Nach den Richtlinien und Vorschriften der DSGVO, des BDSG und der zahlreichen Nebengesetze müssen Unternehmen, die personenbezogene Daten gewerblich verarbeiten, einen umfassenden Datenschutz sicherstellen. Dass das durch die Komplexität der Gesetze, den laufenden Aktualisierungen und den immer höheren Ansprüchen oftmals gar nicht möglich ist, zeigen die zahlreichen Datenschutzvorfälle. Ein Datenschutzvorfall liegt dann vor, wenn es zu einer Verletzung des Schutzes der personenbezogenen Daten gekommen ist. Nach DSGVO in Art. 4 Nr. 12 ist das der Fall bei Vernichtung, Verlust, Veränderung und unbefugten Offenlegung oder unbefugtem Zugang von/zu personenbezogenen Daten bei Übermittlung, Speicherung oder grundsätzlich bei Verarbeitung. Ein Datenschutzvorfall ist nach Art. 33 DSGVO meldepflichtig. Die Verletzung muss damit der Aufsichtsbehörde gemeldet werden.
Das ist jedoch keineswegs die einzige Meldepflicht, die eventuell besteht. Verarbeitet Ihr Unternehmen eine grosse Menge an personenbezogenen Daten oder ist die Datenverarbeitung bei Ihnen mit einem erhöhten Risiko verbunden kann es sein, dass Sie zu einer Datenschutzfolgeabschätzung - kurz DSFA - verpflichtet sind. Diese hat das Ziel bereits im Vorfeld die Zulässigkeit der Datenverarbeitung zu prüfen und ggf. einzuschränken.
Kam es bei Ihnen zu einem Data Breach (Datendiebstahl), der eine Meldung eines Datenschutzvorfalls unabdingbar macht oder agieren Sie in Verarbeitungsbereichen, für die eine Datenschutzfolgeabschätzung nötig ist, müssen Sie oder Ihr Datenschutzbeauftragter diese erstellen. Dazu benötigen Sie vor allem eins: den Überblick sowie ein vereinfachtes Management aller Datenschutzstrukturen. Datenschutzvorfälle und Bussgelder aufgrund vergessener Datenschutzfolgeabschätzungen lassen sich dann vermeiden, wenn im Datenschutz ausreichend Kapazität für ein proaktives Handeln geschaffen wird. Wie das gelingt? Mit einem zuverlässigen Partner wie Priverion, der eine smarte und effiziente Lösung für einfaches Datenschutzmanagement mitbringt.
Kommt es in Ihrem Unternehmen zu einem Datenschutzvorfall durch zum Beispiel einen Datenraub nach einer Cyberattacke oder dem versehentlichen Verschicken einer E-Mail an den falschen Empfänger, besteht eine Meldepflicht des Verantwortlichen nach Art. 33 DSGVO innerhalb von 72 Stunden nach Bekanntwerden an die Aufsichtsbehörde. Eine Ausnahme besteht, wenn „[…] die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Die versäumte Meldung eines Datenschutzvorfalls muss schriftlich begründet werden. Wie eine Meldung eines Datenschutzvorfalls aussehen muss, ist im Art. 33 DSGVO Art. 3 festgelegt. Gleichzeitig ist seitens des Unternehmens bzw. des Datenschutzbeauftragten eine genaue Dokumentation zu führen, die der Aufsichtsbehörde zur Überprüfung offengelegt werden muss. Diese umfasst unter anderem Fakten, Auswirkungen und der ergriffenen Abhilfemassnahmen beim Datenschutzvorfall. Bei Verletzung der Meldepflicht eines Datenschutzvorfalls drohen empfindliche Bussgelder. Zu beachten gilt ferner, dass nach Art. 34 Abs. 1 DSGVO auch die Betroffenen des Informationssicherheitsvorfalls unverzüglich zu informieren sind. Auch hier können bei Nichtbeachtung Konsequenzen drohen. Egal ob Meldepflicht gegenüber der Aufsichtsbehörde oder dem Betroffenen, hier kann eine Strafe nach dem sogenannten „kleinen Bußgeld“ erfolgen, die sich auf bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes des Unternehmens belaufen kann.
Doch nicht immer ist ein Datenschutzvorfall sofort erkennbar. Vor allem dann nicht, wenn der Überblick über den Datenschutz fehlt und nur Zeit für Hochrisikobereiche bleibt. Eine Lösung bietet hier unser Kernmodul.
Die SaaS-Lösung sorgt dafür, dass Sie den Einstieg und die langfristigen Arbeiten zur Einhaltung aller rechtlichen Vorschriften und die regelmässige Dokumentation sicherstellen. Mit einem umfassenden Risikomanagement verwalten und überwachen Sie in einem Blick die Risiken für Ihre Datenschutz-Compliance mit einer einzigen Lösung. Alle Tätigkeiten sowie Aufgaben können Sie übersichtlich in einem Verzeichnis anzeigen lassen und pflegen und behalten stets den gesamten Überblick. Das reduziert das Risiko von Datenschutzvorfällen bereits präventiv, hilft Ihnen Datenschutzvorfällen frühzeitig zu erkennen und bei Verletzung gegen das Datenschutzgesetz der Meldepflicht nachzukommen.
Die Leistungen des Kernmoduls:
• Verzeichnis der Verarbeitungstätigkeiten (ROPA)
• Verwaltung der Datenverarbeiter
• TOM Management
• Vorfallmanagement
• Risikomanagement (Datenflussbasiert)
• Berichte und Datenflussvisualisierung
• Auskunftsanfragen
- Überprüfungen und Audits
• Multi-law Funktion (nach juristischer Person)
Sollten Sie Fragen zu den Leistungen des Kernmoduls haben, kontaktieren Sie uns gerne, sodass wir Ihnen weiterhelfen können.
Die Aufsichtsbehörden veröffentlichen Listen die einen Rahmen setzen, wann eine DSFA durchzuführen ist. Werden zwei oder mehr der genannten Kriterien erfüllt, so ist die Wahrscheinlichkeit einer Datenschutzfolgeabschätzung sehr hoch. Dazu gehören unter anderem wenn:
• Personenbezogene Daten sehr sensibel sind.
• Daten von schutzbedürftigen Personen wie Kinder verarbeitet werden
• grosse Datenmengen verarbeitet werden
• technologischen Lösungen wie Fingerabdruckscan oder Gesichtserkennung genutzt werden
• Scoring, Evaluierung, Profilbildung und Vorhersagen eingesetzt werden
• Es sich um eine systematische Beobachtung handelt
Die inhaltlichen Anforderungen einer DSFA muss eingehalten werden:
• Beschreibung der Verarbeitungsvorgänge
• Angaben über den Zweck oder berechtigtes Interesse
• Bewertung der Notwendigkeit
• Verhältnismässigkeit der Verarbeitungsvorgänge
• Risikobewertung der Rechte und Freiheiten der betroffenen Personen
• geplante Massnahmen zur Bewältigung der Risikobereich
Das Ergebnis der Datenschutzfolgeabschätzung kann dazu führen, dass die Risiken so hoch eingeschätzt werden, dass die Datenergebung von der Aufsichtsbehörde untersagt wird. Wird eine DSFA unterlassen und es ist ein Verstoss gegen die Pflicht der Durchführung nachweisbar, drohen Bussgelder in Höhe von bis zu 10 Millionen € oder 2 % des weltweit erzielten Jahresumsatzes. Umsatz.
Damit Sie effizient den Datenschutz meistern und auch über die Datenschutzfolgeabschätzung auf dem Laufenden bleiben bzw. Risikobereiche rechtzeitig erkennen und ggf. anders strukturieren können, erhalten Sie mit unserem Effizienzmodul eine attraktive Erweiterung und schaffen so eine wesentliche Arbeitsentlastung sowie Rechtssicherheit. Automatisieren Sie wiederkehrende Aufgaben, sichern Sie sich den Zugriff auf Standard-Datenverarbeiter und -ROPAs und bleiben Sie über aktuelle Veränderungen unmittelbar auf dem Laufenden.
Die Leistungen des Performancemoduls:
• Datenverarbeiter-Bibliothek
• ROPA-Bibliothek
• Richtlinien-Bibliothek
• TOM-Bibliothek
- Bibliothek für Aufbewahrung und Löschung
• Richtlinienbaum
• Mitarbeiterschulung
• Fusions-, Übernahme- und Ausschlussfunktionen
• Azure Active Directory
• Datenschutz-Portal
Sollte es zu einem Datenschutzvorfall kommen oder Sie müssen eine Datenschutzfolgeabschätzung erstellen, so erhalten Sie mit unserer innovativen Lösung den direkten Überblick. Halten Sie Ihre Meldepflicht ein und vermeiden Sie hohe Bussgelder. Schaffen Sie sich zudem mehr Zeit für ein proaktives Handeln, um Datenschutzvorfälle schon im Vorfeld zu verhindern und mögliche Risikobereiche, die im Rahmen von Datenschutzfolgeabschätzungen behandelt werden müssen, zu reduzieren. Mit Priverion an Ihrer Seite wird die DSGVO mit ihren ganzen Richtlinien, Vorschriften und Meldepflicht machbar. Für jedes Unternehmen.
Wir freuen uns Ihnen in einem persönlichen Erstgespräch nähere Informationen zukommen zu lassen und beraten Sie gerne umfassend. Meistern Sie Datenschutzvorfälle und Datenschutzfolgeabschätzungen mit uns ein Stück weit souveräner.