DSGVO Grundlagen

Nach einem Erstberatungstermin und Ihrer Bedarfsfestlegung wird auf Grundlage einer IST-Standerhebung ein Konzept und ein Zeitrahmen festgelegt um in Ihrem Unternehmen oder Verein einen datenschutzkonformen Zustand herbeizuführen. Bei dieser Beratung handelt es sich um keine Rechtsberatung. Der Datenschutzbeauftragte spricht lediglich Empfehlungen an den "Verantwortlichen" aus wie ein datenschutzkonformer Zustand in seinem Unternehmen herbeigeführt werden kann. 


Geprüfter/zertifizierter
Datenschutzmanager & Datenschutzbeauftragter
Ein Klick auf die Grafik führt zum WKO Profil

Einzelunternehmer WKO Burgenland

Erstberatung

Am Beginn jedes Projekts steht unser Erstberatungstermin. Sie lernen mich kennen. Ich lerne ihre Firma, Verein, Institution kennen und kläre mit dem "Verantwortlichen" die weitere Vorgangsweise ab.
Ihre Anliegen, Wünsche werden zu meinem Auftrag.

IST - Stand - Erhebung

Ein wichtiger Schritt ist die Erhebung des aktuellen Datenschutz IST-Zustandes und der TOM. Wurden schon Vorarbeiten geleistet oder starten wir bei Null? Wen brauche ich dazu:
- IKT Verantwortlichen
- Sicherheitsbeauftragten
- Die "Verantwortlichen"
- Das "Leitungspersonal"
- Personalabteilung

Konzepterstellung

Nach Abschluss des Datenschutz IST-Zustandes lege ich dem Verantwortlichen ein Konzept zur Einnahme eines datenschutzkonformen Zustandes vor. Zu den gesetzen Meilensteinen erfolgen Zwischenberichte. 

Datums

Dies sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Es müssen alle personenbezogenen Daten samt ihres "Lebenslaufes" sowie deren Herkunft, Verarbeitung, Speicherung, Weitergabe, Archivierung, Löschung bekannt gemacht werden. Ebenso die Zuordnung zu jeweiligen Datenkategorien und zu möglichen besonders schützendswerten Daten im Sinne der DSGVO. 

Verzeichnis 

Wenn alle personenbezogenen Daten ermittelt und zugeordnet sind, erfolgt die Erstellung des Verarbeitungsverzeichnisses.
Jeder Verantwortliche, der personenbezogene Daten verarbeitet muss seine Verarbeitungsvorgänge in einem ausführlichen "Verzeichnis der Verarbeitungstätigkeiten" dokumentieren. Dies kann in einem schriftlichen Dokument oder über ein Datenschutz Management geführt werden. Verarbeitungsverzeichnisse müssen geführt werden.

Richtlinien

Firmeninterne datenschutzrechtliche Richtlinien klären auf Grundlage einer Geschäftseinteilung und Geschäftsordnung die Verantwortlichkeiten und Zuständigkeiten samt Abläufe. Dazu ist die Zusammenarbeit mit dem Qualitätsmanagement, der internen Revision aber auch die Einbindung des Betriebsrates zielführend. Soweit es einen Geheimschutzbeauftragten und einen Sicherheitsbeauftragten gibt sollte auch dieser beigezogen werden.
Workflow - Pers-Check-In
Workflow - Pers-Check-Out

Dienstleister

Nimmt ihre Firma externe Dienstleister in Anspruch müssen auch diese verschiedene datenschutzrechtliche Auflagen erfüllen welche die DSGVO vorschreibt. Zu klären ist ob sich ihre Dienstleister im Rechtsrahmen der EU oder außerhalb der EU bewegen.

AVV

Mit allen Auftragsverarbeitern (AV), Dienstleistern (DL) und SubFirmen, aber auch mit freien Mitarbeitern hat der Verantwortliche (VA) eine 

Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO abzuschließen. Ein sogenannter Auftragsverarbeitungsvertrag ist abzuschließen. In diesem Vertrag sind auch die TOM festzuhalten die beim jeweiligen AV vorherrschen. 


Schnittstellen IKT

Wichtig zu den bereits angesprochenen TOM ist die Erhebung aller technischen und auch mechanischen Schnittstellen über die personenbezogene Daten laufen, verarbeitet, gespeichert, weitergeleitet oder verwaltet werden. Es muss bekannt sein wer die Dienstleister oder Verantwortlichen dazu sind. Diese Schnittstellen sind ausführlich zu dokumentieren.

TOM

Die TOM (technisch organisatorischen Maßnahmen) welche die DSGVO vorschreibt sind im Rahmen der Erhebung des IST-Zustandes zu erheben. Dazu bietet sich eine TOM Checkliste an. Hier sollte soweit vorhanden der IKT Sicherheitsbeauftragte oder der EDV Verantwortliche beigezogen werden. 

Löschkonzept

Die nun im Verarbeitungsverzeichnis erhobenen Daten unterliegen der Pflicht zur Löschung auf Grundlage der gesetzlichen Löschpflichten oder auf Ansuchen durch eine betroffene Person (Löschersuchen). Durch den IKT Verantwortlichen ist das vorhandene Löschkonzept vorzulegen und gemeinsam auf die Vorgaben der DSGVO anzupassen. Liegt kein solches Konzept vor, ist eines zu erstellen.

Backupkonzept

Die nun im Verarbeitungsverzeichnis erhobenen Daten unterliegen der Pflicht zur Datensicherung. Durch den IKT Verantwortlichen ist das vorhandene Backupkonzept vorzulegen und gemeinsam auf die Vorgaben der DSGVO anzupassen. Liegt kein solches Konzept vor, ist eines zu erstellen.

DS Management

Je nach Größe des Unternehmen oder der Institution kann eine DSMS (Datenschutzmanagementsoftware) zum Einsatz kommen. Ich arbeite dazu seit Jahren mit sehr guten Erfahrungen mit der Firma https://intervalid.com/intervalid-dsms/ zusammen.

Verantwortliche

Es gibt verschiedene "Verantwortliche" im Bereich des Datenschutzes. Der Verantwortliche im Sinne der DSGVO ist jene juristische Person die bei Datenschutzvorfällen und gegenüber der Datenschutzbehörde haftet und zur Verantwortung gezogen werden kann. Zu weiteren Trägern von Verantwortung zur DSGVO zählen der Sicherheitsbeauftragte, die jeweiligen Abteilungsleiter in denen die Verantwortung zu den erhobenen Datums und Datenkategorien fällt. 

Schulung / Belehrung

Im Art. 5 Abs. (2) DSGVO, ist die allgemeine Nachweispflicht des Verantwortlichen zur Einhaltung der datenschutzrechtlichen Vorgaben normiert. Damit ergibt sich für Unternehmen die Notwendigkeit der Schulung für Mitarbeiter, wenn diese bei der Arbeit in Berührung mit personenbezogenen Daten kommen.  Zudem ergibt sich aus Art. 5 DSGVO eine Rechenschaftspflicht für Führungskräfte bzw. Entscheider im Unternehmen. 

Risikoanalyse

Sollten besonders zu schützende personenbezogene Daten verarbeitet werden ist unbedingt eine Datenschutzfolgenabschätzung durchzuführen und zu dokumentieren. 

Datenschutzvorfall

Die Meldung einer Datenschutzverletzung (Data Breach Notification)

an die Aufsichtsbehörde muss unverzüglich und möglichst binnen 72 Stunden nachdem dem Verantwortlichen diese Verletzung bekannt wurde, erfolgen. Erfolgt die Meldung erst nach Ablauf von 72 Stunden, so ist diese Verzögerung zu begründen

Projektabschluss

Ein externer zertifzierter Datenschutzbeauftragter (DSB) oder ein interner DSB  kann den "Verantwortlichen" im Sinne der DSGVO umfassend beraten, den IST-Stand erheben, Ihr Datenschutzmanagement einrichten, beaufsichtigen, begleiten und betreiben. 
Auch die jährliche Datenschutzbelehrung, Schulung der Mitarbeiter und Ausbildung der Datenschutzkoordinatoren kann an einen externen Datenschutzbeauftragten ausgelagert werden. 

Wer sind Ihre "Roots" und "Admins" ?

Root-Zugriffsberechtigte, Admins, Fernzugreifer, Homeoffice, Dienstleister sowie alle User im Firmennetz oder im Familiennetz mit "besonderen Rechten" befürfen einer besondern datenschutzrechtlichen "Aufsicht".

Ihre Weiterbildung und nachweisliche Belehrung ist von hoher Wichtigkeit um ihre Datensicherheit, den Datenschutz und den Schutz vor Cyberangriffen sicherzustellen.