Das Ziel der Arbeit ist es, den Verantwortlichen im Unternehmen eine praxisorientierte und verständliche Hilfestellung zur Thematik an die Hand zu geben, mit deren Hilfe vorhandene Datenschutzstrukturen den Anforderungen der DS-GVO angeglichen werden können. Allerdings ist zu beachten, dass die hier vorgestellten Lösungsansätze nicht pauschal auf jedes Unternehmen übertragen werden können, denn zu unterschiedlich sind dafür die Anforderungen der einzelnen Branchen und Unternehmen.
Nach der Einleitung folgt eine allgemeine Einführung in Compliance-Management-Systeme, anschließend wird das neue Datenschutzrecht nach DS-GVO vorgestellt, u.a. mit Ausführungen zum Entstehungsprozess, den Zielen und seinen wesentlichen Anforderungen und Pflichten an den Verantwortlichen. Der Hauptteil der Arbeit beschreibt die erforderlichen Vorgänge zur Sicherstellung der Datenschutz-Compliance als Synthese der vorangegangenen zwei Kapitel.
Anhand von drei Kernprozessen (Datenverarbeitung, Betroffenenrechte, Datenschutzverletzungen) wird mithilfe des PDCA-Modells ein systematisches Vorgehen erarbeitet. Im Fazit werden die zentralen Aussagen der Arbeit zusammengefasst und in einer Handlungshilfe bestehend aus nur fünf Schritten verdichtet. Die Arbeit schließt mit einem Ausblick und dem Appell, keine Zeit bei der Umsetzung zu verlieren.
Inhaltsverzeichnis
I. Einleitung
1. Ausgangssituation
2. Problemstellung und Ziel der Arbeit
3. Aufbau und Struktur der Arbeit
II. Einführung in Compliance-Management-Systeme
1. Begriffliche Einordnung
a) Definition und Herkunft
b) Ziele des Compliance-Management-Systems
c) Die Folgen von Compliance-Verstößen
d) Zunehmende Bedeutung von Compliance
e) Compliance als Wettbewerbsvorteil
2. Umsetzung von Compliance
a) Unternehmensführung als Vorbild
b) Schaffung einer Compliance-Kultur
c) Festlegung eines Compliance-Verantwortlichen
d) Risikoanalyse
aa) Risikoerkennung
bb) Risikobewertung
e) Compliance-Programm (Maßnahmenplan)
aa) Verhaltenskodex und andere Richtlinien
bb) Schulungen und Trainings
cc) Whistleblowing und Hinweisgeberstellen
dd) Kontrollen
f) Überwachung und Dokumentation von Compliance
aa) Monitoring/Risikocontrolling
bb) Durchführung und Dokumentation von Audits
cc) Umsetzung der Audit-Erkenntnisse
III. Die neue EU-Datenschutz-Grundverordnung (DS-GVO)
1. Entstehungsprozess
2. Ziele
3. Inhalte
a) Aufbau
b) Fortschreibung des bestehenden Datenschutzrechts
c) Weitergeltung deutschen Datenschutzrechts
d) Anwendungsbereich der DS-GVO
aa) Sachlicher Anwendungsbereich
bb) Persönlicher Anwendungsbereich
cc) Räumlicher Anwendungsbereich
f) Grundsätze für die Verarbeitung personenbezogener Daten
aa) Rechtmäßigkeit
bb) Fairness (Treu und Glauben)
cc) Transparenz
dd) Zweckbindung
ee) Datenminimierung
ff) Richtigkeit
gg) Speicherbegrenzung
hh) Systemdatenschutz
ii) Verantwortung und Rechenschaftspflicht
jj) Weitere Datenschutzgrundsätze
g) Erlaubnis zur Datenverarbeitung
h) Rechte der betroffenen Person
aa) Transparenz und Modalitäten
bb) Informationspflichten und Recht auf Auskunft
cc) Berichtigung, Löschung, Einschränkung und Übertragbarkeit
dd) Widerspruchsrecht
i) Übermittlung personenbezogener Daten in Drittländer
j) Datenschutzaufsicht und Sanktionen
IV. Datenschutz-Compliance nach der DS-GVO
1. Umsetzungserfordernisse an den Verantwortlichen
2. Aufbauorganisation: Datenschutzstrukturen
3. Ablauforganisation: Datenschutzkonzept
4. Datenschutzprozesse im Detail
a) Datenschutzkonforme Datenverarbeitung
aa) Planung
bb) Umsetzung
cc) Bewertung
dd) Verbesserung
b) Sicherstellung der Betroffenenrechte
aa) Planung
bb) Umsetzung
cc) Bewertung
dd) Verbesserung
c) Handhabung von Datenschutzverletzungen
aa) Planung
bb) Umsetzung
cc) Bewertung
dd) Verbesserung
5. Datenschutz-Folgenabschätzung
6. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
7. Datenschutzdokumentation
a) Nachweispflicht
b) Umfang
c) Verfahrensverzeichnisse
8. Datenschutzbewusstsein schaffen
a) Notwendigkeit
b) Datenschulungskonzept
9. Datenschutzaudit/-zertifizierung
a) Audit
b) Zertifizierung
V. Fazit
1. Zusammenfassung
2. Ausblick
Zielsetzung & Themen
Das primäre Ziel dieser Arbeit ist es, Verantwortlichen in Unternehmen eine praxisorientierte und verständliche Hilfestellung zur Thematik der Datenschutz-Compliance unter der neuen DS-GVO an die Hand zu geben, um bestehende Datenschutzstrukturen an die gesetzlichen Anforderungen anzupassen.
- Grundlagen und Bedeutung von Compliance-Management-Systemen
- Strukturelle Analyse des neuen europäischen Datenschutzrechts (DS-GVO)
- Systematisches Vorgehen bei der Umsetzung von Datenschutz-Compliance mittels PDCA-Modell
- Operative Umsetzung in den Bereichen Datenverarbeitung, Betroffenenrechte und Datenschutzverletzungen
- Praktische Implementierung von Datenschutzdokumentationen und Risikomanagement
Auszug aus dem Buch
d) Risikoanalyse
Für den Aufbau eines CMS ist die Risikoanalyse konstitutiv. Eine Compliance-Organisation muss die ermittelten Risiken berücksichtigen und die Instrumente des Compliance-Managements so wählen, dass die Risiken entsprechend reduziert werden.
Eine Risikoanalyse ist regelmäßig durchzuführen und zusätzlich bei außerplanmäßigen Veränderungen. Die h.M. geht sogar von einer Rechtspflicht zur regelmäßigen Durchführung einer Risikoanalyse aus, denn die Unternehmensleitung könne ihre Pflichten aus § 130 OWiG nur dann erfüllen, wenn sie wisse, welche realen Gefahren drohen.
Mittels Checklisten werden im ersten Schritt potenzielle Risiken identifiziert. Im weiteren Verlauf werden die Risiken auf ihre Ursachen analysiert. Es folgt die Risikobewertung. Hier werden Schadenshöhen und Eintrittswahrscheinlichkeiten dargestellt.
Zusammenfassung der Kapitel
I. Einleitung: Diese Einleitung erläutert die wachsende Bedeutung von Compliance-Systemen und definiert das Ziel der Arbeit, Verantwortlichen eine Hilfestellung zur Anpassung an die Anforderungen der DS-GVO zu bieten.
II. Einführung in Compliance-Management-Systeme: Dieses Kapitel bietet eine begriffliche Einordnung, erläutert die Ziele und Umsetzungsmöglichkeiten von Compliance-Systemen sowie die Folgen bei Compliance-Verstößen.
III. Die neue EU-Datenschutz-Grundverordnung (DS-GVO): Hier werden der Entstehungsprozess, die Ziele sowie die wesentlichen inhaltlichen Neuerungen und Anwendungsbereiche der DS-GVO detailliert dargestellt.
IV. Datenschutz-Compliance nach der DS-GVO: Dieser Hauptteil beschreibt konkrete Maßnahmen zur Sicherstellung der Datenschutz-Compliance, insbesondere durch Prozesse wie Risikoanalyse, Dokumentation und Audits.
V. Fazit: Das Fazit fasst die zentralen Aussagen zusammen und bietet eine kompakte Handlungshilfe für Unternehmen, um die regulatorischen Anforderungen in die Praxis umzusetzen.
Schlüsselwörter
Compliance, Datensicherheit, Datenschutz-Grundverordnung, DS-GVO, Risikoanalyse, Haftung, Unternehmensführung, Datenschutzbeauftragter, Rechenschaftspflicht, Audit, Datenverarbeitung, Betroffenenrechte, PDCA-Modell, Dokumentation, Compliance-Kultur
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Thesis befasst sich mit der Implementierung effektiver Datenschutz-Compliance-Strukturen, die notwendig sind, um den strengen Anforderungen der neuen EU-Datenschutz-Grundverordnung (DS-GVO) gerecht zu werden.
Was sind die zentralen Themenfelder?
Zentral sind der Aufbau und die Organisation von Compliance-Management-Systemen (CMS) sowie die spezifische Anwendung dieser Systeme im Kontext des neuen Datenschutzrechts.
Was ist das primäre Ziel der Forschungsarbeit?
Das Ziel ist es, Verantwortlichen eine praxisnahe Orientierung und Handlungsanleitung zu geben, wie sie ihre internen Datenschutz-Strukturen auf Basis der DS-GVO reformieren können.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit nutzt eine systematische Analyse der rechtlichen Rahmenbedingungen und kombiniert diese mit dem PDCA-Modell (Plan-Do-Check-Act) als methodischem Ansatz für eine strukturierte Prozessdarstellung.
Was wird im Hauptteil behandelt?
Der Hauptteil widmet sich der detaillierten Beschreibung der operativen Prozesse, beginnend bei der Organisation der Strukturen über die Risikoanalyse bis hin zu konkreten Maßnahmen wie Audits und der Dokumentationspflicht.
Welche Schlüsselwörter charakterisieren die Arbeit?
Wichtige Begriffe sind insbesondere Compliance, DS-GVO, Datenschutz-Management, Risikoanalyse und Rechenschaftspflicht.
Warum ist eine regelmäßige Risikoanalyse nach § 130 OWiG so wichtig?
Sie ist essentiell, weil die Unternehmensleitung ihre Kontrollpflichten nur dann rechtssicher erfüllen kann, wenn sie eine konkrete Kenntnis über die im Unternehmen bestehenden realen Gefahren und Risiken besitzt.
Welche Rolle spielt das PDCA-Modell bei der Datenschutz-Compliance?
Es dient als systematischer Steuerungsmechanismus (Planen, Umsetzen, Bewerten, Verbessern), um Datenschutz nicht als punktuelle Aufgabe, sondern als kontinuierlichen, lebendigen Managementprozess zu etablieren.
- Arbeit zitieren
- Julian Heidenreich (Autor:in), 2018, Herausforderungen für Compliance-Management-Systeme vor dem Hintergrund der neuen EU-Datenschutz-Grundverordnung (DS-GVO), München, GRIN Verlag, https://www.grin.com/document/1363047
