DSGVO Einführung jetzt beginnen

Am 25.5.2018 tritt die neue europäische Datenschutz Grundverordnung DSGVO in Kraft. Bis zu diesem Zeitpunkt haben die Mitgliedsstaaten Zeit, ergänzende Regelungen zu verabschieden.

Was viele nicht wissen:

Die DSGVO löst das aktuelle Bundesdatenschutzgesetz BDSG ab!

Damit werden alle Regelungen und Vereinbarungen (z.B. Einverständniserklärungen, Verschwiegenheitserklärungen der Mitarbeiter, Auftragsdatenverarbeitungsverträge, etc.) möglicherweise ungültig.

Neu ist neben den zukünftig massiv erhöhten Bußgeldern bei Verstößen auch die Einrichtung eines Datenschutzmanagements, welches einem prüfbarem und prozessorientiertem Ansatz eines internen Kontrollsystems entspricht  und einen umfangreichen Aufwand bei der Einrichtung erfordert.

Mit der neuen DSGVO wird auch die Verknüpfung von IT-Sicherheit und Datenschutz hergestellt. Die bisher zu dokumentierenden technischen und organisatorischen Maßnahmen werden wie bei den IT-Sicherheitsnormen behandelt und einer ständigen Verbesserung nach dem Stand der Technik unterworfen. Daher bietet sich  an, einen Blick auf BSI-Grundschutz, ISO 27001 oder VdS 3473 zu werfen.

Die Auskunftspflichten haben Sich in der Form geändert, dass mit der DSGVO deutlich mehr Informationen geliefert werden sollten und insbesondere auf die Widerspruchsrechte des Kunden explizit hingewiesen werden muss. Davon betroffen sind auch die vielen Datenschutzerklärungen auf Webseiten, bei denen in den meisten Fällen eine Anpassung erfolgen muss.

Denken Sie daran, dass Datenschutzverletzungen oder Sicherheitsvorfälle nicht nur ärgerlich für das Unternehemn und die Betroffenen sind, sondern auch erhebliche Reputationsverluste mit sich führen können. Die Sensibilität der Kunden ist in diesem Bereich sehr hoch.

Um darüber hinaus den entstehenden Risiken (Haftung, Abmahnungen) zu entgehen, sollten Sie jetzt mit der Umsetzung der neuen DSGVO beginnen. Dazu empfehlen wir, Ihre existierenden Datenschutz als Startpunkt zu verwenden und die Anpassungen sowie Erweiterungen abzuleiten. Aus unserer Erfahrung dauert eine Ist-Aufnahme eine gewisse Zeit. Und wenn Sie dann noch ein Managementsystem etablieren wollen, welches sich an existierenden Normen wie die ISO 27001 orientieren soll ist der Zeitraum ausgesprochen kurz.

Welche Lösung für Sie die angemessene ist, finden wir in einem Abstimmungsgespräch heraus.

Haben Sie noch keinen Datenschutz umgesetzt, dann wird es höchste Zeit damit zu beginnen und so schnell wie möglich die nowendigen Maßnahmen zur Erfüllung der gesetzlichen Rahmenbedingungen umzusetzen.

Gerne unterstützen wir Sie bei der Identifikation der Risiken und deren Behebung sowie der Etablierung eines Datenschutzmanagements.

Auftragsdatenverarbeitung außerhalb der EU

Die Regelungen für eine Auftragsdatenverarbeitung nach dem BDSG werden hinlänglich praktiziert. Hier sind insbesondere die Verarbeitung der Daten innerhalb der EU durch entsprechende Regelungen abgedeckt. Was aber passiert, wenn ein Dienstleister außerhalb der EU genutzt wird und als Funktionsträger die Daten des Unternehmens verarbeitet? Hierzu zählen beispielsweise Dienste wie Amazon oder Google oder auch das bekannte CRM System Salesforce, die Ihre Daten häufig außerhalb der EU speichern und weiterverarbeiten.

Vor dem Abschluss eine Vertrages zur Auftragsdatenverarbeitung ist zu empfehlen, zuerst die Privacy Policies der Unternehmen zu lesen. Sofern diese Bestandteil eines Vertrages sind oder werden sollen, sind dort bereits Hinweis auf die Verarbeitung der Daten außerhalb der EU zu finden.

Privacy Shield als Nachfolger für Safe Harbour

Explizit für US Unternehmen bestand darüber hinaus ein Abkommen zwischen der EU und den USA, das veraltete Safe Harbour Abkommen. In diesem wurde geregelt, wie der Datenschutz der EU zu erfüllen ist. Unternehmen, die sich dieser Vereinbarung freiwillig unterwerfen wollten, konnten sich diesbezüglich zertifizieren lassen.

Die Entsprechende Liste des US Handelsministeriums kann im Web unter http://safeharbor.export.gov/list.aspx eingesehen werden. Dort können Sie prüfen, ob das zu beauftragende Unternehmen zertifiziert ist und wie lange diese noch Gültig ist.

Am 8.Oktober 2015 wurde  das Safe Harbour Abkommen durch den europäischen Gerichtshof aufgrund unzureichender Vereinbarungen für nichtig erklärt. Damit wurde für viele Vereinabrungen die Rechtsgrundlage entzogen.

Nähere Informationen hierzu finden Sie auf der Webseite des Bundesdatenschutzbeauftragten unter https://www.bfdi.bund.de/DE/Europa_International/International/Artikel/SafeHarbor.html.

Anstelle des Safe Harbour Abkommens wurde 2016 das „Privacy Shield“ Abkommen abgeschlossen, welches die Beanstandungen des bisherigen Abkommens kompensieren soll. Auch hier müssen sich Unternehmen wieder zertifizieren lassen. Neu ist insbesondere, dass die Gültigkeit der Zertifizierung durch das beauftragte Unternehmen jährlich nachgewiesen werden muss.

Die zertifizierten Unternehmen können wiederum auf der Webseite https://www.privacyshield.gov  eingesehen werden.

EU Vertragsbedingungen für Auftragsdatenverarbeitung

Offen bleibt aber, wie ein Vertrag mit einem Unternehmen in einem Drittstaat abgeschlossen werden soll. Hier hat die EU entsprechende Vorlagen bereitgestellt, die sich in jedem Vertrag wieder finden sollten (http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm ). Entscheidend ist dabei die Auswahl der richtigen Vorlage.

Leider basieren die Vorlagen noch auf den bisherigen Datenschutzregelungen der EU, die bekanntlich durch die DSGVO Regelungen abgelöst werden. Es ist daher davon auszugehen, dass diese Vertragsregelungen nur noch eine Übergangszeit ihre Gültigkeit behalten und dann durch neu abzuschließende Verträge abgelöst werden müssen.

Auch die Verbindglichkeit des Privacy Shield Abkommens ist noch nicht abschließend geklärt, insbesondere nach dem Regierungswechsel in den USA.

Hohe Komplexität

Insgesamt ist das Thema zum Abschluss eines Vertrages zur Auftragsdatenverarbeitung hoch komplex. Nützliche Hinweise, wie im Einzelfall zu verfahren ist finden sich auf der Webseite des Landesdatenschutzbeauftragten NRW unter https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/InternationalerDatenverkehr/index.php oder auf https://www.datenschutz-notizen.de/sind-die-eu-standardvertragsklauseln-noch-wirksam-10-punkte-die-jetzt-beachtet-werden-sollten-0912785/