EU-Datenschutz-Grundverordnung

EU-Datenschutz-Grundverordnung – Ihr Umsetzungs-Fahrplan

 

- EU-Datenschutz-Grundverordnung – Ihr Umsetzungs-Fahrplan

Umsetzungs-Fahrplan – EU-Datenschutz-Grundverordnung – Ihr Umsetzungs-Fahrplan

 

Im April 2016 hat das EU-Parlament die EU-Datenschutz-Grundverordnung (DSGVO) verabschiedet. Sie gilt ab dem 25. Mai 2018 in der gesamten EU.

Die DS-GVO wird in vielen Bereichen direkte Auswirkungen auf jedes Unternehmen als datenverarbeitende Stellen haben.

Anders als eine EU-Richtlinie ist eine EU-Verordnung direkt in den Mitgliedstaaten der Europäischen Union anwendbar, also auch in Deutschland. Neben der DS-GVO wird es weiterhin ein neues Bundesdatenschutzgesetz und sektorale Regelungen zur DSGVO geben.

 

Risikoanalyse – Compliance-Pflichten sicher umsetzen – EU-Datenschutz-Grundverordnung – Ihr Umsetzungs-Fahrplan

Vor allem aufgrund der steigenden Bußgeld- und Reputationsrisiken sowie künftig drohender Schadenersatzforderungen betroffener Personen ist eine auf das gesamte Unternehmen und die einzelnen Geschäftsbereiche bezogene Risikoanalyse notwendig. Zu den wesentlichen Risikobereichen zählen:

  • Betroffenenrechte
  • Arbeitnehmer-Datenschutz in der Bewerbungsphase und im Beschäftigungsverhältnis
  • Kundendatenschutz mit Analyse von Kundendaten, Scoring und Datenweitergabe an Auskunfteien
  • Verträge mit datenverarbeitenden Stellen mit Dritten
  • Internationaler Datentransfer
  • Datenaufbewahrungsmanagement und Development Lifecycle Process
  • Besondere Maßnahmen zur Zutrittskontrolle
  • Benutzerkontrolle bei IT-Systemen
  • Weitergabekontrolle personenbezogener Daten
  • Management von Outsourcingrisiken
  • Beurteilung infrastruktureller IT-Risiken
  • Sonderthemen der IT-Sicherheit

 

Bestandsaufnahme – EU-Datenschutz-Grundverordnung – Ihr Umsetzungs-Fahrplan

Um Änderungsbedarf identifizieren zu können, sollte eine Bestandsaufnahme sämtlicher Prozesse und Verfahren durchgeführt werden, in denen personenbezogene Daten verarbeitet werden.

Ein aktuelles Verfahrensverzeichnis nach § 4d Bundesdatenschutzgesetz (BDSG) stellt den Ausgangspunkt dar. Wegen des gegenüber dem BDSG deutlich stärker risikobasierten Ansatzes der DS-GVO kommen neben der Nutzung bereits bestehender Datenschutzstrukturen auch die  Prozessen und Strukturen eines bestehenden Compliance-Managements oder Qualitätsmanagement-Systems in Betracht.

 

Gap-Analyse – – EU-Datenschutz-Grundverordnung – Ihr Umsetzungs-Fahrplan

Für die erfolgreiche Umsetzung der Vorgaben der DSGVO hilft eine Gap-Analyse einen strukturierten Abgleich zwischen Ist-Zustand und künftigen Soll-Zustand vorzunehmen. Auf dieser Grundlage lassen sich dann alle weiteren Schritte planen.

Die Gap-Analyse ist ein wichtiger Baustein jeglicher Projektplanung zum Thema Datenschutz, insbesondere bei der Umsetzung vorgeschriebener Transparenz- und Dokumentationspflichten.

 

Einbindung des Datenschutzbeauftragten – – EU-Datenschutz-Grundverordnung – Ihr Umsetzungs-Fahrplan

Der Datenschutzbeauftragte muss ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden. Der Datenschutzbeauftragte ist gleichzeitig verpflichtet, sein Unternehmen und die Beschäftigten in Datenschutzfragen zu beraten.

Viele Unternehmen werden dem Datenschutz aufgrund der Vorgaben der DSGVO in Zukunft einen höheren Stellenwert beimessen müssen als nach den bisherigen Vorgaben des BDSG.

Dies setzt eine entsprechende Kommunikation gegenüber den Kunden und den Mitarbeitern voraus. Es empfiehlt sich die Einführung einer Datenschutzrichtlinie sowie einer EDV-Richtlinie. .

 

Mitarbeiterschulungen – EU-Datenschutz-Grundverordnung – Ihr Umsetzungs-Fahrplan

Aufgrund der Komplexität und den vielfältigen Anforderungen der DSGVO sollten von den Änderungen betroffene Mitarbeiter im Umgang mit den Neuregelungen geschult werden. Der Datenschutzbeauftragte ist nach Art. 39 Abs. 1 der DSGVO zur „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ verpflichtet.

 

Betriebsrat und Betriebsvereinbarungen- EU-Datenschutz-Grundverordnung – Ihr Umsetzungs-Fahrplan

Die DSGVO zählt zu den Schutzvorschriften, welche der Betriebsrat zum Schutz der Arbeitnehmer zu überwachen hat. Aus Unternehmersicht empfiehlt es sich den Betriebsrat frühzeitig in den Umsetzungsprozess einzubeziehen. Aufgrund der DSGVO werden teilweise erhebliche Anpassungen bei bestehenden Betriebsvereinbarungen notwendig.

 

Rechtzeitige Planung neuer Prozesse und Strukturen- EU-Datenschutz-Grundverordnung – Ihr Umsetzungs-Fahrplan

Nach der DS-GVO werden zahlreiche neue Prozesse und Strukturen vorausgesetzt, die die Unternehmen bis Ende Mai 2018 umsetzen müssen. Hierzu zählen:

a) Datenschutzdokumentation

Die DSGVO enthält zahlreiche Dokumentationspflichten, wie etwa das Führen eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO), die Dokumentation von Weisungen bei Auftragsverarbeitungsverhältnissen (Art. 28 Abs. 3) sowie die rechtzeitige Meldung von Datenschutzvorfällen (Art. 33 Abs. 5 DS-GVO).

b) Privacy by design, privacy by default

Unternehmen sind in Zukunft nach Art. 25 DSGVO dazu verpflichtet, die geltenden Datenschutzvorschriften durch eine datenschutzfreundliche Gestaltung der eingesetzten IT und entsprechende Voreinstellungen umzusetzen.

Unternehmen müssen dies durch geeignete technische Maßnahmen umsetzen, etwa durch auf Datenminimierung ausgerichtete IT-Systeme und eine möglichst frühzeitige Pseudonymisierung von personenbezogenen Daten.

c) Transparenz

Eines der wichtigsten Gebote der DSGVO ist das Transparenzgebot. Die von der Verarbeitung personenbezogener Daten betroffenen Personen müssen von der verantwortlichen Stelle über eine Vielzahl von Angaben bezüglich der geplanten Datenverarbeitung rechtzeitig informiert werden.

So müssen etwa Zweck und Zweckänderung einer erstmaligen Erhebung oder geplanten Datenverarbeitung gegenüber den Betroffenen transparent kommuniziert werden. Darüber hinaus werden Unternehmen verpflichtet, ein Löschkonzept mit entsprechenden Löschfristen zu entwickeln.

d) Datenschutzfolgenabschätzung

Sofern eine geplante Datenverarbeitung hohe Risiken für die Rechte und Freiheiten natürlicher Personen beinhaltet, ist der Verantwortliche verpflichtet, vor dem erstmaligen Einsatz des Verfahrens eine sog. Folgenabschätzung (Art. 35 DSGVO) durchzuführen.

e) Beschwerdemanagement zur Wahrung der Betroffenenrechte

Nach der DSGVO stehen den von einer Verarbeitung von personenbezogenen Daten betroffenen Personen verschiedenen Mechanismen zur Geltendmachung ihrer Rechte zur Verfügung. Hierzu zählen ein Auskunftsrecht nach Art. 15 DSGVO. Außerdem sieht die DSGVO u. a. ein Recht auf Berichtigung (Art. 16 DSGVO), das „Recht auf Vergessen-werden“ (Art. 17 Abs. 2 DSGVO), ein Recht auf Datenübertragbarkeit (Art. 20 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 Abs. 1 DSGVO) sowie ein Widerspruchsrecht (Art. 21 DSGVO) vor.

f) Vertragsmanagement

Unternehmen sollten ein Vertragsmanagement für Verträge mit datenschutzrechtlichem Bezug einführen und bis zur Geltung der DSGVO sicherstellen, dass bestehende Auftragsdatenverarbeitungsverträge (ADV), Verträge zur Übermittlung von personenbezogenen Daten und sonstige Verträge, die die Verarbeitung personen-bezogener Daten beinhalten, den Anforderungen der Art. 28 und 29 DS-GVO entsprechen.

g) Einwilligungsmanagement

Die DS-GVO stellt hohe Anforderungen an die Einwilligung betroffener Personen in die Verarbeitung ihrer personenbezogenen Daten. Nach dem Beschluss des Düsseldorfer Kreises vom 14. September 2016 gelten bisher erteilte Einwilligungen fort, sofern sie der Art nach den Bedingungen der Datenschutz-Grundverordnung entsprechen (Erwägungsgrund 171, Satz 3 DS-GVO).

 

Compliance & Geldwäschebeauftragter – EU-Datenschutz-Grundverordnung – Ihr Umsetzungs-Fahrplan

Seminar Geldwäschebeauftragter: Geldwäsche und Fraud – Basisseminar

Seminar Geldwäschebeauftragter: Geldwäsche und Fraud – Aufbauseminar

Seminar Geldwäschebeauftragter: Geldwäsche & Fraud – Update

Seminar Geldwäschebeauftragter: Geldwäsche & Fraud – Forum

Seminar Geldwäschebeauftragter: Gefährdungsanalyse – Prüfung 2014

Seminar Geldwäschebeauftragter: Aufbauseminar – Geldwäsche und Wirtschaftskriminalität

Seminar Compliance: MaRisk-Compliance – WpHG-Compliance – Vertriebsbeauftragter

Seminar Compliance: Compliance

Seminar Compliance: Compliance für Vertriebsbeauftragte

Seminar MaRisk Compliance: Neue Compliance-Funktion gemäß MaRisk

Seminar MaRisk Compliance: Compliance im Fokus der Bankenaufsicht

Depot A Management und Asset Management –EU-Datenschutz-Grundverordnung – Ihr Umsetzungs-Fahrplan

Seminar Depot A: Depot A im Fokus der Bankenaufsicht

Seminar Depot A: Depot A Management: Kompaktwissen für die Niedrigzinsphase

Seminar Depot A: Depot A Management

MaRisk – CRD IV – CRR – Risikomanagement A bis Z – EU-Datenschutz-Grundverordnung – Ihr Umsetzungs-Fahrplan

Seminar MaRisk: Neue MaRisk – CRD IV – CRR – §25KWG neu

Seminar MaRisk: MaRisk-konformes Verrechnungssystem für Liquiditätskosten

Seminar MaRisk: Neue MaRisk

Seminar MaRisk Compliance: Neue Compliance-Funktion gemäß MaRisk

 

Tags:, ,

Newsletter