Noch sechs Wochen bis zur DSGVO
Wo ist nur die Zeit geblieben? Fragen Sie sich das angesichts des nahenden DSGVO-Stichtags auch?
Es ist kaum zu glauben, dass die EU-Datenschutz-Grundverordnung, wie in unserem ersten DSGVO-Beitrag erwähnt, bereits am 04.05.2016 im Amtsblatt der Europäischen Union veröffentlicht wurde. Gefühlt ist es erst gestern gewesen. Ich wage zu behaupten, dass sich bis vor einem guten halben oder dreiviertel Jahr nur wenige Unternehmen mit der Verordnung auseinander gesetzt haben. Dies mag an den bis dahin mangelnden aussagekräftigen Informationen gelegen haben.
Inzwischen sind es jedoch nur noch sechs Wochen bis zum Stichtag, dem 25. Mai. Die EU-Datenschutz-Grundverordnung ist in aller Munde. Im Internet gibt es nun regelrecht eine unüberschaubare Informationsflut. Webinare, YouTube-Videos, Landingpages, Blog- und Forenbeiträge sowie viele weitere Formate springen auf die DSGVO-Welle auf und stellen Informationen sowie Mustervorlagen zur Verfügung.
Ohne intensive Recherche läuft nichts
Um sich von der Thematik und den Anforderungen der DSGVO nicht zu sehr einschüchtern zu lassen, empfehle ich zu Beginn eine umfassende Recherche. Auf der heutigen Informations- und Vorlagenbasis zeigt sich nämlich, dass alles halb so schlimm ist. Es bleibt zwar trotzdem viel Arbeit, aber lassen Sie sich nicht entmutigen.
Auch bei proJob ging eine umfangreiche Recherche allen Aktivitäten voran. Wie im letzten Beitrag zur DSGVO beschrieben, sammelte ich Informationen, Mustervorlagen, besuchte gemeinsam mit unserem Geschäftsführer eine Informationsveranstaltung von WILDE.Rechtsanwälte, nahm zum Bundesverband Deutscher Unternehmensberater Kontakt auf. Aus einem Erstkontakt zum Geschäftsführer des BDU hat sich ein nahezu regelmäßiger Austausch zu DSGVO-Fragen ergeben. Aus diesem Grund wurde ich im Januar vom BDU zum Arbeitskreis DSGVO eingeladen, in dem die Anforderungen der DSGVO und deren mögliche Umsetzung diskutiert wurden. Aus der Veranstaltung konnte ich wertvolle Erkenntnisse mit zu proJob bringen, sodass wir unseren Weg zur DSGVO bisher relativ gradlinig beschreiten konnten.
Der DSGVO-Countdown bei proJob
Auf unserem Weg zur DSGVO haben wir bereits einige Stationen passiert und bewegen uns nun unserem Ziel entgegen. Die Vorarbeit ist getan, jetzt geht es an den Feinschliff.
Wir haben beispielsweise eine Risikoanalyse durchgeführt und uns überlegt, welche Konsequenzen verschiedene Szenarien mit sich bringen könnten und wie darauf zu reagieren ist. Welche Konsequenzen zieht zum Beispiel die Nichtverfügbarkeit von Daten und Systemen, z.B. durch Ausfall der Hardware oder Software nach sich? Diese Risikoanalyse bildet die Basis einer (Informations-) Sicherheitsrichtlinie.
Außerdem haben wir unsere technischen und organisatorischen Maßnahmen (TOM) auf ihre Eignung und Angemessenheit gemäß §64 BDSG-neu überprüft und nach Bedarf angepasst.
Aktuell beschäftigen uns insbesondere das Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO sowie die Auftragsverarbeitungsverträge gemäß Artikel 28 DSGVO.
Das Verzeichnis von Verarbeitungstätigkeiten
In dem Verzeichnis von Verarbeitungstätigkeiten wird festgehalten in welchen Geschäftsprozessen welche personenbezogenen Daten zu welchen Zwecken verarbeitet werden. Darüber hinaus werden für jeden Prozess neben einem Ansprechpartner und dessen Kontaktdaten die Empfänger benannt, denen gegenüber personenbezogene Daten offen gelegt werden. Außerdem sind Aufbewahrungs- und Löschfristen sowie ein Legitimationsgrund für die Verarbeitung der Daten anzugeben. Es gilt nämlich ein Verbot mit Erlaubnisvorbehalt. Artikel 6 Absatz 1 DSGVO enthält Tatbestände, die eine Verarbeitung personenbezogener Daten rechtfertigen. Dies ist beispielsweise der Fall, wenn eine Einwilligung der betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten vorliegt oder dies zur Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.
Auftragsverarbeitungsverträge
Auftragsverarbeitungen sind zum Beispiel die externe Lohn- und Gehaltsabrechnung oder die Wartung von Servern und Computern durch externe Dienstleister. In einem solchen Vertrag sind gemäß Artikel 28 Absatz 3 DSGVO der Gegenstand und die Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt. Zusätzlich wird in einem solchen Vertrag der Umgang mit Daten sowie der Schutz dieser konkretisiert.
Wie weit sind Sie in der Vorbereitung auf die DSGVO?
Haben Sie schon alles in trockenen Tüchern? Oder haben Sie noch einiges zu tun?
Wir wünschen Ihnen jedenfalls weiterhin viel Erfolg und gutes Vorankommen bei der Umsetzung der DSGVO.
Herzliche Grüße,
Ihr proJob Team
PS: Abschließend möchte ich Sie darauf hinweisen, dass unsere Beiträge zur DSGVO weder eine individuelle Rechtsberatung ersetzen können noch sollen. Unsere Beiträge basieren zwar auf unserer intensiven Auseinandersetzung mit dem Thema, dennoch enthalten sie keine rechtlich verbindlichen Informationen.
Trackbacks & Pingbacks
[…] ist zunächst NEIN! Es sei denn, Sie haben explizit Ihre Einwilligung dazu gegeben. Wie bereits im letzten Blogbeitrag zur DSGVO erwähnt, gilt nämlich ein Verbot mit Erlaubnisvorbehalt. Art. 5 der DSGVO beschreibt die […]
Hinterlasse einen Kommentar
An der Diskussion beteiligen?Hinterlasse uns deinen Kommentar!