Am 09. Mai 2018 fand beim Bayerischen Roten Kreuz, Bezirksverband Niederbayern / Oberpfalz in Regensburg ein ganztägiger Workshop für BRK-Mitglieder statt. Die Veranstaltung richtete sich in erster Linie an BRK-Führungskräfte, IT-Leiter und Personalverantwortliche.

TASCO gestaltete den Workshop vormittags mit dem Thema „Datenschutz / Informationssicherheit“. Referent war Dr. Claus Aye, Leiter IT-Revision / Datenschutz sowie Datenschutzbeauftragter der TASCO. Nachmittags wurde der Workshop fortgeführt mit dem Thema „Mindestlohn, Ehrenamt, Übungsleiter, Hauptamt – vielfältige Anforderungen sicher und effizient bearbeiten“. Referent war Sami Abbas, Leiter Kaufmännische Revision der TASCO, der über langjährige Erfahrung im Non-Profit-Bereich uns insbesondere im DRK Bereich verfügt.

Am 06. Juni 2018 veranstaltete die DRK-Service GmbH zum dritten Mal den Infotag „Personaldienstleistungen“ in Münster. Die Veranstaltung richtete sich in erster Linie an DRK-Führungskräfte und Personalverantwortliche.

TASCO hielt einen Vortrag zum Thema „Mindestlohn, Ehrenamt, Übungsleiter, Hauptamt – vielfältige Anforderungen sicher und effizient bearbeiten“ . Referent war Athanasios Dakas, Leiter Kaufmännische Beratung der TASCO, der über langjährige Erfahrung im Non-Profit-Bereich und insbesondere im DRK Bereich verfügt.

Wichtige Änderungen im Datenschutz ab Mai 2018

Mit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) am 25.05.2018 werden die bisherigen Regelungen des Bundesdatenschutzgesetzes (BDSG) ersetzt. Relevanz erfährt die Verordnung insbesondere durch die potenziell hohen Bußgelder von bis zu € 20 Millionen beziehungsweise bis zu 4 % des weltweiten Konzernumsatzes.

Eine der größten Herausforderungen ist es, den Datenschutz nicht mehr nur zu gewährleisten, sondern ihn nachweisen zu können. Waren bislang die Aufsichtsbehörden in der Beweispflicht, so sind nun die Unternehmen zur Nachweisführung und damit zur umfangreichen Dokumentation verpflichtet. Diese Rechenschaftspflicht kann u.a. durch   Compliance-/ Datenschutzaudits erfüllt werden; Basis bildet dabei das Verzeichnis von Verarbeitungstätigkeiten, welches dem Verfahrensverzeichnis des BDSG entspricht (Art. 30 DSGVO).

Ebenfalls hervorzuheben sind die gestiegenen Informationspflichten gemäß Art. 13 f. DSGVO. Hier sind die Betroffenen umfassend und verständlich über die Datenverarbeitung zu informieren. Dies und andere Themen wie das „Recht auf Vergessenwerden“ zeigen auf, dass spätestens jetzt die Zeit für ein strukturiertes Datenschutzmanagement angebrochen ist.

In das Datenschutzmanagementsystem ist die sogenannte Datenschutz-Folgenabschätzung aufzunehmen (Art 35 DSGVO). Diese Risikoanalyse der Verfahren, bei denen voraussichtlich ein hohes Risiko für die Betroffenen besteht, ist essentiell, um Prioritäten zu setzen und konkrete Maßnahmen umzusetzen. Auch hier gilt wieder: Die Dokumentation ist unabdingbar.

Des Weiteren ist eine Frist von 72 Stunden für Meldungen an die Aufsichtsbehörde zu beachten, nahezu bei jeder Datenschutzverletzung. Die Regelung ist deutlich strenger als bisher.

Neben den neu umzusetzenden Vorgaben sind bisher datenschutzkonforme Einwilligungen, Internetauftritte und Formulare oder auch Auftragsdatenverarbeitungsverträge (ADV-Verträge) auf Compliance zu prüfen.

Die technisch-organisatorischen Maßnahmen werden vereinheitlicht und sind in Art. 25, 32 DSGVO aufgeführt. Hier sind Zutritt, Zugang und Zugriff einzuschränken sowie die Weitergabe, Verfügbarkeit und Protokollierung der Datenverarbeitung sicherzustellen. Unterstützt wird der Maßnahmenkatalog von den Prinzipien Privacy by Design – Datenschutz bei Systemimplementierung berücksichtigen – sowie Privacy by Default, den datenschutzfreundlichen Einstellungen, explizit auch Verschlüsselung und Pseudonymisierung.

Neben der DSGVO wird es zukünftig weiterhin eine nationale Ergänzung geben, in Deutschland ist dies das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU, auch unter BDSG-neu bekannt) relevant. In diesem werden nationale Gestaltungsspielräume genutzt. Zudem wird bis zum 25.05.2018 eine E-Privacy-Verordnung verfasst, welche mit der DSGVO in Kraft treten wird. 

Zusammenfassend lässt sich festhalten, dass es zahlreiche – meist kleine – Anpassungen gibt, welche zeitnah umgesetzt werden sollten, um die Sanktionsgefahr zu minimieren.

Gerne unterstützen wir Sie bei der Umsetzung einer für Sie passenden Lösung.

Die TASCO hat mit einem Messestand an der 23. Sozialwirtschaftlichen Managementtagung am 7. März 2018 an der Hochschule Mainz teilgenommen.

Thema: Sozialwirtschaft nach der Wahl: mehr als ein Wirtschaftsfaktor!?