Warum sollte ein Unternehmen über ein schriftlich fixiertes Vorgehen für den Datenschutz verfügen? Jedes Unternehmen ist gesetzlich zur Einhaltung des Datenschutzes verpflichtet.

Die EU-Datenschutz-Grundverordnung ist am 04.05.2016 im EU Amtsblatt veröffentlicht worden. Sie trat am 25.05.2016 in Kraft und gilt nach einer Übergangszeit von zwei Jahren ab dem 25. Mai 2018. Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO) und der freie Verkehr personenbezogener Daten (Art. 1 Abs. 3 DSGVO).

Die Ziele sollen durch die in Art. 5 DSGVO festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht.

Die Datenschutz-Grundverordnung wird das europäische Datenschutzrecht nicht völlig umwälzen, weist aber in der Praxis eine Reihe von erheblichen Änderungen auf. Bei Verstößen in den Bereichen IT-Sicherheit, Datensicherheit und Datenschutz sieht sie deutlich erhöhte Strafen für die Verantwortlichen vor.

Der Datenschutz kann heute getrost als Kernprozess jedes Unternehmens angesehen werden. Daher sind der Datenschutz und die IT-Sicherheit bei Alchimedus® als gesonderter Prozess gefordert.

Der Datenschutzplan sollte in der Regel folgende Elemente enthalten:

1. Stellenwert des Datenschutzes
2. Stellen, Funktionen und Gremien im Datenschutz
3. Risikoanalyse
4. Funktion Datenschutzbeauftragter (DSB)
5. Mitarbeiter
6. Intelligente Verarbeitungssysteme
7. Netzwerke
8. Mögliche Schadensereignisse
9. Technisch-organisatorische Sicherheitsmaßnahmen
10. Outsourcing
11. Unternehmensangaben

Umsetzungsziel:

Es ist jährlich eine aktuelle Bestandsanalyse der für den Datenschutz relevanten Prozesse mit einer Fachkraft, einem DSB oder einem Unternehmensberater durchzuführen und zu dokumentieren. Für die relevanten Prozesse sind entsprechend dokumentierte Verfahren zu entwickeln und umzusetzen.