Management-System

Ich unterstütze Sie beim Aufbau eines Datenschutz Management Systems, das die Anforderungen der neuen EU-Richtlinie 2016/679 erfüllt und an die Größe, die Besonderheiten und an die Branche, in der Sie tätig sind, zugeschnitten ist.

Ein System dieser Art muss sinnvollerweise im Betrieb eingebunden, gemeinsam mit Experten erstellt und regelmäßig aktualisiert werden. Durch Verwendung der eigens dafür entworfenen Software lässt es sich vermeiden, dass Termine verabsäumt, Anfragen nicht rechtzeitig beantwortet und Sicherheits- sowie Rechenschaftspflichten nicht erfüllt werden.

Die Datenschutzgrundverordnung (DSGVO) hat zahlreiche Nachweis- und Rechenschaftspflichten definiert: werden diese nicht eingehalten, drohen sensible Sanktionen. Ein Datenschutz-Management-System kann von den Aufsichtsbehörden bußgeldmindernd berücksichtigt werden.

Pflichten (Auszug):

  • Art. 13 und 14 DSGVO: Hier werden die Informationspflichten neu und verschärft geregelt, zum Beispiel müssen dem Betroffenen die Kontaktdaten des Datenschutzbeauftragten, den Zweck der Datenverarbeitung sowie die Speicherdauer mitgeteilt werden. Der Interessierte muss zudem informiert werden, ob die Mitteilung der Daten verpflichtend oder freiwillig ist. Auch eine Belehrung über das jederzeitige Widerrufsrecht darf nicht fehlen und es besteht absolutes Kopplungsverbot.
  • Art. 24 DSGVO: Die Unternehmen müssen geeignete technische und organisatorische Maßnahmen installieren, um die Daten zu schützen. Die Beweislast liegt laut Absatz 1 dieses Artikels beim Unternehmen, d. h. das Unternehmen muss im Streitfall beweisen, die Anforderungen des DSGVO eingehalten zu haben. Hierzu gehören u. a. die Pseudonymisierung und Verschlüsselung personenbezogener Daten sowie die Fähigkeit, die personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall (Data disaster) in kurzer Zeit wiederherzustellen (Disaster recovery).
  • Art. 25 DSGVO: Der für die Verarbeitung Verantwortliche sollte interne Strategien festlegen und Maßnahmen treffen, die insbesondere dem Grundsatz des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) sicherstellen. Dies bedeutet Minimierung der gespeicherten Daten, Pseudonymisierung personenbezogener Daten, Überwachung der Datenverarbeitung, Schaffung von Sicherheitsfunktionen.