EU-Datenschutzgrundverordnung DSGVO
Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neue rechtliche Grundlage zum Datenschutz in der EU verabschiedet worden.
Betroffen sind alle Unternehmen sowie alle Unternehmen der digitalen Wirtschaft, nicht nur solche, zu deren Geschäftsmodell die Erfassung und Verarbeitung von (personenbezogenen) Daten gehört.
Einige der Neuigkeiten sind grundlegender Natur und können sogar Geschäftsmodelle in Frage stellen. Sie müssen von den Unternehmen daher bereits jetzt adressiert werden, um eine rechtzeitige Anpassung der Geschäftsprozesse und ggf. -modelle bis zum Inkrafttreten des neuen Rechts 2018 sicher zu stellen.
Was ändert sich durch die DSGVO?
Die EU Kommission möchte den Datenschutz ihrer Mitgliedstaaten harmonisieren. Grundlage der europaweiten Datenschutzreform bildet die Datenschutzgrundverordnung (DSGVO). Als Richtlinie gibt sie das künftige Datenschutzrecht vor. Die EU räumt ihren Mitgliedstaaten das Recht ein, ergänzende nationale Regelungen zu treffen. Unternehmen mit Sitz in Deutschland dürften allerdings keine große Veränderung in Bezug auf die bisherige Bestellpflicht eines Datenschutzbeauftragten zu erwarten haben.
- Sanktionen: Der Gesetzgeber meint es ernst mit dem Datenschutz und ist denkbar ganz weit weg, Verstöße als Kavaliersdelikt durchgehen zu lassen. Bei Verstößen dagegen drohen bis zu 20 Mio. Euro oder zwei bis vier Prozent des weltweiten Vorjahresumsatzes des Unternehmens.
- Datenschutzbeauftragte: Nach der DSGVO gehört die „Zusammenarbeit mit den Aufsichtsbehörde“ zu den Aufgaben des Datenschutzbeauftragten (DSB). Zudem können Kunden, Beschäftigte und andere „betroffene Persone" den DSB zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechts im Zusammenhang stehenden Fragen zu Rate ziehen“ (Art. 38 Abs 4 DSGVO). Damit wird der DSB zur Anlaufstelle für die Aufsichtsbehörden. Der sog. Düsseldorfer Kreis hat hohe Mindestanforderungen zur erforderlichen Fachkunde und den Rahmenbedingungen für den DSB beschlossen.
- Meldepflichten: Unternehmen müssen Datenschutzvorfälle binnen 72 Stunden den Aufsichtsbehörden melden.
- Datenschutz-Folgeabschätzung: Es muss eine Risikobewertung erfolgen, welche Folgen die vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten haben.
- Auskunftsrecht: Die Betroffenen haben ein umfassendes Auskunftsrecht. Dieses Recht bedeutet allerdings, dass die IT-Systeme und die Verarbeitungsprozesse sehr genau festgelegt sind.
- Recht auf Datenübertragbarkeit (Datenportabilität): Der Betroffene kann seine Daten „mitnehmen“.
- Nachweis-Zertifizierung: Künftig besteht explizit die Möglichkeit, die Erfüllung der gesetzlichen Pflichten durch Zertifizierungen nachzuweisen.
- Sicherheit der Verarbeitung: Es müssen grundlegende technische und organisatorische Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen getroffen werden (Stichwort: Stand der Technik).
- Rechenschaftspflicht: Wenn Ihr Unternehmen angezeigt wird, sind Sie nur dann „aus dem Schneider“, wenn Sie nachweisen können, dass Sie ein ordnungsgemäßes Datenschutz-System installiert haben. Sie müssen z.B. nachweisen, wann die technischen und organisatorischen Maßnahmen geprüft wurden, wann welches Verfahrensverzeichnis erstellt wurde und wann welche Risikoanalyse durchgeführt wurde. Übliche Nachweise sind Rechenschaftsberichte, die anlassbezogen oder jährlich erstellt werden.
Bei Rückfragen stehen wir Ihnen sehr gerne zur Verfügung. Vereinbaren Sie einfach einen Beratungstermin.
Was Sie von uns erwarten dürfen:
Als Ihr externer Datenschutzbeauftragter oder Datenschutzberater bieten wir Ihnen insbesondere
- Fachkunde: Wir sind ein erfahrenes Team, die über Erfahrungen und Kenntnisse im Datenschutzrecht sowie der Datensicherheit und als Datenschutzbeauftragte verfügen.
- Praxisnähe: Wir kennen Unternehmen aus jahrelanger Praxiserfahrung „von innen“. Sie sollen leben können, was wir Ihnen raten.
- IT-Affinität: Unsere Berater verfügen über tiefgreifendes technisches Verständnis bzw. Zugriff auf entsprechende Netzwerke und beraten Sie direkt in Bezug auf Ihre individuelle IT-Landschaft – egal ob es um bestehende oder neu einzuführende Systeme geht.
- Kostentransparenz und -sicherheit: Wir arbeiten auf der Basis von Pauschalen.
- Projektmanagement-Skills: Die Implementierung eines Datenschutz-Managements ist ohne ein geordnetes und transparentes Projektmanagement kaum denkbar.
- Verfügbarkeit: Wir sind zur richtigen Zeit am richtigen Ort. Nämlich immer da, wo Sie uns brauchen. An Ihrem Geschäftssitz bzw. in Ihren Werken, bei der Behörde, in der Telefonkonferenz, in Ihrem Rechenzentrum oder bei Ihrem Auftragnehmer. Überörtlich aufgestellt und weltweit beratend tätig.
- Individualität unserer Dienstleistung: Wir arbeiten nicht „von der Stange“, sondern bieten Ihnen maßgeschneiderte Konzepte.
- Persönlichkeit und Kontinuität: Wir stellen Ihnen nicht irgendeine Ressource zur Verfügung, sondern den für Sie passenden Kollegen oder die für Sie passende Kollegin – und zwar dauerhaft, ohne unangenehme Wechsel. So erfolgt eine kontinuierliche enge Zusammenarbeit mit Ihren Fachabteilungen, die die schnelle Umsetzung notwendiger Maßnahmen und somit die Erreichung datenschutzrechtlicher Compliance gewährleistet.
- Effizienz: Unser Haupttätigkeitsschwerpunkt ist Datenschutz. Das produziert Synergieeffekte. Diese nutzen wir für einen effizienten Projektverlauf und, wo immer möglich, um kostenschonend zu agieren.
- Zielgruppenbezogene Kommunikation: Datenschutz ist für alle da: sowohl für die Geschäftsleitung, den Betriebs- oder Personalrat, Ihre Mitarbeiter, Ihre Kunden und Auftraggeber, für die, die es werden wollen oder sollen und nicht zuletzt auch für die Datenschutz–Aufsichtsbehörden. Das verlangt eine zielgruppenbezogene Kommunikation. Nur so können etwaige widerstreitende Interessen zu einem praxisgerechten Ausgleich gebracht werden.
- Full Service: Unsere Datenschutzexperten verstehen Datenschutz als Querschnittsmaterie auch zur Informationssicherheit.
- Didaktische Fähigkeiten: Die Vornahme regelmäßiger Schulungen ist essenziell für einen guten Datenschutz. Unsere Trainings reichen von einem ersten „Vertrautmachen“ mit datenschutzrechtlichen Grundprinzipien bis hin zu komplexen Schwerpunktthemen (Mitarbeiterdatenschutz, weltweite CRM-Systeme, Datenübermittlung im Konzern, Vorbereitung von Zertifizierungsmaßnahmen, Archivierungspflichten, Auftragsdatenverarbeitung etc.). Dabei kommt es uns darauf an, Ihre Mitarbeiter entsprechend ihrer Aufgabenstellung zu sensibilisieren.
Aufgrund dieser Qualifikationen und unseres erfolgreichen Konzepts, stellen wir den Datenschutz in Ihrem Unternehmen als Ihr externer Datenschutzbeauftragter sicher und erreichen so eine nachhaltige Minimierung des Haftungsrisikos, was es angesichts angehobener Bußgeldsummen, Selbstanzeigeverpflichtung (vgl. § 42a BDSG) und ggf. gravierender Reputationsschäden mehr denn je zu erreichen gilt.
Bitte kontaktieren Sie uns für weitere Details – gerne unterbreiten wir Ihnen ein auf Ihre Bedürfnisse angepasstes Angebot.
Vorteile von externem Datenschutz
Ein Unternehmen, das sich für die Bestellung eines externen Datenschutzbeauftragten entscheidet, erhält ein auf Experten-Knowhow gestütztes professionelles Datenschutzmanagement. Es profitiert gleichzeitig von Synergieeffekten aus Erfahrungen mit anderen Unternehmen und IT-Anwendungen sowie der Kontaktpflege mit den Aufsichtsbehörden. Die damit einhergehende Erhöhung des Datenschutzniveaus bietet Schutz vor behördlichen Anordnungen und Bußgeldern und ist regelmäßig im Rahmen anstehender Zertifizierungsvorhaben von Bedeutung.
-
Kostenvorteile und Vermeidung von Interessenskonflikten
Neben der tiefen fachlichen Expertise spricht für die Auslagerung des Datenschutzes, dass Kosten, die für die Freistellung eines internen Datenschutzbeauftragten und dessen pflichtgemäßer Aus- und Weiterbildung (§4f Abs. 3 BDSG) anfallen würden, eingespart werden.
Die Belegschaft kann sich auf ihr Kerngeschäft konzentrieren, so dass ein interner Ressourcenschutz mit der Auslagerung des Datenschutzes einhergeht. Weiterhin werden Interessenskonflikte vermieden, die dann entstehen würden, wenn – unzulässiger Weise – die IT-Leitung oder die Geschäftsführung als Datenschutzbeauftragte bestellt würden. Sichergestellt wird damit eine neutrale, sich lediglich am geltenden Recht orientierende Datenschutzberatung, die ggf. auch mit einer offensiven Darstellung der Datenschutzpolitik innerhalb und außerhalb des Unternehmens verbunden werden kann. -
Minimiertes Haftungsrisiko und Ressourcen-Flexibilität
Mit der Bestellung eines externen Datenschutzbeauftragten ist des Weiteren die Übernahme der Haftung für die Rechtskonformität interner Prozesse verbunden. Dabei bleibt das Unternehmen wegen des Fehlens eines besonderen Kündigungsschutzes des externen Datenschutzbeauftragten flexibel und kann sich regelmäßig unproblematisch von der vertraglichen Bindung lösen.