DSGVO Grundlagen
Nach einem Erstberatungstermin und Ihrer Bedarfsfestlegung wird auf Grundlage einer IST-Standerhebung ein Konzept und ein Zeitrahmen festgelegt um in Ihrem Unternehmen oder Verein einen datenschutzkonformen Zustand herbeizuführen. Bei dieser Beratung handelt es sich um keine Rechtsberatung. Der Datenschutzbeauftragte spricht lediglich Empfehlungen an den "Verantwortlichen" aus wie ein datenschutzkonformer Zustand in seinem Unternehmen herbeigeführt werden kann.
Geprüfter/zertifizierter
Datenschutzmanager & Datenschutzbeauftragter
Ein Klick auf die Grafik führt zum WKO Profil
Erstberatung
Am Beginn jedes Projekts steht unser Erstberatungstermin. Sie lernen mich kennen. Ich lerne ihre Firma, Verein, Institution kennen und kläre mit dem "Verantwortlichen" die weitere Vorgangsweise ab.
Ihre Anliegen, Wünsche werden zu meinem Auftrag.
IST - Stand - Erhebung
Ein wichtiger Schritt ist die Erhebung des aktuellen Datenschutz IST-Zustandes und der TOM. Wurden schon Vorarbeiten geleistet oder starten wir bei Null? Wen brauche ich dazu:
- IKT Verantwortlichen
- Sicherheitsbeauftragten
- Die "Verantwortlichen"
- Das "Leitungspersonal"
- Personalabteilung
Konzepterstellung
Nach Abschluss des Datenschutz IST-Zustandes lege ich dem Verantwortlichen ein Konzept zur Einnahme eines datenschutzkonformen Zustandes vor. Zu den gesetzen Meilensteinen erfolgen Zwischenberichte.
Datums
Dies sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Es müssen alle personenbezogenen Daten samt ihres "Lebenslaufes" sowie deren Herkunft, Verarbeitung, Speicherung, Weitergabe, Archivierung, Löschung bekannt gemacht werden. Ebenso die Zuordnung zu jeweiligen Datenkategorien und zu möglichen besonders schützendswerten Daten im Sinne der DSGVO.
Verzeichnis
Wenn alle personenbezogenen Daten ermittelt und zugeordnet sind, erfolgt die Erstellung des Verarbeitungsverzeichnisses.
Jeder Verantwortliche, der personenbezogene Daten verarbeitet muss seine Verarbeitungsvorgänge in einem ausführlichen "Verzeichnis der Verarbeitungstätigkeiten" dokumentieren. Dies kann in einem schriftlichen Dokument oder über ein Datenschutz Management geführt werden. Verarbeitungsverzeichnisse müssen geführt werden.
Richtlinien
Firmeninterne datenschutzrechtliche Richtlinien klären auf Grundlage einer Geschäftseinteilung und Geschäftsordnung die Verantwortlichkeiten und Zuständigkeiten samt Abläufe. Dazu ist die Zusammenarbeit mit dem Qualitätsmanagement, der internen Revision aber auch die Einbindung des Betriebsrates zielführend. Soweit es einen Geheimschutzbeauftragten und einen Sicherheitsbeauftragten gibt sollte auch dieser beigezogen werden.
Workflow - Pers-Check-In
Workflow - Pers-Check-Out
Dienstleister
Nimmt ihre Firma externe Dienstleister in Anspruch müssen auch diese verschiedene datenschutzrechtliche Auflagen erfüllen welche die DSGVO vorschreibt. Zu klären ist ob sich ihre Dienstleister im Rechtsrahmen der EU oder außerhalb der EU bewegen.
AVV
Mit allen Auftragsverarbeitern (AV), Dienstleistern (DL) und SubFirmen, aber auch mit freien Mitarbeitern hat der Verantwortliche (VA) eine
Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO abzuschließen. Ein sogenannter Auftragsverarbeitungsvertrag ist abzuschließen. In diesem Vertrag sind auch die TOM festzuhalten die beim jeweiligen AV vorherrschen.
Schnittstellen IKT
Wichtig zu den bereits angesprochenen TOM ist die Erhebung aller technischen und auch mechanischen Schnittstellen über die personenbezogene Daten laufen, verarbeitet, gespeichert, weitergeleitet oder verwaltet werden. Es muss bekannt sein wer die Dienstleister oder Verantwortlichen dazu sind. Diese Schnittstellen sind ausführlich zu dokumentieren.
TOM
Die TOM (technisch organisatorischen Maßnahmen) welche die DSGVO vorschreibt sind im Rahmen der Erhebung des IST-Zustandes zu erheben. Dazu bietet sich eine TOM Checkliste an. Hier sollte soweit vorhanden der IKT Sicherheitsbeauftragte oder der EDV Verantwortliche beigezogen werden.
Löschkonzept
Die nun im Verarbeitungsverzeichnis erhobenen Daten unterliegen der Pflicht zur Löschung auf Grundlage der gesetzlichen Löschpflichten oder auf Ansuchen durch eine betroffene Person (Löschersuchen). Durch den IKT Verantwortlichen ist das vorhandene Löschkonzept vorzulegen und gemeinsam auf die Vorgaben der DSGVO anzupassen. Liegt kein solches Konzept vor, ist eines zu erstellen.
Backupkonzept
Die nun im Verarbeitungsverzeichnis erhobenen Daten unterliegen der Pflicht zur Datensicherung. Durch den IKT Verantwortlichen ist das vorhandene Backupkonzept vorzulegen und gemeinsam auf die Vorgaben der DSGVO anzupassen. Liegt kein solches Konzept vor, ist eines zu erstellen.
DS Management
Je nach Größe des Unternehmen oder der Institution kann eine DSMS (Datenschutzmanagementsoftware) zum Einsatz kommen. Ich arbeite dazu seit Jahren mit sehr guten Erfahrungen mit der Firma https://intervalid.com/intervalid-dsms/ zusammen.
Verantwortliche
Es gibt verschiedene "Verantwortliche" im Bereich des Datenschutzes. Der Verantwortliche im Sinne der DSGVO ist jene juristische Person die bei Datenschutzvorfällen und gegenüber der Datenschutzbehörde haftet und zur Verantwortung gezogen werden kann. Zu weiteren Trägern von Verantwortung zur DSGVO zählen der Sicherheitsbeauftragte, die jeweiligen Abteilungsleiter in denen die Verantwortung zu den erhobenen Datums und Datenkategorien fällt.
Schulung / Belehrung
Im Art. 5 Abs. (2) DSGVO, ist die allgemeine Nachweispflicht des Verantwortlichen zur Einhaltung der datenschutzrechtlichen Vorgaben normiert. Damit ergibt sich für Unternehmen die Notwendigkeit der Schulung für Mitarbeiter, wenn diese bei der Arbeit in Berührung mit personenbezogenen Daten kommen. Zudem ergibt sich aus Art. 5 DSGVO eine Rechenschaftspflicht für Führungskräfte bzw. Entscheider im Unternehmen.
Risikoanalyse
Sollten besonders zu schützende personenbezogene Daten verarbeitet werden ist unbedingt eine Datenschutzfolgenabschätzung durchzuführen und zu dokumentieren.
Datenschutzvorfall
Die Meldung einer Datenschutzverletzung (Data Breach Notification)
an die Aufsichtsbehörde muss unverzüglich und möglichst binnen 72 Stunden nachdem dem Verantwortlichen diese Verletzung bekannt wurde, erfolgen. Erfolgt die Meldung erst nach Ablauf von 72 Stunden, so ist diese Verzögerung zu begründen
Projektabschluss
Ein externer zertifzierter Datenschutzbeauftragter (DSB) oder ein interner DSB kann den "Verantwortlichen" im Sinne der DSGVO umfassend beraten, den IST-Stand erheben, Ihr Datenschutzmanagement einrichten, beaufsichtigen, begleiten und betreiben.
Auch die jährliche Datenschutzbelehrung, Schulung der Mitarbeiter und Ausbildung der Datenschutzkoordinatoren kann an einen externen Datenschutzbeauftragten ausgelagert werden.
Wer sind Ihre "Roots" und "Admins" ?
Root-Zugriffsberechtigte, Admins, Fernzugreifer, Homeoffice, Dienstleister sowie alle User im Firmennetz oder im Familiennetz mit "besonderen Rechten" befürfen einer besondern datenschutzrechtlichen "Aufsicht".
Ihre Weiterbildung und nachweisliche Belehrung ist von hoher Wichtigkeit um ihre Datensicherheit, den Datenschutz und den Schutz vor Cyberangriffen sicherzustellen.