Wählen Sie ein anderes Land, um sich über die Services vor Ort zu informieren

//Land auswählen

Die Datenschutzgrundverordnung (EU-DSGVO)

TÜV SÜD unterstützt bei den neuen EU-Vorschriften zu Datenschutz und Datenverarbeitung

Die Datenschutzgrundverordnung (EU-DSGVO)

Das Datenschutzrecht in Europa wurde harmonisiert – mit dem Ziel, ein hohes und möglichst einheitliches Niveau bei der Verarbeitung von personenbezogenen Daten zu schaffen. Seit dem 25. Mai 2018 gilt die neue EU-Verordnung, die für einen besseren Schutz personenbezogener Daten sorgen soll. Allerdings enthält sie an vielen Stellen sogenannte Öffnungsklauseln, aufgrund derer die Mitgliedstaaten die EU-DSGVO durch nationale Regelungen ergänzen können. Der deutsche Gesetzgeber hat von dieser Möglichkeit Gebrauch gemacht und mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU ein ergänzendes Gesetz (BDSG-neu) verabschiedet, welches zeitgleich mit der DSGVO in Kraft getreten ist. Unternehmen, die sich nicht an die neuen Vorgaben halten, drohen Strafen von bis zu 20 Millionen Euro beziehungsweise in Höhe von 4 Prozent ihres weltweiten Jahresumsatzes.

Was ist jetzt zu tun?

Umfassende Maßnahmen erforderlich

Für Firmen jeder Größe und Branche bedeutet dies, dass sie ihre Datenschutzmaßnahmen aktuell und künftig umfassend unter die Lupe nehmen und anpassen müssen. Sie sind gefordert, neue Prozesse zu schaffen und bestehende Muster, Checklisten und Vertragsdokumente anforderungsgerecht zu überarbeiten. Da die EU-DSGVO bereits in Kraft getreten ist, ist es höchste Zeit, die Umsetzung fertig zu stellen.

Datenverarbeitung nur mit eindeutigen und legitimen Zwecken

Generell gilt: Personenbezogene Daten müssen in einer Form gespeichert werden, welche die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke erforderlich ist, für die diese Daten verarbeitet werden. Sie sind zu löschen, wenn sie nicht mehr für den Zweck benötigt werden, für den sie ursprünglich erfasst wurden. Widerrufen Personen ihre Einwilligung zur Datennutzung oder -verarbeitung, ist das ein verpflichtender Grund für Unternehmen, die entsprechenden Informationen zu löschen.

Erweiterte Dokumentationspflichten

Zusätzliche Verpflichtungen treffen Unternehmen vor allem im Bereich Dokumentation. Es muss zwar kein öffentliches Verfahrensverzeichnis mehr geführt werden – besser bekannt als „Jedermann-Verzeichnis“. Die Verpflichtung zum Führen von internen Verfahrensübersichten bleibt jedoch bestehen und wurde erweitert. Nur wenige Unternehmen sind davon befreit.

Risiken minimieren

Grundsätzlich verfolgt die EU-DSGVO einen risikobasierten Ansatz, der das „Risiko für die Rechte und Freiheiten natürlicher Personen“ in den Vordergrund stellt. Ein solches Risiko kann durch eine Datenschutzpanne entstehen. Daher sieht die Verordnung eine Meldepflicht an die Aufsichtsbehörde binnen 72 Stunden vor. Unternehmen sollten die Verantwortlichkeiten in ihrer Datenschutzorganisation klar regeln und Prozesse etablieren und dokumentieren, um bestehende Risiken einzudämmen.
Neu sind die erweiterten Anforderungen der „Datenschutz-Folgenabschätzung“. Die EU-DSGVO fordert in bestimmten Fällen eine detaillierte Risikoabschätzung vor Einführung der Datenverarbeitung – von der systematischen Beschreibung der geplanten Verarbeitungsvorgänge und -zwecke bis zur Dokumentation der geplanten Maßnahmen zur Risikobewältigung, die den Schutz der personenbezogenen Daten sicherstellen soll.
TÜV SÜD empfiehlt Unternehmen, datenschutzrelevante Unternehmensprozesse zeitnah zu identifizieren und die bestehenden Prozesse zur Vorabkontrolle an die neuen Anforderungen der Datenschutz-Folgenabschätzung anzupassen.

Unsere Leistungen: Wie unterstützt TÜV SÜD Sie bei der Umsetzung der DSGVO?

Externer Datenschutzbeauftragter

In Deutschland bleibt es bei der Pflicht, einen Datenschutzbeauftragten (DSB) zu bestellen. Allerdings wurde die Rolle des DSB und der Aufgaben- und Pflichtenbereich ganz wesentlich erweitert: Neu ist vor allem die Pflicht zur Überwachung der Einhaltung der EU-DSGVO, anderer Datenschutzvorschriften sowie der Strategie des Unternehmens einschließlich der Zuweisung von Zuständigkeiten. Nach wie vor ist die Rolle des Datenschutzbeauftragten besonders hervorgehoben: Er darf keinen Weisungen unterstehen, nicht abberufen oder benachteiligt werden, und er ist der unmittelbar höchsten Managementebene zu unterstellen.

Angesichts dieser Sonderstellung sowie des erforderlichen hochaktuellen Spezialwissens zum Datenschutz folgt: Die Bestellung eines hoch qualifizierten externen Datenschutzbeauftragten sollte ernsthaft in Erwägung gezogen werden.

Zertifizierte Datenträgervernichtung

Weitere Vorschriften betreffen die Vernichtung von – insbesondere digitalen – Datenträgern: Gemäß der DIN 66399 müssen Sie die Absicherung des Gesamtprozesses der Datenträgervernichtung gewährleisten, um die jeweiligen datenschutzrechtlichen Vorgaben zu erfüllen. Unser Prüfprogramm zur TÜV SÜD zertifizierten Datenträgervernichtung unterstützt Sie bei der Umsetzung.

[email protected] Zertifizierung

Unsere [email protected] Zertifizierung kann Sie als Onlineshop-Betreiber oder Betreiber einer Buchungsplattform bei der Umsetzung der technischen und organisatorischen Sicherheitsanforderungen der DSGVO unterstützen.

PCI-DSS Standard

Alle kartenverarbeitenden Unternehmen (z.B. Kreditkarte) kann der PCI-DSS Standardals Industriestandard bei der Erfüllung entsprechender relevanter DSGVO-Anforderungen unterstützen.

KONTAKTAUFNAHME FÜR ANGEBOT ZUR DATENSCHUTZBERATUNG

Möchten Sie gemeinsam mit dem TÜV SÜD Ihren Datenschutz auf den neusten Stand bringen? Dann fordern Sie jetzt ein Angebot für unsere Datenschutzberatung an. Haben Sie weitere Fragen oder wollen Sie sich zusätzliche Informationen zur Datenschutzberatung bei uns einholen, sind wir gerne persönlich für Sie erreichbar. Für ein Angebot hinterlassen Sie hier Ihre Kontaktdaten.

Angebot für eine Datenschutzberatung erhalten

Wissenswert

Broschüre

Broschüre Zertifizierung von Datenträgervernichtung

Alle Informationen zu unserem Service und der DIN 66399.

Jetzt herunterladen!

Regelwerk

Anforderungskatalog DIN 66399

Zur Bewertung und Zertifizierung von Datenträgervernichtungs- prozessen bei Vernichtungsdienstleistern.

Jetzt herunterladen!

Regelwerk

DIN 66399 Schutzklassen und Sicherheitsstufen

Schritt für Schritt zur richtigen Datenträgervernichtung

Jetzt nachlesen!

Wie können wir Ihnen helfen?

WORLDWIDE

Germany

German

Global

Americas

Asia

Europe

Middle East and Africa