![\"Datenschutz-Grundverordnung\"](\"http:\/\/www.lamapoll.de\/blog\/wp-content\/uploads\/2017\/06\/procadoM.Tessendorf-225x300.jpg\")
<\/p>\n
Marco Tessendorf:<\/strong> Mit meinem Team bin ich seit 2005 im Bereich Datenschutz und Informationssicherheit t\u00e4tig. Aktuell habe ich das Mandat als externer Datenschutz- oder Informationssicherheitsbeauftragter f\u00fcr ca. 60 Unternehmen \u00fcbernommen. Zu den Hauptaufgaben geh\u00f6ren unter anderem: die datenschutzrechtliche Bewertung von Verfahren und die Beratung bei der Einf\u00fchrung neuer Softwarel\u00f6sungen. Das bedeutet: Ich erfasse, \u00fcberwache und dokumentiere alle Verfahren, bei denen personenbezogene Daten verarbeitet werden. Somit nehme ich eine Schnittstellenfunktion zwischen IT- und Fachabteilung ein.<\/p>\n LamaPoll:<\/em> Die Datenschutz-Grundverordnung (kurz DSGVO) ist in aller Munde. F\u00fcr alle Nicht-Juristen: Was passiert denn nun genau am 25. Mai 2018?<\/strong><\/p>\n Marco Tessendorf<\/strong>: Einfach gesagt: Das g\u00fcltige Bundesdatenschutzgesetz (BDSG) wird ab Mai 2018 durch ein EU-weites europ\u00e4isches Datenschutzrecht, die EU-Datenschutzgrundverordnung (EU-DSVGO), ersetzt. Das Bundesdatenschutzgesetz und die Landesdatenschutzgesetze (LDSG) treten au\u00dfer Kraft.<\/p>\n Das neu verabschiedete Bundesdatenschutzgesetz \u201cBDSG-neu\u201c r\u00fcckt ebenso ab Mai 2018 in den Fokus. Es konkretisiert die Datenschutz-Grundverordnung n\u00e4mlich in einigen Punkten.<\/p>\n Viele Unternehmen m\u00fcssen sich auf einen erh\u00f6hten Aufwand zur Umstellung der Datenschutzprozesse einstellen. Auch wenn das Datenschutzrecht in Deutschland bereits gut geregelt war, so gibt es einige neue bzw. versch\u00e4rfte Regelungen. Zum Beispiel die Datenschutzfolgenabsch\u00e4tzung, die Ausweitung der Meldepflicht bei Datenschutzpannen sowie erh\u00f6hte Dokumentationsaufw\u00e4nde und erweiterte Rechenschafts- und Informationspflichten gegen\u00fcber Betroffenen.<\/p>\n LamaPoll:<\/em> Welche Auswirkungen hat die DSGVO vor allem f\u00fcr deutsche Unternehmen? Was sind die drei wichtigsten Neuerungen?<\/strong><\/p>\n Marco Tessendorf:<\/strong> Der Schutz des Betroffenen vor Verletzung seiner Rechte und Freiheiten r\u00fcckt in den Mittelpunkt. Unternehmen m\u00fcssen die Sicherheit einer Verarbeitung nachweisen k\u00f6nnen. Das st\u00e4rkt die Bedeutung von Audits, G\u00fctesiegeln und Zertifizierungen.<\/p>\n Neu ist die Forderung, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (\u201ePrivacy-by-Design\u201c und \u201ePrivacy-by-Default\u201c) umzusetzen. Zudem \u00e4ndern sich die Spielregeln bei der Einschaltung von Dienstleistern (Auftragsverarbeitung). Die Anforderungen an die Eignungspr\u00fcfung und die Bedingungen zur Beauftragung von Subunternehmern werden versch\u00e4rft und Dienstleister st\u00e4rker in die Pflicht genommen.<\/p>\n Viele Aufgaben waren aus dem Bundesdatenschutzgesetz bekannt. H\u00e4ufig wurden diese aber nicht ernst genommen und Verst\u00f6\u00dfe selten geahndet. Das wird sich ab Mai 2018 \u00e4ndern. Die DSGVO sieht eine ausdr\u00fcckliche Abschreckung durch Bu\u00dfgelder vor. Der Bu\u00dfgeldrahmen wird um den Faktor 60 erh\u00f6ht. Das bedeutet: Zuk\u00fcnftig k\u00f6nnen Bu\u00dfgelder in H\u00f6he von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens oder bis zu 20 Mio. \u20ac verh\u00e4ngt werden.<\/p>\n Unternehmen m\u00fcssen die Sicherheit einer Verarbeitung nachweisen k\u00f6nnen. Das st\u00e4rkt die Bedeutung von Audits, G\u00fctesiegeln und Zertifizierungen.<\/em><\/strong><\/span><\/p><\/blockquote>\n LamaPoll:<\/em> Wer sich bereits jetzt mit der DSGVO besch\u00e4ftigt hat, trifft immer wieder auf sogenannte \u201e\u00d6ffnungsklauseln\u201c. Was hat es mit diesen auf sich?<\/strong><\/p>\n Marco Tessendorf:<\/strong> Die DSGVO bildet den datenschutzrechtlichen Rahmen f\u00fcr die 28 EU-Mitgliedstaaten. Damit nationale Besonderheiten ber\u00fccksichtigt werden k\u00f6nnen, h\u00e4lt die DSGVO sogenannte \u00d6ffnungsklauseln (Soll- und Kann-Regelungen) bereit. Der deutsche Gesetzgeber setzt diese \u201eSoll- und Kann-Regelungen\u201c mit dem \u201eBDSG neu\u201c um. Es soll zusammen mit der Datenschutz-Grundverordnung in Kraft treten.<\/p>\n LamaPoll:<\/em> Wie bereiten sich Unternehmen, ob DAX oder Mittelstand, am besten auf die bevorstehenden \u00c4nderungen vor? Mit welchem Schritt sollte man aus Ihrer Sicht am ehesten beginnen?<\/strong><\/p>\n Marco Tessendorf:<\/strong> Zu Beginn sollten Unternehmen sicherstellen, dass ihre Verfahren und Prozesse ordentlich dokumentiert sind. Dies ist nicht nur nach der neuen Verordnung verpflichtend, sondern erleichtert auch die weiteren Schritte hin zur Anpassung. Entsprechend kann dann auch \u00fcberpr\u00fcft werden, ob z.B. Rechtsgrundlagen oder L\u00f6schfristen angepasst werden m\u00fcssen.<\/p>\n Erg\u00e4nzend dazu sollten Unternehmen pr\u00fcfen, ob bisherige Dokumente und Vertr\u00e4ge auch im Hinblick auf die Verordnung noch g\u00fcltig sind. Insbesondere bei Auftragsdatenverarbeitungen m\u00fcssen Vertr\u00e4ge durchgesehen und eventuell angepasst werden.<\/p>\n Weitere wichtige Schritte: Die Sensibilisierung der Mitarbeiter in Bezug auf das kommende Datenschutzrecht sowie die Implementierung von Verfahren zur Umsetzung der Datenschutzfolgenabsch\u00e4tzung, der Melde- und Konsultationspflichten an die Aufsichtsbeh\u00f6rde und zur Erf\u00fcllung der Unterrichtungs- und Informationspflichten gegen\u00fcber den Betroffenen.<\/p>\n LamaPoll:<\/em> Wenn Unternehmen nach dem 25. Mai 2018 eine Online-Umfrage (z.B. Mitarbeiter- oder Kundenbefragung) planen, auf was m\u00fcssen sie zuk\u00fcnftig achten?<\/strong><\/p>\n Marco Tessendorf:<\/strong> Vor Beginn der Umfrage sollten Unternehmen, wie nach bisherigem Recht auch, den Zweck der Umfrage eindeutig festlegen, die Rechtsgrundlage benennen und eventuell schutzw\u00fcrdige Interessen der Betroffenen ber\u00fccksichtigen. Neu ist, dass die Betroffenen umfassend \u00fcber ihre Rechte informiert werden m\u00fcssen. Zum Beispiel in Bezug auf die geplante Datenverarbeitung, Einwilligung und Widerruf. Setzt das Unternehmen eine Software ein, ist diese auf Eignung gem\u00e4\u00df der DSGVO-Vorgaben zu pr\u00fcfen (z.B. L\u00f6schoptionen).<\/p>\n Zum Schutz der Betroffenen ist der Einsatz von Verschl\u00fcsselung, Anonymisierung und Pseudonymisierung zu erw\u00e4gen. Das Verfahren ist zu dokumentieren (\u201eVerarbeitungs\u00fcbersicht\u201c) und L\u00f6schfristen sind klar zu definieren. F\u00fchrt ein Dienstleister die Online-Umfrage durch und\/oder werden die Daten in der Cloud gespeichert, muss ein Vertrag zur Auftragsverarbeitung <\/a><\/strong>(ADV-Vertrag) mit dem Dienstleister abgeschlossen werden.<\/p>\n Keine leichte Frage. Prinzipiell versuche ich so wenig Datenspuren im Internet zu hinterlassen wie irgendwie m\u00f6glich.<\/strong> <\/em><\/span><\/p><\/blockquote>\n LamaPoll:<\/em> Zum Schluss noch ein Praxis-Tipp: Welche digitalen sicheren Tools nutzen Sie f\u00fcr Ihren Arbeitsalltag als Datenschutzbeauftragter?<\/strong><\/p>\n Marco Tessendorf:<\/strong> Keine leichte Frage. Prinzipiell versuche ich so wenig Datenspuren im Internet zu hinterlassen wie irgendwie m\u00f6glich. Aktuell setze ich beim Browser auf FireFox mit zus\u00e4tzlichen PlugIns, wie \u201eNo Script\u201c (verhindert die Script- Ausf\u00fchrung) und \u201eGhostery\u201c (blockiert Werbebanner und Tracking). Jedoch muss bei der Verwendung der Tools auf deren Einstellungen geachtet werden, damit diese nicht selbst Daten sammeln. Windows 10 hindere ich mit \u201eShutUp10\u201c von OO Software am Spionieren. F\u00fcr unterschiedliche Zwecke nutze ich verschiedene Email-Adressen und Zugangsdaten und zur Passwortverwaltung der vielen Konten \u201eKeePass\u201c.<\/p>\n
\n
\n
\nDas ist vor allem f\u00fcr Softwareentwickler von Bedeutung.<\/p>\n
\n
\n
\n
\n
\n
\n
\n