DSG-VO (1): Die Zeit wird knapp

Bis 25. Mai 2018 ist es nicht mehr weit. Wie Umfragen ergeben haben, sind viele Unternehmen noch immer nicht auf die neuen Vorgaben und Vorschriften vorbereitet. Seit kurzem ist auch das Datenschutz-Anpassungs- und -Umsetzungsgesetz  (DSAnpUG-EU) also das neue Bundesdatenschutzgesetz (BDSG) verabschiedet. Es ergänzt und konkretisiert, in nationalen Öffnungsklauseln, die DS-GVO. Dort sind u.a. der Beschäftigtendatenschutz und die Bestellpflicht des Datenschutzbeauftragten (DSB) geregelt.

Datenschutz-Managementsystem wird Pflicht

Die Datenschutz-Grundverordnung (DS-GVO) erwartet von Unternehmen ein aktives Datenschutz-Management (DMS), das den Schutz der personenbezogenen Daten in Unternehmen sicherstellt. Ab dem 25. Mai 2018 wird das heute in Deutschland gültige BDSG durch die Datenschutz-Grundverordnung (DS-GVO) abgelöst. Dabei ändert sich die Beweislast grundsätzlich. Unternehmen müssen künftig nach- und beweisen, dass Datenschutz und Datensicherheit im Unternehmen umgesetzt und Maßnahmen ergriffen sind, die den Datenschutz i. S. der DS-GVO gewährleisten. Eine echte Herausforderung für alle, die es mit dem Datenschutz bisher noch nicht so furchtbar ernst genommen haben.

Diese Information soll helfen erste Fragen zu beantworten und eine Zusammenfassung der wichtigsten Anforderungen der DS-GVO sein. Jeder Verantwortliche in Unternehmen, vom Geschäftsführer über IT- und Marketingleiter und Personalverantwortliche, sollte die wichtigsten Anforderungen kennen.

Neben 99 Artikeln beinhaltet die DS-GVO zusätzlich 173 Erwägungsgründe (ErwGr). Die Erwägungsgründe erläutern die Artikel und deren Umsetzung. Die Erwägungsgründe stehen in Ihrer Bedeutung den Artikeln der DS-GVO in nichts nach, sie haben quasi Gesetzescharakter. Vorrangig ist daher der Aufbau eines Datenschutz-Managementsystems (DMS). Die dafür relevanten Normen finden sich in der DS-GVO an vielen unterschiedlichen Stellen:

  • Art. 5 DS-GVO stellt die Grundsätze für die Verarbeitung personenbezogener Daten auf.
  • Art. 30 DS-GVO verlangt vom Verantwortlichen ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Es gibt Ausnahmen für KMU's, aber es empfiehlt sich grundsätzlich eine derartige Dokumentation zur eigenen Transparenz zu führen.
  • Art. 32 DS-GVO regelt, dass sowohl der Verantwortliche als auch der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umzusetzen haben, damit sichergestellt ist, dass die Verarbeitung von personenbezogenen Daten gemäß der Datenschutz-Grundverordnung erfolgt. Die Nachweise hierzu müssen erbracht werden.
  • Art. 35 DSGVO verpflichtet den Verantwortlichen bei Verarbeitungen, welche ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, eine Abschätzung der Risiken und Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz der personenbezogenen Daten von betroffenen Personen durchzuführen.
  • Art.28ff und ErwGr. 81ff legen die Vorgaben zur Auftragsverarbeitung (ehemals Auftragsdatenverarbeitung) fest. Auftraggeber und Verarbeiter haben künftig jeder eigene Verfahrensverzeichnisse zu führen und zu dokumentieren. Neu ist, dass mit der DS-GVO jetzt auch dem Dienstleister (zukünftig: Verarbeiter) eigene Verantwortlichkeiten obliegen und ihn Haftungsrisiken und Bußgelder direkt treffen können. Auch können sich betroffene Personen künftig mit ihren Auskunftsansprüchen oder mit Schadenersatzforderungen unmittelbar an den Verarbeiter wenden. Verantwortlicher und Auftragsverarbeiter sind gleichermaßen haftbar.

Nachweispflichten für Unternehmen (Beweislastumkehr)

Die DS-GVO bringt umfassende Nachweispflichten für Unternehmen mit sich (so genannte Accountability). Die Unternehmen müssen nicht nur sicherstellen, dass sie die Vorgaben der DS-GVO erfüllen, sondern dies zudem auch gegenüber den Aufsichtsbehörden oder dem Datenschutzbeauftragten nachweisen können (Art. 5 Abs. 2 DS-GVO).
Somit müssen die Unternehmen belegen können, dass sie geeignete Datenschutzrichtlinien und angemessene Datenschutzvorkehrungen installiert haben und umsetzen. Erfüllen Unternehmen diese Anforderungen nicht, drohen Anordnungen der Aufsichtsbehörden, Bußgelder und/oder Schadenersatzansprüche. So ist quasi eine Beweislastumkehr entstanden. Unternehmen müssen präventiv ihre Maßnahmen zum Datenschutz belegen können – bevor überhaupt etwas passiert ist.

Zu empfehlen - Datenschutzrichtlinie

Die unternehmensweite Datenschutzrichtlinie sollte mindestens folgende Punkte  umfassen:

Datenschutzorganisation und Verantwortlichkeiten

Was nützen die besten Leit- und Richtlinien, wenn sie nicht gelebt werden? Je nach Größe des Unternehmens kann es sich empfehlen zusätzlich zu dem Datenschutzbeauftragten des Unternehmens einen (oder mehrere) Datenschutz-Koordinator (DSKo) zu benennen, der als Koordinierungsstelle zwischen dem Datenschutzbeauftragten und den Mitarbeitern in den Abteilungen dient. Dieser sollte im Unternehmen gut vernetzt und akzeptiert sein. Er hat auch dafür Sorge zu tragen, dass alle datenschutzrechtlich relevanten Sachverhalte aus den Abteilungen oder Informationen über neue Dienstleister, Kooperationen oder Vorhaben der Verarbeitung rechtzeitig an den Datenschutzbeauftragten weitergeleitet werden. Schulung und Sensibilisierung der Mitarbeiter sollten jedoch vom Datenschutzbeauftragten durchgeführt werden, so wie es die DS-GVO vorsieht. Auch bei der Zusammenarbeit mit externen Datenschutzbeauftragten empfiehlt sich ein DSKo als direkte Schnittstelle zwischen dem Unternehmen und dem DSB.

Einbindung des Datenschutzbeauftragten

In einer Datenschutzrichtlinie sind Fälle zu definieren, in denen die Mitarbeiter den Datenschutz¬beauftragten anzusprechen und einzubinden haben. Setzt das Unternehmen hingegen auf Datenschutzkoordinatoren, gelten diese Fälle auch für die Meldung oder Einbindung an die Koordinatoren. Ausgenommen sind alle vertraulichen Anfragen, in denen die Rechte des Mitarbeiters selbst betroffen sind und direkte persönliche Anfragen betroffener Personen an den DSB. Als solche an den DSB zu meldenden Vorgänge gelten insbesondere (aber nicht ausschließlich):

  • Beschwerden von Betroffenen (Mitarbeitern, Kunden)
  • Einführung neuer Systeme/Tools
  • Einsatz eines neuen Verarbeiters (Dienstleisters)
  • Werbemaßnahmen (z.B. Versand von Newslettern), Online-Marketing-Maßnahmen (Google AdWords, Conversion Tracking, etc.)
  • Einführung von neuen Systemen/Tools die der Mitarbeiterüberwachung oder –bewertung dienen
  • Auch Mitarbeiter- und Kundenbefragungen können datenschutzrelevant sein.

Immer einbezogen werden sollte der DSB, wenn es um Einwilligungen zur Verarbeitung besonderer Kategorien personenbezogener Daten und vor allem um Daten Nicht-Volljähriger geht. Im Unternehmen sollte der Datenschutzbeauftragte die datenschutzrechtlich relevanten Sachverhalte definieren und in die Datenschutzrichtlinie aufnehmen lassen. Diese Auflistung kann und muss nicht abschließend sein, sondern sollte vor allem als Handlungshilfe für die Mitarbeiter dienen und nachträglich ergänzt werden können. Die Verantwortung für den Datenschutz verbleibt immer beim Verantwortlichen - sie kann nicht an den DSB delegiert werden, der zukünftig wohl auch namentlich der Aufsichtsbehörde gemeldet werden muss.

Verzeichnis von Verarbeitungstätigkeiten

Um personenbezogene Daten nach Maßgaben der DS-GVO schützen zu können, muss das verantwortliche Unternehmen ermitteln, in welchen Fällen personenbezogene Daten z. B. von Kunden, Lieferanten oder Beschäftigten verarbeitet werden. Zunächst bietet es sich an, alle Systeme bzw. Tools im Unternehmen aufzulisten, in denen personenbezogene Daten gespeichert werden. Eine solche Vorgehensweise ist aus zweierlei Gründen sinnvoll: Zum einen können dadurch die Datenflüsse im Unternehmen ermittelt und definiert werden. Zum anderen wird ein erster Grundstein für das Verzeichnis von Verarbeitungstätigkeiten gelegt, zu dessen Führung der Verantwortliche nach Art. 30 DSGVO verpflichtet ist. Künftig wird nicht mehr zwischen internem und öffentlichem Verfahrensverzeichnis unterschieden, wie wir dies vom BDSG kennen. Das öffentliche Verfahrensverzeichnis entfällt. Im künftigen Verzeichnis sind die wesentlichen Informationen zu Datenverarbeitungstätigkeiten zusammenzufassen, insbesondere die Angaben zum Zweck der Verarbeitung, und eine Beschreibung der Kategorien der Daten, der betroffenen Personen und möglicher Empfänger. Die neuen Verzeichnisse von Verarbeitungstätigkeiten ähneln inhaltlich den bisherigen internen Verfahrensverzeichnissen. Wer dies schon immer gut gepflegt hat ist schon im Vorteil. Künftig sind umfassendere Auskünfte an Betroffene zu erteilen. Wenn keine anderen Auskunftssysteme verfügbar sind, wird das Verzeichnis zumeist der Grund für die Auskunft sein.

Um Unübersichtlichkeit zu vermeiden, sollten nicht alle Verarbeitungstätigkeiten in ein einzelnes Dokument gepackt werden Das Verzeichnis sollte daher in der Praxis aus verschiedenen Einzeldokumenten bestehen. So kann z. B. für jedes Tool bzw. System (z.B. Zeiterfassungssystem, CRM-System, Bewerbertool, HR-Managementtool, etc.) ein eigenes beschreibendes Dokument zur Verarbeitungstätigkeit erstellt werden.

Zur Fortsetzung

 

 

Dieser Artikel wird Ihnen in Zusammenarbeit von Raz-Lee Security GmbH und dem Datenschutzbeauftragten Jürgen Hartz präsentiert.

Jürgen Hartz, ist als externer Datenschutzbeauftragter für verschiedene mittelständige Unternehmen bestellt. Er war viele Jahre im Kundendienst in leitenden Funktionen bei internationalen Unternehmen tätig. Zuletzt über 10 Jahre Alleingesellschafter und Geschäftsführer eines Kundendienstunternehmens für Consumerelektronik mit über 120
Mitarbeitern.

Seit 2005 berät er Unternehmen in den Fragen des Datenschutzes. Betriebliche Belange und Anforderungen mit den gesetzlichen Vorschriften in Einklang zu bringen ist die besondere Herausforderung dieser Aufgabe. Dabei kommt ihm die eigene unternehmerische Tätigkeit der vergangen Jahre zu Gute. Als Referent und Moderator ist er bei zahlreichen Datenschutzveranstaltungen aktiv. Er ist stellv. Vorstandvorsitzender des BvD e.V. (Berufsverband der Datenschutzbeauftragten) und in verschieden Gremien tätig. Jürgen Hartz ist per E-Mail über info@jhartz.de erreichbar.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

News Flash

POW3R Konferenz in München

Die wichtigste Veranstaltung für IBM i-Anwender in diesem Jahr – nicht verpassen!

Geballte, unverzichtbare Information für Power i-Anwender: Auf der POW3R Herbst-Konferenz in München am 13. & 14. November 2017 finden Sie Informationen zur Zukunft der IBM i – Plattform, die Sie sonst nirgendwo bekommen: Strategische Vorträge für Entscheider, Fortbildung für Spezialisten (bei den angeschlossenen Common Sessions), eine IBM Keynote zu Watson - allesamt wertvolle Grundlagen für Ihre Planung und Entwicklung.

Natürlich ist auch Razlee dabei ....

Dazu ein spannendes Konferenzprogramm mit zahlreichen wichtigen Vorträgen. Auf keinen Fall verpassen: Vortrag von Robert Engel zu DSGVO, der anstehenden Änderung zum Datenschutz, die tatsächlich ALLE Unternehmen betrifft. Wie iSecurity-Produkte Sie bei Ihren intern notwendigen Anpassungen unterstützen, erfahren Sie am ersten Veranstaltungstag (13.11.2017, 16:20 Uhr, Forum 8, P4).  

Fit für den digitalen Fortschritt: Weitere Themen, die Ihnen auf der POW3R begegnen werden:

  • Die aktuelle Generation von IBM Power Systems und IBM i, Roadmap
  • Wie RPG die Basis für moderne Anwendungen mit grafischer Oberfläche bleibt
  • Wie gut und zukunftssicher sind OpenSource Lösungen
  • Bewertung von Bezugsmodellen: Cloud, SaaS, IaaS, Managed Services…
  • Die Wahrheit über BI/BigData
  • Wie geht professionelles Dokumentenmanagement?
  • Wie viel Hochverfügbarkeit und Sicherheit muss sein? Auch für mobile Anwendungen.
  • Integration von Speicher und anderen Plattformen
  • Warum moderne ERP Systeme besser, flexibler und effektiver sind
  • Wie IT-Wissen richtig vererbt, ergänzt entwickelt werden kann

 

Seien Sie unser VIP-Gast!

Wir freuen uns, Sie auf dem IT-POW3R-Kongress in München zu begrüßen - im Vortrag oder einfach auf ein persönliches Wort! Kommen Sie als mein VIP-Gast - dann sind Catering, Veranstaltungsunterlagen und die Online-Veranstaltungs-Dokumentation aller Vorträge für Sie frei. 

Hier können sie sich direkt online / per Fax-Formular anmelden. Wichtig: Bitte tragen Sie bei Ihrer Anmeldung den Razlee-VIP-Code ein: 11P3R17RzL



 

BMU Northeim schließt Partnerschaft mit Raz-Lee Security

Rödental, 6.07.2017 ++++- Raz-Lee Security GmbH gibt bekannt, dass mit der Northeimer BMU Beratungsgesellschaft Mittelständischer Unternehmen mbH eine Vertriebsvereinbarung zur Aufnahme der iSecurity Produkte von Raz-Lee in deren Produktportfolio geschlossen wurde.

Seit 1980 ist IT-Beratung mit Vertrauen Schwerpunkt bei BMU. Zu Vertrauen gehört auch Sicherheit und so ist es kein Wunder, dass BMU auf der Suche nach einer modularen IBM i Security-Lösung für ihre Kunden auf Raz-Lee gestoßen ist. Damit wird das Produktportfolio im Bereich der Sicherheit, in dem BMU für die Bereiche Virenschutz von Client und Servern sowie Spamfilterung und E-Mail-Sicherheit schon mit anderen namhaften Herstellern zusammenarbeitet perfekt abgerundet.

Über BMU: BMU steht für eine solide, überzeugende Beratung und Ausführung mit langjähriger Tradition. Den Erfolg der Mandanten zu unterstützen ist oberstes Ziel. Nach diesem Prinzip entwickelt BMU nachhaltige Lösungen gemeinsam mit ihren Auftraggebern. Betriebswirtschaftliche Beratung sowie EDV-Konzeptionen, Implementierung und Integration von Standard-, Partner- und Individual-Software für mittelständische Unternehmen gehört zu den Schwerpunkten. Daneben ist BMU auch auf Bereiche wie Managed Services, Cloud-Computing und Mobile Lösungen spezialisiert. Hohe Beraterkompetenz in Verbindung mit umfassendem technischen Know-How ermöglicht es, für Mandanten stets die bestmögliche Lösung zu finden.

Über Raz-Lee Security GmbH und iSecurity: Raz-Lee Security ist führender internationaler Anbieter von Sicherheits-, Auditing-und Compliance (SOX, PCI, HIPAA, etc.) Lösungen für die IBM i. Zu Raz-Lee-Kunden zählen Unternehmen aller Größen, von KMUs bis zu Unternehmen mit Hunderten von Systemen, in allen vertikalen Märkten und Branchen. Finanzinstitute wie Banken und Versicherungen sind besonders zahlreich unter der Raz-Lee Klientel vertreten.

 

Für weitere Informationen kontaktieren Sie bitte:
Robert Engel
Raz-Lee Security GmbH
Schulstr. 32
96472 Rödental
Tel. +49 9563 7406-31
E-Mail robert.engel@razlee.de

 

 

IT Power Services schließt Partnerschaft mit Raz-Lee Security

IT Power Services schließt Partnerschaft mit Raz-Lee Security 

Rödental, 8.03.2017 - Raz-Lee Security GmbH gibt bekannt, dass die österreichische IT Power Services GmbH künftig auch die iSecurity Produkte von Raz-Lee im Portfolio hat.

IT Power Services sind spezialisiert auf Enterprise Services, Infrastruktur, Software und Cloud-Lösungen in Banken-Umgebungen, aber auch in einer breit aufgestellten Klientel aus allen Branchen. Viele Jahre arbeiteten Mitarbeiter von IT Power Services bereits als Dienstleister mit iSecurity Modulen von Raz-Lee. Das Know how ist die Basis für qualifizierte Leistungen im Bereich der IT Sicherheit auf IBM Power i Systemen die nun um die iSecurity Module von Raz-Lee ergänzt werden. IT Power Services ergänzt mit den Raz-Lee Produkten die Kompetenz im IBM i Security Umfeld um leistungsfähige Software.


Weiterlesen ...

KI Systemgefährten schließt Partnerschaft mit Raz-Lee Security

KI Systemgefährten schließt Partnerschaft mit Raz-Lee Security

Rödental, 11.01.2017 - Raz-Lee Security GmbH gibt bekannt, dass KI Systemgefährten, die „Andersdenker“ aus Bielefeld künftig auch iSecurity Produkte von Raz-Lee im Portfolio haben.

Kontakte zueinander knüpften Raz-Lee und KI Systemgefährten auf einer System i update Veranstaltung. Nach kurzem „Beschnuppern“ wurden bereits erste Projekte pragmatisch und innerhalb kürzester Zeit realisiert. Die Philosophie für Kunden ohne großen Aufwand Security zu implementieren, kommt der Struktur beider Unternehmen sowie den Wünschen der Kunden entgegen. Mit den Produkten von Raz-Lee wird das Portfolio der KI Systemgefährten um wichtige Sicherheitsfunktionen für IBM Power i Systeme im Bereich externe Zugriffe, Betriebssysteminternas und Datenbankänderungen ergänzt.


Weiterlesen ...

Artikel von Robert Engel aus DV-Dialog 12/2016

Mehr Sicherheit für IBM i

BESSERE AUTOMATION WICHTIGER SECURITY-AUFGABEN

Jeder Blick über den Tellerrand bringt neue Erkenntnisse. Das gilt auch für die Sicherheit der IBM-Serverplattform Power i. Zahllose Security-Projekte beginnen und enden mit der Firewall, motiviert durch die Vorstellung, man müsse lediglich die Zugriffe auf IBM i regulieren um Sicherheit zu schaffen (siehe DV-Dialog 10/2016, Seite 4). Doch es gibt eine große Bandbreite weiterer Sicherheits-Aspekte, die nicht vernachlässigt werden dürfen - jenseits des Tellerrands.


Weiterlesen ...

Partner

IT Power Services

 

 

KI Systemgefährten

 

 

BluVisio

 

 

UBL Informationssysteme

 

 

EPOS

EPOS GmbH Consult & Training

 

CPB Software

 

 

KCV

 KCV

 

Gerd Gesner

 Gerd Gesner

 

Lupprich EDV-Beratung

Lupprich EDV-Beratung

 

Michael Weiß IT-Consulting & Datenschutz

Michael Weiß IT-Consulting & Datenschutz

 

pheron technologies group

 pheron technologies group GmbH

 

Referenzen

Free Download