|
|
|
von Verzeichnissen für Verarbeitungstätigkeiten...
|
| Zitat von da t0bi
Wir sollten einen DSGVO Thread aufmachen!
| |
Zu Befehl, Meister.
Ansonsten: Hier soll DSGVO-Krempel rein. Anscheinend müssen sich ja doch einige Leute hier damit beschäftigen bzw. hart liefern.
Dabei nicht vergessen:
DEADLINE IST DER 25.05.2018
Es drohen Strafen bis zu 10-20 Mio. ¤.
Hier das Gesetz: https://dsgvo-gesetz.de/
Was braucht jede (auch kleinere) Klitsche bis dahin?:
- Verzeichnis der Verarbeitungstätigkeiten
- Informationsblätter/-broschüren/-ordner für die Kunden UND Mitarbeiter (Informationspflicht!)
- Entsprechende Informationen auf der eigenen Website
- ggf. eine(n) betriebliche(n) Datenschutzbeauftragte(n)*
- optimalerweise eine Prozessbeschreibung im Fall einer Datenpanne
- optimalerweise alle Abläufe direkt ins QM einpflegen
*: Wichtig: Dieser darf keine Person sein, die IT-beauftragt und/oder personalbeauftragt und/oder der Firmenleitung angehörig ist.
Erste Frage: Ist jemand hier zum Datenschutzbeauftragten ernannt worden? Falls ja: Bereits an das Büro des Datenschutzbeauftragten des Landes gemeldet?
/Da ich selbst personalverantwortlich bin, darf ich's gar nicht machen. \o/
Ändert leider nix dran, dass ich die ganze Vorarbeit mitleisten darf /o\
|
[Dieser Beitrag wurde 3 mal editiert; zum letzten Mal von honkbaer am 28.03.2018 10:00]
|
|
|
|
|
|
Ich habe ein Bingo! \o/
|
|
|
|
|
|
|
Eigentlich ändert sich zu vorher für meine kleine KöR hier wenig...
Trotzdem gibt es erheblichen Umsetzungsbedarf den wir auch nicht bis zu Stichtag abarbeiten können.
Bei öffentlichen gibt es wohl keine Bußgelder, aber eben Ermahnung von der Landesdatenschutzbeauftragten und eben Schadensersatz.
Ein Jurist meinte es wäre eher ein Querulanten-Schutzgesetz.
|
|
|
|
|
|
|
Wenn ihr nickelige Wettbewerber habt, würde ich dringend raten alles in Sachen DSGVO einzuhalten. Denn eure Wettbewerber können Verstöße gegen die DSGVO höchstwahrscheinlich selbst vor Gericht verfolgen (über §3a UWG).
Für Anwälte wird das ja ein Fest.
|
|
|
|
|
|
|
Also im Prinzip hat die neue DSGVO ja wirklich viele gute Ansätze. Als Verbraucher ist das toll. Nur eben mit ordentlich Arbeit verbunden.
Und yo, den Abmahngeiern tropft schon der Geifer aus dem Maul.
|
|
|
|
|
|
|
Hier ist den Leuten vor drei Wochen eingefallen, dass die ganze Software deswegen umgeschrieben werden muss. Ratet mal wer...
|
|
|
|
|
|
|
...und dokumentiert. es muss auch dokumentiert werden.
|
|
|
|
|
|
|
Jaja, die liebe Nachweispflicht.
Hilft ja auch nix, wenn man alles ordentlich macht, aber im Falle einer Prüfung nix nachweisen kann, ne?
|
|
|
|
|
|
|
Den Geschäftsführern geht vor allem der Arsch auf Grundeis. Denn die sind jetzt selbst mit richtig dran wenns kracht (je nach Rechtsform). Gibt da so gewisse Firmen wo das Marketing am Heulen ist weil sie von ihrer bisherigen Datenerhebungspraxis erstmal abweichen müssen und jetzt kaum noch verwertbarr Daten haben...
Fun Fact: das gilt alles nicht nur fürs Internet! Theoretisch müsste euch auch ein Arzt wenn ihr das erste Mal in einer Praxis wegen eines Termins anruft vollabern was mit euren Daten geschieht, wie die gespeichert werden usw... bevor eure persönlichen Daten aufgenommen werden.
Manchmal ist diese Novelle schon leicht praxisfremd.
|
|
|
|
|
|
|
|
|
|
|
Deadline 25.05. ist wieder so ein Angstmachbegriff, mit dem hauptsächlich Anwälte und Berater Geld verdienen
Man sollte jetzt anfangen den Datenschutzbeauftragten zu benennen, seine Prozesse aufzunehmen und zu dokumentieren. Niemand erwartet am 25.05. ein vollständig umgesetztes Konzept gemäß DSGVO. Außerdem hat die Verwaltung aktuell überhaupt nicht die Kapazität zu prüfen.
Ich darf den Kram demnächst auch bei Kunden aufnehmen und Dokumentationen erstellen, bekomme da demnächst noch die ein oder andere Schulung mit.
|
|
|
|
|
|
|
Oder als 2 Mann Handwerksbetrieb?
Handwerkskammer mal nachfragen?
|
|
|
|
|
|
|
| Zitat von mavchen
Deadline 25.05. ist wieder so ein Angstmachbegriff, mit dem hauptsächlich Anwälte und Berater Geld verdienen
Man sollte jetzt anfangen den Datenschutzbeauftragten zu benennen, seine Prozesse aufzunehmen und zu dokumentieren. Niemand erwartet am 25.05. ein vollständig umgesetztes Konzept gemäß DSGVO.
| |
... doch? Das "andere haben es auch noch nicht" zieht halt mal Null. Man kann doch nicht einfach selber für sich entscheiden, dass ein Gesetz noch nicht gilt?
Man kann höchstens mit einem gesunden Risikobewusstsein entscheiden, dass man den 25.05. ignoriert. Das aber als Angstmachbegriff hinzustellen zeigt eine echt fatale Einstellung zu Compliance.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von smoo am 28.03.2018 12:25]
|
|
|
|
|
|
|
|
|
|
gibt es irgendwo eine zusammenfassung, warum jetzt alle am rad drehen? die punkte im startpost sind irgendwie relativ nichtssagend
|
|
|
|
|
|
|
DS Beauftragter geht als IT Nase Gottseidank an mir vorbei, aber ratet mal wers trotzdem erstmal umsetzen darf?
Ich war schon auf zwei Informationsveranstaltungen, zwei interessante Dinge dazu: Die Änderungs- und Löschpflicht widerspricht ja der Pflicht zur revisionssicheren Archivierung von Daten. Auf beiden Veranstaltungen Rechtsanwälte zum Thema angesprochen: Warten Sie auf das erste Urteil und hoffen Sie dass Sie nicht betroffen sind
Auf einer Veranstaltung hat auch ein Datenschutz-Auditor (kann man via TÜV ablegen, ist natürlich schwierigste Prüfung evar!1) der lt. eigener Aussage regelm. mit den Datenschutzbehörden vekehrt sinngemäß folgendes zu den Strafen gesagt: Die Millionenstrafen bzw. Umsatzanteile werden sicher nicht gleich gezogen, die DS Behörden sind sich der Lage bewusst. Zuerst kommt ein Brief in dem man aufefordert wird das DS Konzept, Verarbeitungsverzeichnisse, Prozesse etc. darzulegen. Wenn man da schon mal was vorweisen kann sind die Damen und HErren erstmal beschäftigt und vorab zufrieden gestellt. Je Umfangreicher der Ordner (physisch) ist den man zur Verfügung stellt desto eher wird dann von weiterer Prüfung abgesehen. Die Millionenstrafen werden nur dann gezogen wenn man sich offen weigert, und mehr oder weniger "FU" zurück an die Behörde schickt und/oder gravierende Verstöße vorliegen.
/E2: Ach ja, und der Kerl sagte es liegen bei den DS Behörden natürlich schon Briefe in der "Schublade", d.h. man hat sich schon lange Firmen rausgesucht die am 26.05. dann ein Briefchen mit der Aufforderung bekommen den DS Krempel darzulegen
Was ich hier an Links zum Thema bereitstellen kann:
[URL]https://www.lda.bayern.de/de/datenschutz_eu.html[/url] - Landesamt für Datenschutzaufsicht
https://www.bfdi.bund.de Bundesbeauftragte für den Datenschutz
http://www.gdd.de Gesellschaft für Datenschutz und Datensicherheit
Praxishilfen zur DSGVO: https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo
https://www.gdd.de/downloads/praxishilfen/Muster_VVT.docx / Verzeichnis der Verarbeitungstätigkeiten: der Download erfolgt über den Server der GDD e.V.
https://www.medien-internetrecht.de/category/internetrecht/datenschutz
/E: Dayum bB, was machst du mit den URLs
|
[Dieser Beitrag wurde 5 mal editiert; zum letzten Mal von da t0bi am 28.03.2018 12:38]
|
|
|
|
|
|
Das mit den Strafen ist ein guter Punkt. Die Strafen sind bis zu Wert X. Wie immer in deutschen Gesetzen. Es würde mich wundern, wenn in den nächsten 5 Jahren überhaupt irgendjemand eine Millionenstrafe bekommt.
|
|
|
|
|
|
|
das mit der strafhöhe ist nicht richtig. hier gelten 4% des konzernumsatzes
|
|
|
|
|
|
|
Nein, weder ist ein Eurowert noch ist ein %-Wert richtig:
There are two tiers of administrative fines:
−− Some contraventions will be subject to
administrative fines of up to ¤10,000,000
or, in the case of undertakings, 2% of global
turnover, whichever is the higher.
−− Others will be subject to administrative
fines of up to ¤20,000,000 or, in the case
of undertakings, 4% of global turnover,
whichever is the higher.
|
|
|
|
|
|
|
Hallo, ich wurde zum Datenschutzbeauftragten ernannt und bin gleichzeitig stellvertretender IT-Leiter. Mein Chef meint das geht in Ordnung, ich habe da aber bisher keine verlässliche Information gefunden. Kann das irgendwie bestätigt werden?
|
|
|
|
|
|
|
| Zitat von Jobo
Hallo, ich wurde zum Datenschutzbeauftragten ernannt und bin gleichzeitig stellvertretender IT-Leiter. Mein Chef meint das geht in Ordnung, ich habe da aber bisher keine verlässliche Information gefunden. Kann das irgendwie bestätigt werden?
| |
Also IT-Leiter geht nicht, wörtlich darfst du nicht in einem Interessenkonflikt zum innerbetrieblichen Datenschutz stehen.
Sicher wäre einen externen zu holen, mit dem zusammen das Ganze aufzuarbeiten.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von da t0bi am 28.03.2018 12:34]
|
|
|
|
|
|
@Jobo:
| Zuverlässigkeit
Neben der charakterlichen Eignung gehört hierzu auch, dass es bei der Ausübung der Tätigkeit der oder des Datenschutzbeauftragten nicht zu einer Interessenkollision mit ihrem bzw. seinem sonstigen Aufgabenbereich im Unternehmen kommt. Es gilt das Grundprinzip, dass die zu Kontrollierenden nicht selbst die Kontrolle ausüben dürfen. Daraus ergibt sich, dass die Leitung sowie Beschäftigte der Personal- und EDV-Abteilung nicht gleichzeitig Datenschutzbeauftragte sein können. Daneben ist auch die Bestellung von Betriebsratsvorsitzenden kritisch zu sehen. Betriebsräte wirken auch bei Personalentscheidungen mit und haben in diesem Rahmen umfassenden Zugang zu den personenbezogenen Daten der Mitarbeiterinnen und Mitarbeiter, so dass ein Interessenkonflikt nicht ausgeschlossen werden kann. | |
https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzbeauftragte/Inhalt/Betriebliche_Datenschutzbeauftragte/Inhalt/FAQ/Fachkunde_Zuverlaessigkeit.php
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von smoo am 28.03.2018 12:34]
|
|
|
|
|
|
| Zitat von smoo
Man kann höchstens mit einem gesunden Risikobewusstsein entscheiden, dass man den 25.05. ignoriert. Das aber als Angstmachbegriff hinzustellen zeigt eine echt fatale Einstellung zu Compliance.
| |
Seit 2002 müssen alle Handelsbriefe in ihrem Urpsprungsformat aufbewahrt werden. Was meinst du, wie viele Betriebe das schon umgesetzt haben.
Ohne ein gesundes Risikobewusstsein kann der Mittelstand aktuell überhaupt nicht überleben. Gerade GoBD und DSGVO stellen sich in einigen Punkten gegenseitig auf den Füßen.
Natürlich steht der 25.05. fest. Natürlich gilt das Gesetz dann für alle. Die größte Gefahr für die Unternehmen ist allerdings nicht irgendein Datenschutzprüfer der akut vorbei kommt sondern frustrierte Bewerber und Kunden. Und Abmahnanwälte.
|
|
|
|
|
|
|
| Zitat von mavchen
Ich darf den Kram demnächst auch bei Kunden aufnehmen und Dokumentationen erstellen, bekomme da demnächst noch die ein oder andere Schulung mit.
| | Was hast du eigentlich richtig falsch gemacht?
Den Blödsinn noch oben auf, lel.
|
|
|
|
|
|
|
Wir können das bis Stichtag auch nicht 100% umsetzen. Was ich mir bis dahin aber vorgenommen habe:
- Informierte Einwilligung auf so ziemlich alles klatschen wo wir von 3. Daten einholen (Kundenanfragen Homepage, Bewerbungsbögen etc.)=
- Verarbeitungsverzeichnisse so gut es geht führen und füllen
- Datenschutzerklärung auf der HP auf den neuesten Stand bringen
=> Wo schaut die DS Behörde als erstes hin wenn sie sich ein Bild über eine Firma machen will? "Härtet" eure Homepages!
|
|
|
|
|
|
|
Ich glaube nicht, dass etwaige Aufbewahrungspflichten für Handelsbriefe mit der DSGVO vergleichbar sind.
Aber natürlich hast du Recht, dass nicht am 26.05. erhebliche Bußgelder verhängt werden. Aber dieses "wir machen das irgendwann mal" kann fatal werden.
|
|
|
|
|
|
|
| Zitat von smoo
Ich glaube nicht, dass etwaige Aufbewahrungspflichten für Handelsbriefe mit der DSGVO vergleichbar sind.
| |
Ne, aber das revisionssichere Aufbewahren beißt sich mit der Lösch- und Auskunftspflich nach DSGVO.
|
|
|
|
|
|
|
| Zitat von Expressreiskocher
| Zitat von mavchen
Ich darf den Kram demnächst auch bei Kunden aufnehmen und Dokumentationen erstellen, bekomme da demnächst noch die ein oder andere Schulung mit.
| | Was hast du eigentlich richtig falsch gemacht?
Den Blödsinn noch oben auf, lel.
| |
Wir haben als QM Team wegen mangelnder Mitwirkung seitens der Fachabteilungen und GF die Arbeit im Unternehmen eingestellt. Daher habe ich hier wieder Luft.
Das Datenschutzthema passt aber in meinen Kernbereich der Prozessdigitalisierung on Top ganz gut dazu. Außerdem bekomme ich jetzt mehr Geld. ¯\_(ツ)_/¯
|
|
|
|
|
|
|
| Zitat von smoo
Ich glaube nicht, dass etwaige Aufbewahrungspflichten für Handelsbriefe mit der DSGVO vergleichbar sind.
| |
Lieber Dienstleister, ich bin ein Neukunde bitte schreib mir ein Angebot über Leistung X.
*Angebotschreib*
*Angebot wird 10 Jahre archiviert*
Oh Dienstleister, das Angebot wird leider nichts. Bitte lösche alle meine Daten gemäß DSGVO. Thx.
|
|
|
|
|
|
|
In dem Fall alles richtig gemacht.
|
|
|
|
|
|
Thema: Der DSGVO-Thread ( von Verzeichnissen für Verarbeitungstätigkeiten... ) |