
Matthias Weber
Datenschutzbeauftragter
Der nachstehende Artikel befasst sich damit und soll einen Überblick vermitteln, welche Punkte im Datenschutz bei jedem Unternehmen geprüft und umgesetzt werden sollten.
Die gesetzlichen Voraussetzungen für die Bestellungen eines betrieblichen Datenschutzbeauftragten sind in Art. 37 EU-DSGVO und in § 38 BDSG-neu geregelt. Danach muss ein DSB bestellt werden, wenn die Kerntätigkeit des Unternehmens in der systematischen Überwachung von betroffenen Personen besteht oder die Kerntätigkeit mit der Verarbeitung von besonders schützenswerten Daten nach Art. 9 oder von personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 EU-DSGVO besteht.
Unberührt der Voraussetzungen des Art. 37 EU-DSGVO benennt § 38 BDSG-neu vier zusätzliche Voraussetzungen für die Bestellung eines betrieblichen Datenschutzbeauftragten.
Diese sind im Einzelnen:
Bei den letzten drei genannten Punkten muss auch unabhängig der im Unternehmen beschäftigten Personen ein betrieblicher Datenschutzbeauftragter bestellt werden. Dabei ist es grundsätzlich unerheblich, ob ein interner Datenschutzbeauftragter bestellt wird, oder ein externer Dienstleister. Diese Entscheidung obliegt allein der Geschäftsführung.
Der Verantwortliche muss den Betroffenen transparent, strukturiert und vollumfänglich darüber informieren, was er mit seinen Daten vorhat und dergleichen. Die genauen Vorgaben sind in Art. 13 und 14 EU-DSGVO enthalten. Dies hat zur Folge, dass alle relevanten Formulare im Unternehmen, wie beispielsweise Einwilligungserklärungen, angepasst und ggf. überarbeitet werden müssen.
Jedes Unternehmen muss ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 EU-DSGVO erstellen. Diese Rechenschaftspflicht bedeutet, dass Unternehmen ihre wertschöpfenden und auch die allgemeinen Geschäftsprozesse dokumentieren und bei einer etwaigen behördlichen Überprüfung vorlegen müssen.
Was für Angaben in einem Prozess dokumentiert werden müssen kann Art. 30 Abs. 1 S.2 lit. a -g EU-DSGVO entnommen werden.
Auch ein Auftragsverarbeiter muss seine Prozesse, die er im Auftrag des Verantwortlichen tätigt nach Art. 30 Abs. 2 EU-DSGVO beschreiben. Zusätzlich noch sein eigenes Verzeichnis nach Art. 30 Abs. 1 EU-DSGVO.
Jeder Verantwortliche hat dafür Sorge zu tragen, dass die personenbezogenen Daten der Betroffenen, die er verarbeitet, auch zu schützen weiß. Diese sogenannten technischen und organisatorischen Maßnahmen (kurz TOMs) müssen im Wege einer Schutzbedarfsfeststellung und eines Riskmanagements erstellt und in regelmäßigen Abständen auf Aktualität und eventuelle Lücken evaluiert werden. Das mögliche Risiko für den Betroffenen, wenn dessen personenbezogene Daten durch den Verantwortlichen abhandenkommen ist dabei maßgeblich. In der EU-DSGVO sind die TOMs unter Art. 32 EU-DSGVO zu finden.
Sollte trotz aller sorgfältig getroffener Vorkehrungen doch einmal der Worst-Case eintreten und es zu einer Datenpanne kommen, so sind dabei die Art. 33 und 34 EU-DSGVO zu beachten. So hat der Verantwortliche innerhalb 72 Stunden (dabei zählen Feiertage, Wochenende & Urlaub nicht!) die zuständige Aufsichtsbehörde über die Verletzung zu informieren. Auftragsverarbeiter haben unverzüglich den Verantwortlichen zu informieren.
Was eine solche Meldung an die Aufsichtsbehörde beinhaltet, ist Art. 33 Abs. 3 lit. a – d EU-DSGVO zu entnehmen.
Allerdings bieten die Aufsichtsbehörden eine entsprechende Maske auf ihren Webseiten an, so dass bei einer Meldung diese nur auszufüllen ist.
Falls die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat, so sind diese ebenfalls unverzüglich durch den Verantwortlichen zu informieren, gemäß Art. 34 Abs. 1 EU-DSGVO. Eine Ausnahme davon bildet der Art. 34 Abs. 3 EU-DSGVO.
Wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und er Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch, gemäß Art. 35 Abs. 1 S. 1 EU-DSGVO.
Eine DSFA ist immer bei Folgenden Verarbeitungsprozessen durchzuführen:
Dabei ist ein Datenschutzbeauftragter zu bestellen, der den Prozess begleitet. Die inhaltlichen Punkte einer DSFA ergeben sich aus Art. 35 Abs. 7 EU-DSGVO.
Jedes Unternehmen wird mehrere Dienstleister beauftragen, gewisse Tätigkeiten für das Unternehmen zu tätigen. Wenn jedoch ein Dienstleister personenbezogene Daten im Auftrag des Verantwortlichen und aufgrund dessen strenger Weisung verarbeitet liegt in der Regel ein Auftragsverarbeitungsverhältnis vor und es muss entsprechend ein Auftragsverarbeitungsvertrag (kurz AVV) geschlossen werden, gemäß Art. 28 EU-DSGVO.
Wann genau ein AVV vorliegt oder nicht, ist im Einzelfall nicht immer ganz einfach und bedarf der Einzelfallprüfung. Unstrittig liegt jedoch ein AVV bei folgenden Verarbeitungstätigkeiten vor:
Dagegen muss kein AVV geschlossen werden, wenn ein Dienstleister von Berufswegen der Verschwiegenheit unterliegen. Diese wären beispielsweise:
Der Verantwortliche hat dafür Sorge zu tragen, dass alle Mitarbeiter im Unternehmen regelmäßig zum Thema Datenschutz geschult werden und allgemein im Thema Datenschutz sensibilisiert werden. Dazu gehört, dass jeder Mitarbeiter eine Verpflichtungserklärung unterschreibt, die ihn zur Wahrung der Vertraulichkeit verpflichtet.
Ebenso gehören eine Datenschutzrichtlinie bzw. ein Datenschutzkonzept und eine IT-Richtline dazu, in denen klar schriftlich fixiert ist, wie sich die Mitarbeiter im Unternehmen in Bezug auf den Datenschutz zu verhalten haben.
Ein weiterer wichtiger Punkt den ein jedes Unternehmen in Hinblick auf den Datenschutz erfüllen muss, ist die Bearbeitung von Betroffenenrechtsanfragen. Die Betroffenenrechte wurden in der EU-DSGVO weiter ausgebaut und sind nun in den Artikeln 15 bis 22 EU-DSGVO aufgeführt.
Betroffenenrechtsanfragen können von jedem Betroffenen eingehen, egal in welcher Beziehung er zu dem Verantwortlichen steht. Dabei sollte beachtet werden, dass Betroffenenrechtsanfragen innerhalb von vier Wochen zu bearbeiten sind (es sei denn, dass begründet werden kann, warum es länger dauert) und dem betroffenen in verständlicher Art und Weise schriftlich seine Anfrage beantwortet wird.
Die Unternehmenswebseite ist die Präsentation des Unternehmens nach außen hin und kann von jedem eingesehen werden. Deshalb ist es ungemein wichtig, dass die eigene Webseite datenschutzrechtlich „sauber“ ist. Dazu gehört es, dass die Datenschutzerklärung genau die Punkte abbildet, die auf der Webseite auch implementiert sind. Steht in der Datenschutzerklärung zu viel oder zu wenig oder gar Falsches, läuft man Gefahr abgemahnt zu werden oder ein entsprechendes Bußgeld zu bekommen.
Auch hinsichtlich der auf der Webseite verwendeten Cookies muss ausführlich und transparent in einem „Cookie-Banner“ und in der Datenschutzerklärung informiert werden und dem Nutzer muss die Möglichkeit gegeben werden, dass er allen Cookies, außer den technisch notwenigen, widersprechen kann.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!