Datenschutz auch für KMU?Wie löst man Datenschutzanforderungen in kleineren Betrieben insbesondere bei geringen Ressourcen.

Herangehensweise aus Sicht eines externen Datenschutzbeauftragten.

Manfred BethDatenschutzrecht in der Praxis | 25.05.2018 | Saarbrücken

Manfred Beth

Berater der UIMC Dr. Vossbein GmbH & Co KG, Wuppertal

Geschäftsstellenleiter Saarbrücken

GDD-Erfa-Kreis-Leiter Saarland/Pfalz

2004 Ausbildung zum Datenschutzbeauftragten nach dem Ulmer Modell

2005 Betriebswirtschaft an der Wirtschaftsakademie in Blieskastel.

Diplomarbeit: „Datenschutz und Datensicherheit bei fortschreitender Technik“:

Mehrjähriger Tätigkeit als betrieblicher Datenschutzbeauftragter in einer Reha-Klinik.

Seminarleiter bei Ausbildungsgängen zum Thema Datenschutz im Gesundheitswesen.

Datenschutz auch für KMU 2

Unternehmensgruppe

Datenschutz auch für KMU 3

Dienstleistungen der UIMC

Datenschutz auch für KMU 4

Agenda

Datenschutz?

Datenschutzbeauftragter» Aufgaben

» Umsetzung

» Intern - Extern

Change zur EU-DSGVO» Change Organisation

DiskussionDatenschutz auch für KMU 5

Datenschutz?

Datenschutz auch für KMU 6

pwc.de/de/compliance/assets/pwc_studie_datenschutz_2011.pdf

Datenschutz?

7.5.2018 BILD

Mittelstand klagt über neue Datenschutz-

RichtlinieDIHK-Präsident Schweizer: „ Die Gefahr besteht, dass die teilweise für große IT-Konzerne geschaffene überaus bürokratische Regelungen zusammen mit den immer wieder auch genannten hohen Bußgeldern zu Abwehrreaktionen gegen den Grundgedanken des Datenschutzes führen. Wir brauchen daher Verständnis der Behörden und eine Präzisierung der Regeln sowie Verhältnismäßigkeit bei den möglichen Strafen.“

Datenschutz auch für KMU 7

Datenschutz heute

Deutsche Firmen schludern beim Datenschutz

Heute in genau einem Jahr muss die Datenschutzgrundverordnung in ganz Europa angewendet werden. Dieses neue Gesetz bringt für Unternehmen viele Neuerungen und einige zusätzliche Pflichten mit sich. Allerdings sind die Firmen schlecht vorbereitet - deutsche Betriebe machen da keine Ausnahme.

Problem erkannt - Problem ignoriert, so könnte man die Ergebnisse einer repräsentativen Studie zusammenfassen, die der Software-Anbieter Varonis in Auftrag gegeben hatte. Dabei empfanden es 81 Prozent der deutschen Unternehmen als Herausforderung, die neuen Regelungen des europäischen Datenschutzgesetzes im eigenen Betrieb umzusetzen.

Gleichzeitig stehen die nötigen Maßnahmen bei 58 Prozent der Firmen nicht oben auf der Prioritätenliste, man versucht sich also wegzuducken. Und dieser Trend zeigt sich bei deutschen Unternehmen deutlicher als in anderen Ländern.

B5 Wirtschaft am 25.5.2017 in B5 aktuell

Datenschutz auch für KMU 8

Datenschutzbeauftragter (DSB)

Art. 37 DS-GVO i.V. § 38 BDSG (– neu) und auch nach § 4f BDSG

Schriftliche Bestellung

10 Beschäftigte verarbeiten pb Daten(dies ist bspw. schon dann erreicht, wenn diese Mitarbeiter einen E-Mail-Account haben).

Meldung an die Aufsichtsbehörde Art 37 (7) DS-GVO

Datenschutz auch für KMU 9

DSB

Art. 37 DS-GVO

(5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

Datenschutz auch für KMU 10

DSB

Erwägungsgrund 97

…Das erforderliche Niveau des Fachwissens sollte sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen … verarbeiteten personenbezogenen Daten richten.

Datenschutz auch für KMU 11

DSB

zur Erfüllung der Aufgaben erforderliche Fachkunde und Zuverlässigkeit.

Die fachliche Eignung muss kontinuierlich durch Fortbildungen aufgebaut und aufrecht erhalten werden.

Juristische Kenntnisse – nicht nur BDSG

Unternehmenskenntnisse - Betriebsstruktur

Betriebswirtschaftliche Kenntnisse – Orga, HR, QM usw.

DV / IV Kenntnisse – Technik, Betriebssystem, Anwendersoftware

Datenschutz auch für KMU 12

Umfassende Aufgaben I

Aufbau einer Datenschutz-Organisation mit entsprechenden Prozessen und Richtlinien

Information und Beratung der Geschäftsführung

Prüfung der Rechtmäßigkeit der Datenverarbeitung

Beratung der Mitarbeiter und Fachbereiche

Überwachung der ordnungsgemäßen Anwendung der EDV

Schulung und Sensibilisierung der Mitarbeiter

Überwachung der Übersicht der verwendeten Verfahren (Verzeichnis von Verfahrenstätigkeiten)

Datenschutz auch für KMU 13

Umfassende Aufgaben II

Prüfung/Auditierung der Dienstleister (Auftragsdatenverarbeitung)

Hinwirken auf Einhaltung der technisch-organisatorischen Maßnahmen unter Berücksichtigung der Angemessenheit

Beratung bezüglich der Datenschutzfolgenabschätzung

usw.

Datenschutz auch für KMU 14

Wer kann das alles erfüllen?

Datenschutz auch für KMU 15

Kompetenz und Ressourcen

Die Zuverlässigkeit des Datenschutzbeauftragten bereitet zumeist Probleme, da eine Interessenkollision in vielen Fällen gegeben ist.

Geschäftsführer, Personalleiter, IT-Leiter und Vertriebs-/Marketingleiter und Betriebsräte

Lassen sich Interessen und Aufgaben mit den Tätigkeiten des Datenschutzbeauftragten vereinbaren und sich selbst kontrollieren?

Sie dürfen per Gesetz nicht bestellt werden.

Datenschutz auch für KMU 16

Intern - Extern

„Der Prophet im eigenen Land“ wird oftmals nicht erhört. Deshalb kann ein Externer in der Regel unvoreinge-nommener an Fragestellungen herangehen und not-wendige Maßnahmen vorantreiben kann.

Auch wenn die gesetzliche Basis in Form der daten-schutzrelevanten Gesetze (DS-GVO) für alle Unter-nehmen (und Vereine) generell gleich ist, so erfordert die Umsetzung eine jeweils passende Lösung. Gerade in kleinen und mittleren Unternehmen (KMU), deren Kerngeschäft nicht maßgeblich durch den Datenschutz beeinflusst wird, sind angemessene Lösungen notwendig.

Datenschutz auch für KMU 17

Die „Low-Budget-Idee“

Im Outsourcing sind die Vor-Ort-Leistungen des beratenden Unternehmens die teuersten Leistungen. Es ist aus Effizienzgründen Ziel, diese Leistungen zu reduzieren.

Durch Nutzung

moderner Kommunikationstechniken,

standardisierter Organisationsmittel mit Best Practice

computergestützter Verfahren und Tools (z. B. für die Analyse und Schulung)

werden hoch individuelle und Vor-Ort-Leistungen reduziert und optimiert.

Datenschutz auch für KMU 18

Vorgehensweise

Datenschutz auch für KMU 19

Analyse der Ist-Situation

Analyse-Tools für Anforderungen an Datenschutz und/oder Informationssicherheit

Schwachstellenanalyse zur Bewertung der Ist-Situation

Prüfungsinhalte

Gesetzlichen Anforderungen an den Datenschutz

Zulässigkeitsfragestellungen, technische und organisatorische Maßnahmen etc.

Informationssicherheit

Sensibilisierung der Geschäftsführung und der Mitarbeiter

Datenschutz auch für KMU 20

Status-Quo

Es werden personenbezogene Daten sowohl von Privatkunden als auch von Geschäftspartnern verarbeitet, wie bspw. Informationen zu den Ansprechpartnern bei Lieferanten, Kunden o. ä.

Es wird nicht geprüft, ob die Datenerhebung dem Grundsatz der Datenvermeidung und Datensparsamkeit genügt.

Datenschutz auch für KMU 21

Kunden-Datenschutz

Status-Quo-Bericht mit Positiv- und Negativbefunden

Maßnahmenkatalog

Datenschutz auch für KMU 22

Change I

Umstellung vom BDSG zur DS-GVO

erhebliche Erweiterung der Anforderungen an die IT-Sicherheit mit umfassender Risikobetrachtung/-bewertung

erheblich erweiterte Informations- und Auskunftspflichten zugunsten der Betroffenen

neue Anforderungen an die Auftragsdatenverarbeitung

erweiterter Pflichtenumfang des Auftragnehmers (insb. gesamtschuldnerische Haftung von Auftraggeber und Auftragnehmer bei Pflichtverletzungen)

Datenschutz auch für KMU 23

Change II

Gemeinsam für die Verarbeitung Verantwortliche als neue Form der Zusammenarbeit mit insbesondere formalen (vertraglichen) Anforderungen

erheblich erweiterte Meldepflichten bei Datenpannen

erheblich erweiterte Rechenschafts- und Dokumentationspflichten

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Vorsteinstellungen (data protection by design / data protection by default)

Formalisierung hinsichtlich der Datenschutz-Folgenabschätzung (bisher Vorabkontrolle)

Datenschutz auch für KMU 24

Change III

Analyse

Selbstauskunftsbogen und Checklisten, zur Prüfung der aktuellen Organisation und der vorliegenden Unterlagen auf EU-Konformität.

Planung

Auf Basis der Erkenntnisse der o. g. Analyse-Phase können Maßnahmen geplant werden.

Maßnahmenplan und Muster-Konzepte

Datenschutz auch für KMU 25

Change IV

Umsetzung

Datenschutzhandbuch und die Schulungsmedien an die neuen Anforderungen anpassen

neue oder aktualisierte Muster und Vordrucke ein (beispielsweise zur Erfüllung der Informationspflichten oder Einwilligungserklärungen).

Revision

Maßnahmen nachhalten.

Datenschutz auch für KMU 26

Tools I

Datenschutz auch für KMU 27

Tools II

Datenschutz auch für KMU 28

Templates

Datenschutz auch für KMU 29

Templates

Datenschutz auch für KMU 30

Info-Pflichten Bewerber IInformationen zur Datenverarbeitung

gemäß Artikel 13 und 14 DSGVO– Datenverarbeitung im Rahmen des Bewerbungsverfahrens –

Hiermit unterrichten wir Sie über die Verarbeitung Ihrer personenbezogenen Daten:

Datenverarbeitung

Wir – die <Unternehmensname, Kontaktdaten> – verarbeiten Ihre personenbezogenen Daten im Hinblick auf Ihre Person im Zusammenhang mit der Durchführung Ihres Bewerbungsverfahrens sowie zur Prüfung Ihrer potenziellen arbeitsbezogenen Einsetzbarkeit. Hierbei verarbeiten wir die von Ihnen zur Verfügung gestellten Informationen zum Zwecke einer fundierten Personalentscheidung auf Grundlage von Art. 6 Abs. 1 S. 1 I lit. b DSGVO. Zudem werden Bewertungen anhand objektiver, nicht diskriminierender Kriterien hinzu gespeichert; sofern dies im Einzelfall zulässig ist, werden auch öffentlich zugängliche personenbezogene Daten zu Ihrer Person hinzu gespeichert.

Die von Ihnen bereit gestellten Daten sind zur Durchführung des Bewerbungsverfahrens erforderlich. Ohne diese Daten können wir Ihre Bewerbung nicht berücksichtigen.Datenschutz auch für KMU 31

Info-Pflichten Bewerber II

Weitergabe / Dienstleister

Ihre personenbezogenen Daten werden an <Name des Dienstleisters> / an weitere Gesellschaften unseres Unternehmensverbunds als externen Dienstleister weitergeben, um uns im Rahmen des Personalauswahlverfahrens zu unterstützen. Zum Teil können externe IT-Dienstleister auf Ihre Daten zugreifen. In allen Fällen agieren die Dienstleister weisungsgebunden, was durch entsprechende Verträge sichergestellt wurde. Diese Dienstleister sitzen zum Teil außerhalb der EU/EWR; jene Dienstleister stellen durch den Abschluss von EU-Standardvertragsklauseln / durch Binding Corporate Rules / durch das Privacy Shield ein angemessenes Datenschutzniveau sicher. Die Regelungen sind hier abrufbar / Sie haben jederzeit die Möglichkeit, eine Kopie dieser Regelungen hier zu erhalten.

Nur sofern Sie uns im Rahmen Ihrer Einwilligung das Einverständnis gegeben haben, geben wir Ihre personenbezogenen Daten auch an weitere Gesellschaften unseres Unternehmensverbunds weiter, um Ihnen weitere Einstiegsoptionen in unserem Unternehmensverbund zu ermöglichen. Auch jene Unternehmen innerhalb des Verbunds, die außerhalb der EU ansässig sind, stellen durch den Abschluss von EU-Standardvertragsklauseln / Binding Corporate Rules ein angemessenes ….

Datenschutz auch für KMU 32

Info-Pflichten Bewerber III

Aufbewahrung und Löschung der Daten

Ihre Daten werden solange aufbewahrt, wie dies für die o. g. Zwecke des Personalauswahlverfahrens erforderlich ist. Falls Sie der Datenverarbeitung während des Personalauswahlverfahrens widersprechen, werden die Daten – sofern keine anderweitigen gesetzlichen Aufbewahrungspflichten entgegensprechen – gelöscht.

Die Daten werden nach Beendigung des Bewerbungsverfahrens sowie nach Ablauf etwaiger Klagefristen dann gelöscht, es sei denn, dass Sie Ihr Einverständnis gegeben haben, Ihre Bewerbung für weitere Stellenangebote zu speichern. Initiativbewerbungen werden maximal bis zu Ihrem Widerruf oder bis zu zwei Jahre gespeichert und dann gelöscht.

Datenschutz auch für KMU 33

Info-Pflichten Bewerber IV

Ihre Rechte

Wir informieren Sie darüber, dass Sie gemäß Artikel 15 ff. DSGVO unter den dort definierten Voraussetzungen folgende Rechte des Betroffenen haben: Recht auf Auskunft über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder Widerspruchsrecht gegen die Verarbeitung sowie Recht auf Datenübertragbarkeit. Auch haben Sie gemäß Artikel 77 DSGVO das Recht der Beschwerde bei einer Datenschutz-Aufsichtsbehörde. Wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a DSGVO oder Artikel 9 Absatz 2 Buchstabe a DSGVO beruht (Einwilligung) haben Sie ferner das Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.

Datenschutzbeauftragter

Der für die <Unternehmensname> zuständige Datenschutzbeauftragte ist >Name< (UIMC; <Mail-Adresse einfügen>).

Datenschutz auch für KMU 34

VvV I

Datenschutz auch für KMU 35

VvV II

Datenschutz auch für KMU 36

VvV III

Datenschutz auch für KMU 37

VvV – Risiko I

Datenschutz auch für KMU 38

VvV – Risiko II

Datenschutz auch für KMU 39

VvV – Risiko III

Datenschutz auch für KMU 40

VvV - Muster

Datenschutz auch für KMU 41

Diskussion - Fragen

Datenschutz auch für KMU 42

Haben Sie noch Fragen?

Datenschutz auch für KMU 43

UIMC DR. VOSSBEIN GMBH & CO. KGNützenberger Straße 11942115 WuppertalTelefon: (0202) 265 74 - 0Telefax: (0202) 265 74 - 19E-Mail: consultants@uimc.deInternet: www.UIMC.de

UIMCert GmbHMoltkestraße 1942115 WuppertalTelefon: (0202) 3 09 87 39Telefax: (0202) 3 09 87 49E-Mail: certification@uimcert.deInternet: www.UIMCert.de

akkr

editi

ert d

urch

: