betrieblicher Datenschutzbeauftragter

Seit 2009 berate ich als externer Datenschutzbeauftragter  Unternehmen und Organisationen in Thüringen, Sachsen und Hessen.

Kontaktieren Sie mich

oder rufen Sie mich an.

Datenschutzspezialist für alle Fälle

Als zertifizierter und erfahrener Datenschutzbeauftragter biete ich Unternehmen und Organisationen als externer DSB bewährte Hilfestellung durch den Dschungel an Vorschriften - mit Augenmaß.

Datenschutzbetreuung von Unternehmen diverser Branchen

Automotive

große und kleine Zulieferer sowie einen (u.a.) Fahrzeughersteller

öffentlicher Bereich

mehrere Zweckverbände für Wasserver- und entsorgung

eCommerce

große und kleine Marktteilnehmer

Softwarehersteller

diverse Software- bzw. Apphersteller und IT-Dienstleister

Sozialwirtschaft

soziale Träger in Thüringen und Sachsen mit Einrichtungen wie KITA, Pflegeheime, Servicewohnen, Erziehungshilfen und diversen Beratungsstellen

  • Datenschutz-Grundverordnung

    Die seit 2018 wirksame EU Datenschutz-Grundverordnung verschärft die datenschutzgesetzlichen Anforderungen an Unternehmen.

    Neben der DSGVO wird es weiterhin ein – neues – Bundesdatenschutzgesetz und sektorales Fachrecht mit ausführenden Regelungen zur DSGVO geben.

    Was erwarten konkret die Aufsichtsbehörden für Datenschutz von den Verantwortlichen?

  • Prüfen - Dokumentieren - Nachweisen

    1. Bestandsaufnahme machen

    In einem ersten Schritt sollte eine Bestandsaufnahme der Prozesse erfolgen, in denen personenbezogene Daten verarbeitet werden.

    2. Dokumentation Verarbeitungen

    Im Verzeichnis für Verarbeitungstätigkeiten sollten u.a. die in Art. 30 DSGVO genannten Kerninformationen verarbeitungsweise dokumentiert werden.
    Das Verarbeitungsverzeichnis ist Ausgangspunkt für Prüfungen auf notwendige Anpassungen. Das Verzeichnis dient darüberhinausauch dem Nachweis auf Einhaltung der vielfältigen Vorgaben der DSGVO.

    Auch kann sich daraus die Pflicht einer zu dokumentierenden Datenschutz-Folgeabschätzung ergeben (Art. 35 DSGVO).

    Daneben sind auch mögliche Datenschutzverletzungen zu dokumentieren (data breach notice).

    3. Umsetzung der Grundsätze aus Art. 5 sowie von „Privacy-by-Design“ und „Privacy-by-Default“ 

    Die DSGVO normiert bestimmte Rahmenbedingungen für die Art und Weise, wie die Anforderungen der DSGVO schon bei der Prozessgestaltung und bei Voreinstellungen umzusetzen sind (u.a. Art. 5 DSGVO oder Art. 25 DSGVO Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen). Auch ist künftig eine stärker risikobasierten Ausrichtung der technischen und organisatorischen Schutzmaßnahmen gefordert.

    4. Vertragsverhältnisse und Verträge checken

    Unternehmen sollten insbesondere ihre bestehenden Verträge zur Auftrags(daten)verarbeitung überprüfen und überarbeiten. In den Artikeln 26 bis 28 DSGVO sind Vorgaben für Vereinbarungen mit Auftrags(daten)verarbeitern und zwischen gemeinsam für die Verarbeitung Verantwortlichen vorgesehen. 

  • Informieren

    5. Betroffenenrechte und Informationspflichten umsetzen

    Die in der DSGVO geregelten Betroffenenrechte müssen in den unternehmensinternen Abläufen abgebildet und gegenüber den Betroffenen umgesetzt werden, etwa das Recht auf Löschung (Art. 17) und das Recht auf Datenübertragbarkeit (Art. 20) einschließlich der übergreifenden Rahmenbedingungen (Art. 12) sowie die Informationspflichten des Verantwortlichen (Artikel 13, 14).

    5. Sensibilisieren

    Geschäftsführungen, Datenschutzbeauftragte und andere für das Thema Datenschutz Zuständige sollten innerhalb des Unternehmens dafür sensibilisieren, dass die neuen Datenschutzregelungen angewendet und gelebt werden.

    6. Melde– und Konsultationspflichten organisieren

    Die Melde- und Konsultationspflichten gegenüber den Aufsichtsbehörden (Artikel 33, 36 und 37 DSGVO) müssen in den internen Abläufen des Unternehmens abgebildet werden.

    Dies sollte, auch der Nachweisbarkeit halber, gemäß Art. 24 DSGVO insbes. in Form von Richtlinien bzw. Arbeitsanweisungen zu erfolgen.