• Mission Vorsorge
  • Anspruch Nachhaltigkeit
  • Zukunftslösungen
  • Die Qualität des nächsten Schrittes ist entscheidend
 

Das Datenschutzrecht wird künftig europaweit einheitlich geregelt. Bis zum 25. Mai 2018 sind die Anforderungen, die durch die EU-Datenschutz-Grundverordnung (EU-DSGVO) entstehen, zu analysieren und umzusetzen. Die DSGVO, die eine Harmonisierung der Vorschriften zum Datenschutz zwischen den EU-Mitgliedstaaten herbeiführen soll, stellt Unternehmen vor große Herausforderungen, da sie zu weitreichenden Änderungen gegenüber den aktuellen Vorschriften führt. Ein Verstoß gegen die neuen Regelungen kann zu empfindlichen Bußgeldern und zu erheblichen Reputationsschäden führen. Dabei ist zu beachten, dass die DSGVO ab dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedsstaaten gilt.  Auch hat sie Vorrang gegenüber dem Bundesdatenschutzgesetz (BDSG).

DSGVO-Abgleich & Umsetzungsplan

Was bedeutet die DSGVO konkret für betroffene Unternehmen?

Die Umsetzung der DSGVO macht die Anpassung einer Vielzahl von Geschäftsprozessen erforderlich und generiert einen nicht unwesentlichen personellen und finanziellen Aufwand. Ein Beispiel ist die Schaffung eines effektiven Datenschutz-Management-Systems nach Art. 24 Abs. 1 DSGVO, das den Schutz der personenbezogenen Daten sicherstellen soll. Zentrale Aufgaben sind die Dokumentation (Beweislastregelung!) und die Zuweisung von Rollen und Verantwortlichkeiten innerhalb einer strukturellen und systematischen Vorgehensweise zur Wahrung der Belange des Datenschutzes und Einhaltung der DSGVO.

Was ist zu tun?

Der erste Schritt sollte immer die Feststellung des Status quo sein, um daraus den weiteren Handlungsbedarf ableiten zu können. Zum Beispiel:

  • Ermittlung, in welchen Geschäftsprozessen und an welcher Stelle personenbezogene Daten erhoben und verarbeitet werden. Die Beurteilung sollte weit gefasst sein und eine vollständige Liste der betroffenen Geschäftsprozesse zum Ergebnis haben.
  • Erfolgt die Datenerhebung aufgrund einer Einwilligung?
  • Neben den Geschäftsprozessen sollten ebenfalls alle Systeme und Um-Systeme des Unternehmens untersucht und aufgelistet werden, die personenbezogene Daten speichern und verarbeiten.
  • Außerdem sind auch alle durch das Unternehmen eingesetzten Dienstleister relevant (insbesondere Auftragsdatenverarbeitungen). Auch hier empfiehlt sich eine umfassende und vollständige Dokumentation.

Nach der erfolgten Ermittlung und Dokumentation untersucht der Datenschutzbeauftragte, ob in den ermittelten Prozessen, Systemen oder durch einen Dienstleister personenbezogene Daten erhoben, genutzt, übermittelt oder verarbeitet werden und Handlungs- bzw. Änderungsbedarf im Sinne der DSGVO besteht. Sind  die ersten Schritte der Anforderungsanalyse getan, muss sichergestellt werden, dass die Rechte der Betroffenen gewahrt werden, ohne den Unternehmenserfolg zu gefährden. Hierbei ist eine jederzeit nachweisbare Rechtskonformität der IT in Bezug auf die Inhalte der DSGVO zu beachten.

Insbesondere die folgenden Anforderungen sollten berücksichtigt werden:

  • Werden personenbezogene Daten erhoben, so sind dem Kunden die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung mitzuteilen (Art. 14 Abs. 1 lit. c DSGVO). Diese Zweckfestlegung und die Wahrung der Informationspflicht gegenüber dem Kunden muss zudem dokumentiert werden.
  • Die oben genannten Grundsätze zur Festlegung des Zwecks gelten gleichermaßen für eine Zweckänderung. Hier ergeben sich die Anforderungen aus Art. 6 Abs. 4 DSGVO.
  • Beruht die Verarbeitung auf einer Einwilligung, muss das Unternehmen nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen (Art. 7 DSGVO).

Die aufgezeigten Veränderungen durch die DSGVO zeigen nur einen kleinen Ausschnitt der Änderungen gegenüber dem bisherigen Recht. Insgesamt sind die durch die DSGVO notwendigen Anpassungen so entscheidend, dass bereits frühzeitig mit der Analyse und Umsetzung begonnen werden sollte. Ansonsten drohen ernste Haftungs- und Reputationsrisiken.

 

Unsere Lösung: DSGVO-Abgleich & Umsetzungsplan

In einem dreiphasigen DSGVO-Abgleich & Umsetzungsplan

  • erfassen wir in einer Statusanalyse systematisch bestehende Prozesse, Systeme und Informationsmaßnahmen, die Finanzdienstleister und ihre Dienstleistungspartner im Rahmen ihrer personenbezogenen Datenerhebung, -speicherung und -nutzung verwenden, und
  • gleichen den ermittelten und dokumentierten Status quo mit den Anforderungen aus den Vorschriften der EU-Datenschutz-Grundverordnung ab und zeigen so Handlungs- und Änderungsbedarf auf.
  • Den dokumentierten Handlungs- und Änderungsbedarf lassen wir in eine mit unseren Kunden abgestimmte Umsetzungsplanung einfließen, die die Ressourcen (Zeit, Kosten, Systeme), Projektteam (Verantwortlichkeiten, Aufgaben), Schulungen (Transfer in die tägliche Praxis) festlegt.

 

Unsere Expertise

Fundiertes juristisches Fachwissen, Prozess-Know-how und gezielte Fragestellungen, mit Hilfe derer sich der konkrete Handlungsbedarf ermitteln lässt, machen unseren DSGVO-Abgleich & Umsetzungsplan aus.

 

Ihr Ansprechpartner:

Rund um Fragen zum DSGVO-Abgleich & Umsetzungsplan steht Ihnen Torsten Schwendrat, Volljurist, Leiter Geschäftsfeld "Recht & Steuern" zur Verfügung. Sie erreichen Herrn Torsten Schwendrat telefonisch unter: 02602 99983203 oder per Mail: torsten.schwendrat@aeiforia.de

 

 

Mit * gekennzeichnete Felder sind Pflichtfelder.

Anschrift
Ansprechpartner
Weitere Angaben
Sicherheitsabfrage
 

 

 

 

 
 

Aeiforia GmbH / Aeiforia Trainings & Services GmbH
Robert-Bosch-Straße 10/ Haus II
56410 Montabaur

Telefon +49 (2602) 999 83-0
Fax +49 (2602) 999 83-199
E-Mail mail@aeiforia.de
De-Mail mail@aeiforia.de-mail.de

Xing

 
 

Aeiforia GmbH und Aeiforia Trainings & Services GmbH positionieren sich mit fundierten, hochwertigen Beratungs- und Trainingskompetenzen im Zukunftsmarkt »Vorsorge« mit dem Nachhaltigkeitsansatz in ihren Konzepten. In unserer Beratung und unseren Trainings stehen auch immer die vier Facetten der Nachhaltigkeit im Vordergrund: Ökologie, Ökonomie, Sozialverträglichkeit und Orientierung an ethischen Werten. Unsere Mission: Vorsorge einfach und besser machen.

 
© 2017 | 
Aeiforia | Consulting & Training für Versicherer, Bausparkassen und Fondsanbieter im Bereich der privaten und betrieblichen Vorsorge