EU-Datenschutz-Grundverordnung

EU-Datenschutzgrundverordnung

Wir sind für Sie da

Dr. Ulrich Czubayko
Lösungsarchitekt 0381 / 25 24-1501
E-Mail schreiben

Der Countdown läuft. Am 25. Mai 2018 tritt in allen EU-Mitgliedsstaaten die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Die Anforderungen aus Brüssel sind komplex, es ist Zeit, aktiv zu werden.

Stärkung der Personenrechte

Das Ziel der 99 Artikel ist dabei zu begrüßen: Durch ein weitestgehend einheitliches Datenschutzrecht mit neuen Transparenz- und Informationspflichten sollen vor allem die Rechte und Kontrollmöglichkeiten derjenigen gestärkt werden, deren personenbezogene Daten verarbeitet werden. Im Gegensatz zur bisherigen Rechtslage macht die EU-DSGVO ganz konkrete Vorgaben zum Stand der Technik und zur Organisation von Prozessen und Abläufen zur Datenerhebung, -verarbeitung und -speicherung.

Bereichsübergreifende Maßnahmenkataloge erforderlich

Projekte zur EU-DSGVO-Compliance beinhalten parallel technische, organisatorische und juristische Aspekte, für die gemeinsam unternehmensübergreifende Lösungen gefunden werden müssen. Folgende Bereiche sind vor allem betroffen:

  • Neue Pflichten durch die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 EU-DSGVO
  • Technische und organisatorische Sicherheitsmaßnahmen, die umfassend nur mit einem Informationssicherheitsmanagementsystem (ISMS) umzusetzen sind
  • Gestiegene Dokumentationsanforderungen beim Einsatz von IT-Systemen
  • Umfassende Rechenschaftspflichten hinsichtlich Einhaltung und Dokumentation
  • Meldepflichten gegenüber den zuständigen Aufsichtsbehörden und ggf. gegenüber den Betroffenen
  • Technischer Datenschutz (Privacy by Design und Privacy by Default)
  • Strenge Anforderungen hinsichtlich Einwilligung und Zweckbindung bei der Verarbeitung personenbezogener Daten
  • Informationspflichten und Betroffenenrechte wie das Recht auf Vergessenwerden und Datenübertragbarkeit

Nach Artikel 6 EU-DSGVO geht es − konkret bezogen auf den Kundenkreis der SIV.AG − im Wesentlichen um drei Erlaubnistatbestände:

  • die Verarbeitung zur Erfüllung eines Vertrages oder Durchführung vorvertraglicher Maßnahmen (Ver- und Entsorgung der Endkunden)
  • die Verarbeitung zur Erfüllung rechtlicher Pflichten (z. B. nach HGB, UStG, AO) sowie
  • die Verarbeitung zur Wahrung berechtigter Interessen, wozu auch Werbemaßnahmen für die betreffenden Medien (Strom etc.), nach aktuell herrschender Meinung aber nicht solche für neue Angebote (Internet etc.) gehören. Hier wird der rechtliche Rahmen 2018 sukzessive konkretisiert werden.

Zu beachten ist, dass es sich um die personenbezogenen Daten natürlicher (nicht juristischer) Personen handelt, zu deren Schutz und Sicherheit der Verantwortliche geeignete technische und organisatorische Maßnahmen (TOM) treffen muss. Hier gilt es z. B. bei der Zusammenarbeit mit Dienstleistern zu differenzieren, in welchem Umfang der Verantwortliche tätig wird − als Full- oder Teil-Service bzw. im Rahmen einer Personalbeistellung. Hinzu kommt, dass im Rahmen der Rechenschaftspflicht aus Artikel 5 die Beweislast bei den Verantwortlichen liegt.

Von den zahlreichen neuen Regelungen sei hier darüber hinaus stellvertretend die Forderung in Artikel 30 genannt, wonach durch den Verantwortlichen bzw. dessen Auftragsverarbeiter ein detailliertes Verzeichnis der Verarbeitungstätigkeiten zu führen ist (sowohl für On-Premise-IT-Systeme als auch für Cloudlösungen). Unternehmen, deren Kerntätigkeit in der Datenverarbeitung liegt, müssen nunmehr einen qualifizierten betrieblichen Datenschutzbeauftragten einsetzen. Gänzlich neu für Unternehmen ist die in Artikel 35 geregelte dreistufige Datenschutzfolgeabschätzung, die immer dann durchzuführen ist, wenn sich für den Betroffenen − etwa durch die Nutzung neuer Technologien − unverhältnismäßig hohe Risiken ergeben.

Umfassende Unterstützung − Zweistufiges Löschkonzept der SIV.AG

Dr. Ulrich Czubayko, Lösungsarchitekt der SIV.AG, unterstreicht: "Wir machen unsere Kunden umfassend fit für die neuen Anforderungen. So haben wir u. a. für kVASy® und kVASy® - Anrainersysteme als Teil der Pflicht zur Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 EU-DSGVO ein zweistufiges Löschkonzept entwickelt und stehen unseren Kunden mit der gesamten Expertise der SIV.AG und ihrer Partner beratend und unterstützend gern zur Seite. Bei der gesetzeskonformen Umsetzung der EU-DSGVO setzen wir wie immer stets auch auf den engen fachlichen und strategischen Dialog mit unseren Kunden."

Beratungsgespräch vereinbaren

Tipp: Diesen Workshop sollten Sie nicht verpassen

"kVASy meets EU-DSGVO"
Gemeinsam mit der renommierten Rechtsanwaltskanzlei Pinsent Masons Germany LLP haben wir gute Antworten darauf gefunden, welchen Einfluss die EU-DSGVO auf Ihre Geschäftsprozesse hat.

Wir zeigen Ihnen, wie die Lösungen der SIV.AG (kVASy & OEM-Systeme) Sie bei der IT-seitigen Umsetzung der EU-DSGVO unterstützen. Unsere Partner von Pinsent Masons Germany LLP informieren zur Handhabung übergreifender Unternehmensprozesse.

Jetzt zum Infotag "kVASy meets EU-DSGVO" anmelden