Datenschutz-Ziele der EU-DSGVO
Mit der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) wurde 2018 ein harmonisiertes und gesetzliches Rahmenwerk für den Datenschutz in der EU etabliert. Ziel war und ist es, den EU-Bürgern die Kontrolle über ihre personenbezogenen Daten zu geben und strikte Regeln für diejenigen aufzustellen, die diese Daten speichern und verarbeiten. Die Verordnung definiert auch Regeln zum freien Verkehr von personenbezogenen Daten innerhalb und außerhalb der EU.
Die nationalen Gesetzgeber sind durch so genannte Öffnungsklauseln ermächtigt, die Regelungen an einigen Stellen der Verordnung zu konkretisieren und zu ergänzen. Andererseits gibt es auch in Teilen Erleichterungen (z.B. Streichung der Vorabkontrolle).
Nichtsdestotrotz ist ein systematischer Überblick für eine Risikoeinschätzung und die Einhaltung der Anforderungen zu empfehlen.
WICHTIG: Organisationen können bei Datenschutzverstößen gemäß EU-DSGVO mit Bußgeldern in Höhe von bis zu 20 Millionen EUR oder bis zu 4 Prozent des gesamten weltweit erzielten Konzernumsatzes im vorangegangenen Geschäftsjahr belegt werden.
Mit fuentis DSMS bietet die fuentis AG ein modernes Datenschutzmanagementsystem, mit dem die Anforderungen der EU-DSGVO und vieler weiterer Datenschutzverordnungen sauber modelliert und effektiv umgesetzt werden können.
Tipp: fuentis DSMS ist komfortabel integrierbar in das fuentis ISMS Informationssicherheitsmanagementsystem – das bewährte Managementtool für Informations- und Cybersicherheit, auch in hoch kritischen Branchen und Sektoren.
Vorteil für Datenschutzbeauftragte:
Sie haben alles auf dem Schirm.
Unser Alleinstellungsmerkmal ist die Integration des fuentis DSMS in die fuentis Suite. Daraus ergibt sich ein einzigartiger Vorteil in der täglichen Datenschutz-Praxis: Es können alle Daten und Prozesse zur Erstellung der Verfahrensverzeichnisse aus der zentralen Datenbasis fuentis CMDB und dem fuentis ISMS übernommen werden.
Ein DSMS für alle Daten:
- Es müssen keine redundanten Daten in unterschiedlichen Tools gepflegt werden.
- Vielmehr ist eine effiziente Übernahme dieser Daten durch den Datenschutzbeauftragten möglich.
Ein DSMS für alle Sicherheitsanforderungen:
- Maßnahmen zum Datenschutz oder ähnliche Anforderungen können direkt aus dem IT-Sicherheitsprozess (fuentis ISMS) im fuentis DSMS angewendet werden.
- So ist eine ganzheitliche Betrachtung von Governance-, Compliance- und Risiko-Anforderungen problemlos machbar.
EU-DSGVO: Was ist neu, was ist anders?
Änderungen der EU-DSGVO gegenüber dem BDSG
- Anwendung auf alle Datenverarbeitungen von EU-Bürgern (erweitert)
- Widerspruchsrecht (erweitert)
- Informations- und Auskunftspflichten (erweitert)
- Löschpflichten (erweitert)
- Stärkerer risikobasierter Ansatz erfordert Dokumentation der Risikoeinschätzung (erweitert)
- Haftung und Dokumentationspflichten für Auftragsverarbeiter (erweitert)
- Scoring, Profiling (erweitert)
- Meldepflichten bei Datenpannen (erweitert und verschärft)
- Kopplungsverbot (verschärft)
- Bußgelder bei Datenschutzverstößen (drastisch erhöht)
- Rechenschaftspflicht; Dokumentations- und Nachweispflichten (erhöht)
- Anforderungen an die Einwilligung seitens der Betroffenen (erhöht)
- Weiterverarbeitung nur bei Kompatibilität (neu)
- Portabilitätsverpflichtung für Daten, die Betroffene selbst zur Verfügung gestellt haben (neu)
- Hinweispflicht bei Weitergabe von Daten an Dritte (neu)
- Privacy-by-design, Privacy by default (neu)
Bundesdatenschutzgesetz (BDSG)
Im Deutschen Bundesdatenschutzgesetz wird die Datenschutz-Grundverordnung an jenen Stellen ergänzt und präzisiert, die den nationalen Regelungen der EU-Staaten vorbehalten bzw. überlassen sind.
Was bleibt in der EU-DSGVO wie im BDSG?
- Datenschutz-Prinzipien wie Zweckbindung, Datenminimierung und Transparenz
- Weiterhin Verbot mit Erlaubnisvorbehalt
- Verarbeitung besonders sensibler Daten unterliegt nach wie vor besonderen Voraussetzungen
- Rechtsinstrumente für die Übermittlung in Drittstaaten
- Betrieblicher Datenschutzbeauftragter für die meisten Organisationen
Standard-Datenschutzmodell mit fuentis DSMS
Das Standard-Datenschutzmodell dient als operative Methode im Datenschutz. Mit ihr wollen deutsche Datenschutz-Aufsichtsbehörden sicherstellen, dass im operativen Datenschutz eine einheitliche Beratungs- und Prüfpraxis erwirkt werden kann, insbesondere in Bezug auf die technisch-organisatorischen Maßnahmen der Deutschen Datenschutz Grundverordnung (DS-GVO).
Kern des Standard-Datenschutzmodells ist das Konzept "Elementarer Gewährleistungsziele" aus Perspektive des oder der Betroffenen. Dabei geht es um die Sicherung der Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit und Nicht-Verkettung von personenbezogenen Verfahren. Ergänzt werden die Gewährleistungsziele um die Anforderungen "Datenminimierung" und "Belastbarkeit“.
Patientendaten-Schutzgesetz mit fuentis DSMS
Das Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (kurz: Patientendaten-Schutzgesetz – PDSG) soll sicherstellen, dass digitale Lösungen schnell zum Patienten gelangen und dass sensible Gesundheitsdaten geschützt werden.
Unter anderem formuliert das Patientendaten-Schutzgesetz, dass Krankenkassen ihren Versicherten ab 2021 eine elektronische Patientenakte anbieten müssen und regelt die technischen Rahmenbedingungen zur Nutzung des elektronischen Rezepts (eingeführt per Gesetz für mehr Sicherheit in der Arzneimittelversorgung (GSAV)).
Gesetz über den Kirchlichen Datenschutz (KDG)
Das Gesetz über den Kirchlichen Datenschutz (KDG) regelt den Datenschutz in kirchlichen bzw. religiösen Angelegenheiten. Die EU-Datenschutz-Grundverordnung erlaubt Kirchen und Religionsgemeinschaften die Beibehaltung eigenen Datenschutzrechts, sofern bislang ein eigenes, umfassendes Datenschutzrecht bestanden hat. Zudem ist es kirchlichen/religiösen Institutionen möglich, eigene unabhängige Datenschutzbehörden einzurichten.
Weitere Anforderungen zum Datenschutz in Religionsgemeinschaften enthalten
- die Kirchliche Datenschutzregelung der Ordensgemeinschaft päpstlichen Rechts,
- die Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz, sowie
- das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland.
Hochschul-Datenschutzverordnung (HSchulDSV)
Die Hochschul-Datenschutzverordnung des Wissenschaftsministeriums regelt die Erhebung und Verarbeitung personenbezogener Daten der Studienbewerber, Studierenden und Prüfungskandidaten für Verwaltungszwecke der Hochschulen.
Schweizer Datenschutzgesetz (DSG)
Das neue Schweizer Datenschutzrecht (DSG-Revision) enthält zahlreiche Änderungen des nationalen Datenschutzrechts. Der Hauptfokus galt einer Angleichung an das Niveau der EU-Datenschutzgrundverordnung (EU-DSGVO) und an die Datenschutzkonvention des Europa-Rates. Wichtige Neuerungen der DSG-Revision sind u.a. erweiterte Informationspflichten, strengere Sanktionen und mehr Rechte für betroffene Personen.
