Vorgehensweise

Ready for EU DSGVO

EU DSGVO

Die beschriebenen Schlagwörter haben Sie sicher oft  aus der Presse und von Ihren Partner gehört. Auf den ersten Blick erscheint Ihnen die Umsetzung recht klar und einfach. Um so mehr Sie sich in die Thematik einlesen, merken Sie: „Der Teufel steckt im Detail.“

Neben vielen Falschaussagen helfen wir Ihnen zu unterscheiden, was für Sie tatsächlich wichtig ist.

Anhand des „roten Fadens“ begleiten wir Sie sicher durch den Dschungel an Informationen.

Welche Prioritäten gibt es bei der Umsetzung der EU DSGVO?

Um festzustellen, welche Maßnahmen als erstes umgesetzt werden müssen, vereinbaren wir als externer Datenschutzbeauftragter mit Ihnen einen separaten Termin. Bei diesem ersten Termin genannt „Basischeck“ sollten Mitarbeiter aus den Abteilungen Marketing, IT, Personal, Buchhaltung und natürlich die Unternehmensführung verfügbar sein.

Anhand der Unternehmensstruktur, der IT-Systemlandschaft  und der verschiedenen Prozesse im Unternehmen werden alle Anforderungen anhand Ihres Umsetzungsgrades eingestuft. Sie erhalten im Nachgang einen Gesamtüberblick über die positiven und negativen Findings.  Diese werden vorab priorisiert und mit Fristen hinterlegt. Sie entscheiden daraufhin, ob Sie die Maßnahmen umsetzen und zu welchem Zeitpunkt.

Artikel 37 EU DSGVO/ Benennung eines Datenschutzbeauftragten

Laut EU DSGVO muss ein Datenschutzbeauftragter in manchen Fällen zwingend benannt werden. Dies ist unter anderem nötig wenn Sie:

  • besondere Kategorien an Daten verarbeiten
  • Ihre Kerntätigkeit in der regelmäßigen und systematischen Überwachung von Personen angesiedelt ist

Die Öffnungsklauseln der EU DSGVO sehen es vor, dass Mitgliedsstaaten eigene Gesetze und Anforderungen an den Schutz personenbezogener Daten im Land möglich machen. So ist es in deutschland zu Beginn der Einführung der EU DSGVO nötig gewesen, einen Datenschutzbeauftragten zu bestellen, wenn mindestens 10 Mitarbeiter mit der Verarbeitung von personenbezogenen Daten im täglichen Umgang beschäftigt waren. (Art. 38 BDSG)

Eine Änderung der Bestellpflicht wurde im Juni 2019 im Bundestag beschlossen. Das 2. DSAnpUG ist von Seiten des Bundesrates zustimmungsbedürftig. Es tritt am Tag nach der Verkündung im Bundesgesetzblatt in Kraft.

Dieser muss an die Aufsichtsbehörde gemeldet werden.

Liste der Bundesländer

Sächsischer Datenschutzbeauftragter

Verzeichnis der Verarbeitungstätigkeiten

Sie brauchen ein sog. „Verzeichnis der Verarbeitungstätigkeiten“ (Art.30 EU DSGVO).

Das ist eine Dokumentation und Übersicht über Verfahren, bei denen personenbezogenen Daten verarbeitet werden.

Auftragsverarbeiter

Wenn Sie „Externe“ zur Erledigung Ihrer Arbeiten als „verlängerten Arm“ ohne eigene Befugnis zur Verwendung von Daten einbinden, müssen Sie von diesen eine Übersicht erstellen. Zudem müssen Sie mit diesen eine Vereinbarung über die Behandlung der Daten abschließen. (Art.28 Abs.3 DSGVO)

Datenschutzerklärung Art. 12 ff. EU DSGVO

Wer muss eine Datenschutzerklärung erhalten? Welche Inhalte müssen in dieser verankert sein und ist die Datenschutzerklärung zwingend unterschriftsbedürftig?

Während des Basischecks wird festgestellt, von welchen Personengruppen personenbezogene Daten erhoben werden und welche Möglichkeiten zur Verfügung stehen um diesen praxistauglich eine Datenschutzerklärung zur Verfügung zu stellen.

technische und organisatorische Maßnahmen TOM’s

Nach Art.24 und Art.32 DSGVO sind Sie zu technischen und organisatorischen Maßnahmen (TOM’s) verpflichtet. Sie sollen gewährleisten, dass die von Ihnen verarbeiteten personenbezogenen Daten auch in „guten Händen“ sind. Der Umfang hängt unter anderen von der Menge der Daten, dem Zweck der Verarbeitung, insbesondere aber von der Eintrittswahrscheinlichkeit eines Risikos und dessen Auswirkung für eine natürliche Person bei einem Schaden ab.

Datenschutzverletzungen

Alle Mitarbeiter müssen wissen, was zu tun ist bei Bekanntwerden eines Vorfalles.

EU DSGVO – Was müssen Mitarbeiter wissen?

Ihre Mitarbeiter müssen wissen, welche Rechte Betroffenen haben und wie Sie auf Anfragen reagieren sollen, bzw. an wen diese weiterzuleiten sind.

Wann muss der Betroffene eine Datenschutzerklärung erhalten? Was ist überhaupt ein Betroffener?

Was muss ich als Mitarbeiter beachten bei der Nutzung der Informationstachnologie im Unternehmen.

Was ist erlaubt beim Umgang mit mobilen Geräten? Gibt es Anforderungen bei der Arbeit in Homeoffice?

Muss ich als Mitarbeiter Konsequenzen befürchten, wenn ich Anweisungen des Unternehmens nicht folge leiste?

Diese und viele weitere Fragen können bei einem Workshop mit Ihren Mitarbeitern beantwortet werden.

Der Vorteil eines Workshops besteht zusätzlich darin, dass die besprochenen Inhalte als Sensibilisierungsmaßnahme gelten und vom Mitarbeiter angewandt werden müssen.