweis des Datenverarbeiters dienen

Die EU-Kommission kann Standardklauseln veröffentlichen.

Neben dem Auftragsverarbeiter gibt es nun auch "Joint Controllers", also gemeinsam Verantwortliche für eine Auftragsverarbeitung.

Auftragsverarbeiter sind zum Führen eines Verarbeitungsverzeichnisses verpflichtet.

Haftungsverteilung zwischen Verantwortlichem und Auftragsverarbeiter

Es gibt keine Regelungen für die die Verpflichtung zum Datengeheimnis bei den Mitarbeitern. Jedoch sollte eine Vertraulichkeitsverpflichtung eingeholt werden (Art. 24)

Dies ist nur ein kurzer Ausschnitt einiger Neuerungen. Die Zusammenarbeit zwischen Verantwortlichem und Auftragsverarbeitern wurde neu geregelt. Sie sollten alle Verträge prüfen und ggf. neu abschließen.

Weitere Details prüfen wir gerne für Sie.

Die Datenschutzerklärung muss für die EU-DSGVO überpüft werden. Wahrscheinlich müssen Sie Anpassungen vornehmen und sie erweitern.

Nutzen Sie Ihre Datenschutzerklärung doch für die zentralen Information und verweisen Sie später nur darauf. Uns fällt immer wieder auf, dass die Datenschutzinformationen an vielen Stellen der Webseiten oder anderen Online-Diensten aufgeführt werden. Mit einer sauberen und klaren Anordnung können Sie sich und allen Interessierten das Leben einfacher machen.

Setzen Sie Ihre Datenschutzerklärung einmal neu auf und definieren Sie dort alle Informationen. Neben den gesetzlich vorgeschriebenen Angaben, können Sie auch eigene Angaben über den Umgang mit Daten dort plazieren.

Informieren Sie eindeutig über Speicherart, Datenverarbeitung, Speicherdauer, Datenweitergaben etc.

Zusätzlich sollten Sie die "verantwortliche Stelle" benennen, das "Recht auf Widerspruch" und das "Recht auf Beschwerden". So erfüllen Sie die gesetzlichen Anforderungen und bieten eine transparente Informationsplattform.

Darüber hinaus können Sie eigene Maßnahmen zum Datenschutz auch noch aufzeigen, wenn Sie z.B. besondere Verfahren nutzen.

Geben Sie der Datenschutzerklärung ein Datum und/oder eine Versionsnummer. Dokumentieren Sie dies in Ihrem System, damit es nachvollziehbar bleibt.

Wenn Sie nun auf Ihren Webseiten an verschiedenen Stellen, Downloads, Formlare etc. anbieten, verweisen Sie nur noch per direktem Link auf Ihre Datenschutzerklärung. Wenn Sie dies sauber und eindeutig eingerichtet haben, hilft es den "Betroffenen", sich schnell ein Bild über die Datenschutz-Maßnahmen in Ihrem Unternehmen/Einrichtung zu informieren.

Genau dies möchte die EU-DSGVO erreichen. Fertig.

Ab dem 25.05.2018 tritt die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Sie wurde 2016 verabschiedet und wird nun in diesem Jahr starten. Hier einige Stichworte und die wichtigsten Neuerungen für Deutschland:

Einheitlicher Datenschutz in Europa

Gleiches Recht für Alle - schafft auch gleiches Datenniveau

Markortprinzip

Die EU-DSGVO gilt auch für Unternehmen, die nicht in der der EU niedergelassen sind, sofern sie aber Daten von EU-Bürgern verarbeiten (bzw. ein Angebot auf dem Gebiet der EU haben).

Personenbezogene Daten besser geschützt

Die Verbreitung der Internetverfahren und -Optionen machte es nötig, dass die dort gespeicherten Daten sicher verarbeitet werden. Durch die EU-DSGVO ist dies einheitlicher geregelt.

Rechtswirksame Einwilligungen erst am 16 Jahren

Kinder und Jugendliche sollen wirksam geschützt werden. Einwilligungen dürfen nur von Personen ab der Vollendung des 16. Lebensjahres entgegen genommen werden.

Dokumentations- und Meldepflichten bei Datenschutzverletztungen

Sind nun eindeutig definiert und mit Vorgaben belegt.

Privacy-by-Design / Default

Software-Hersteller müssen Datenschutzoptionen bieten bzw. unterstützen.

Auftragsdatenverarbeitung (ADV / AV)

Beide Seiten einer AV haften nun und müssen im Sinne des Datenschutzes tätig werden.

Bußgelder

Die Bußgelder sollen wirksam ausgesprochen werden und die Höhe der max. Strafen hängt vom Umsatz des Unternehmens ab.

Double-Opt-In-Verfahren zwingend

Zustimmungen und Einwilligungen müssen nachweislich erfolgen

Nachweis der Herkunft

Unternehmen müssen die Herkunft und die Einwilligung zur Nutzung von Daten nachweisen können.

Auskunftsrecht verstärkt

Unternehmen müssen darauf vorbereitet sein, Auskunft über die gespeicherten Daten zu geben.

Löschkonzepte

Damit Daten nicht "ewig" gespeichert werden, muss ein Löschkonzept erstellt werden.

 Dies ist nur ein kurzer Ausblick, der auf die neue EU-DSGVO hinweist.

Quellen im Internet:

Gesetze im Internet

BDSG

EU-DSGVO der EU

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) fordert neue Informationspflichten bei der Datenerhebung. Bereiten Sie Ihre Mitarbeiter und Ihre Systeme möglichst darauf vor und automatisieren Sie so viel wie möglich um nicht noch mehr Arbeit zu haben.

Denken Sie bitte an folgende Stichworte bei der Direkterhebung (Art. 13)

Informieren Sie direkt nach der Erhebung über die Speicherung

Nennen Sie die verantwortliche Stelle

Begründen Sie die Speicherung (Rechtsgrundlagen)

Benennen Sie die Empfänger der Daten

Klären Sie auf, ob Sie Daten übermitteln

Desweiteren sollten Sie dabei folgende Informationen liefern

Speicherdauer

Rechte des Betroffenen

Informationen über Profiling

Sollten Sie Daten von Dritten erhalten, so müssen Sie noch folgendes nennen:

Quelle der Daten

ob es öffentlich Zugänglich ist

In bestimmten Bereichen gibt es auch hier Ausnahmen, aber auch weitere Beschränkungen die beachtet werden müssen.

Denken Sie daran: Sie müssen den Nachweis hierfür liefern können!

Die "verantwortliche Stelle" muss ein Verfahrensverzeichnis führen um damit die Dokumentationspflichten gem. BDSG bzw. EU-DSGVO zu erfüllen. Für die Form gibt es unterschiedliche Ansätze, jedoch ist es gesetzlich nicht festgelegt. Hier die wesentlichen Stichworte für den Aufbau:

1. Grundsätzliches
Angaben über das Unternehmen, die Verantwortlichen oder deren Vertreter
Angaben zum Datenschutzbeauftragten
Vorgabenliste aus weiteren Rechtsbereichen bzw. Aufsichtsbehörden

2. Gebäudeinformationen

3. IT-Systemumgebung und Datensicherheit
Technisch-organisatorischen Maßnahmen
Regelungen für die Datenlöschung

5. Informationen zu Drittstaatenübermittlung

6. Auflistung aller Verarbeitungen
Darin dann die Details über und zu den Verarbeitungen

7. Risikofolgeabschätzungen und Meldeverfahren

Gern stellen wir Ihnen ein für Ihr Unternehmen passendes Verfahrensverzeichnis zur Verfügung

Wenn Sie sich nicht sicher sind, ob Ihre Webseite und die dort vorhandenen Datenschutzerklärungen ausreichend oder passend sind, dann nutzen Sie doch unseren Webseiten-Check. Dies ist ein Standard-Verfahren, welches wir für Webseiten entwickelt haben um Vorgaben der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) einzuhalten. Durch diese Standardisierung können wir es sehr kostengünstig anbieten.

Der Webseiten-Check beinhaltet auch eine Übersicht aller geladenen Scripte. Gerade hier ist vielen nicht bewußt, was alles geladen und verwendet wird.

Wir bieten Ihnen an, Ihre Webseite aus Sicht eines Datenschutzbeauftragten zu prüfen und Ihnen ein ausführliches Protokoll mit Empfehlungen und/oder Bestätigungen zu erstellen. Sprechen Sie uns an unter: 02307.28744.88, per eMail über info@p2consult.de oder nutzen Sie unser Kontaktformular.