Datenschutz auch für KMU?Wie löst man Datenschutzanforderungen in kleineren Betrieben insbesondere bei geringen Ressourcen.
Herangehensweise aus Sicht eines externen Datenschutzbeauftragten.
Manfred BethDatenschutzrecht in der Praxis | 25.05.2018 | Saarbrücken
Manfred Beth
Berater der UIMC Dr. Vossbein GmbH & Co KG, Wuppertal
Geschäftsstellenleiter Saarbrücken
GDD-Erfa-Kreis-Leiter Saarland/Pfalz
2004 Ausbildung zum Datenschutzbeauftragten nach dem Ulmer Modell
2005 Betriebswirtschaft an der Wirtschaftsakademie in Blieskastel.
Diplomarbeit: „Datenschutz und Datensicherheit bei fortschreitender Technik“:
Mehrjähriger Tätigkeit als betrieblicher Datenschutzbeauftragter in einer Reha-Klinik.
Seminarleiter bei Ausbildungsgängen zum Thema Datenschutz im Gesundheitswesen.
Datenschutz auch für KMU 2
Unternehmensgruppe
Datenschutz auch für KMU 3
Dienstleistungen der UIMC
Datenschutz auch für KMU 4
Agenda
Datenschutz?
Datenschutzbeauftragter» Aufgaben
» Umsetzung
» Intern - Extern
Change zur EU-DSGVO» Change Organisation
DiskussionDatenschutz auch für KMU 5
Datenschutz?
Datenschutz auch für KMU 6
pwc.de/de/compliance/assets/pwc_studie_datenschutz_2011.pdf
Datenschutz?
7.5.2018 BILD
Mittelstand klagt über neue Datenschutz-
RichtlinieDIHK-Präsident Schweizer: „ Die Gefahr besteht, dass die teilweise für große IT-Konzerne geschaffene überaus bürokratische Regelungen zusammen mit den immer wieder auch genannten hohen Bußgeldern zu Abwehrreaktionen gegen den Grundgedanken des Datenschutzes führen. Wir brauchen daher Verständnis der Behörden und eine Präzisierung der Regeln sowie Verhältnismäßigkeit bei den möglichen Strafen.“
Datenschutz auch für KMU 7
Datenschutz heute
Deutsche Firmen schludern beim Datenschutz
Heute in genau einem Jahr muss die Datenschutzgrundverordnung in ganz Europa angewendet werden. Dieses neue Gesetz bringt für Unternehmen viele Neuerungen und einige zusätzliche Pflichten mit sich. Allerdings sind die Firmen schlecht vorbereitet - deutsche Betriebe machen da keine Ausnahme.
Problem erkannt - Problem ignoriert, so könnte man die Ergebnisse einer repräsentativen Studie zusammenfassen, die der Software-Anbieter Varonis in Auftrag gegeben hatte. Dabei empfanden es 81 Prozent der deutschen Unternehmen als Herausforderung, die neuen Regelungen des europäischen Datenschutzgesetzes im eigenen Betrieb umzusetzen.
Gleichzeitig stehen die nötigen Maßnahmen bei 58 Prozent der Firmen nicht oben auf der Prioritätenliste, man versucht sich also wegzuducken. Und dieser Trend zeigt sich bei deutschen Unternehmen deutlicher als in anderen Ländern.
B5 Wirtschaft am 25.5.2017 in B5 aktuell
Datenschutz auch für KMU 8
Datenschutzbeauftragter (DSB)
Art. 37 DS-GVO i.V. § 38 BDSG (– neu) und auch nach § 4f BDSG
Schriftliche Bestellung
10 Beschäftigte verarbeiten pb Daten(dies ist bspw. schon dann erreicht, wenn diese Mitarbeiter einen E-Mail-Account haben).
Meldung an die Aufsichtsbehörde Art 37 (7) DS-GVO
Datenschutz auch für KMU 9
DSB
Art. 37 DS-GVO
(5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.
Datenschutz auch für KMU 10
DSB
Erwägungsgrund 97
…Das erforderliche Niveau des Fachwissens sollte sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen … verarbeiteten personenbezogenen Daten richten.
Datenschutz auch für KMU 11
DSB
zur Erfüllung der Aufgaben erforderliche Fachkunde und Zuverlässigkeit.
Die fachliche Eignung muss kontinuierlich durch Fortbildungen aufgebaut und aufrecht erhalten werden.
Juristische Kenntnisse – nicht nur BDSG
Unternehmenskenntnisse - Betriebsstruktur
Betriebswirtschaftliche Kenntnisse – Orga, HR, QM usw.
DV / IV Kenntnisse – Technik, Betriebssystem, Anwendersoftware
Datenschutz auch für KMU 12
Umfassende Aufgaben I
Aufbau einer Datenschutz-Organisation mit entsprechenden Prozessen und Richtlinien
Information und Beratung der Geschäftsführung
Prüfung der Rechtmäßigkeit der Datenverarbeitung
Beratung der Mitarbeiter und Fachbereiche
Überwachung der ordnungsgemäßen Anwendung der EDV
Schulung und Sensibilisierung der Mitarbeiter
Überwachung der Übersicht der verwendeten Verfahren (Verzeichnis von Verfahrenstätigkeiten)
Datenschutz auch für KMU 13
Umfassende Aufgaben II
Prüfung/Auditierung der Dienstleister (Auftragsdatenverarbeitung)
Hinwirken auf Einhaltung der technisch-organisatorischen Maßnahmen unter Berücksichtigung der Angemessenheit
Beratung bezüglich der Datenschutzfolgenabschätzung
usw.
Datenschutz auch für KMU 14
Wer kann das alles erfüllen?
Datenschutz auch für KMU 15
Kompetenz und Ressourcen
Die Zuverlässigkeit des Datenschutzbeauftragten bereitet zumeist Probleme, da eine Interessenkollision in vielen Fällen gegeben ist.
Geschäftsführer, Personalleiter, IT-Leiter und Vertriebs-/Marketingleiter und Betriebsräte
Lassen sich Interessen und Aufgaben mit den Tätigkeiten des Datenschutzbeauftragten vereinbaren und sich selbst kontrollieren?
Sie dürfen per Gesetz nicht bestellt werden.
Datenschutz auch für KMU 16
Intern - Extern
„Der Prophet im eigenen Land“ wird oftmals nicht erhört. Deshalb kann ein Externer in der Regel unvoreinge-nommener an Fragestellungen herangehen und not-wendige Maßnahmen vorantreiben kann.
Auch wenn die gesetzliche Basis in Form der daten-schutzrelevanten Gesetze (DS-GVO) für alle Unter-nehmen (und Vereine) generell gleich ist, so erfordert die Umsetzung eine jeweils passende Lösung. Gerade in kleinen und mittleren Unternehmen (KMU), deren Kerngeschäft nicht maßgeblich durch den Datenschutz beeinflusst wird, sind angemessene Lösungen notwendig.
Datenschutz auch für KMU 17
Die „Low-Budget-Idee“
Im Outsourcing sind die Vor-Ort-Leistungen des beratenden Unternehmens die teuersten Leistungen. Es ist aus Effizienzgründen Ziel, diese Leistungen zu reduzieren.
Durch Nutzung
moderner Kommunikationstechniken,
standardisierter Organisationsmittel mit Best Practice
computergestützter Verfahren und Tools (z. B. für die Analyse und Schulung)
werden hoch individuelle und Vor-Ort-Leistungen reduziert und optimiert.
Datenschutz auch für KMU 18
Vorgehensweise
Datenschutz auch für KMU 19
Analyse der Ist-Situation
Analyse-Tools für Anforderungen an Datenschutz und/oder Informationssicherheit
Schwachstellenanalyse zur Bewertung der Ist-Situation
Prüfungsinhalte
Gesetzlichen Anforderungen an den Datenschutz
Zulässigkeitsfragestellungen, technische und organisatorische Maßnahmen etc.
Informationssicherheit
Sensibilisierung der Geschäftsführung und der Mitarbeiter
Datenschutz auch für KMU 20
Status-Quo
Es werden personenbezogene Daten sowohl von Privatkunden als auch von Geschäftspartnern verarbeitet, wie bspw. Informationen zu den Ansprechpartnern bei Lieferanten, Kunden o. ä.
Es wird nicht geprüft, ob die Datenerhebung dem Grundsatz der Datenvermeidung und Datensparsamkeit genügt.
Datenschutz auch für KMU 21
Kunden-Datenschutz
Status-Quo-Bericht mit Positiv- und Negativbefunden
Maßnahmenkatalog
Datenschutz auch für KMU 22
Change I
Umstellung vom BDSG zur DS-GVO
erhebliche Erweiterung der Anforderungen an die IT-Sicherheit mit umfassender Risikobetrachtung/-bewertung
erheblich erweiterte Informations- und Auskunftspflichten zugunsten der Betroffenen
neue Anforderungen an die Auftragsdatenverarbeitung
erweiterter Pflichtenumfang des Auftragnehmers (insb. gesamtschuldnerische Haftung von Auftraggeber und Auftragnehmer bei Pflichtverletzungen)
Datenschutz auch für KMU 23
Change II
Gemeinsam für die Verarbeitung Verantwortliche als neue Form der Zusammenarbeit mit insbesondere formalen (vertraglichen) Anforderungen
erheblich erweiterte Meldepflichten bei Datenpannen
erheblich erweiterte Rechenschafts- und Dokumentationspflichten
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Vorsteinstellungen (data protection by design / data protection by default)
Formalisierung hinsichtlich der Datenschutz-Folgenabschätzung (bisher Vorabkontrolle)
Datenschutz auch für KMU 24
Change III
Analyse
Selbstauskunftsbogen und Checklisten, zur Prüfung der aktuellen Organisation und der vorliegenden Unterlagen auf EU-Konformität.
Planung
Auf Basis der Erkenntnisse der o. g. Analyse-Phase können Maßnahmen geplant werden.
Maßnahmenplan und Muster-Konzepte
Datenschutz auch für KMU 25
Change IV
Umsetzung
Datenschutzhandbuch und die Schulungsmedien an die neuen Anforderungen anpassen
neue oder aktualisierte Muster und Vordrucke ein (beispielsweise zur Erfüllung der Informationspflichten oder Einwilligungserklärungen).
Revision
Maßnahmen nachhalten.
Datenschutz auch für KMU 26
Tools I
Datenschutz auch für KMU 27
Tools II
Datenschutz auch für KMU 28
Templates
Datenschutz auch für KMU 29
Templates
Datenschutz auch für KMU 30
Info-Pflichten Bewerber IInformationen zur Datenverarbeitung
gemäß Artikel 13 und 14 DSGVO– Datenverarbeitung im Rahmen des Bewerbungsverfahrens –
Hiermit unterrichten wir Sie über die Verarbeitung Ihrer personenbezogenen Daten:
Datenverarbeitung
Wir – die <Unternehmensname, Kontaktdaten> – verarbeiten Ihre personenbezogenen Daten im Hinblick auf Ihre Person im Zusammenhang mit der Durchführung Ihres Bewerbungsverfahrens sowie zur Prüfung Ihrer potenziellen arbeitsbezogenen Einsetzbarkeit. Hierbei verarbeiten wir die von Ihnen zur Verfügung gestellten Informationen zum Zwecke einer fundierten Personalentscheidung auf Grundlage von Art. 6 Abs. 1 S. 1 I lit. b DSGVO. Zudem werden Bewertungen anhand objektiver, nicht diskriminierender Kriterien hinzu gespeichert; sofern dies im Einzelfall zulässig ist, werden auch öffentlich zugängliche personenbezogene Daten zu Ihrer Person hinzu gespeichert.
Die von Ihnen bereit gestellten Daten sind zur Durchführung des Bewerbungsverfahrens erforderlich. Ohne diese Daten können wir Ihre Bewerbung nicht berücksichtigen.Datenschutz auch für KMU 31
Info-Pflichten Bewerber II
Weitergabe / Dienstleister
Ihre personenbezogenen Daten werden an <Name des Dienstleisters> / an weitere Gesellschaften unseres Unternehmensverbunds als externen Dienstleister weitergeben, um uns im Rahmen des Personalauswahlverfahrens zu unterstützen. Zum Teil können externe IT-Dienstleister auf Ihre Daten zugreifen. In allen Fällen agieren die Dienstleister weisungsgebunden, was durch entsprechende Verträge sichergestellt wurde. Diese Dienstleister sitzen zum Teil außerhalb der EU/EWR; jene Dienstleister stellen durch den Abschluss von EU-Standardvertragsklauseln / durch Binding Corporate Rules / durch das Privacy Shield ein angemessenes Datenschutzniveau sicher. Die Regelungen sind hier abrufbar / Sie haben jederzeit die Möglichkeit, eine Kopie dieser Regelungen hier zu erhalten.
Nur sofern Sie uns im Rahmen Ihrer Einwilligung das Einverständnis gegeben haben, geben wir Ihre personenbezogenen Daten auch an weitere Gesellschaften unseres Unternehmensverbunds weiter, um Ihnen weitere Einstiegsoptionen in unserem Unternehmensverbund zu ermöglichen. Auch jene Unternehmen innerhalb des Verbunds, die außerhalb der EU ansässig sind, stellen durch den Abschluss von EU-Standardvertragsklauseln / Binding Corporate Rules ein angemessenes ….
Datenschutz auch für KMU 32
Info-Pflichten Bewerber III
Aufbewahrung und Löschung der Daten
Ihre Daten werden solange aufbewahrt, wie dies für die o. g. Zwecke des Personalauswahlverfahrens erforderlich ist. Falls Sie der Datenverarbeitung während des Personalauswahlverfahrens widersprechen, werden die Daten – sofern keine anderweitigen gesetzlichen Aufbewahrungspflichten entgegensprechen – gelöscht.
Die Daten werden nach Beendigung des Bewerbungsverfahrens sowie nach Ablauf etwaiger Klagefristen dann gelöscht, es sei denn, dass Sie Ihr Einverständnis gegeben haben, Ihre Bewerbung für weitere Stellenangebote zu speichern. Initiativbewerbungen werden maximal bis zu Ihrem Widerruf oder bis zu zwei Jahre gespeichert und dann gelöscht.
Datenschutz auch für KMU 33
Info-Pflichten Bewerber IV
Ihre Rechte
Wir informieren Sie darüber, dass Sie gemäß Artikel 15 ff. DSGVO unter den dort definierten Voraussetzungen folgende Rechte des Betroffenen haben: Recht auf Auskunft über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder Widerspruchsrecht gegen die Verarbeitung sowie Recht auf Datenübertragbarkeit. Auch haben Sie gemäß Artikel 77 DSGVO das Recht der Beschwerde bei einer Datenschutz-Aufsichtsbehörde. Wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a DSGVO oder Artikel 9 Absatz 2 Buchstabe a DSGVO beruht (Einwilligung) haben Sie ferner das Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.
Datenschutzbeauftragter
Der für die <Unternehmensname> zuständige Datenschutzbeauftragte ist >Name< (UIMC; <Mail-Adresse einfügen>).
Datenschutz auch für KMU 34
VvV I
Datenschutz auch für KMU 35
VvV II
Datenschutz auch für KMU 36
VvV III
Datenschutz auch für KMU 37
VvV – Risiko I
Datenschutz auch für KMU 38
VvV – Risiko II
Datenschutz auch für KMU 39
VvV – Risiko III
Datenschutz auch für KMU 40
VvV - Muster
Datenschutz auch für KMU 41
Diskussion - Fragen
Datenschutz auch für KMU 42
Haben Sie noch Fragen?
Datenschutz auch für KMU 43
UIMC DR. VOSSBEIN GMBH & CO. KGNützenberger Straße 11942115 WuppertalTelefon: (0202) 265 74 - 0Telefax: (0202) 265 74 - 19E-Mail: [email protected]: www.UIMC.de
UIMCert GmbHMoltkestraße 1942115 WuppertalTelefon: (0202) 3 09 87 39Telefax: (0202) 3 09 87 49E-Mail: [email protected]: www.UIMCert.de
akkr
editi
ert d
urch
: