EU-Datenschutzbeauftragter - EDV- / IT-Gutachter


EU-Datenschutzbeauftragter

Von der Deutschen Sachverständigen Gesellschaft GmbH geprüfter und anerkannter

EU-Datenschutzbeauftragter 

 

  

Peer Böttcher

Peer Böttcher  

Ing. der physik.Technik

Geschäftsführender Gesellschafter der DAuB GmbH

(Digitale Auswertung und Beweissicherung GmbH)

 

Am 25.05.2018 tritt die EU-DSGVO (Datenschutzgrundverordnung) im europäischen Raum in Kraft. Sofern Sie noch nicht sicher sind, ob auch alles von Ihnen entsprechend eingerichtet ist, wenden Sie sich an uns.

 

Für Sie:

 -  Wir stellen den externen EU-Datenschutzbeauftragten

 -  Wir führen ein kurzes Audit.Sie erkennen, was noch zu tun wäre.

 -  Wir übernehmen diesbezügliche Aufgaben, die Ihre Crew entlastet.

 

Das Speichern personenbezogener Daten ist verboten.

Ausser: Erlaubst durch


 * Gesetz

 * Verordnung 

 * Betreibsvereinbarung (BVG)

 * Vertrag

 * Einwilligung


Wir prüfen gemeinsam mit Ihnen, unter welchen Bedingungen eine Speicherung personsenbezogener Daten möglich ist.

 

Antworten auf 4 Fragen:

 

1. Frage - Wo finde ich personenbezogene Daten und was bedeuten sie?

 

„Personenbezogene Daten" sind jene, die sich auf einen identifizierten oder identifizierbaen EU-Bürger beziehen. Also beispielsweise Einträge in Kundendatenbanken, wie Name, Geburtstag oder Postanschrift.

 

Aber auch Daten aus Feedback-Bögen sowie E-Mail-Inhalte, Foren oder Sequenzen von Überwachungskameras. lsabel spielt es keine Rolle, ob die Daten innererhalb von der EU gespeichert werden oder nicht. 

 

Sie können jederzeit erfragen,wo genau Ihre Daten gespeichert wurden.

Die Angabe „im Rechenzentrum" oder „in der Cloud" reicht nicht.

Liegen die Daten in einer Excel-Tabelle oder doch in der Datenbank des SAP-Systems? Bei der Bestandsaufnahme ist es wichtig, sämdiche Kopien des Datensatzes zu erfassen, also beispielsweise Excel-Tabellen mit Kundendaten, die aus einer Business-Anwendung erstellt wurden. Nur so können Unternnehmer dem gesetzlich verankerten Löschwillen nachkommen. 

 

 2. Frage - Wie können Zugriffe auf personenbezogene Daten gesteuet werden? 

 

Unternehmen müssen sicherstellen, dass sie rechtmäßig mit den von ihnen verarbeiteten personenbezogenen Daten umgehen. Sie müssen also genau fesdegen, wie die Firma die Daten nutzt und wie darauf zugegriffen werden darf.

 

Mi Inkrafttreten der EU-DSGVO können Personen, von denen ein Unternehmen Daten gespeichert hat, beispielsweise verlangen, dass die Daten korrigiert oder gelöscht werden. In manchen Fällen müssen hier bestimmte Fristen eingehalten werden. 

 

Haben Unternehmer im ersten Schritt ermittelt, wo genau die Daten liegen, gilt es nun im zweiten Schritt einen Data-Governance-Plan zu entwickeln und umzusetzen. Dieser Plan unterstützt beim Festlegen von Richtlinien, Rollen und Verantwordichkeiten im Unternehmen. 

 

So wird sichergestellt, dass der Antrag von Löschung der Daten auch tatsächlich ausgeführt wird - auch wenn mehrere Abteilungen involviert sind. 

 

 3. Frage - Wie können Schwachstellen und Pannen vermieden werden?


Die DSGVO legt die Messlatte in Sachen IT-Sicherheit hoch. Sie verlangt von Unternehmern, dass sie geeignete technische (etwa Verschlüsselung) und organisatorische (wie Zugriffskontrollen) Maßnahmen ergreifen, um personenbezogene Daten vor Verlust oder unbefugtem Zugriff zu schützen. 


Die Gefahr für Daten droht von vielen Seiten: Von physischem Zugriff durch Unbefugte oder böswillige Mitarbeiter, über den versehentliehen Verlust, bis hin zu Hackern. Um mögliche Schwachstellen zu identifizieren, empfiehlt sich zunächst eine Gap-Analyse: Welche Schutzmechanismen gibt es im Unternehmen bereits und welche verlangt die DSGVO?


Diese Analyse muss dokumentiert werden, damit sie im Falle einer Datenpanne der Aufsichtsbehörde vorlegt werden kann. Gab es keine nach Risiken priorisierte Liste der abzuarbeitenden Punkte, so kann sich das Fehlen auf die Höhe eines möglichen Bußgeldes auswirken. 


4. Frage - Wie und wo können Datenschutzverstöße gemeldet und wie muss die Dokumentation aufbewahrt werden?


Unternehmen müssen mit der DSGVO noch transparenter werden. Die DSGVO setzt neue Maßstäbe bei Transparenz, Rechenschaftspflicht und Dokumentation. 


Unterehmen, die personenbezogene Daten verarbeiten, müssen verschiedene Punkte dokumentieren. Dazu gehören: 


 * Zwecke der Verarbeitung
 * Kategorien der verarbeiteten personenbezogenen Daten

 * Die Identität von Dritten, mit denen Daten geteilt werden

 * Ob Drittländer personenbezogene Daten erhalten und die Rechtsgrundlage für solche  Übertragungen

 * Organisatorische und technische Sicherheitsmaßnahmen

 * Datenaufbewahrungszeiten

 

Neu ist die Meldepflicht!

Kommt es zu einer Datenpanne, muss der Verantwordiche diese unverzüglich der zuständigen Aufsichtshehörde melden. Zu melden ist spätestens innerhalb der nächsten 72 Stunden, nachdem dem Unternehmen die Verletzung bekannt wurde. Eine Ausnahme gibt es dann, wenn das Datenleck wahrscheinlich kein Risiko für die Rechte und Freiheiten natürlicher Persoen bedeutet.