Das Datenschutz-Managementsystem

Die DS-GVO fordert im Gegensatz zum BDSG ein Managementsystem als "Ordnungshelfer".

Unser bisheriges System zur Abbildung des BDSG in Ihrer Organsiation, basiert bereits auf einem Datenschutz-Managementsystem: unser DSMS.

In den unterschiedlichen Ausprägungen: DSMS Business, DSMS QM und DSMS Cert.

Konkret:

Sie kennen bereits die grundlegenden Prinzipien: Leitlinien, Richtlinien, Verantwortlichkeiten definieren, Dokumentenlenkung, Audits...

Sobald wir unsere Datenschutz-Managementsystem-Dokumente an die DS-GVO angepasst haben, werden wir Ihnen diese zur Freigabe und Bekanntgabe in Ihrer Organisation zur Verfügung stellen.

Risikoanalyse

Bisher war es üblich, dass die Informationssicherheit in Organsiationen mittels Checklisten aufgenommen wurde. In der DS-GVO sind Checklisten jedoch out - in ist die Risikoanlayse.

Mit dem, nun neu geforderten, risikoorientieren Ansatz ist nicht nur die Aufnahme, also der Ist-Zustand, möglich, sondern gleichzeitig kann die Informationssicherheit auch bewerten werden. Mittels hinterlegter Formeln wird die Sicherheit sogar berechenbar werden.

Konkret:

Momentan ist das Team von scope & focus dabei, mittels der Software verinice ein "Paket zu schnüren", welches die Anforderungen der DS-GVO nach einer Risikoanlyse abdeckt.

Die Informationssicherheit in Ihrer Organisation muss neu erfasst und dokumentiert werden.

Da dies keine originäre Aufgabe des Datenschutzbeauftragten ist, können wir diese Dienstleistung nur gesondert anbietet. Bitte fragen Sie nach einem indivuellem Angebot.

 

Mehr Informationen

Neuigkeiten: Bitkom-Leitfaden "Risk Assessment & Datenschutz-Folgenabschätzung" erschienen

Download: Leitfaden "Risk Assessment & Datenschutz-Folgenabschätzung"

Verfahrensverzeichnis wird zum Verzeichnis von Verarbeitungstätigkeiten

Unsere Bestandskunden kennen die Fragen bei jedem Audit-Termin, ob sich Veränderungen in Ihren betriebswirtschaftlichen Prozessen oder eben an datenschutzrelevanten Verfahren ergeben haben.

Konkret:

Wir liefern Ihnen eine Vorlage  für die Erfassung der Verarbeitungstätigkeiten, in welche Sie Ihre bisherigen Verfahren übertragen möchten.

 

Mehr Informationen:

GDD-Praxishilfe DS-GVO V - Verzeichis von Verarbeitungstätigkeiten

Auftragsdatenverarbeitungen (ADV) werden zu Auftragsverarbeitung (AV)

In jedem Auditbesuch fragen wir Sie nach Ihren bestehenden sowie neuen Dienstleistern, s.g. Auftragsdatenverarbeiter (ADV), die für Sie Daten im Auftrag verarbeiten.

Dies können typischerweise sein

  • Datenträgervernichter
  • Rechenzentren
  • EDV-Dienstleister
  • Wartung der Kopierer oder Telefonanlagen

Sie als Auftraggeber sind und bleiben die Verantwortliche Stelle, die personenbezogenen Daten z.B. Ihrer Kunden, Mandanten oder auch Mitarbeiter erhoben hat. Dies sind nicht Ihre Daten und von daher, müssen Sie sorgfältig auswählen, an welchen Dienstleister Sie diese "fremden" personenbezogenen Daten zur weiteren Verabeitung weiter geben.

Der originäre Dienstleitungsvertrag wird um den s.g. ADV-Vertrag erweitert.

Konkret:

Die Anforderung an einen AV-Vertrag ändert sich mit der DS-GVO. Daher sollten bestehende ADV-Verträge angefasst und angepasst werden.

Wir werden Ihnen ein entsprechendes AV-Vertragsmuster zur Verfügung stellen, damit Sie auf Ihre Dienstleister zu gehen können, um einen aktualisierten und rechtskonfromen AV-Vertrag abzuschließen.

Achtung: NEU für Auftragsverarbeiter

Sind Sie hauptsächlich als Auftragsverarbeiter tätig, d.h. Ihre originäre Aufgabe ist es, Daten im Auftrag zu verabeiten, fordert die DS-GVO:

  • Führen eines Verzeichnisses der Auftraggeber: welche Leistungen werden für welchen Auftraggeber erbracht

 

Mehr Informationen

GDD-Praxishilfe DS-GVO IV - Mustervertrag zur Auftragsverarbeitung

Schulung und Verpflichtung Ihrer Mitarbeiter

Zu der Dienstleistung von scope & focus gehört zu Beginn der Beauftragung auch eine Schulung der Mitarbeiter.

Zusätzlich verpflichten Sie Ihre Mitarbeiter bei Arbeitsbeginn momentan auf § 5 BDSG Datengeheimnis.

Einige von Ihnen haben Präsenz-Schulungen durch scope & focus nachgebucht, andere lassen bei Neu-Eintritt unseren Datenschutz-Test machen.

Diese Maßnahmen zu "Schulung und Verpflichtung" werden mit Eintritt der DS-GVO nicht mehr ausreichen.

Konkret:

Das Team von scope & focus ist momentan dabei, eine Plattform für Pflichtschulungen aufzubauen.

Dort können Schulungen mittels Webinaren durchlaufen werden. Der Mitarbeiter wählt den Zeitpunkt der Schulung selbst und erhält nach erfolgreichem Abschluß ein Zertifikat.

Mittels Vouchern, die wir Ihnen zur Verfügung stellen und die sie an Ihre Mitarbeiter weitergeben, kann gewährleistet werden, dass jeder Mitarbeiter seine notwendigen Schulungen absolviert.

Durch die system-seitige Protokollierung wird zugleich der Dokumentationspflicht Rechnung getragen.

Für Berufsgeheimnisträgern planen wir weitere Pflichtschulungen, wie "Verschwiegenheit nach § 203 StGB" mit anzubieten. Bei Interesse sprechen Sie uns gerne dazu an.

Datenschutz 2.0 - das ändert sich für unsere Datenschutz-Kunden

Trennlinie

Generelles hinsichtlich der DSGVO

 Wir arbeiten mit Hochdruck daran, die neuen gesetzlichen Vorgaben der DSGVO, handhabbar, greifbar und umsetzungsfähig aufzubereiten.

Neben der DS-GVO gilt das deutsche Anpassungsgesetz (DSAnpUG-EU) - diese bringen zahlreiche Anforderungen mit sich, die bis zum 25.  Mai 2018 zu erfüllen sind.

Nicht-amtliche Fassung des BDSG-neu

Synopse DSGVO (Artikel mit Erwägungsgründen) - BDSG-neu

GDD-Praxishilfe DS-GVO VI - Textausgabe DS-GVO mit Zuordnung BDSG

Um sicher zu stellen, dass wir alle gesetzlichen Anforderungen des BDSG erfüllen, orientierten wir uns bisher an dem Baustein 1.5 Datenschutz des IT-Grundschutz-Kataloges des BSI. Dieser wird in Zukunft entfallen.

Unsere neue Ordnungsstruktur gibt uns die DSGVO mittels ihrer Prinzipien: die Grundsätze für die Verarbeitung personenbezogener Daten vor.

Konkret:

Salopp gesagt: Es ändert sich inhaltlich eigentlich nicht viel, denn die großen Themen bleiben ähnlich.

U.a. innerhalb dieser Prozesse wird es, zumeist nur kleinere, Änderungen in der Dokumentation geben

  • Betroffenenrechte
  • Einwilligungen
  • Verträge mit Dienstleistern
  • Verfahrensübersichten

Aber:

Durch die EU-weite Anpassung gibt es weitrechende Neuerungen

  • neue Begrifflichkeiten / Umbenennungen
  • neue Struktur / neuer Aufbau des Gesetzes
  • einige Bereiche kommen komplett neu hinzu, wie
    • das Managementsystem 
    • umfangreiche Dokumentationspflichten
    • der risikoorientierte Ansatz bei der Informationssicherheit

Informationen von scope & focus

In unseren Fachausätzen zur DSGVO, können Sie lesen, was sich ändern wird.

Sind Sie bereit für die DSGVO?
Machen Sie unseren DSGVO Readiness Check

(Bestandskunden erhalten bei Anfragen einen Gutschein-Code - bitte schreiben Sie uns eine kurze E-Mail mit dem Betreff "DSGVO Gutschein" an information@scope-and-focus.com)