Die neue

Europäische Daten­schutz­grund­verordnung

gilt seit dem 25. Mai 2018

Unser Angebot Datenschutz Check

Was ist die EU-DSGVO?

Daten, insbesondere personenbezogene Daten ist das Öl des 21. Jahrhunderts. Somit ist Datenschutz im 21. Jahrhundert eines der wichtigsten Grundrechte, die der Mensch haben sollte.

Um den Schutz dieser Daten geht es in der, im April 2016 im EU-Parlament verabschiedeten "Europäischen Datengrundschutz Verordnung" (EU-DSGVO). Damit wurde eine auf EU-Ebene einheitliche Grundlage geschaffen, die bis dahin in sehr unterschiedlicher Ausprägung und Nachhaltigkeit in den einzelnen EU-Ländern existierenden Gesetze und Richtlinien europaweit zu vereinheitlichen.

Informationsprozess im Rahmen der EU-DSGVO

Da dem Parlament die Komplexität der Umsetzung für die Betroffenen klar war, einigten sich die Abgeordneten auf eine zwei jährige Übergangsfrist zur Umsetzung der Verordnung. Diese Frist läuft nun am 25. Mai 2018 ab.

Was passiert nach Ablauf dieser Frist? Die Landesdatenschutzbehörden werden in den Unternehmen prüfen, ob die Anforderungen, die die Europäischen Datenschutzverordnung an die Unternehmen in Bezug auf den Schutz und den Umgang mit personenbezogenen Daten stellt, angepasst und umgesetzt wurden.

Welche Anforderungen sind umzusetzen? Auszugsweise die Kernelemente: Die schriftliche Nennung und Hinterlegung eines Datenschutzbeauftragten bei der jeweils zuständigen Landesdatenschutzbehörde. Die Dokumentation der Maßnahmen und deren Umsetzung, um einen aktuellen "Stand der Technik" nachzuweisen, um den Schutz der Daten zu gewährleisten. Die Implementierung eines "Information Sicherheit Management Systems" (ISMS).

Sollten die Anforderungen nicht erfüllt sein, drohen Bußgelder in Abhängigkeit der Unternehmensgröße und nach dem Grad der Nicht-Erfüllung der Datenschutzgrundverordnung, sprich des Verstoßes. Die Höhe des Bußgeldes kann damit schnell, die Höhe der Aufwände der oben genannten Umsetzungsmaßnahmen (Datenschutzbeauftragter, Stand der Technik, Implementierungskosten eines Information Sicherheit Management Systems) übersteigen.

Das SOTEC 3-Stufen-Modell: Die richtigen Maßnahmen für die EU-DSGVO

SOTEC hat für die Umsetzung der Anforderung aus der EU-DSGVO ein modulares 3-stufiges Modell entwickelt. Mit diesem Modell wird am Ende die Konformität der Anforderungen aus der EU-DSGVO gewährleistet. Die folgende Grafik veranschaulicht die drei Stufen im Einzelnen:

Im Folgenden möchten wir Ihnen eine DSGVO-konforme IT-Infrastruktur-Landschaft zeigen. Diese Struktur ist als beispielhaft anzusehen. Diese Struktur kann Ergebnis unserer Stufe 2 in der Zusammenarbeit mit Ihnen sein. Erst eine Analyse der bisherigen IT erlaubt uns, ein eigenes Modell aufzusetzen.

Preisliste externer Datenschutzbeauftragter

Analyse
Datenschutzaufnahme

  • Excelbasierter Fragebogen
  • Managementbericht
  • visualisierte Risikoabschätzung
  • 960Tagespauschale Mehr Infos

Schulung
Ihrer Mitarbeiter

  • datenschutzrechtliche Fragestellungen
  • inhaltliche Abstimmung
  • Belegschafts-individuell
  • 960Tagespauschale Mehr Infos

Bereitstellunfgdes
Datenschutzbeauftragten

  • gestaffelt nach Größe
  • inkl. telefonische Anfragen
  • Datenschutzbeauftragter für Sie
  • ab135je Quartal Mehr Infos

FAQ

Die Europäische Datenschutzgrundverordnung hat das Ziel, den Datenschutz in Europa zu vereinheitlichen. Alle Bürger der Europäischen Union sollen so Kontrolle über die eigenen Daten bekommen. In Deutschland passiert die Umsetzung der DSGVO über das so genannte Bundesdatenschutzgesetz, kurz BDSG. DDie zweijährige Übergangszeit endet am 25. Mai 2018. Ab dann gelten nur noch das BDSG neu und die DSGVO.

Zur Checkliste

Damit die zuständigen Behörden – in Deutschland sind das die jeweiligen Landesdatenschutzbeaufragten – nicht als zahlose Papiertiger enden, stattet sie die DSGVO mit umfangreichen Möglichkeiten der Sanktionierung aus. Insgesamt können bis zu 20 Millionen Euro Strafe oder aber 4 Prozent des globalen Gesamtumsatzes im Konzern als Strafe angesetzt werden – je nachdem, welche Summe höher ist. Diese Strafe trifft somit auch große Unternehmen empfindlich und zwingt sie dazu, sich aktiv mit dem Thema Datenschutz auseinander zu setzen.

Zur Checkliste

Die EU-DSGVO gilt für alle Unternehmen, die ihren Sitz innerhalb des Geltungsbereichs der EU-DSGVO haben oder aber dort ihre Waren und Dienstleistungen anbieten. Wer also etwa eine Website auch auf Deutsch anbietet, muss die Rahmenbedingungen der DSGVO erfüllen. Dementsprechend ist davon auszugehen, dass die DSGVO auch auf Ihr Unternehmen anzuwenden ist.

Zur Checkliste

Ab einer gewissen Menge an Mitarbeitern, die sich mit personenbezogenen Daten interner oder externer Natur auseinander setzen, ist ein Datenschutzbeauftragter zu bestellen. Das kann intern oder extern passieren. Der Datenschutzbeauftrage qualifiziert durch eine Zertifizierung einer offiziellen Stelle und verpflichtet sich gleichzeitig dazu, das ihm zugeordnete Unternehmen umfangreich beim Datenschutz zu betreuen. Interne Datenschutzbeauftrage sind Mitarbeiter im Unternehmen und beschäftigen sich in einem nennenswerten Teil ihrer Arbeitszeit mit dem Thema Datenschutz. Sie dürfen selbst nicht in den Umgang mit personenbezogenen Daten eingebunden sein bzw. die zugehörigen Prozesse gestalten. Sonst gelten Sie als befangen. Externe Datenschutzbeauftragte können für ein Unternehmen bestellt werden. Dienstleister wie auch die SOTEC GmbH bieten diesen Service an – das ist zum einen kostengünstiger als die Beschäftigung eines einzelnen Beschäftigten; gleichzeitig machen Sie als Unternehmen sich nicht abhängig von einer bestimmten Person.

Zur Checkliste

Personenbezogene Daten sind alle Daten, die den Namen einer Person mit anderen Daten, etwa E-Mail-Adressen, Telefonnummern, Fotos, Gehältern oder ähnlichem zusammenbringen. Personalakten, aber auch schon das Visitenkartenrondell stellen darüber intern ein Datenschutz-Risiko dar. Auch wenn Sie eine Website betreiben, erfassen Sie Datenschutz-relevante Daten. So müssen Sie etwa in Ihrer digitalen Kommunikation darauf achten, über den Datenschutz aufzuklären und sich für die Kontaktaufnahmme über das so genannte Double-Opt-In-Verfahren eine Erlaubnis zu holen, überhaupt mit der anfragenden Person zu kommunizieren. Auch die Gestaltung Ihrer unternehmensinternen und -externen Prozesse nach den Prinzipien "privacy by default" und "privacy by design" fällt etwa in diesen Bereich.

Zur Checkliste

Ein Verfahrensverzeichnis müssen Sie – die Beweislast kehrt sich nämlich um – auf Nachfrage eines Nutzers hin unverzüglich übermitteln. Die Person – egal ob Mitarbeiter, Kunde, Wettbewerber oder Internetseitenbesucher – benötigt nämlich ab 25. Mai 2018 keinen begründeten Verdacht mehr, dass mit den Daten möglicherweise Schindluder betrieben wird. Vielmehr kann der Nutzer eben verlangen, bestimmte Informationen zu erhalten. Das Verfahrensverzeichnis etwa dokumentiert alle Prozesse innerhalb eines Unternehmens, bei denen mit personenbezogenen Daten umgegangen wird. Das kann das Personalwesen genauso betreffen wie den Vertrieb, das Marketing, die Produktion oder aber auch im Rahmen von Handwerkern oder Dienstleistungsunternehmen den direkten Umgang mit dem Kunden im Salon oder auf der Baustelle. Dieses Verfahrensverzeichnis dokumentiert diese Prozesse, und listet auf, welche Daten aus welchem Grund in welchem Umfang wie lange und wie aufbewahrt werden. Selbstverständlich hat die betroffene Person immer die Chance, die Löschung der Daten zu beantragen, sofern das wiederum nicht geltendem Recht widerspricht, etwa im Falle der mindestens 6-monatigen Aufbewahrungsfrist für Bewerbungsunterlagen.

Zur Checkliste

Technische und Organisatorische Maßnahmen (TOM) dokumentieren, zu welchen technischen und organisatorischen Konditionen die Daten im Unternehmen aufbewahrt und geschützt werden. Das betrifft beispielsweise die IT-Infrastruktur, aber auch die physikalische Sicherheit. Gibt es eine Schließanlage? Wer kann auf welche Daten wie zugreifen? Sind zusätzliche Passwörter erforderlich oder gibt es über Server und ein Active Directory Zugriffsschutz? Werden sensible Daten, die aus dem Drucker kommen, geschützt? Oder kann sie jeder anschauen, bis sie abgeholt werden? Die Liste dieser Maßnahmen gehört in die Anlage eines jeden Vertrags zur Auftragsdatenverarbeitung. Diese Verträge bilden eine wichtige Grundlage in der Zusammenarbeit zwischen Unternehmen und ihren im Auftrag verarbeitenden Datenverarbeitern. Das kann zum Beispiel der Anbieter der Druckerhardware sein, aber auch die Putzkolonne, die unbeaufsichtigt nach Dienstschluss in Ihrem Unternehmen reinigt.

Zur Checkliste

Als Unternehmen sind Sie dazu verpflichtet, sowohl nach intern wie auch nach extern dafür Sorge zu tragen, dass der Datenschutz zu einem wichtigen Thema wird. Mitarbeiter müssen auf das Datengeheimnis verpflichtet werden und Schulungen zum Thema Datenschutz erhalten. Sie müssen sicherstellen, mit allen Datenverarbeitenden Dienstleistern eine ADV unterschrieben zu haben. Darüberhinaus ist es möglicherweise erforderlich, dass Sie Ihre IT-Infrastruktur überarbeiten müssen. Auch die Datenschutzerklärung Ihrer Internetseite sowie die auf Ihrer Internetseite angebotenen Services bedürfen vielleicht einer Überarbeitung. Ab dem Zeitpunkt, wo Sie personenbezogene Daten erfassen, ist eine SSL-Verschlüsselung verpflichtend. Auch die Zusammenarbeit mit Google Analytics macht bspw. einen ADV-Vertrag mit Google in Dublin erforderlich.

Zur Checkliste

Nehmen Sie kontakt auf

Zum Kontakt

EU-DSGVO-Checkliste

Sind Sie bereit für die EU-Datenschutz-Grundverordnung?

Diese Checkliste beinhaltet einen Auszug der wichtigsten Anforderungen der DSGVO, die am 25.05.2018 Geltung erlangt. Mangelnde Vorbereitung kann in Unternehmen zu enormen Geldstrafen führen.

Haben Sie ein Verzeichnis von Verarbeitungstätigkeiten erstellt, in dem alle Ihre Geschäftsabläufe, bei denen personenbezogene Daten verarbeitet werden, aufgenommen wurden (Art. 30 DS-GVO)?

Haben Sie für alle Verarbeitungen von personenbezogenen Daten eine dokumentierte Rechtsgrundlage nach der neuen Verordnung (Art. 6 bis 11 DS-GVO sowie § 26 BDSG neu)?

Setzen Sie oder Ihre Dienstleister technische und organisatorische Maßnahmen ein, welche einen ausreichenden Schutz je nach Schutzbedarfsklassifizierung bieten(Art. 32 DS-GVO)?

Können Sie die Einhaltung aller in Bezug auf personenbezogene Daten geforderten Pflichten/Anforderungen (schriftlich) nachweisen?

Ist sichergestellt, dass datenschutzrechtliche Belange bei Beginn und/oder Änderung eines jeden Prozesses in Ihrem Unternehmen einbezogen werden (Privacy by Design –Art. 25 DS-GVO)?

Wurden mit allen Auftragsverarbeitern die erforderlichen Vereinbarungen mit dem Mindestinhalt nach Art. 28 Abs. 3 DS-GVO abgeschlossen?

Beschäftigt ihr Unternehmen einen Datenschutzbeauftragten, oder sind die Verantwortlichkeiten für den Datenschutz anderweitig geregelt?

Wurden Ihre Mitarbeiter in den Bereichen IT-Sicherheit (z.B. Pishing, Social Engineering) und dem Umgang mit Personenbezogenen Daten geschult?

Berücksichtigen Ihre öffentlich erreichbaren Formulare neben dem Double-Opt-in-Verfahren auch die erweiterten Informationsrechte der Betroffenen wie z.B. Widerruf und Auskunft?

Lassen Sie sich beraten

Vielen Dank, dass Sie unseren Fragebogen ausgefüllt haben. Wenn Sie die unten stehenden Felder ausfüllen, senden Sie uns Ihr Umfrage-Ergebnis zu. Wir kontaktieren Sie auf Basis Ihrer Antworten im Anschluss und erarbeiten im Rahmen unseres 3-Stufen-Modells ein Konzept mit Ihnen zusammen.

Warum SOTEC?

Ganzheitlicher Ansatz

SOTEC bietet derzeit als einziges IT-Systemhaus dieses ganzheitliche und nachhaltige Modell zur Erlangung der EU-DSGVO Konformität an, sowie die geforderte stetige Aufrechterhaltung des Informations-Sicherheitsprozesses durch die Implementierung des Information Sicherheit Management Systems.

Modular zum Erfolg

Durch den modularen Aufbau des Modells kann der Kunde sich entscheiden, für welche Stufe des Modells, unter Berücksichtigung seines aktuellen Stands, er sich entscheidet.

Faire Finanzierung

Um die entstehenden Projektkosten darzustellen, bietet SOTEC eine Finanzierungslösung, also eine Streckung des Zahlungsstromes auf bis zu 60 Monate an. Voraussetzung hierfür ist allerdings die Entscheidung, das gesamte Lösungs-Modell einzuführen und wie bei jeder Art von Finanzierung, die entsprechende Bonität.

Autorisiertes Beratungsunternehmen für das Förderprogram go-digital

go-digital ist das Förderprogramm des Bundesministeriums für Wirtschaft und Energie für den Bereich Digitalisierung. Wir freuen uns, dass die SOTEC GmbH eines der vom Ministerium bzw. des ausführenden Unternehmen EuroNorm GmbH autorisierten Beratungsunternehmen für das Förderprogram go-digital ist. Wenn Sie in die Klassifizierung eines so genannten KMU (Kleines und Mittleres Unternehmen) fallen, haben Sie die Möglichkeit, uns mit der Prüfung möglicher Förderungen zu beauftragen und entsprechend auch Anträge einzureichen und auszufüllen. Im Rahmen des Förderprogramms werden alle Maßnahmen der Digitalisierung untersucht und gefördert – im selben Atemzug besteht für Sie natürlich auch die Möglichkeit, Ihre IT-Infrastruktur fit für die DSGVO zu machen.

Die Förderung, die Sie von uns erhalten können, beträgt 50 Prozent auf einen maximalen Tagessatz von 1.100 EUR. Gefördert werden können pro Halbjahr des Engagments bis zu 30 Tage. Sie wollen mehr über das Projekt go-digital erfahren? Dann klicken Sie einfach auf das Logo oder folgen Sie diesem Linkaa>.

Nehmen Sie Kontakt
mit uns auf!


Robert-Bosch-Str. 9, 69514 Laudenbach
info@sotec.net
06201 - 49740