Seit dem 25.05.2018 gilt die DSGVO: Haben Sie bereits alle relevanten Maßnahmen umgesetzt? Wenn nicht, möchten wir Sie an dieser Stelle noch einmal mit übersichtlich aufbereiteten Informationen über die Grundlagen der Europäischen Datenschutz-Grundverordnung informieren.

Was ist die DSGVO?

DSGVO ist die Abkürzung für Datenschutz-Grundverordnung. Mit dieser seit 25.05.2018 im Europäischen Wirtschaftsraum (EWS) anzuwendenen Verordnung hat die Europäische Union die Regeln zur Verarbeitung personenbezogener Daten in der EU vereinheitlicht. Vor der DSGVO galten nationale Gesetze wie das Bundesdatenschutzgesetz. Gemeinsam mit der DSGVO trat 2018 in Deutschland eine Neufassung des Bundesdatenschutzgesetzes (BDSG-neu) in Kraft.

Datenschutz_DSGVO_Passwortmanager

Welche Grundsätze hat die DSGVO?

Art 5 der Datenschutz-Grundverordnung regelt in sechs Grundsätzen explizit, welche Pflichten private und öffentliche Datenverarbeiter haben. Dazu zählen:

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

2. Zweckbindung

3. Datenminimierung

4. Richtigkeit der Daten

5. Speicherbegrenzung

6. Integrität und Vertraulichkeit

Was sind personenbezogenen Daten?

Personenbezogene Daten sind Einzelangaben, die Rückschlüsse auf eine bestimmte oder bestimmbare natürliche Person zulassen. Dazu zählen Name, Vorname, Größe, Haut- und Augenfarbe ebenso wie Anschrift, E-Mail Adresse, Telefonnummer, Alter, Arbeitgeber und so weiter.

Unterschiedenen wird zudem zwischen verschiedenen Kategorien von personenbezogenen Daten. Besonders sensible Daten geben Aufschluss über die sexuelle Orientierung, Religionszugehörigkeit oder politische Gesinnung eines Menschen. Hier gelten im Einzelfall strengere Datenschutz-Vorschriften für Datenverarbeiter.

Welche Maßnahmen muss mein Unternehmen umsetzen?

Während viele Vorgaben bereits durch die alte Fassung des Bundesdatenschutzgesetzes geregelt waren, kam es durch die Einführung der DSGVO und des BDSG-neu zu einer Reihe von Verschärfungen. Weil die Pflichten für Verantwortliche äußerst komplex sind, ist eine Beratung durch einen Rechtsanwalt im Einzelfall unausweichlich. Mit unserer DSGVO-Checkliste wollen wir Ihnen dennoch einen kurzen Überblick geben.

DSGVO-Checkliste

1. Prüfen Sie, ob ein Datenschutzbeauftragter bestellt werden muss.

Unternehmen, in denen mindestens 10 Mitarbeiter/innen ständig mit der Verarbeitung personenbezogener Daten vertraut sind, müssen zwingend einen Datenschutzbeauftragten bestellen. Die Pflicht entsteht unabhängig von der Unternehmensgröße auch, wenn es sich bei den erhobenen und ausgewerteten Daten um sensible Kategorien personenbezogene Daten handelt (Angaben über Gesundheitszustand, politische Ausrichtung, sexuelle Orientierung etc.).

Tipp: Der / die Datenschutzbeauftragte(r) kann sowohl extern als auch intern bestellt werden. Ein externer Datenschutzbeauftragter hat den Vorteil, dass Aus- und Weiterbildungskosten für Mitarbeiter/innen entfallen können.

2. Setzen Sie die erweiterten Informationspflichten um.

Seit Inkrafttreten der DSGVO haben Verbraucher ein Recht darauf, informiert zu werden, in welchem Umfang und auf welche Art und Weise ihre personenbezogenen Daten verarbeitet werden. Das bedeutet, dass Eingabemasken und Formulare auf Webseiten teilweise mit Einwilligungserklärungen und die Angaben zur Verarbeitung personenbezogener Daten im Impressum oder der Datenschutzerklärung einer Webseite ergänzt werden müssen.

Wichtig: Auch Unternehmen und Behörden, in denen Videoüberwachung eingesetzt wird, müssen Verbraucher gemäß Art. 13 und 14 DSGVO zwingend darauf hinweisen.

3. Prüfen Sie, ob alle Auftragsverarbeitungsverträge geschlossen wurden.

Falls bestimmte Daten nicht selbst, sondern von einem Dienstleister (z.B. Webhoster, Plugin-Anbieter, Werbepartner, externer Lohnabrechner) verarbeitet werden, muss im Einzelfall ein sog. Auftragsverarbeitungsvertrag mit diesem Dienstleister geschlossen werden (AV-Vertrag / AVB-Vertrag). Darin werden u.a. Gegenstand und Dauer, Art und Zweck der Verarbeitung sowie der Umfang der Weisungsbefugnisse geregelt.

4. Führen Sie im Einzelfall Folgenabschätzungen durch.

Falls Art und / oder Umfang einer konkreten Datenverarbeitung ein besonderes Risiko für die Rechte und Freiheiten einer Person nach sich ziehen, muss eine Folgenabschätzung erfolgen. Diese kann beispielsweise bei der Videoüberwachung, Persönlichkeits- und Sicherheitstests, dem Einsatz von CRM-Software sowie der Verwendung biometrischer Zugangssysteme notwendig sein.

5. Organisieren Sie Melde- und Benachrichtigungspflicht bei Datenpannen

Unternehmen haben nur 72 Stunden Zeit, um Datenschutzverletzungen an die zuständige Aufsichtsbehörde zu melden. Organisieren Sie Ihre Kommunikationsstrukturen zwischen allen Abteilungen des Unternehmens gemeinsam mit Ihrem externen oder internen Datenschutzbeauftragten, um im Ernstfall rechtzeitig handeln zu können.

6. Sensibilisieren Sie Ihre Mitarbeiter/innen

Mitarbeiterinnen und Mitarbeiter müssen durch den Datenschutzbeauftragten im Bereich Datenschutz geschult und für das Thema sensibilisiert werden. Nur so kann sichergestellt werden, dass alle Vorgaben eingehalten und Datenschutzpannen rechtzeitig gemeldet werden.

7. Nehmen Sie Ihre Dokumentationspflichten ernst.

In einem sog. Verarbeitungsverzeichnis gemäß Art. 30 DSGVO müssen Unternehmen Verarbeitungsprozesse personenbezogener Daten dokumentieren. Das Erstellen und Führen des Verzeichnisses ist Teil des Aufgabenspektrums von Datenschutzbeauftragten und kann dementsprechend auch an einen externen Datenschutz-Dienstleister ausgelagert werden.

Welche Strafen drohen, wenn Pflichten nicht erfüllt werden?

Bei besonders schwerwiegenden Verstößen können Unternehmen mit bis zu 20 Millionen Euro oder aber 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr belangt werden. Es gilt immer höhere Betrag. Auch bei weniger gravierenden Rechtsverstößen gegen die DSGVO sind Bußgelder in Höhe von bis zu 10 Millionen Euro oder 2% gesamten weltweit erzielten Jahresumsatzes im Vorjahr möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Henrik van Bergen
IT-Security-Consultant

Kostenlose Erstberatung

Den Datenschutz habe ich gelesen und akzeptiert.