betrieblicher Datenschutzbeauftragter
Seit 2009 berate ich als externer Datenschutzbeauftragter Unternehmen und Organisationen in Thüringen, Sachsen und Hessen.
Kontaktieren Sie michoder rufen Sie mich an.
Datenschutzspezialist für alle Fälle
Als zertifizierter und erfahrener Datenschutzbeauftragter biete ich Unternehmen und Organisationen als externer DSB bewährte Hilfestellung durch den Dschungel an Vorschriften - mit Augenmaß.
Datenschutzbetreuung von Unternehmen diverser Branchen
Automotive
große und kleine Zulieferer sowie einen (u.a.) Fahrzeughersteller
öffentlicher Bereich
mehrere Zweckverbände für Wasserver- und entsorgung
eCommerce
große und kleine Marktteilnehmer
Softwarehersteller
diverse Software- bzw. Apphersteller und IT-Dienstleister
Sozialwirtschaft
soziale Träger in Thüringen und Sachsen mit Einrichtungen wie KITA, Pflegeheime, Servicewohnen, Erziehungshilfen und diversen Beratungsstellen
-
Datenschutz-Grundverordnung
Die seit 2018 wirksame EU Datenschutz-Grundverordnung verschärft die datenschutzgesetzlichen Anforderungen an Unternehmen.
Neben der DSGVO wird es weiterhin ein – neues – Bundesdatenschutzgesetz und sektorales Fachrecht mit ausführenden Regelungen zur DSGVO geben.
Was erwarten konkret die Aufsichtsbehörden für Datenschutz von den Verantwortlichen? -
Prüfen - Dokumentieren - Nachweisen
1. Bestandsaufnahme machen
In einem ersten Schritt sollte eine Bestandsaufnahme der Prozesse erfolgen, in denen personenbezogene Daten verarbeitet werden.
2. Dokumentation Verarbeitungen
Im Verzeichnis für Verarbeitungstätigkeiten sollten u.a. die in Art. 30 DSGVO genannten Kerninformationen verarbeitungsweise dokumentiert werden.
Das Verarbeitungsverzeichnis ist Ausgangspunkt für Prüfungen auf notwendige Anpassungen. Das Verzeichnis dient darüberhinausauch dem Nachweis auf Einhaltung der vielfältigen Vorgaben der DSGVO.Auch kann sich daraus die Pflicht einer zu dokumentierenden Datenschutz-Folgeabschätzung ergeben (Art. 35 DSGVO).
Daneben sind auch mögliche Datenschutzverletzungen zu dokumentieren (data breach notice).
3. Umsetzung der Grundsätze aus Art. 5 sowie von „Privacy-by-Design“ und „Privacy-by-Default“
Die DSGVO normiert bestimmte Rahmenbedingungen für die Art und Weise, wie die Anforderungen der DSGVO schon bei der Prozessgestaltung und bei Voreinstellungen umzusetzen sind (u.a. Art. 5 DSGVO oder Art. 25 DSGVO Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen). Auch ist künftig eine stärker risikobasierten Ausrichtung der technischen und organisatorischen Schutzmaßnahmen gefordert.
4. Vertragsverhältnisse und Verträge checken
Unternehmen sollten insbesondere ihre bestehenden Verträge zur Auftrags(daten)verarbeitung überprüfen und überarbeiten. In den Artikeln 26 bis 28 DSGVO sind Vorgaben für Vereinbarungen mit Auftrags(daten)verarbeitern und zwischen gemeinsam für die Verarbeitung Verantwortlichen vorgesehen.
-
Informieren
5. Betroffenenrechte und Informationspflichten umsetzen
Die in der DSGVO geregelten Betroffenenrechte müssen in den unternehmensinternen Abläufen abgebildet und gegenüber den Betroffenen umgesetzt werden, etwa das Recht auf Löschung (Art. 17) und das Recht auf Datenübertragbarkeit (Art. 20) einschließlich der übergreifenden Rahmenbedingungen (Art. 12) sowie die Informationspflichten des Verantwortlichen (Artikel 13, 14).
5. Sensibilisieren
Geschäftsführungen, Datenschutzbeauftragte und andere für das Thema Datenschutz Zuständige sollten innerhalb des Unternehmens dafür sensibilisieren, dass die neuen Datenschutzregelungen angewendet und gelebt werden.
6. Melde– und Konsultationspflichten organisieren
Die Melde- und Konsultationspflichten gegenüber den Aufsichtsbehörden (Artikel 33, 36 und 37 DSGVO) müssen in den internen Abläufen des Unternehmens abgebildet werden.
Dies sollte, auch der Nachweisbarkeit halber, gemäß Art. 24 DSGVO insbes. in Form von Richtlinien bzw. Arbeitsanweisungen zu erfolgen.