Ab dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (EU-DSGVO oder DS-GVO) verpflichtend f\u00fcr alle Unternehmen in Europa. Jetzt ist die Zeit gekommen, sich auf die umfangreichen Neuregelungen der DS-GVO vorzubereiten. Auch wir sind in Vorbereitung: zusammen mit hochkar\u00e4tigen Netzwerkpartnern erarbeiten wir Audit- und Zertifizierungskonzepte zur DS-GVO.<\/p>\n
<\/p>\n
Am 15. Dezember 2015 einigten sich die Verhandlungsf\u00fchrer aus den verschiedenen Mitgliedsstaaten der EU, aus der EU-Kommission und aus dem EU-Parlament auf die EU-Datenschutz-Grundverordnung. Die EU-DSGVO wird die Datenschutzrichtlinie aus dem Jahre 1995 abl\u00f6sen \u2013 und das wird wirklich Zeit, denn in den letzten 21 Jahren hat sich viel getan!Der wesentliche Unterschied zu jetzigen Datenschutzrichtlinien besteht darin, dass die EU-DSGVO unmittelbar in der gesamten Europ\u00e4ischen Union gilt. Das bedeutet: ab dem 25.05.2018<\/strong> sind s\u00e4mtliche Neuerungen f\u00fcr alle Unternehmen in Europa verpflichtend<\/strong>!<\/p>\n <\/p>\n Sanktionen bei Datenschutzverst\u00f6\u00dfen werden derzeit eher zur\u00fcckhaltend durchgesetzt. Das wird sich jedoch \u00e4ndern, denn der Gesetzgeber hat das Ziel, Unternehmen, die den Datenschutz wissentlich oder unwissentlich vernachl\u00e4ssigen, empfindlich zu treffen<\/strong>.<\/p>\n Betroffene haben die M\u00f6glichkeit, bei Beh\u00f6rden und\/ oder zust\u00e4ndigen Gerichten Beschwerde zu Datenschutzverst\u00f6\u00dfen einzureichen. Agiert die jeweilige Beh\u00f6rde nicht binnen drei Monaten, kann die „Unt\u00e4tigkeit“, wie der Gesetzgeber es nennt, gerichtlich gepr\u00fcft werden. Betroffene k\u00f6nnen immaterielle Schadenersatzanspr\u00fcche geltend machen, deren H\u00f6he im Ermessen des Gerichts<\/strong> liegt!<\/p>\n Das bedeutet f\u00fcr Euch: Da die Verbraucherseite immens gest\u00e4rkt wird, k\u00f6nnt Ihr den drohenden Sanktionen nicht ausweichen. Jeder Datenschutz-Fehler kann so teuer werden, dass die Existenz daran h\u00e4ngt.<\/p>\n <\/p>\n Blicken wir auf die aktuelle Lage, wird deutlich, dass Sanktionen in voller H\u00f6he selten bis gar nicht durchgesetzt wurden. Materiell-rechtliche Datenschutzverst\u00f6\u00dfe etwa werden aktuell gem\u00e4\u00df \u00a7 43 Abs. 2 BDSG mit bis zu 300.000 \u20ac sanktioniert \u2013 tats\u00e4chliche Bu\u00dfgelder in dieser H\u00f6he hat es nicht gegeben.<\/p>\n Die Datenschutz-Grundverordnung jedoch sieht vor, Sanktionen f\u00fcr jeden Einzelfall zu pr\u00fcfen<\/strong>. Art. 83 Abs. 1 EU-DSGVO erkl\u00e4rt, dass Geldbu\u00dfen „wirksam, verh\u00e4ltnism\u00e4\u00dfig und abschreckend“ verh\u00e4ngt werden. Und das werden sie: Je nach Datenschutzversto\u00df k\u00f6nnen Sanktionen von bis zu 20 Mio. \u20ac oder 4 % des weltweiten Jahresumsatzes<\/strong> verh\u00e4ngt werden \u2013 je nachdem, was teurer ist<\/strong>!<\/p>\n <\/p>\n Nicht nur die Verbraucherrechte werden gest\u00e4rkt, sondern auch \u2013 und das ist die sehr gute Nachricht \u2013 die M\u00f6glichkeiten f\u00fcr Unternehmen, Werbung zu machen. Denn die Zul\u00e4ssigkeit von Werbung richtet sich mit der DSGVO nach einer allgemeinen Interessenabw\u00e4gung aus. Hier ist der Erw\u00e4gungsgrund 47 der DSGVO ausschlaggebend: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“Der f\u00fcr die Verarbeitung Verantwortliche muss also ein berechtigtes Interesse an der Datenverarbeitung<\/strong> haben. Ein solches „berechtigtes Interesse“ liegt vor, wenn Eure Produkte, Waren oder Dienstleistungen bekannter machen und\/ oder verkaufen m\u00f6chten.<\/p>\n <\/p>\n Die M\u00f6glichkeiten, zu werben, d\u00fcrften also vielf\u00e4ltiger werden. Allerdings kann ein Verbraucher gem\u00e4\u00df Art. 21 DS-GVO von seinem Widerspruchsrecht Gebrauch machen. Nimmt ein Verbraucher dies in Anspruch, so \u00fcberwiegt das „schutzw\u00fcrdige Interesse“ des Einzelnen. Dieses „schutzw\u00fcrdige Interesse“ sorgt daf\u00fcr, dass Werbema\u00dfnahmen in jedweder Form unzul\u00e4ssig sind<\/strong>. Hier spannt sich der Bogen zur n\u00e4chsten gro\u00dfen \u00c4nderung: Der aufwendige Dokumentationspflichten, zu denen wir gleich noch kommen. Es sei noch erw\u00e4hnt, dass Zuwiderhandlungen, die mit falscher Dokumentation einhergehen k\u00f6nnen, richtig teuer werden und das bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes. Die h\u00f6here Zahl gewinnt, denn der Gesetzgeber m\u00f6chte empfindlich mit dieser Ma\u00dfnahme treffen.<\/p>\n <\/p>\n Der Dokumentationsaufwand wird ab Mai 2018 immens steigen, wir haben es gerade schon angesprochen. Der Gesetzgeber hat diesem Aufwand den Namen „Accountability“ spendiert, die Rechenschaftspflicht. Ihr habt k\u00fcnftig \u00fcber alles Rechenschaft abzulegen. Denn der Art. 5 Abs. 2 DS-GVO schreibt vor: „Der f\u00fcr die Verarbeitung Verantwortliche ist f\u00fcr die Einhaltung des Absatzes 1 [Grunds\u00e4tze in Bezug auf die Verarbeitung personenbezogener Daten] verantwortlich und muss dessen Einhaltung nachweisen k\u00f6nnen.“<\/p>\n F\u00fcr Ihre Praxis bedeutet das, dass Ihr k\u00fcnftig nach dem „Belege deine Unschuld“-Prinzip agieren m\u00fcssen. Also seid Ihr grunds\u00e4tzlich in der „Bringschuld“: Belegt Ihr Eure Schutzma\u00dfnahmen nicht transparent, sind existenzbedrohende Bu\u00dfgelder die Folge.<\/p>\n Als f\u00fcr die Verarbeitung Verantwortlicher \u2013 als Unternehmensinhaber haben Ihr letztlich immer die Verantwortung \u2013 m\u00fcsst Ihr nachweisen, dass Ihr die Prinzipien der Datenverarbeitung einhaltet. <\/strong><\/p>\n Die da w\u00e4ren:<\/p>\n <\/p>\n Um einen besseren Praxisbezug zu schaffen, spulen wir die Zeit um gut 1,5 Jahre vor. Wir haben Ende Mai 2018, die DS-GVO gilt f\u00fcr s\u00e4mtliche europ\u00e4ischen Unternehmen verbindlich. Ihr plant eine Werbema\u00dfnahme: Ein Mailing soll kommende Woche per Post Euer Haus verlassen und m\u00f6glichst viele Kunden gewinnbringend ansprechen.<\/p>\n Nun ist es Eure Pflicht, jeden Werbeempf\u00e4nger noch mal zu pr\u00fcfen: Liegt bei einem Empf\u00e4nger ein Widerspruch vor, gilt dieser Widerspruch f\u00fcr s\u00e4mtliche Werbekan\u00e4le! Ihr d\u00fcrft also einem Empf\u00e4nger, der auf einen Newsletter mit Widerspruch reagiert hat, auch postalisch keine Werbung zukommen lassen. Alle verantwortlichen Stellen und s\u00e4mtliche Auftragsdatenverarbeiter m\u00fcssen jeden einzelnen Verarbeitungsvorgang in der Verarbeitungs\u00fcbersicht dokumentiert haben. Ihr solltet also in der Lage sein, genau nachzuvollziehen, wann wer den Widerspruch des Kunden aus welchem Grund und nach welcher Aktion entgegengenommen hat. Auch f\u00fcr k\u00fcnftige Werbeaktionen muss dokumentiert sein, bei wem seit wann ein Widerspruch vorliegt.<\/p>\n Wenn Ihr hier auch nur einen Dokumentationsfehler macht, nur einen Punkt \u00fcbersehen habt, wird es wirklich teuer! Bei beabsichtigter oder unabsichtlicher Zuwiderhandlung zahlt Ihr bis zu 20 Mio. \u20ac oder 4 % des weltweiten Jahresumsatzes \u2013 je nachdem, was h\u00f6her ausf\u00e4llt. Das kann Eure Existenz nicht nur bedrohen, sondern sogar vernichten.<\/p>\n <\/p>\n Wir k\u00f6nnten den Faden noch weiterspinnen: M\u00f6chtet Ihr Daten verarbeiten, braucht es eine Einwilligungserkl\u00e4rung, die freiwillig, spezifisch und eindeutig abgegeben wurde<\/strong>. Konkrete Zweckangaben zur Datenverarbeitung sind Pflicht. Das sp\u00e4tere Nutzen dieser Daten f\u00fcr andere Zwecke ist ebenfalls strikter reguliert: Ihr m\u00fcsst belegen k\u00f6nnen, dass ein weiterer Verwendungszweck mit dem urspr\u00fcnglichen kompatibel ist.<\/p>\n Ihr sieht, es wird richtig kompliziert! Aufgrund dieser Komplexit\u00e4t und nicht zuletzt aufgrund der Tatsache, dass jedes Unternehmen in Europa ganz individuell ist, ist eine Informationssicherheitsanalyse fast schon Pflicht. Wo stehen Ihr aktuell und was m\u00fcsst Ihr noch tun, um zum Start der DSGVO-\u00c4ra rechtssicher zu agieren?<\/p>\n <\/p>\n Als Mitglied & Partner des Bayerischen IT-Sicherheitscluster e. V. <\/a>sind wir in der komfortablen Lage, Euch die ISA+ I<\/strong>nformations-S<\/strong>icherheits-A<\/strong>nalyse anbieten zu k\u00f6nnen. ISA+ Informations-Sicherheits-Analyse wurde entwickelt und standardisiert, um Bedarfe bez\u00fcglich der Informationssicherheit in Unternehmen feststellen zu k\u00f6nnen.<\/p>\n Als akkreditierter ISA+ Informations-Sicherheits-Analyse – Berater k\u00f6nnen wir St\u00e4rken und Schw\u00e4chen in Eurer IT-Infrastruktur gezielt identifizieren. Unsere Handlungsempfehlungen zeigen Euch anschlie\u00dfend auf, wie Ihr Eure Informationssicherheit steigern k\u00f6nnen. ISA+ Informations-Sicherheits-Analyse tangiert den Datenschutz und inkludiert zahlreiche datenschutzrelevante Punkte, die aufzeigen, inwieweit Ihr bereits fit f\u00fcr die Datenschutz-\u00c4ra seid.<\/p>\n <\/p>\n Unser Ziel ist es, Euch M\u00f6glichkeiten an die Hand zu geben, Euren Workflow an die anstehende EU-Datenschutz-Grundverordnung auszurichten und Euch rechtssicher agieren zu lassen. Die Komplexit\u00e4t der EU-DSGVO verlangt nach Experten, die die Gesetze, aber auch Risiken und Chancen von Daten und Datenschutz kennen. So sind wir u. a. Netzwerkpartner des Bayerischen IT-Sicherheitsclusters e. V. Der Verein besteht aus Firmen der IT-Wirtschaft, Hochschulen, Forschungs- sowie Weiterbildungseinrichtungen, Juristen und Unternehmen, die Sicherheitstechnologien verwenden. Alle Mitglieder arbeiten zusammen an gemeinsamen Zielen in den Schwerpunktthemen IT-Sicherheit und Functional Safety.<\/p>\n <\/p>\n Vertreter der PSW GROUP treffen sich beispielsweise mit dem Bayerischen Landesamt f\u00fcr Datenschutzaufsicht (BayLDA<\/a>), um Audit- und Zertifizierungskonzepte zur EU-DSGVO zu erarbeiten. Diese Konzepte gestalten wir aktiv mit, was uns unsere Erfahrung erlaubt. Schon seit \u00fcber 15 Jahren beraten und begleiten wir Unternehmen aller Gr\u00f6\u00dfen und Branchen in Sachen Datenschutz und IT-Security.<\/p>\n Weiter organisieren wir Vortr\u00e4ge, um Kompetenzen zu ballen und Ihnen Informationen zu liefern. So fand am 13.10.2016 unser zweiter Thementag zur DSGVO statt (Kleiner bericht dazu in unserem Facebook-Post<\/a>). Zusammen mit der Kanzlei Muth & Partner<\/a> ist es gelungen, technologische und rechtliche Aspekte der Datenschutz-Grundverordnung zu beleuchten und Unternehmern damit echte Hilfestellungen zu geben.<\/p>\n Das bleibt auch in Zukunft unser Anliegen: Zusammen mit unseren hochkar\u00e4tigen Partnern beraten und schulen wir Unternehmen. Auch die praktische Begleitung auf den Weg in die EU-DSGVO-Rechtssicherheit \u00fcbernehmen unsere zertifizierten Experten. Informationen dazu, wie Ihr zusammen mit uns immer eine Nasenl\u00e4nge voraus sind, findet Ihr in unsrem Consulting-Bereich<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Ab dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (EU-DSGVO oder DS-GVO) verpflichtend f\u00fcr alle Unternehmen in Europa. Jetzt ist die Zeit gekommen, sich auf die umfangreichen Neuregelungen der DS-GVO vorzubereiten. Auch wir sind in Vorbereitung: zusammen mit hochkar\u00e4tigen Netzwerkpartnern erarbeiten wir Audit- und Zertifizierungskonzepte zur DS-GVO. Die EU-Datenschutz-Grundverordnung: Das kommt auf Euch zu Am … <\/p>\nDie Nichteinhaltung des Datenschutzes kann teuer werden!<\/h3>\n
Datenschutz-Sanktionen in Zahlen<\/h3>\n
Die positivsten \u00c4nderungen der Datenschutz-Grundverordnung<\/h3>\n
Schutzw\u00fcrdiges Interesse des Einzelnen<\/h3>\n
Die aufwendigsten \u00c4nderungen<\/h3>\n
\n
Ein Beispiel f\u00fcr alle erw\u00e4hnten Datenschutz-\u00c4nderungen<\/h2>\n
Datenschutz-Grundverordnung (DSGVO) macht Analysen unabdingbar<\/h3>\n
Die ISA+ Informations-Sicherheits-Analyse<\/h3>\n
Gemeinsam f\u00fcr Datenschutz und mehr Informationssicherheit im Unternehmen<\/h3>\n
Unser datenschutz-Konzept f\u00fcr Euch: Individuell und genau auf Euch zugeschnitten<\/h3>\n