MIDRANGE 02/2018

10 MIDRANGE AKTUELL MIDRANGE MAGAZIN · 02/2018 Stelle, insbesondere der Verarbeitung der Daten der eigenen Mitarbeiter, müssen die betroffenen Personen bezüglich der geplanten Datenverar- beitung rechtzeitig und umfassend informiert werden. Gegenüber dem BSDG enthält die DS-GVO deutlich erweiterte Mitteilungs- und Hinweis- pflichten (Art. 13 und 14 DS-GVO), vor allem bezüglich dessen, dass der Zweck und die Zweckänderung einer erstmaligen Erhebung oder geplanten Datenverarbeitung transparent arti- kuliert werden müssen. Unternehmen sind verpflichtet, ein Löschkonzept mit entsprechenden Löschfristen zu entwickeln und diese bekannt zu ge- ben. Kontaktdaten des DSB sind an- zugeben, und gegebenenfalls ist die Anschrift der zuständigen Aufsichts- behörde mitzuteilen. Dokumentation Die DS-GVO enthält zahlreiche Doku- mentationspflichten, wie zum Beispiel das Führen eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DS- GVO) (eine Ausnahme gilt für KMU mit weniger als 205 Mitarbeitern), die Dokumentation bei Auftragsverarbei- tungsverhältnissen für Auftraggeber und Verarbeiter (früher Auftragneh- mer) (Art. 28 Abs. 2 lit. a) sowie die Be- wertung und rechtzeitige Meldung von Datenschutzvorfällen (Art. 33 Abs. 5 DS-GVO). Besonders wenn interne Gre- mien bei der Bewertung von Vorfällen zur Entscheidung kommen, keine Mel- dung abgeben zu wollen, sollten der Sachverhalt und die Entscheidungsfin- dung besonders umfassend dokumen- tiert werden. Vertragsmanagement Zur Dokumentation der Datenschutz- Accountability sollten auf jeden Fall die aktuell zu haltende Ablage der Verträ- ge, die Dokumentation, die zur quali- fizierten Auswahl von Dienstleistern geführt hat, die Auftragsdatenverarbei- tungsverträge (ADV), die Verträge zur Übermittlung von personenbezogenen Daten, die Verträge für Fernwartungen sowie sonstige Verträge, die die Verar- beitung personenbezogener Daten be- inhalten, gehören. Unternehmen sollten ein Vertrags- und Ablagemanagement für alle Ver- träge mit datenschutzrechtlichem Be- zug zu Art. 28 und 29 DS-GVO einfüh- ren. Auch sollten sie bis zur Geltend- machung der DS-GVO sicherstellen, dass alle eingesetzten Dienstleister und bestehenden Verträge erfasst und auf die Vorgaben der GS-GVO geprüft sind. Da künftig auch die Verarbeiter (Auftragnehmer) mit in die Haftungs- pflichten kommen, gilt diese Vorgabe natürlich unbedingt auch für jeden Verarbeiter von personenbezogenen Daten. Privacy by Design & Privacy by Default Künftig sind Unternehmen dazu verpflichtet, Datenschutzvorschriftenim Vorfeld bereits durch eine datenschutz- freundliche Gestaltung der eingesetzten IT und entsprechende Voreinstellungen nach Art. 25 DS-GVO umzusetzen. Dies muss erfolgen durch auf Datenmini- mierung ausgerichtete IT-Systeme und geeignete technische Maßnahmen, zum Beispiel eine möglichst frühe Pseudony- misierung von personenbezogenen Da- ten. Dazu gehört unter anderem die si- chere Verschlüsselung von IT-Systemen, Datenträgern und Kommunikation. Datenschutzfolgenabschätzung Als Ersatz für die derzeit geltende Vorabkontrolle und beim Einsatz von Verfahren mit hohem Risiko für die Rechte und Freiheiten natürlicher Per- sonen ist der Verantwortliche künftig verpflichtet, vor dem erstmaligen Ein- satz des Verfahrens eine sogenannte Datenschutzfolgenabschätzung (DFA) (Art. 35 DS-GVO) vorzunehmen und zu dokumentieren. Zur Durchführung und Dokumentation eines solchen Verfahrens sollte rechtzeitig ein Kon- zept erstellt werden, und es sollten entsprechende Verfahrensdokumen- tationen erarbeitet werden. Einwilligung Auch wenn die Einwilligung vielfach als Freibrief für die Verarbeitung gese- hen wird, sollte sie gewissenhaft ein- gesetzt werden. Die DS-GVO stellt ho- he Anforderungen an die Einwilligung betroffener Personen in die Verarbei- tung ihrer personenbezogenen Daten. Daher sollte gut geprüft und dokumen- tiert werden, auf welcher Grundlage personenbezogene Daten verarbeitet werden. Bestehende Prozesse und Do- kumente für Einwilligungen sind auf ihre Konformität nach Art. 7 DS-GVO umzustellen. Nach dem Beschluss des Raz-Lee Security ist führender internationa- ler Anbieter von Sicherheits‑, Auditing- und Compliance (SOX, PCI, HIPAA etc.)-Lösungen für die IBM i. Zu Raz-Lee-Kunden zählen Un- ternehmen aller Größen, von KMUs bis zu Unternehmen mit Hunderten von Systemen, in allen vertikalen Märkten und Branchen. Fi- nanzinstitute wie Banken und Versicherungen sind besonders zahlreich unter der Raz-Lee- Klientel vertreten. ZUM UNTERNEHMEN www.razlee.de ist als externer Datenschutzbeauftragter für verschiedene mittelständige Unternehmen bestellt. Er war viele Jahre im Kundendienst in leitenden Funktionen bei internationalen Unternehmen tätig. Zuletzt über 10 Jahre Al- leingesellschafter und Geschäftsführer eines Kundendienstunternehmens für Consumer- elektronik mit über 120 Mitarbeitern. Seit 2005 berät er Unternehmen in den Fra- gen des Datenschutzes. Betriebliche Belan- ge und Anforderungen mit den gesetzlichen Vorschriften in Einklang zu bringen, ist die besondere Herausforderung dieser Aufgabe. Dabei kommt ihm die eigene unternehmeri- sche Tätigkeit der vergangen Jahre zugute. Als Referent und Moderator ist er bei zahl- reichen Datenschutzveranstaltungen aktiv. Er ist stellv. Vorstandvorsitzender des BvD e.V. (Berufsverband der Datenschutzbeauftrag- ten) und in verschieden Gremien tätig. Jür- gen Hartz ist per E‑Mail über info@jhartz.de erreichbar. JÜRGEN HARTZ