Das YourRate-Siegel - Für Transparenz und Vertrauen
we secure IT Fachkompetenz aus einer Hand

Unsere Datenschutzberatung hilft nicht nur bei der Umsetzung rechtlicher Pflichten. Wir beraten Unternehmen zum Datenschutz.

Datenschutzberatung
we secure IT Fachkompetenz aus einer Hand

Betrieblicher Datenschutz mit Ihrer Datenschutzberatung. Wir helfen bei der Einhaltung der Datenschutz-Compliance.

Rechtliche Pflichten
we secure IT Fachkompetenz aus einer Hand

Entwicklung und Administration Ihrer IT-Infrastruktur: Wir erstellen individuelle IT-Lösungen für Ihr Unternehmen in Münster, Warendorf, Steinfurt und Umkreis.

IT-Infrastruktur
Laptop Lock

Aktuelles von DSB Münster GmbH

DSGVO kostet Nerven?

10.04.2018 13:55:31

Datenschutz, Datensicherheit, Datenschutzbeauftragter und die Umsetzung der DSGVO.

Die DSB Münster GmbH ist seit Gründung 2011 auf die Bereiche Datenschutz und Datensicherheit spezialisiert. Viele Jahre Erfahrung bei der Stellung externer Datenschutzbeauftragter, Entwicklung von Datenschutzkonzepten sowie Beratung und Konzeptionierung von IT-Sicherheitslösungen sind die Basis des Erfolges. Neben der Umsetzung der gesetzlichen Datenschutzvorschriften im Unternehmen ergeben sich zusätzliche Mehrwerte und Vorteile durch eine individuelle Beratung und ergänzende Lösungen, die ein externer Datenschutzbeauftragter der DSB Münster GmbH einbringt.

Ralf Bakenecker, der Geschäftsführer des Unternehmens, sagt: „Daten sind die heutigen Werte im Unternehmen. Kunden-, Lieferanten-, Mitarbeiterdaten und natürlich auch die Konstruktions-, Kalkulations- oder Verfahrensdaten. Diese Daten sind Ihre Werte und müssen nicht nur aus wirtschaftlichen Gründen geschützt werden, denn insbesondere die personenbezogenen Daten sind durch die DSGVO und durch weitere gesetzliche Regelungen zu schützen.“

Umsetzung der DSGVO bis 25. Mai 2018

Die Unternehmen befinden sich in einer Bredouille. Zum einen fehlen detaillierte Vorgaben zur Umsetzung der DSGVO und zum anderen können bei der Nichteinhaltung immense Bußgelder verhängt werden, die sich nur durch eine konforme Umsetzung der Datenschutzbestimmungen vermeiden lassen.

„Was muss ICH tun?“

Die DSGVO verlangt eine umfangreiche Dokumentation – am besten durch ein strukturiertes Datenschutzmanagementsystem! Dazu gehört ein qualifiziertes Datenschutzkonzept mit einem Datenschutzbeauftragten, der die Einführung im Unternehmen begleitet und mit seiner Erfahrung eine schnelle und effiziente Umsetzung gewährleistet. Dabei kann die Rolle des Datenschutzbeauftragten zwar sowohl durch einen internen Mitarbeiter des Unternehmens als auch durch einen extern benannten Datenschutzbeauftragten erfüllt werden; ein DSGVO-qualifizierter Datenschutzbeauftragter wird vorausgesetzt. Viele Unternehmen haben jedoch nicht die Zeit und die Ressourcen, um einen qualifizierten Datenschutzbeauftragten zur Verfügung zu stellen und ein eigenes Datenschutzkonzept zu entwickeln. Damit wäre die fristgerechte Umsetzung der DSGVO gefährdet. Die DSB Münster hat ein Datenschutzkonzept auf Basis verschiedener Normen entwickelt. Die Umsetzung der DSGVO wird damit erleichtert und deutlich verkürzt. Als Leitfaden dazu dienen die VdS-Richtlinien 10010, welche durch weitere anerkannte Standards, wie ISO 27001 und BSI-IT-Grundschutz, ergänzt werden, sodass nach erfolgreicher Umsetzung ein umfassendes Konzept, das den Datenschutz im Unternehmen dokumentiert und für Ihr Unternehmen einen wichtigen Teil der Rechenschaftspflicht darstellt, vorhanden ist. Die DSGVO verlangt nicht mehr allein die Funktionsfähigkeit des Datenschutzes, sondern es wird vielmehr ein Nachweis über die Umsetzung der geforderten Grundsätze in der DSGVO erforderlich. Im Prozess der Entwicklung des Datenschutzkonzepts muss zunächst identifiziert werden, bei welchen Geschäftsprozessen personenbezogene Daten verarbeitet werden. Sodann wird festgestellt, aus welchen Gründen eine Verarbeitung personenbezogener Daten erforderlich ist, sodass die Rechtmäßigkeit der Verarbeitung anhand der in der DSGVO vorgegebenen Kriterien überprüft werden kann. Daraufhin wird ermittelt, wie sicher die Daten in Ihrem Unternehmen verarbeitet werden, und bei Bedarf werden Maßnahmen getroffen, die gewährleisten, dass die Daten DSGVO-konform verarbeitet werden. Durch die Berücksichtigung dieser Aspekte in Ihrem Datenschutzmanagementsystem ist die Umsetzung der DSGVO ein Leichtes, und mit der Unterstützung der DSB Münster GmbH kostet dieser Umsetzungsprozess Ihr Unternehmen auch keine Nerven.

Die größten Datenschutzbeauftragte im Münsterland - 1. Platz DSB Münster GmbH

Wir ziehen um – unsere neue Anschrift!

Nach über sechs erfolgreichen Jahren sind wir aus unseren bisherigen Geschäftsräumen rausgewachsen und haben nun neue Geschäftsräume in Münster gefunden.

Besondere Ansprüche an ein angenehmes helles Raumkonzept, kommunikative Raumaufteilung mit Meeting-Points zum intensiven Austausch, sowie gute Erreichbarkeit waren wichtige Kriterien bei der Auswahl und wurden in den neuen Räumlichkeiten am Martin-Luther-King-Weg erfüllt. Ergänzt wird unsere neue Arbeitsumgebung durch ein neues Konzept mit neuen und besonders ergonomischen Arbeitsplätzen um ein angenehmes Arbeitsumfeld zu schaffen.

Wir ziehen in der Woche vom  8.01.2018 - 13.01.2018 in unsere neuen Räumlichkeiten, es kann daher zu kurzfristige Einschränkungen in der Erreichbarkeit kommen.

 

Ab dem 15.01.2018 haben wir unseren neuen Firmensitz am:

Martin-Luther-King-Weg 42-44

48155 Münster

 

Die bisherigen Kommunikationswege bleiben natürlich unverändert, Sie erreichen uns wie gewohnt per Email und Telefon.

Das DSB-Team wünscht Ihnen bereits an dieser Stelle ein frohes Weihnachtsfest und einen guten Rutsch in das neue Jahr!

Umzugsbild

Ratgeber: Krisenmanagement im Datenschutz

03.01.2017 12:24:45

Datenschutzvorfälle erkennen und

richtig reagieren

Glücklich sind diejenigen Datenschutzbeauftragten, die es noch nicht erlebt haben: die Datenschutzkrise!

Aber wenn es dann so weit ist, dann ist der Datenschutzbeauftragte gefordert. Alle Beteiligten sind hellwach, jeder hofft, nicht verantwortlich zu sein und „lückenlose Aufklärung“ wird gefordert.

Der vorliegende Ratgeber zeigt einen Prozess auf, der angefangen bei der Meldung eines Datenschutzvorfalls über die erforderlichen Prüf­schritte und der Entscheidungsfindung bis hin zur Aufarbeitung der Krise im Nachgang möglichst frühzeitig im Unternehmen gelebt werden sollte.

 

 

 

Dabei werden auf jeder Stufe einer Bearbeitung nützliche Tipps gegeben und mit Beispielen unterlegt. Insbesondere wurde darauf geachtet, dass Datenschutz nur ein Teilbereich der bestehenden Unternehmensorganisation ist und sich idealerweise an die vorhandenen Strukturen anlehnen sollte. Nur so kann es gelingen, alle Verantwortlichen in den Prozess zu integrieren und effizient auf eine Datenschutzkrise zu reagieren.

Der praktische Ratgeber ist als Taschenbuch (Buch, Softcover, ca. 68 Seiten) direkt hier über unser Kontaktformular bestellbar oder ab  Q1/2017 über die ISBN 978-3-00-054828-4 z. B. über amazon.de.

Cover Klein

Vorsicht! Prüfung der rechtskonformen Datenübermittlung in Drittstaaten

02.12.2016 12:22:04

Neben den immer häufiger dargestellten Datenschutzvorkommnissen in den Medien haben zwei Ereignisse in 2016 besondere Bedeutung für deutsche Unternehmen und Konsequenzen für die Umsetzung des Datenschutzes in den kommenden Jahren.

Datenschutzbehörden überprüfen internationale Datentransfers

In den letzten Jahren hat die Beauftragung externer Dienstleister, die in Drittstaaten (nicht EU/EWR) personenbezogene Daten verarbeiten, erheblich zugenommen. Dies ist auf Grund der wirtschaftlichen Globalisierung, aber auch insbesondere durch die immer umfangreichere Nutzung von Cloud-Diensten (Microsoft Office 365, Customer-Relationship-Management etc.) bedingt. So lassen viele kleinere und mittelständische Unternehmen personenbezogene Daten ihrer Kunden, Mitarbeitern oder Bewerbern durch externe Dienstleister verarbeiten, die ihre Server außerhalb der EU/des EWR betreiben.

Werden Daten in Drittstaaten übermittelt und dort verarbeitet, sind die Unternehmen gesetzlich dazu verpflichtet, ein angemessenes Datenschutzniveau sicherzustellen (§§ 4b, 4c BDSG).

Dieses angemessene Schutzniveau kann auf mehreren Wegen hergestellt werden. Die wichtigste Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA war das Safe Harbor Agreement. Ende 2015 hat der Europäische Gerichtshof Safe Harbour für unwirksam erklärt. Seitdem haben die US-Regierung und die EU sich auf den so genannten Privacy Shield verständigt. Andere Rechtsgrundlagen sind die EU-Standardvertragsklauseln, die Binding Corporate Rules und die Einwilligungen der betroffenen Personen.

Die Datenschutzbehörden machten jedoch oft die Erfahrung, dass vielen Unternehmen gar nicht bewusst ist, in welchem Umfang sie personenbezogene Daten in das Ausland übermitteln. Auch fehle den Unternehmern das Bewusstsein für die datenschutzrechtlichen Anforderungen solcher Datenübermittlungen.

Durch die Prüfaktion soll nun die Sensibilität der deutschen Unternehmen für die Rechtslage gestärkt werden.

Von großer Bedeutung für die Prüfaktion dürfte auch die anhaltende Debatte um die Rechtmäßigkeit von Datentransfers in die USA gewesen sein. Das starke Interesse der Behörden für Datenübermittlungen in Drittländer ist daher wenig überraschend.

Die Behörden haben in den letzten Monaten bereits damit angefangen Unternehmen anzuschreiben, sie nach der Übermittlung von personenbezogenen Daten zu befragen und die Rechtmäßigkeit zu überprüfen. Die Unternehmen werden laut den Landesbehörden nach dem Zufallsprinzip ausgewählt, wobei ein Augenmerk daraufgelegt wird, dass Unternehmen unterschiedlicher Branchen und Größenordnungen angeschrieben werden.

Wird bei der Überprüfung festgestellt, dass personenbezogene Daten rechtswidrig übermittelt werden, können die Datenschutzbehörden, bei derartigen Verstößen, Bußgelder bis zu 300.000 € verhängen (siehe §§ 38, 42 BDSG).

Bei der Bearbeitung der Fragebögen sind wir gerne behilflich.

Die EU- Datenschutzgrundverordnung

Am 25. Mai 2016 wurde die Datenschutzverordnung im Parlament der Europäischen Union verabschiedet. Nach einer zweijährigen Übergangszeit wird die EU DSGVO angewendet und die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) ersetzen. Von da an geht die Verordnung jeder inländischen Regelung (z.B. das Bundesdatenschutzgesetz) vor. Mit dem Stichtag 25. Mai 2018 endet die Übergangsfrist. Bis dahin muss jedes Unternehmen, das personenbezogene Daten von Mitarbeitern, Kunden, Patienten, Bewerbern etc. verarbeitet, die Umsetzung in die Praxis erledigt haben. Die Datenschutzbehörden können nämlich ab diesen Zeitpunkt Bußgelder verhängen.

Die DSGVO soll das Datenschutzrecht in der Europäischen Union weitgehend vereinheitlichen und hinsichtlich Datenerhebung, -verarbeitung und -sicherung dieselben Standards gewährleisten.

Für Unternehmen hält die Datenschutzgrundverordnung viele Neuerungen bereit. Hier eine Auswahl der Neuerungen:

-        Marktortprinzip
Unternehmen mit Sitz außerhalb der EU müssen die DSGVO befolgen, wenn sie Dienstleistungen in der EU anbieten

-        One-Stop-Shop-Mechanismus
Unternehmen haben bei grenzüberschreitendem Datentransfer nur mit einer Datenschutzbehörde, mit der an ihrem Hauptsitz, zu tun.

-        „Privacy by Design“
Der Datenschutz soll schon in der Phase der Entwicklung in die Produkte und Dienstleistungen eingebaut werden.

-        „Privacy by Default“ 
Privacy by Default ist sehr ähnlich wie Privacy by Design. Produkte sind also standardmäßig datenschutzfreundlich eingestellt.

-        Transparenz
Die Informationen für Betroffene (Kunde, Nutzer etc.) über die Datenverarbeitung müssen klarer und verständlicher sein.

-        Melde- und Benachrichtigungspflichten bei Datenschutzvorfällen
Unternehmen haben umfassendere Meldepflichten gegenüber der Aufsichtsbehörde sowie Benachrichtigungspflichten gegenüber den betroffenen Personen, als die bisherige Regelung in § 42a BDSG dies tut.

-        Löschpflichten
Die DSGVO sieht umfassendere Löschpflichten für Unternehmen vor, der Verantwortliche muss personenbezogene Daten ohne unangemessene Verzögerung löschen (vgl. § 17 I DSGVO)

-        Recht auf Vergessen werden 
Die Verantwortliche Stelle muss auch die Datenempfänger darüber informieren, dass eine Löschpflicht eingetreten ist.

-        Dokumentations- und Nachweispflichten „Rechenschaftspflicht“ 
Die Verordnung sieht für Verantwortliche und Auftragsdatenverarbeiter nachdrücklich erweiterte Nachweispflichten vor (sogenannte „Rechenschaftspflicht“). Art. 5 II DSGVO schreibt vor, dass der Verantwortliche nachweisen können muss, dass er die in Art. 5 I DSGVO geregelten Datenschutzgrundsätze einhält

-        Höhere Bußgelder
Der neue Bußgeldrahmen der durch die EU-DSGVO vorgegeben wird, kann dabei bis zu 20 Mio. Euro bzw. 4% des weltweiten Jahresumsatzes ausmachen

Sec1

Die Galgenfrist endet – Archivierung wird zur gesetzlichen Pflicht – ohne weitere Hintertüren!

03.11.2016 12:22:24

Dass die E-Mail-Archivierung eine gesetzlich manifestierte Pflicht ist, wissen Sie sicherlich bereits. Nun jedoch tritt mit Beginn des kommenden Jahres nochmals eine weitreichende Änderung in diesem Bereich ein. Denn ab dem 1. Januar 2017 gelten die „Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) vollumfänglich. Letzte Schonfristen laufen somit zum 31. Dezember 2016 ab,, juristische Übergangsfristen enden.

Soll heißen: Die Pflicht zur Archivierung jeglicher elektronischer Dokumente gilt für alle Unternehmen, die Geschäfte auf dem digitalen Weg abwickeln – unabhängig von Größe, Branche oder Zusammensetzung -, nun vollumfänglich und ausnahmslos! Werden Angebote, Rechnungen, Handlungsbriefe etc. per E-Mail kommuniziert, ist das Unternehmen im Zugzwang: Spätestens bis zum 31. Dezember 2016 muss eine entsprechende Archivierungslösung implementiert sein.

Steigende Unternehmenskosten bei falscher Umsetzung

Ab sofort muss beispielsweise jeder Wirtschaftsprüfer jegliche nicht ordnungsgemäß archivierten Geschäftsunterlagen ahnden – und das kann Unternehmen teuer zu stehen kommen, nicht nur hinsichtlich des Strafmaßes. Denn auch die Prozesse auf dem Weg hin zur gesetzestreuen Umsetzung können, nicht rechtzeitig und ohne die richtigen Mittel realisiert, immense Kosten verursachen. Der Grund: Sie greifen nicht selten in den organisatorischen Arbeitsalltag ein und fressen so nicht nur Zeit, sondern auch Geld.

Ein System zur E-Mail-Archivierung ist unumgänglich

Doch was genau hat es mit dem vollumfänglichen Inkrafttreten der GoBD auf sich? Die GoBD haben die alten Grundsätze GDPdU und GoBS zur Archivierung elektronischer Dokumente abgelöst und regeln seit dem 01.01.2015 unter anderem die gesetzliche Aufbewahrungspflicht elektronischer Geschäftsdokumente, -vereinbarungen und -aufzeichnungen sowie deren Unveränderbarkeit. Dabei müssen die genannten Materialien nicht nur auffindbar, sondern auch stets abrufbar sein.

In Sachen E-Mail-Archivierung schließt sich diesbezüglich nun auch das letzte Hintertürchen, auf das Sie eventuell in ihrer bisherigen Argumentation noch gestützt haben: die gesetzlich erlaubte Übergangsfrist. Stattdessen ist die Archivierung elektronischer Post ein rechtlich vorgegebenes Muss ohne Ausreden. Um diesen Auflagen des Gesetzgebers gerecht zu werden, ist ein Archivsystem unabdingbar. Denn nur ein solches garantiert diese genannte technische Unveränderbarkeit!

Nur durch Einsatz einer E-Mail-Archivierung können Sie den gesetzlicher Vorgaben entsprechen und rechtsgemäß elektronische Daten aufbewahren.

Rechtssicherheit mit optimalem Preis-Leistungs-Verhältnis

Inzwischen haben wir viele Unternehmen erfolgreich mit einer Email-Archivierung der Firma Securepoint ausgestattet.

Die Securepoint UMA (Unified Mail Archive) ist verfügbar als Software, virtuelle Maschine oder vorkonfigurierte Hardware (Appliance) und kann in kürzester Zeit eingesetzt werden.

Die Securepoint UMA ist „made in Germany“ und bietet nicht nur eine manipulationssichere, gesetzestreue Email-Archivierung, sondern auch ein optimales Preis-Leistungs-Verhältnis inklusive intuitiver Bedienbarkeit.

Reagieren Sie schnell, nutzen Si eunser Kontaktformular, wir melden uns umgehend um Ihnen ein persönliches Angebot zu erstellen.

Post

FuB - Event am FMO - Jetzt anmelden! Datenschutz und Datensicherheit für Unternehmen

03.10.2016 12:22:51

Datenschutz und Datensicherheit für Unternehmen

Wie Unternehmen nicht nur re-agieren sondern aktiv und strukturiert Cyber-Risiken vermeiden und behandeln. Kostenfreie Vortragsveranstaltung zu den IT-Bedrohungen für Unternehmen am 24.10.2016 am Flughafen Münster-Osnabrück von 17:00 Uhr bis ca. 19:30 Uhr Im Raum 4-5 im Obergeschoss nähe Besucherterrasse

Nicht nur die Computer in Büro und Verwaltung von Unternehmen sind potentielle Angriffsziele für CyberKriminelle. Immer mehr Maschinen, Steuerungen, Kameras sind über die IT-Infrastruktur vernetzt und allesamt bieten Angriffsfläche für Kriminelle oder sogar für Spionage durch die Konkurrenz. So führt das Allianz Risk Barometer solche sogenannten Cyber-Risiken bereits an dritter Stelle der von globalen Risikomanagern als größte Bedrohungen für das Unternehmen eingestuften Gefahrenquellen. Die Wahrnehmung und Bedeutung dieser Cyber-Risiken unter den Experten hat sich sein 2013 vervierfacht.


Beispielsweise legen Angriffe mit Ransomware legen die gesamten IT-Systeme lahm, sind aber „laut“ und damit erkennbar und zu reparieren. Die wahren Hacker-Angriffe lauern leise im Hintergrund des Internet und schlagen umso zerstörerischer für die Datenintegrität und IT-Prozesse zu. Beispiele finden sich beinahe täglich in den Medien, ganz nach dem Motto: „Die größten Bankraube finden im Internet statt!“  Damit Unternehmensvertreter nicht nur reagieren sondern aktiv und systematisch Schutz für Ihr Unternehmen aufbauen – und das unter wirtschaftlichen Aspekten – brauchen Sie ein Konzept, das Sie verstehen und managen können. Das größte Problem liegt aber in der Fehleinschätzung, der Virenscanner fange alle Angriffe auf und die ITTechnik sei bestens ausgerüstet, weil sie teuer genug war.

Der Virenscanner (wenn er aktuell ist) kann nur auf bekannte Angriffe reagieren und kann Sie nicht vor neu erfundener Malware schützen. Dabei entstehen 80% der Cyber-Risiken in der Organisation und haben nichts mit IT-Technik zu tun; sind technisch auch gar nicht lösbar. Die aktuellen Bedrohungen bestehen in Angriffen auf Passwörter, in Social Engeneering, versehentlichen Datenweitergaben und in technischen Angriffen außerhalb Ihres Unternehmens.

Die Vorträge sollen Vertreter der Unternehmen aus der Region anregen, eigene und wirtschaftlich vernünftige Konzepte für Ihr Unternehmen zu etablieren und ein Gefühl für die bestehende oder eben noch nicht bestehende IT-Sicherheit zu erfahren.

Referenten:

  • Ralf Bakenecker, Marcus Rose, Geschäftsführer der DSB Münster GmbH
  • Heiner Niehüser, selbständiger Datenschutz- und QM-Beauftragter


Anmeldungen zu der kostenlosen Veranstaltung sind bis zum 14.10.2016 möglich unter: veranstaltung@fub-online.de


Das Forum unabhängiger Berater (FuB) e.V. ist ein mit damaliger Unterstützung der IHK NordWestfalen im Jahre 2001 gegründeter regionaler Beraterverband zur Förderung der Qualität von Unternehmensberatungen. Weitere Informationen unter www.fub-online.de

Kontakt: Geschäftsstelle FuB e.V., Krögersweg 13, 48155 Münster 1. Vorsitzender Malte Linder, Telefon 0173/7209539, E-Mail: m.linder@fub-online.de

FuB

Die EU-Datenschutzgrundverordnung (DSGVO) ist da!

03.08.2016 12:23:28

Am 25. Mai 2016 wurde die neue Verordnung zum Datenschutz im Parlament der Europäischen Union (EU) verabschiedet. Durch eine zweijährige Übergangszeit muss sie zwar erst ab dem 25. Mai 2018 angewendet werden und die bereits seit 1995 geltende EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) ersetzen. Wenn im Mai die EU-DSGVO in Kraft tritt, muss jedoch die Umstellung bereits durchgeführt sein. Jedes Unternehmen, das personenbezogene Daten verarbeitet - seien es die von Mitarbeiter, Kunden, Patienten  oder Partnern - ist von der Datenschutzreform betroffen. Wir raten ihnen daher, sich zeitnah mit den neuen Anforderungen vertraut zu machen und die Übergangsfrist zu nutzen.

Einheitlicher Datenschutz in Europa durch EU-Datenschutzgrundverordnung

Die bisherigen Datenschutzgesetze stammen aus dem Jahr 1995. Die  Mitgliedsstaaten der Europäischen Union hatten eigene, und meist unterschiedlich umgesetzte Datenschutzgesetze, so dass ein ungleiches Datenschutzniveau innerhalb der Europäischen Union herrschte. Mit der EU-Datenschutzgrundverordnung gilt nun ein einheitliches Datenschutzrecht in allen Mitgliedstaaten.

Zugleich wird die Arbeit der Aufsichtsbehörden für Datenschutz und Datensicherheit vereinheitlicht. Neu ist, dass auch Unternehmen die in Europa keine Niederlassung unterhalten, aber europäischen Bürgern Dienstleistungen oder Waren anbieten dieser Datenschutzgrundverordnung unterliegen. 

Eine Mischung aus neuen und alten Grundsätzen

Einige Grundsätze aus dem Bundesdatenschutzgesetz (BDSG) bleiben mit der neuen Datenschutzverordnung erhalten. Nach wie vor stehen alle Verarbeitungsvorgänge mit personenbezogenen Daten unter dem Verbot mit Erlaubnisvorbehalt. So ist für jede Verarbeitung der Daten eine Ermächtigungsgrundlage notwendig, welche den konkreten Verarbeitungsvorgang erlaubt. Auch in Zukunft dürfen die erhobenen Daten nur für den genannten und dem zugestimmten Zweck verwendet werden (Zweckbindungsprinzip). Auch erhalten bleibt der Grundsatz der Datensparsamkeit.

Es kommen aber auch neue Grundsätze dazu, die Unternehmen bei der Verarbeitung von personenbezogenen Daten Beachtung schenken müssen.

Hier eine Übersicht über die wichtigsten Erneuerungen: 

  • Recht auf Vergessen
    Das sogenannte Recht auf Vergessen wird durch die Datenschutzverordnung gestärkt. Die EU-DSGVO stellt dabei  klare Vorgaben auf, wann sich Nutzer auf dieses Recht berufen können und wie Unternehmer dieses dann umzusetzen haben.
  • Opt-in" statt "Opt-out
    Sollen personenbezogene Daten verarbeitet werden, müssen Nutzer der Verarbeitung aktiv zustimmen
  • Recht auf Transparenz
    Nutzer sollen leichteren Zugang zu ihren personenbezogenen Daten haben. Jeder hat damit das Recht zu erfahren, welche Daten über ihn gesammelt werden. Zudem wird der Betroffene  Anspruch auf klare und leicht verständliche Informationen darüber haben, wer seine Daten zu welchem Zweck wo und wie verarbeitet.
  • Mindestalter
    Nach DSGVO steigt das Mindestalter für die Abgabe einer rechtswirksamen willigung in die Verarbeitung personenbezogener Daten auf 16 Jahre
  • Datenportabilität
    Datenportabilität ist das Recht, die eigenen Daten von einem Ort oder Dienst (soziale Netzwerke)  zu einem anderen zu bewegen. Es ist ein Schlüsselrecht um eine effektive Kontrolle über personenbezogene Daten zu gewährleisten.  
  • Risiko- und Folgenabschätzungen
    Die Vorabkontrolle vor Beginn der Verarbeitung sensibler Daten wird durch neue Risiko- und Folgenabschätzungen abgelöst.
  • Bußgelder: Anders als bislang wird die Höchstsumme für Bußgelder bei Datenschutzverstößen nicht mehr in starren Werten angegeben, vielmehr können künftig Bußgelder in Höhe von bis zu 4 Prozent der Jahresumsätze des Unternehmens verhängt werden.
  • Datenschutzverstoß
    Unternehmen müssen schneller als bisher über Datenlecks informieren und daher innerhalb von 24 Stunden ihrer  behördlichen Meldepflicht nachkommen

 

EU - US Privacy Shield - Daten legal in die USA übermitteln.

Seit dem Safe Harbor-Urteil des Europäischen Gerichtshofes (EuGH) stehen Datentransfers in die USA auf rechtlich wackeligen Füßen. Mit der Unterzeichnung der Privacy Shield Vereinbarung, durch die EU-Kommissarin Vera Jourová und der US-Handelsministerin Penny Pritzker, am Dienstag den 12.07.2016, soll die Übermittlung von personenbezogenen Daten an US amerikanische Unternehmen unter bestimmten Voraussetzungen nunmehr rechtskonform sein. Auch soll die Vereinbarung gleichzeitig die EU-Bürger vor einer Überwachung schützen.

Unter welchen Voraussetzungen ist ein Datentransfer in die USA möglich?

Im datenschutzrechtlichen Sinne bleibt die USA weiterhin ein unsicherer Drittstaat. Um nun ein angemessenes Datenschutzniveau erreichen zu können, muss sich das US-Unternehmen (Datenempfänger) selbstzertifizieren. Ab dem 1. August 2016 können Unternehmen den Datentransfer in die USA auch auf das EU-US Privacy Shield stützen. 

 Wie können Unternehmen sich auf das Privacy Shield stützen?

Europäische Unternehmen können sich auf die Privacy Shield Vereinbarung berufen, wenn bei einer Datenübertragung, sich die betroffenen US-Unternehmen gemäß dem Privacy Shield zertifizieren lassen.

Die Selbstzertifizierung ähnelt in vielen Punkten dem Safe Harbor. Das Unternehmen wird bei der Zertifizierung vom US-Department of Commerce (US-Handelsministerium) unterstützt und begleitet. Zertifizierte Unternehmen werden dann von der zuständigen Behörde auf einer offiziellen Internetseite gelistet.

Durch die Selbstzertifizierung entsteht nun ein angemessenes Datenschutzniveau im Sinne des § 4b II BDSG.       

Ob die Änderungen am Zertifizierungsverfahren auch den europäischen Datenschutzbehörden Genüge tun ist noch abzuwarten. Eine offizielle Stellungnahme der nationalen Aufsichtsbehörden zu dieser Thematik fehlt bisher.

Bin ich mit Privacy Shield rechtsicher?

Da die Kritik am Privacy Shield Abkommen nicht abreißt, ist nicht auszuschließen, dass auch dieses Abkommen bald einer gerichtlichen Überprüfung zugeführt wird und gegebenenfalls, wie auch Safe Harbor, durch den Europäischen Gerichtshof gekippt wird.

Nationalen Unternehmen wird daher empfohlen, auch auf andere Möglichkeiten, zur Schaffung eines angemessenen Datenschutzniveaus, zurückzugreifen. Neben dem Privacy Shield stehen noch die EU- Standardvertragsklauseln und die Binding Corporate Rules zur Auswahl.