Das Datenschutz Management System DPM-Online

Ein Datenschutz Management System (DSMS) ist Teil der Gesamtorganisation in einem modern geführten Unternehmen, Organisation oder Verein. Mit dem DSMS werden die Datenschutzgrundsätze und Einzelanforderungen aus der DS-GVO, das BDSG und anderen Datenschutzgesetzen und -verordnungen strukturiert zusammengeführt und in die Unternehmensorganisation überführt.

Gegenüber die Datenschutzbehörden ist das DSMS ein wichtiges Instrument zur Darstellung und Beweisführung, dass das Unternehmen, die Organisation oder der Verein in Übereinstimmung (Compliance) mit den Gesetzen und Verordnungen im Bereich Datenschutz agiert.

Das DPM-Online kann an jedes Unternehmen individuell angepasst werden, ist auf dem eigenen Webserver 24/7 verfügbar und das Unternehmen erfüllt nach der Installation bereits zu 75% die aktuellen Datenschutzgesetze. Dieses Management-System ermöglicht gleichzeitig einem Zugriff auf wertvolle Informationen und Hilfen zum Thema Datenschutz, Datenschutzfolgenabschätzung, Auftragsverarbeitung, Joint Ventures und Datenschutzverletzung.

Selbstverständlich verfügt DPM-Online über ein Verarbeitungsverzeichnis mit einer großen Auswahl von Verarbeitungstätigkeiten aus viele Kategorien.

Was ist das „Verarbeitungsverzeichnis“

Das Verarbeitungsverzeichnis dient der Transparenz über die Verarbeitung personenbezogener Daten und der rechtlichen Absicherung des Unternehmens. Es dient dem Verantwortlichen, den betrieblichen Datenschutzbeauftragten, den Mitarbeiter Datenschutz sowie der Aufsichtsbehörde zur Erfüllung ihrer Aufgaben.

Incident Response Management

Die Gefahr für Unternehmen, Opfer von Datenschutz- und IT-Sicherheitsvorfällen zu werden, steigt stetig an. Durch die zunehmende IT-Abhängigkeit werden dabei auch die potentiellen Auswirkungen auf personenbezogenen Daten immer gravierender. Mit der steigende Bedrohungslage ist es wichtig die Risiken frühzeitig zu erkennen, sie zu verstehen, zu analysieren, zu bewerten, zu dokumentieren und ggf. darüber zu informieren.
Das Datenschutz-Management-System DPM-ONLINE unterstützt Sie mit einer prozessbasierten Incident Response Management.


Datenschutzvorfall und -verletzung
In diesem Datenschutz-Management-System wird zwischen einem Datenschutzvorfall und einer Datenschutzverletzung unterschieden.

Ein Datenschutzvorfall

… ist nicht Meldepflichtig und wird zum Zwecke der verhinderung oder frühzeitiges Erkennen eines Cyberangriffs registriert.
Eine Datenschutzverletzung
(DS-GVO Art. 33)
… ist oftmals Meldepflichtig. Wenn Meldepflichtig dann müssen die Datenschutzbehörden innerhalb von 72 Stunden, nach bekanntwerden des meldepflichtigen Vorfalls, informiert sein.

 

Der Übergang von ein Datenschutzvorfall zur Datenschutzverletzung ist oft fließend.

Datenschutzvorfall

Ein Datenschutzvorfall ist gekennzeichnet durch den möglichen Verlust von Verfügbarkeit, Integrität oder Vertraulichkeit von IT-Diensten oder Daten. Dazu zählen beispielsweise Phishing- oder Denial-of-Service-Angriffe, Infektion mit Schadsoftware, unautorisierte Zugriffe etc. Auch der Versuch dies durchzuführen, kann einen Datenschutz und /oder IT-Sicherheitsvorfall darstellen. Ausgenommen ist technisches Versagen ohne Fremdeinwirkung.

Datenschutzverletzung

Eine Datenschutzverletzung ist gekennzeichnet durch den Verlust von Verfügbarkeit, Integrität oder Vertraulichkeit von IT-Diensten oder Daten und führt voraussichtlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Person. Eine festgestellte Datenschutzverletzung muss von dem Verantwortlichen binnen 72 Stunden nach dessen Bekanntwerden der zuständigen Aufsichtsbehörde mitgeteilt werden.

 

Beachten! Hat die Verletzung des Schutzes personenbezogener Daten ….

… voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person(en) unverzüglich von der Verletzung. (DS-GVO Art. 34)

Auftragsverarbeiter oder gemeinsamer Verantwortlicher

Werden personenbezogene Daten an Dritte, ( Auftragsverarbeiter oder gemeinsamer Verantwortlicher) weitergeben, dann sollte vor Beginn der Verarbeitung überlegt werden, welche der oben genannten Varianten vorliegt.

Viele Unternehmen schließen ohne weitere Prüfung Auftragsverarbeitungsverträge ab, obwohl es sich in vielen Fällen wohl eher um eine gemeinsame Verantwortung handelt.


Gemeinsamer Verantwortlicher

Aufgrund der gemeinsamen Interessen und der gemeinsamen Abstimmung, welche Verarbeitungen getätigt werden, sind beide Parteien für die daraus resultierende Verarbeitung von personenbezogenen Daten verantwortlich. Dies gilt sowohl untereinander als auch nach außen gegenüber betroffenen Personen, z. B. bei der Wahrung der Betroffenenrechte.

Um klar zu regeln, wer hierbei wofür genau verantwortlich ist und beispielsweise den Betroffenen Auskunft erteilen muss, müssen beide Parteien einen sogenannten Joint-Control-Vertrag gem. DS-GVO Art. 2 aufsetzen, der eben dieses Verhältnis regelt.

In dieser soll in transparenter Form festlegt werden, welcher der Beteiligten jeweils welche Verpflichtung aus der DS-GVO erfüllt. Diese Vereinbarung wird auch als Joint-Controller-Agreement (JCA) bezeichnet.

Die Vereinbarung muss außerdem die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber den betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung ist der betroffenen Person gem. DS-GVO Art. 26 Abs. 2 zur Verfügung gestellt.

Auftragsverarbeiter

Ein „Auftragsverarbeiter“ ist nach Art. 4 Nr. 8 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Liegt eine Verarbeitung durch gemeinsam Verantwortliche vor, müssen die beteiligten Akteure eine Vereinbarung gem. DS-GVO Art. 28 abschließen.

Um von einer Auftragsverarbeitung ausgehen zu können, müssen zwei Kriterien vorliegen:

  • Es muss sich zum einen, um einen von dem Verantwortlichen getrennten Akteur handeln.
  • Die personenbezogenen Daten müssen im Auftrag und nach den Anweisungen des Verantwortlichen verarbeitet werden.

Der Auftragsverarbeiter hat allerdings einen gewissen Spielraum, mit welchen konkreten Mitteln er den Weisungen des Verantwortlichen am besten nachkommen kann. Er kann hierzu diejenigen technischen und organisatorischen Mittel auswählen, die ihm zur Umsetzung der Weisung am besten geeignet erscheinen.

 

Ihre DS-GVO Compliance auf Kurs

Die DS-GVO erfordert einen “Compliance-Nachweis” über die Einhaltung der Vorschriften.

DS-GVO-konform zu sein bedeutet, alle Bestimmungen und Verbindlichkeiten der Datenschutzgrundverordnung auszuführen, zu dokumentieren und gegebenfalls zu aktualisieren.

DPM ONLINE ist die Lösung, die die Einrichtung und den Betrieb eines robusten Datenschutzmanagementsystems für Ihr Unternehmen unterstützt. Das Manangementsystem ermöglicht Ihnen die Erfüllung der Anforderungen der DS-GVO und anderer relevanter Bestimmungen.

Mithilfe dieser Software, die relevanten Informationen und den nutzlichen Vorlagen meistern Sie die vielfältigen Anforderungen, die Nachverfolgung von Maßnahmen, die Berichterstellung sowie die Bewertung von Risiken. Außerdem wird der Prozess der Erfassung möglicher Datenschutzvorfälle und -verletzungen konsolidiert und optimiert.