PBC Business Center - Top Adresse und erstklassiger Service

DSGVOEnde Mai endet die Übergangsfrist zur neuen Datenschutzgrundverordnung (DSGVO). Die europäischen Neuregelungen zum Datenschutz und zum Umgang mit personenbezogenen Daten dürften fast jedes Unternehmen in Deutschland betreffen. Jedoch herrscht vielfach Unsicherheit, was genau die DSGVO bedeutet und welche Maßnahmen zu ergreifen sind.

 

An dieser Stelle möchten wir Ihnen einen Überblick zur DSGVO und dem begleitenden Bundesdatenschutzgesetz (BDSG-neu) geben. Gleichzeitig soll der Artikel Ihnen eine Hilfestellung sein, um konkret deren Umsetzung im Unternehmen voran zu treiben.

 

Zuerst einmal die gute Nachricht: Für einen Großteil der Regelungen in der DSGVO stand das bisherige deutsche Datenschutzrecht Pate. Ist Ihr Umgang mit personenbezogenen Daten bereits heute (Stand Anfang Mai 2018) datenschutzkonform, ist es also kein weiter Weg mehr, auch die Vorgaben der DSGVO einzuhalten.

 

Für alle anderen ist die Einführung der DSGVO vielleicht ein willkommener Anlass, sich dem wichtigen Thema Datenschutz einmal grundlegend (neu) zu widmen.

 

Welche Daten sind von der DSGVO betroffen?

Im Wesentlichen geht es bei der DSGVO um personenbezogene Daten. Das heißt um Daten, die eindeutig einer (natürlichen) Person zugeordnet werden können bzw. diese betreffen. Für Unternehmer und Unternehmen sind dies i.d.R.:

 

  • Mitarbeiterdaten
  • Daten von Kunden und Interessenten
  • Daten von Lieferanten

 

Hierbei spricht man im Rahmen der DSGVO von „Betroffenen“. Betroffene haben gegenüber Ihnen als Unternehmen/Unternehmer nun einige Rechte, die Sie sicherstellen müssen:

 

  1. Auskunftsrecht
    Sie müssen jederzeit darüber Auskunft geben können, welche Daten der Person wo und für wie lange gespeichert werden sowie an wen diese Daten ggf. übertragen werden.
  2. Recht auf Löschung der Daten
    Sofern keine gesetzlichen Vorgaben und Notwendigkeiten dagegensprechen (z.B. gesetzliche Aufbewahrungspflichten) besteht ein Recht auf Löschung persönlicher Daten.
  3. Recht auf Berichtigung der Daten
    Es besteht ein Recht auf Berichtigung der Daten, wobei diese, ebenso wie die Löschung von Daten, auf allen (!) für die Datenverarbeitung genutzten Speichermedien erfolgen muss (z.B. auch auf Sicherungsträgern, Cloudspeichern etc.)
  4. Recht auf Widerspruch
    Es besteht ein Recht auf Widerspruch gegen die Verarbeitung der persönlichen Daten, sofern keine zwingenden, schutzwürdigen Gründe dem entgegenstehen.
  5. Recht auf Datenübertragbarkeit
    Neu ist das Recht auf Datenübertragbarkeit, das es dem Betroffenen ermöglichen soll, seine persönlichen Daten von einer verantwortlichen Stelle auf eine andere zu übertragen.

 

Allgemeine Analyse der Datenverarbeitung im Unternehmen

Für die Umsetzung der DSGVO im eigenen Unternehmen empfiehlt es sich im ersten Schritt, mit einer grundsätzlichen Analyse zur Datenverarbeitung zu beginnen:

 

  • Welche persönlichen Daten erhebe ich und wo werden diese überall gespeichert/verarbeitet?
  • Wer hat Zugriff auf diese Daten?
  • Sind meine Mitarbeiter bzw. mit der Datenverarbeitung betraute Personen in der Lage, die Rechte der Betroffenen zu wahren?

 

Diese Punkte sind entsprechend zu dokumentieren (Dokumentationspflichten!):

 

  • Welche Daten habe ich?
  • Wie und mit welchen Systemen werden die Daten verarbeitet?
  • Wer hat Zugriff auf die Daten?
  • Wohin gebe ich welche Daten weiter?
  • Wie lange behalte ich welche Daten bzw. wann lösche ich Daten?

 

Verarbeitungsverzeichnis: Das Verzeichnis der Verarbeitungstechnik

Art. 30 DSGVO fordert, das Verzeichnis über die Verarbeitungstätigkeiten von personenbezogenen Daten im Unternehmen zu führen ist. Hiervon freigestellt sind theoretisch Unternehmen und Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen und die keine besonders sensiblen Daten wie beispielsweise Gesundheits- oder Religionsdaten bearbeiten.

 

Viele Experten gehen jedoch davon aus, dass diese Ausnahmeregelung in der Praxis keine große Relevanz hat, da in den meisten Fällen eine der Ausnahmevoraussetzungen nicht erfüllt wird (z.B. Verarbeitung von Religionsdaten im Rahmen der Lohnsteuerabrechnung).

 

Mindestbestandteile des Verzeichnisses sind:

 

  • Name und Kontaktdaten des Verantwortlichen bzw. der verantwortlichen Abteilung.
  • Zweck der Verarbeitung
  • Beschreibung der betroffenen Personengruppe und erhobenen Daten
  • Benennung ggf. externer Empfänger dieser Daten (einschl. Drittstatten)
  • Sowie vorgesehene Fristen zur Löschung

 

Im Einzelnen sollten dann dokumentiert werden:

 

  • Welche Daten werden erhoben?
  • Erlaubnis zur Datenerhebung (inkl. Benennung der gesetzlichen Grundlage)
  • Wie habe ich die Daten erhalten?
  • Mit welchen Programmen/Systemen werden die Daten verarbeitet?
  • Wer hat Zugriff auf die Daten (z.B. Personalabteilung, Vertrieb)?
  • Wohin werden die Daten weitergeleitet?
  • Wann werden welche Daten gelöscht?
  • Sind sensible, besonders schützenswerte Daten vorhanden?
  • TOMs: technische und organisatorische Maßnahmen zum Schutz der Daten (z.B. Zutrittskontrolle zum Gebäude, Datensicherung, Verschlüsselung, weitere Maßnahmen der IT-Sicherheit etc.)

 

Datenschutzfolgenabschätzung

Die Datenschutzfolgeabschätzung (Art. 35 DSGVO) dient dem Zweck, bereits in einem frühen Stadium bei der Verwendung, Veränderung oder Neueinführung von Verarbeitungsvorgängen die voraussichtlichen Risiken für die persönlichen Rechte und Freiheiten betroffener Personen zu identifizieren.

 

Sie ist also eine Risikoanalyse im Innenverhältnis und dient gleichzeitig als Dokumentation, welche Maßnahmen ergriffen werden, um das Risiko eines Datenmissbrauchs zu minimieren (z.B. Zugriffsbeschränkungen, Verschlüsselung von Datenträgern etc.).

 

Datenschutzbeauftragter

Der Datenschutzbeauftragte soll sich in besonderem Maße um die Belange des Datenschutzes im Unternehmen kümmern, unter anderem:

 

  • Unterstützt er die Geschäftsleitung beim Datenschutz
  • Vertritt er die Datenschutzinteressen gegenüber der Geschäftsleitung
  • Sensibilisiert und schult er Mitarbeiter im Unternehmen
  • Nimmt er die Datenschutzfolgenabschätzung vor und gibt Betroffenen Auskunft

 

Der Datenschutzbeauftragte kann sowohl ein Mitarbeiter im Unternehmen sein, es gibt jedoch auch externe Dienstleister, die als Datenschutzbeauftragte fungieren. Für die Position als Datenschutzbeauftragter sind entsprechende Kompetenzen zu erwerben.

 

Es benötigt jedoch nicht jedes Unternehmen einen Datenschutzbeauftragten. Die entsprechenden Vorgaben finden sich ergänzend in Art. 37 Abs. 1DS-GVO und §38 BDSG-neu.

 

Vereinfacht gesagt, müssen alle Unternehmen, bei denen 10 und mehr Mitarbeiter regelmäßig mit der Verarbeitung personenbezogener Daten betraut sind, einen Datenschutzbeauftragten benennen. Kleinere Unternehmen benötigen unter gewissen Voraussetzungen ebenfalls einen Datenschutzbeauftragten, wenn beispielsweise die Verarbeitung sensibler Daten wie Gesundheitsdaten, religiöse oder weltanschauliche Orientierung, rassische oder ethnische Herkunft zu ihrem Kerngeschäft gehört.

 

Auftragsdatenverarbeitung / Auftragsverarbeitung

Auftragsverarbeitung liegt vor, wenn personenbezogene Daten im Auftrag eines Verantwortlichen von Dritten verarbeitet werden. Beispiele aus der Praxis sind die Nutzung eines externen Rechenzentrums zur Speicherung/Verarbeitung personenbezogener Daten, die Weitergabe persönlicher Daten an externe Dienstleister wie Call-Center, Druckerei oder Newsletter-Provider, um Werbeaktionen bzw. Kundenmailings durchführen zu lassen, oder auch die Erhebung und Speicherung von Daten zu Analysezwecken durch Dritte, wie es beispielsweise durch die Nutzung von Google Analytics geschieht.

 

Hier sind entsprechende formale Regelungen zu treffen, die einen DSGVO-konformen Umgang mit den Daten garantieren. Dies geschieht in Form des sogenannten Auftragsverarbeitungsvertrags (ADV bzw. AV). Zudem ist der Auftragsgeber verpflichtet, die Eignung des Dienstleisters vor dessen Beauftragung zu überprüfen, und er muss sich entsprechende Kontrollrechte einräumen lassen.

 

Meldepflicht

Wenn es zu einer „Verletzung des Schutzes personenbezogener Daten kommt“, muss der Verantwortliche dies innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde melden. Ist die Schutzverletzung besonders gravierend bzw. droht ein unmittelbarer Schaden sind zudem auch die Betroffenen selbst zu informieren.

 

Die Verletzung des Schutzes personenbezogener Daten bezeichnet eine Situation, in der es unabsichtlich oder unrechtmäßig zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten kommt. Dies ist beispielsweise der Fall, wenn Unbefugte versehentlich oder durch einen technischen Defekt Einsicht in Personendaten erhalten oder bei einem Hackerangriff ein Abgriff personenbezogener Daten erfolgt.

 

Die Meldepflicht entfällt nur, wenn voraussichtlich kein Risiko für die Betroffenen durch die Schutzverletzung entsteht. In diesem Fall ist jedoch gründlich zu dokumentieren, warum diese Einschätzung erfolgte, da bei Verletzung der Meldepflicht empfindliche Strafen drohen.

 

Technische Maßnahmen

Um die Anforderung der DSGVO zu erfüllen müssen verschiedene (technische) Maßnahmen umgesetzt sein. Neben z.B. der Gebäudesicherheit bei der Aufbewahrung von physischen Akten beziehen sich diese Maßnahmen für viele Unternehmen vor allem auf zwei große Bereiche:

 

Die IT-Sicherheit im Unternehmen

Hier müssen die eingesetzten Programme und Systeme den Schutz der Daten gemäß der neuen Verordnung sicherstellen. Dies betrifft zum Beispiel die Verschlüsselung von Daten, die Beschränkung von Zugriffsrechten, die Datensicherung aber auch den alltäglichen Umgang mit den IT-Systemen im Büro, z.B. beim Versenden von E-Mails (keinen Mail-Verteiler in CC kopieren) oder dem Verlassen des Arbeitsplatzes (Bildschirm sperren).

 

Die Internetseite und damit verbundene Datenverarbeitung

Auf den meisten Internetseiten werden auch persönliche Daten verarbeitet. Hierbei sind die neuen (und alte) Regeln des Datenschutzes ebenfalls zu beachten.

 

So muss die Übertragung persönlicher Daten (z.B. über das Kontaktformular) zwingend verschlüsselt erfolgen, es muss die Genehmigung zur Datenverarbeitung eingeholt werden und der Nutzer muss über die Art der Verarbeitung seiner Daten sowie über seine Rechte informiert werden.

 

Auch Daten, die im Hintergrund erhoben werden, sind hier zu berücksichtigen (z.B. IP-Log auf Serverebene, Datenerhebung durch Google Analytics, facebook Pixel etc.).

 

Wesentliche Aspekte für die bei vielen Unternehmen hier Handlungsbedarf besteht sind z.B.

 

  • Verschlüsselung bei der Übertragung von persönlichen Daten
  • DSGVO-konformer Einbau von Analyse- und Trackingtools sowie Cookies
  • DSGVO-konforme Ausformulierung der Datenschutzerklärung und Einverständnis zur Datenverarbeitung

 

Abschließende Betrachtung und weitere Informationsquellen

 

Natürlich können wir Ihnen hier nur einen sehr allgemeinen Anriss des Themas ohne Gewährleistung auf die Korrektheit und Aktualität der gemachten Angaben geben.

 

Für eine juristische Beratung und konkrete Hilfestellung bei der Umsetzung der DSGVO individuell in Ihrem Unternehmen kontaktieren Sie bei Bedarf bitte einen entsprechenden Fachmann oder Datenschutz-Anwalt.

 

Weiterführende Informationen zum Thema finden Sie u.a. unter:

 

https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html. (Liste der zuständigen Aufsichtsbehörden)

 

https://www.bvdnet.de/themen/gdpr/

 

http://www.lda.bayern.de/Erste-Hilfe

 

Datenschutz.org

 

Muster zur Auftragsverarbeitung

 

Ausführlichere Informationen zur Datenschutzfolgenabschätzung

 

4-teilige Videoserie Überblick Datenschutzgrundverordnung der Interev GmbH

 

 

Einen empfehlenswerte Hilfestellung zur Umsetzung der DSGVO hat zudem das Bayerische Landesamt für Datenschutzaufsicht in Form seines Heftes Erste Hilfe zur Datenschutzgrundverordnung herausgegeben.

 

 


 

 

 

Zurück zur Übersicht

20 Jahre PBC

PBCGeschäftsadresse mit Postservice
Ideal für Home-Office-Nutzer
oder
Telefonservice
So sind Sie für Ihre Kunden immer erreichbar.
Top-Konditionen sichern!



Jetzt Top-Konditionen sichern:

Telefon: 069 / 9 74 61 0


Unser Service für Sie:

 

 

 

 

 

Specials:

 

 

 

Have a look

Video: Impressionen Business Center

Direktkontakt

Direktkontakt

 

Nachricht schreiben

 Telefon: 069 / 9 74 61 0

 

 

PBC Pfeiffer Businesscenter GmbH & CO. KG

Bettinastraße 30

60325 Frankfurt am Main