Datenschutz und
Informationssicherheit
Impressum · Datenschutzerklärung
Zentrale Datenschutzgesetze
EU-Datenschutzgrundverordnung (EU-DSGVO), seit 25.05.2018
Bundesdatenschutzgesetz (BDSG), seit 25.05.2018
Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG), seit 01.12.2021
-> Veränderungen in Bezug auf Datenschutz- und Privacy-Anforderungen, auf die Unternehmen angemessen reagieren müssen
Die wichtigsten Änderungen
- Meldepflicht bei Datenpannen: Betroffene und Aufsichtsbehörden innerhalb von 72 Stunden
- Bußgeld in Höhe von bis zu 20 Millionen EUR oder 4% des jährlichen weltweiten Umsatzes
- Verantwortliche und Verarbeiter der Daten haftbar
- Haftung -> kaufmännische Sorgfaltspflicht
- Haftung für materielle und immaterielle Schäden
- Beweislastumkehr
Grundlagen DSGVO
- Betrifft: alle Unternehmen und Einrichtungen
- Anwendung: Verarbeitung von personenbezogenen Daten natürlicher Personen
- Personen-Identifizierende Daten:
Informationen, die
- eine Person unmittelbar identifizieren
- es erlauben könnten, die Identität einer Person festzustellen
- Informationen über private Verhältnisse
- sensible Daten haben besonderes Gewicht
Anforderung an das Unternehmen I
- Rechtmäßigkeit und Einwilligung
- Rechtsvorschrift, Vertrag oder Einwilligung
- Informierte, freiwillige Einwilligung (nachweisbar)
- Rechte betroffener Personen
- Information, Berichtigung, Löschung, Widerspruch
- Sicherheit personenbezogener Daten (strategisch)
- Risikominimierung durch Datensparsamkeit, Anonymisierung, Pseudonymisierung und Verschlüsselung
- Rechenschaftspflicht für die Einhaltung
- erweiterte Dokumentations- und Nachweispflichten
- Verfahrensverzeichnis
- Transparenz von Verfahren
Anforderung an das Unternehmen II
- Technik und Voreinstellungen
- Technische und organisatorische Maßnahmen (8 Punkte)
- Privacy by Design & Privacy by Default
- Zweckbindung
- Datenschutzfolgenabschätzung
- Risikobasierter Ansatz
- Auftragsverarbeitung
- Gemeinsame Verantwortung
- Koppelungsverbot
- „Dienst gegen Daten“ bei Zusatzleistungen unzulässig
- Verpflichtung zur Bestellung eines Datenschutzbeauftragten
- Schulung, Sensibilisierung und Verpflichtung der Mitarbeiter
Vorgehensweise
- Verantwortliche identifizieren
- Datenschutzaudit durchführen:
Bestandsaufnahme und Risikoanalyse
- Bestellung eines Datenschutzbeauftragten
- Roadmap: Planung und Umsetzung der Maßnahmen
- Schulung der Mitarbeiter
- Aktualisierung und Pflege
Datenschutzaudit
- Vorbereitung
- Vorgespräch und Auditplan
- Technisches und organisatorisches Audit
- Analyse, Auswertung, Dokumentation
- Managementreport und Maßnahmenplan
- Abschlussgespräch, Ergebnisse, Roadmap
Der Datenschutzbeauftragte (DSB)
- Aufgaben
- Schulung und Verpflichtung der Mitarbeiter
- Beratung bei der Verarbeitung von personenbezogenen Daten
- Bearbeitung von Anfragen und Beschwerden
- Erstellung von Richtlinien und Arbeitsanweisungen
- Vertretung gegenüber externen Stellen
- Dokumentation
- Kontrolle
-> Anforderungen an Fachkunde hoch: Recht, Technik und Organisation
- Zuverlässigkeit: keine Interessenkollisionen
- DSB: extern oder intern? Outsourcing empfohlen
- Keine Kosten für Aus- und Weiterbildung
- Umsetzung der vorgeschriebenen Arbeiten effektiver und schneller
- Eigene Mitarbeiter können sich dem Kerngeschäft widmen
- Interne DSB unterliegen einem besonderen Kündigungsschutz