GDPR: Die neue europäische Datenschutzverordnung

Datenschutz: Von Kosten zu wertvollen Ressourcen

2017 ist das Jahr der Vorbereitung auf den Übergang vom Datenschutzgesetz zur neuen Europäischen Verordnung über die Verarbeitung personenbezogener Daten (GDPR). Die neue Verordnung ist bereits seit dem 25. Mai 2016 in Kraft und wird ab dem 25. Mai 2018 vollständig anwendbar sein. Dies bedeutet, dass auch bereits durchgeführte Verarbeitungen bis zum 25. Mai 2018 an die GDPR angepasst werden müssen.

Real Comm bietet Ihnen sowohl rechtliche als auch tecnologische Unterstützung

Die neue Verordnung zielt darauf ab, die Disziplin unter den Mitgliedstaaten in Bezug auf den Datenschutz zu harmonisieren und den digitalen Binnenmarkt durch die Schaffung und Förderung neuer Dienste, Anwendungen, Plattformen und Software zu entwickeln. Unternehmen haben die Aufgabe, sofort Maßnahmen zur Anpassung an das neue regulatorische Rahmenwerk zu entwickeln.

Die neue Europäische Verordnung (GDPR) führt mehrere Änderungen im Vergleich zum bestehenden Datenschutzgesetz ein. Die GDPR führt die neue Berufsfigur des DPO (Data Protection Officer) ein, die für Einrichtungen, die erhebliche Mengen an Daten verarbeiten, verpflichtend ist, sowie neue Pflichten und Verantwortlichkeiten für den Datenverantwortlichen. Zu diesen gehört die Pflicht, ein Verarbeitungsaktivitätenregister zu führen. Die GDPR berücksichtigt auch Design-Szenarien, die von Anfang an die Einstellung einer Verarbeitungsaktivität respektieren müssen (Datenschutz durch Technikgestaltung, Datenschutz durch datenschutzfreundliche Voreinstellungen, Datenschutz-Folgenabschätzung).

Die GDPR führt neue Regeln ein: Sie sieht eine neue Methode für die Übertragung personenbezogener Daten an Drittländer vor und legt neue Verfahren bei Datenverlust fest. Die GDPR hat ein europäisches Datenschutzkomitee eingerichtet, das die Aufgabe hat, kongruente und konsistente Politiken im Zusammenhang mit der zunehmenden Verbreitung von sozialen Netzwerken und der Cloud (als Datenspeicherungs- und Verarbeitungssystem) umzusetzen.

Das gemeinsame Ziel des Gesetzgebers und der Datenschutzbehörde ist es, die Pflichten des Datenverantwortlichen zu vereinfachen, damit dieser konkrete Vorteile aus der neuen Gesetzgebung ziehen kann.

In der Tat kann die korrekte Umsetzung einfacher Maßnahmen zum Schutz personenbezogener Daten dazu beitragen, die Organisation des Unternehmens effizienter zu gestalten und die potenziellen Risiken, denen es am Markt ausgesetzt ist, erheblich zu reduzieren. Daher ist es notwendig, Best Practices zu übernehmen, die nicht nur das Image des Unternehmens aus Sicht der sozialen Verantwortung verbessern, sondern auch die Geschäftsfähigkeit bei gleichbleibenden Kosten erhöhen, indem das Vertrauen der Nutzer und Verbraucher in die Seriosität und Zuverlässigkeit des Unternehmens gestärkt wird.

Einige der Neuerungen können erhebliche Änderungen in der Organisation des Unternehmens mit sich bringen und in einigen Fällen technologische Investitionen erfordern. Daher ist es notwendig, einen Plan aus Bewertungen und Analysen zu erstellen, um nicht unvorbereitet zu sein, wenn die GDPR in Kraft tritt.

Wie man die Neuheiten der GDPR angeht:

• Die bereits im Unternehmen umgesetzten Lösungen im Einklang mit der Pflicht zur Konformität (Compliance) mit der GDPR aufwerten;
• Die geeignetste Methode zur Bewältigung der Neuheiten der GDPR wählen, unter Berücksichtigung der Art der verarbeiteten personenbezogenen Daten, der Risiken jeder spezifischen Verarbeitung und der Art des Unternehmens;
• Technische und organisatorische Maßnahmen ergreifen, die:
  • Die vollständige Übereinstimmung mit den Anforderungen der GDPR gewährleisten;
  • Dem Datenverantwortlichen ermöglichen, nachzuweisen, dass die Verarbeitung konform mit der GDPR ist;
  • Den zertifizierten Verhaltenskodizes entsprechen.

Um die Konformität mit der GDPR zu gewährleisten, müssen Unternehmen:

• Rollen und Verantwortlichkeiten für die Verarbeitung personenbezogener Daten und deren Schutz identifizieren und formalisieren; ein Verarbeitungsregister führen, das bei Bedarf überprüft und aktualisiert wird;
• Die Auswirkungen und Risiken jeder spezifischen Verarbeitung für das Unternehmen bewerten, auch unter Berücksichtigung der aktuellen Schutzmaßnahmen, und eine periodische Bewertung (PIA) durchführen;
• Anpassungsprojekte an die neue Europäische Verordnung planen (Umfang, Ressourcen, Zeit), wobei Lösungen und Fähigkeiten, die bereits im Unternehmen vorhanden sind, genutzt werden: angemessene Sicherheitsmaßnahmen (technische und organisatorische) in Bezug auf die Risikobewertung definieren;
• Sanierungspläne für nicht umgesetzte Sicherheitsmaßnahmen verwalten; den Datenschutz durch Technikgestaltung bei neu eingeführten Verarbeitungen verwalten;
• Die Möglichkeit bewerten, Marktpreise (Standards, Frameworks, ISO-Normen usw.) zu übernehmen, um die Wirksamkeit und Effizienz der Lösungen zu gewährleisten;
• Das Register der Vorfälle verwalten;
• Die wirtschaftlichen Auswirkungen der Konformität mit der GDPR bewerten.

Es ist wünschenswert, so schnell wie möglich mit wirksamen Anpassungsplänen an die GDPR zu beginnen, idealerweise bereits im zweiten Halbjahr 2017 im Hinblick auf die bevorstehende Frist:

• Bis zum dritten Quartal 2017 Erstellung des Konformitätsdokuments mit dem Gesetzesdekret 196/2003 mit einem Anpassungsplan an die GDPR;
• Bis zum vierten Quartal 2017 Erstellung des GDPR-Masterplans;
• Bis zum ersten Quartal 2018 Umsetzung von GDPR-Anpassungsprojekten.

Real Comm begleitet Sie auf disem heiklen Weg

Real Comm bietet Ihnen sowohl rechtliche als auch technologische Unterstützung, um Sie durch das komplexe aktuelle Szenario zu führen und einen angemessenen Datenschutz bei der Erfassung, Verarbeitung, Übertragung und Löschung von Daten zu gewährleisten. Real Comm bietet einen Service, der Ihnen und Ihrem Unternehmen ermöglicht, die durch die GDPR auferlegten Verpflichtungen zum Datenschutz zu verstehen, deren Einhaltung zu planen, die erforderlichen Maßnahmen zu implementieren und diese im Laufe der Zeit zu überwachen. Real Comm unterstützt Sie bei der Anpassung an die durch die neue Europäische Verordnung (GDPR) eingeführten Verpflichtungen im Bereich des Datenschutzes im Hinblick auf ihre vollständige Anwendbarkeit im Mai 2018.

Hauptaspekte, die in Beratungs- und Unterstützungsinterventionen behandelt werden:

• Definitionen und Grundkonzepte der neuen Europäischen Verordnung (GDPR) und Unterschiede zum aktuellen Datenschutzgesetz.
• Organisatorische und methodologische Innovationen der GDPR (Kapitel IV): die Verfahren, die im Allgemeinen die Verarbeitung rechtmäßig machen.
• Datenschutz und die neuen Bedingungen für die Zustimmung;
• Der Datenverarbeiter und der Verarbeitungsbeauftragte: Pflichten und Verantwortlichkeiten;
• Datensicherheit (Datenschutz) und Datenschutz-Folgenabschätzung (PIA).
• Die Prinzipien des Datenschutzes durch Technikgestaltung und Datenschutz durch datenschutzfreundliche Voreinstellungen.
• Die neue Rolle des Datenschutzbeauftragten (DPO): Aufgaben, Verantwortlichkeiten und Dauer;
• Datenschutzverletzungen (Data Breach);
• Das Register der Verarbeitungsaktivitäten.
• Log-Verwaltung.
• Wie man die Anpassung an die GDPR plant: Konformität mit dem Datenschutzgesetz in der Perspektive des Inkrafttretens der GDPR.
• Erinnerung an einige allgemeine Maßnahmen des Garanten:
  • Die Nutzung des Computers im Unternehmen;
  • Videoüberwachungssysteme im Unternehmen;
  • Marketingregeln;
  • Die Unternehmenswebsite und die Verarbeitung mit dem Internet.

Empfänger der Beratungs- und Unterstützungsleistungen:

• Personalverantwortliche, IT-Verantwortliche und Mitarbeiter, Mitarbeiter der Rechtsabteilung von Unternehmen und öffentlichen Einrichtungen, Marketingabteilungsleiter, Verantwortliche und Beauftragte für die Datenverarbeitung, Berater, Systemadministratoren, Anwälte, Steuerberater 
• Alle Personen, die einen externen Datenschutzbeauftragten ernannt haben
• Alle Personen, die einen externen Dienstleister als Datenschutzbeauftragten ernannt haben