Datenschutzmanagementsysteme – auf Ihren Bedarf abgestimmt
Um den geltenden datenschutzrechtlichen Anforderungen gerecht zu werden, ist ein Datenschutzmanagementsystem (DSMS) unverzichtbar. FKC unterstützt Sie bei der Umsetzung organisatorischer Anforderungen und rechtlicher Vorgaben und steht Ihnen in allen Belangen rund um die Implementierung und die fortlaufende Optimierung Ihres Datenschutzmanagementsystems ganzheitlich zur Seite.
Das FKC-Datenschutzmanagementsystem umfasst die gesamten dokumentierten und implementierten Datenschutzprozesse, betriebliche Regelungen und Maßnahmen. Das DSMS steuert und kontrolliert systematisch den datenschutzkonformen Umgang mit personenbezogenen Daten in Ihrem Unternehmen.
Praxisgerecht realisiertes Datenschutzmanagementsystem
Gemeinsam mit Ihnen implementieren wir ein effizientes DSMS, welches auf die Anforderungen Ihres Unternehmens zugeschnitten ist. Dabei legen wir gemeinsam mit Ihnen klare Verantwortlichkeiten fest und optimieren datenschutzrechtliche Prozesse. Auch werden hierbei Ihre Mitarbeitenden eingebunden und im Umgang mit Ihrem Datenschutzmanagementsystem geschult, sodass eine reibungslose Nutzung des DSMS möglich ist.
Was ist die Kernfunktion eines guten Datenschutzmanagementsystems?
Ein funktionierendes DSMS sorgt für die ständige Optimierung von Abläufen und Dokumenten mit Hilfe von strukturierten Prozessen. Es erkennt Ihre datenschutzrechtlichen Probleme und Risiken und schafft durch regelmäßige Überprüfungen und Bewertungen eine hohe Rechtssicherheit Ihres Unternehmens zum betrieblichen Datenschutz.
Gesetzliche Regelungen zum Datenschutzmanagementsystem
Ein Datenschutzmanagementsystem (DSMS) wird von der DSGVO nicht direkt gefordert. Die Notwendigkeit eines DSMS ergibt sich jedoch um die rechtssichere Verwaltung, Bearbeitung und den Nachweis bei möglichen behördlichen Kontrollen gewährleisten zu können.
Die DSGVO stellt in Art. 5 Abs. 2 dar, dass für Unternehmen eine Rechenschaftspflicht („Accountability“) besteht. Dieses stellt viele Unternehmen vor beträchtliche Herausforderungen.
Zur Rechenschaftspflicht zählen nach Art. 5 Abs. 1 DSGVO:
- Zweckbindung der erhobenen Daten
- Richtigkeit der Daten, Löschung oder Berichtigung der Daten
- Speicherung der verwendeten Daten, nur solange es „nötig“ ist.
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben sowie die Transparenz der Daten
- Datenminimierung, d.h. Ihre Datenverarbeitung auf ein Minimum reduziert
- Integrität, Vertraulichkeit und Verfügbarkeit: Hiermit sind geeignete Technisch organisatorische Maßnahmen (TOM) gefragt.
Datenschutzmanagementsystem – Ihre Vorteile bei FKC
- Wir überprüfen und optimieren Ihre bestehende Datenschutzorganisation
- Wir überprüfen und erstellen notwendige Datenschutzrichtlinien oder Datenschutzhandbücher
- Wir überprüfen Ihre datenschutzrechtlichen Prozesse (Wichtig: Der Umgang mit Anfragen von Betroffenen)
- Wir schaffen Bewusstsein durch unsere Datenschutz-Schulungen der Mitarbeiter
- Wir überprüfen Ihre technischen und organisatorischen Maßnahmen (TOM) und legen diese gemeinsam neu fest
- Wir binden Ihren Datenschutzbeauftragten mit ein und beteiligen ihn an allen relevanten Prozessen
- Speziell die Überprüfung und Optimierung des Dienstleistermanagements (Auftragsverarbeitung) zählt zu unseren Aufgaben
- Klassifizierung von Daten zwecks besserer Messbarkeit
Jeder Datenschutzverantwortliche muss einen „bunten Blumenstrauß“ an Maßnahmen risikobasiert definieren, umsetzen, dokumentieren und kontrollieren.
In Anbetracht der Menge von Anforderungen sowie der aus der DSGVO hervorgehenden Rechenschafts- und Nachweispflicht, empfehlen wir ein systematisches Datenschutzmanagementsystem (DSMS).
Frau Li Linn Seeliger
Ihr indviduelles Angebot
Fordern Sie ihr individuelles Angebot zum Thema Datenschutz an!
Oder sprechen Sie direkt mit Ihrer Ansprechpartnerin
Häufige Fragen und Antworten
Jede Organisation,
- die personenbezogenen Daten automatisiert verarbeitet (oder nach bestimmten Kriterien zugänglich in einer strukturierten Sammlung speichert), wenn dies durch eine in der EU belegene Niederlassung erfolgt;
- die in der EU befindlichen Personen Waren oder Dienstleistungen anbietet und in diesem Zusammenhang deren personenbezogene Daten verarbeitet (Bsp.: Onlineshops);
- die mittels Datenverarbeitung das Verhalten von in der EU befindlichen Personen beobachtet (ggf. Tracking, Profiling, Social-Media-Plugins etc.).
- Praktisch alle Organisationen in der EU, da jede IT-basierte Datenverarbeitung erfasst ist
- Sowohl Unternehmen als auch viele gemeinnützige Träger (bspw. schon bei Lohnabrechnung)
- Auch Nicht-EU-Organisationen, die sich an EU-Bürger richten und deren Daten verarbeiten
Ein Datenschutzbeauftragter ist erforderlich,
- wenn Daten-Verarbeitungsvorgänge erfolgen, die zum einen/eine umfangreiche, regelmäßige und systematische Überwachung der betroffenen Personen erfordert. (z.B. GPS Tracking bei Speditionsflotte)
- wenn in großem Umfang persönliche Daten von besonderer Kategorie (z.B. Gesundheitsdaten, Daten zur Konfession) sowie strafrechtlich relevante Daten verarbeitet werden.
- wenn eine Datenschutzfolgeabschätzung nach Art. 35 DSGVO notwendig wird > Liste, wann erforderlich ist noch nicht durch Behörde veröffentlicht.
- wenn geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden (z.B. Schufa etc.)
- wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (dazu zählen nicht nur Vollzeitbeschäftigte sondern auch Studenten, Praktikanten etc.)
- Rechtmäßigkeit / Rechtsgrundlage für Verarbeitung muss existieren
- Treu und Glauben / Verarbeitung muss redlich und anständig sein
- Transparenz / Verarbeitung muss für Betroffenen nachvollziehbar sein
- Zweckbindung / Verarbeitung darf nur zu einen vorher festgelegten / eindeutigen legitimen Zweck erfolgen
- Datensparsamkeit / Verarbeitung muss auf das notwendige Maß beschränkt sein
- Begrenzte Speicherung / Daten sind frühestmöglich zu löschen
- Integrität / Vertraulichkeit / Schutz vor Verlust und Beschädigung
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person, die betroffene Person, beziehen. Immer dann, wenn sich durch die Information ein Personenbezug herstellen lässt, handelt es sich um ein personenbezogenes Datum.
- Einwilligung der betroffenen Person liegt vor
- Berechtigtes Interesse liegt vor und schutzwürdige Interessen stehen dem nicht entgegen
- Verarbeitung ist erforderlich zur Vertragserfüllung, für vorvertragliche Maßnahmen, Erfüllung von rechtlichen Anforderungen, Schutz lebenswichtiger Interessen ….
Betroffenen stehen diverse Rechte zu. Diese können, z. B. Recht auf Auskunft, Recht auf Löschen und Widerspruchsrechte umfassen. (Reaktionszeit von einem Monat für den Verarbeiter)
- Darstellung und Erläuterung > der Betroffenenrechte
- Recht auf Auskunft
- Recht auf Berichtigung
- Recht auf Löschen
- Recht auf Einschränkung
- Mitteilungspflicht gegenüber Empfängern
- Recht auf Datenübertragbarkeit
- Widerspruchsrecht
Das Verzeichnis der Verarbeitungstätigkeiten dient vor allem der Dokumentation und somit der Erfüllung der Nachweispflicht gegenüber den Aufsichtsbehörden. Grundsätzlich sind Unternehmen mit mehr als 250 Mitarbeitern zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten gemäß DSGVO verpflichtet. Bei einer geringeren Mitarbeiteranzahl auch dann, wenn besonders sensible personenbezogene Daten verarbeitet oder z.B. Risiken für die Rechte betroffener Personen entstehen können.
Viele Unternehmen bedienen sich an Dienstleistungsangeboten anderer Unternehmen. Im Rahmen der Dienstleistungen sind personenbezogene Daten Bestandteil oder Beiwerk. Zur Regelung von Verantwortlichkeiten, Pflichten und Haftungsmöglichkeiten sieht das Datenschutzgesetz die Schließung von Auftragsverarbeitungsverträgen (AV-Vertrag) vor. (Art 28 DSGVO)
Die ePrivacy-Verordnung ist eine EU-Verordnung und geht auf eine Initiative der EU-Kommission im Januar 2017 zurück. Die Verordnung befindet sich zu Zeit jedoch noch im Gesetzgebungsverfahren und liegt nur als Entwurf vor. Die ePrivacy-Verordnung wird die ePrivacy-Richtlinie, die in Deutschland größtenteils in dem Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) umgesetzt wurde ablösen. Des Weiteren soll sie die DSGVO für den Bereich der elektronischen Kommunikation ergänzen.