dsgvo-2018-teaser

DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) - KURZ UND KNAPP

Ab Inkrafttreten der neuen Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018, drohen Unternehmen hohe Strafen. Wir zeigen Ihnen, wie Sie sich vorbereiten können.


Die am 25. Mai inkraft tretende neue Datenschutz-Grundverordnung (DSGVO), soll die Unternehmer zwingen, persönliche Kunden- und Mitarbeiter-Daten besser zu schützen. Seit Bekanntwerden schwebt der Gesetzes-Koloss wie ein dunkler Schatten über vielen Unternehmen.

Sowohl Nicht-Juristen als auch so manche Juristen durchschauen kaum den Umfang, was nun eigentlich zu tun ist.

Viel schwerer wiegt allerdings die Tatsache, dass die im Raum stehenden Strafen enorm sind. Da es mittlerweile eine Vielzahl von mehr oder weniger sinnvollen Checklisten zur DSGVO gibt, haben wir versucht die wichtigsten Punkte zusammenzufassen.


DATENSCHUTZBEAUFTRAGTEN BENENNEN (SOFERN NÖTIG)

Unternehmen müssen unter bestimmten Voraussetzungen einen Datenschutzbeauftragten benennen. Wenn im Unternehmen personenbezogene Daten (Kunden- und Mitarbeiterdaten) automatisiert verarbeitet werden (z. B. via EDV) ist dieser Pflicht.

Ausnahme:
Wenn regelmäßig nur bis maximal neun Mitarbeiter personenbezogene Daten verarbeiten, ist der Datenschutzbeauftragte KEINE Pflicht. Hier gelten alle Mitarbeiter – egal ob Teil- oder Vollzeit, Azubi oder Praktikant – die Zugriff auf die entsprechenden Daten haben. In diesem Fall kann der Geschäftsführer selbst den Datenschutz übernehmen.

Aussetzung der Ausnahme:
Wenn Daten verarbeitet werden, für die eine Datenschutz-Folgenabschätzung nötig ist. Dies trifft bei allen Daten zu, die ein hohes Risiko für die Betroffenen darstellen (etwa Daten zur ethnischen Herkunft, sexuelle Orientierung, Gesundheit oder politische Einstellung). Somit benötigt selbst eine kleine psychotherapeutische Praxis einen Datenschutzbeauftragten, wenn solche Daten in der Patientenakte gespeichert werden.

Was muss der Datenschutzbeauftragte können?
Es reicht die Sicherstellung der Fachkunde des Datenschutzbeauftragten (etwa durch Fortbildung bei der IHK).


ANLAGE DES „VERZEICHNISSES DER VERARBEITUNGSTÄTIGKEITEN“

Gemäß Art. 30 der DSGVO muss jedes Unternehmen ein sogenanntes „Verzeichnis der Verarbeitungstätigkeiten“ anlegen. Scheint kompliziert, ist aber im Endeffekt nur eine einfache Tabelle. In dieser wird aufgelistet, welche Daten (wann, wie und warum) im Unternehmen erhoben werden (etwa Kundendaten: Name, Adresse, Telefonnummer).

Achtung: Hier sollten interne Daten nicht vergessen werden (Personaldaten, Daten aus der Lohnbuchhaltung, etc.).

In der Regel reicht eine solche Liste für kleine Betriebe aus. Die Datenschutzbehörden haben kaum die Zeit und die Ressourcen, jeden Handwerker oder Einzelhändler zu kontrollieren. Wenn hier Unsicherheit herrscht, sollte im Einzelfall gezielt Auskunft eingeholt werden.

Größere Unternehmen sollten Projektverantwortliche ernennen, die sich um die Befragung der verantwortlichen Mitarbeiter (und Lieferanten / Partner) kümmern.

Hier sollte folgendes abgefragt werden:

  • Welche Informationen erhalten die Betroffenen (z. B. Kunden) über die Erhebung und Speicherung personenbezogener Daten
  • Wie werden diese Informationen erteilt (z. B. AGB, Text neben einer Checkbox auf der Website oder mündlich)
  • Welche Daten und zu welchem Zweck werden diese Daten erhoben
  • Wie werden diese Daten weiterverarbeitet? Ableitung ob es eine gesetzliche Erlaubnis gibt, die Daten zu verarbeiten (Vertragsbeziehung) oder ob erst eine Zustimmung der Betroffenen erfolgen muss
  • Werden Daten anonymisiert?
  • Für welchen Zeitraum werden die Daten gespeichert?
  • Erfolgt eine Weitergabe der Daten? Wenn ja, an wen? Ist der Empfänger ebenfalls für den Datenschutz verantwortlich?
  • Wo werden die Daten gespeichert? Erfolgt die Speicherung außerhalb der EU? Falls ja: Werden die Voraussetzungen zur Übermittlung in Drittstaaten erfüllt?
  • Erfolgt ein ausreichender Schutz der Daten durch technische und organisatorische Maßnahmen?

Aus den Antworten dieser Befragung erstellt man dann das Verarbeitungsverzeichnis.


VERARBEITUNGSVERZEICHNIS AM BEISPIEL FÜR EIN NAGELSTUDIO

verfahrensverzeichnis-01

verfahrensverzeichnis-02

Darüber hinaus müssen Unternehmen den Weg der Daten beschreiben. So muss der Datenfluss von der Erhebung (z. B. Online-Formular) über die Speicherung (z. B. bei einem externen Dienstleister für das Management von Terminen) bis hin zur Nutzung (zum Beispiel durch Mitarbeiter) aufgeführt werden.

Übrigens: Es besteht bereits nach dem alten Bundesdatenschutzgesetz die Verpflichtung zur Führung eines solchen Verzeichnisses. Die wenigsten haben es aber bis jetzt geführt oder gar gewusst.


FESTLEGUNG VON PROZESSEN UND FÜHRUNG EINES PROZESSHANDBUCHES

Jeder Unternehmer sollten ab sofort zwingend alle Prozesse dokumentieren und – wenn nötig – optimieren, welche mit der Datenverarbeitung verbunden sind.

Zum Beispiel:

  • Wie erfolgt die Information der Kunden über die Verarbeitung ihrer Daten? - Wie ist die Reaktion von Mitarbeitern, wenn nach dem Umfang der Daten gefragt wird, die von einem Kunden gespeichert wurden?
  • Wie erfolgt die Datenlöschung auf Anfrage eines Kunden und wer ist dafür verantwortlich
  • Was passiert, falls es zu einem Datenleck kommt und personenbezogene Daten (z. B. Durch einen Hackerangriff) in fremde Hände geraten?
  • Wurde das Ziel - weshalb die Daten gespeichert wurden - erreicht? Dann müssen diese Daten gelöscht werden! (z. B. Gewinnspiel: Löschung nach Ermittlung der Gewinner)
  • Wie wird die Löschung organisiert?
  • Wie erfolgt die Schulung der Mitarbeiter, damit die Einhaltung gewährleistet ist?

Achtung: Kommt es zum Datenklau, müssen Unternehmen binnen 72 Stunden die zuständige Landesdatenschutzbehörde informieren!


DURCHFÜHRUNG DER DATENSCHUTZ-FOLGEABSCHÄTZUNG - WENN NÖTIG

Wird mit besonders sensiblen Daten gearbeitet (z. B. Arztpraxen oder Versicherungsmakler), muss damit besonders umsichtig umgegangen und gegebenenfalls eine Datenschutz-Folgeabschätzung durchgeführt werden.

Dies gilt für alle Unternehmen, die Personen nach bestimmten Themen identifizieren und kategorisieren können. Hier besteht ein besonders hohes Risiko für die Betroffenen, wenn die erhobenen Daten missbraucht werden. Unter anderem zählen Finanzen, Krankheiten, Sexualität als auch Rasse, ethnische Herkunft oder politischen Ansichten zu den sensiblen Themen.

Die von den Datenschutzbehörden herauszugebenden Listen, die besagen, welche Datenverarbeitungsvorgänge eine etwaige Datenschutz-Folgeabschätzung voraussetzen gibt es bisher nicht. Hier muss im Einzelfall entschieden werden.

Aus der Art der Daten, dem Umfang oder Zweck der Datenverarbeitung kann sich ein entsprechend hohes Risiko ergeben. Die Risiken für die Rechte der Persönlichkeit der Betroffenen zu kennen und darauf basierend entsprechende Schutzmaßnahmen zu ergreifen, ist das Ziel der Datenschutz-Folgeabschätzung.

Woraus besteht die Datenschutz-Folgeabschätzung?

  • Beschreibung der Datenverarbeitungsvorgänge
  • Beschreibung des Zwecks der Datenverarbeitung
  • Begründung, des berechtigten Interesses des Unternehmens an der Erhebung der Daten
  • Beschreibung der Risiken, die für betroffene Personen bestehen
  • Dokumentation: Technischer und organisatorischer Schutz der Daten vor unberechtigten Zugriff oder Weitergabe
  • Dokumentation: Vorgehensweise bei Datenlecks
  • Dokumentation: Kontrollmechanismen um Daten dauerhaft zu schützen

Wichtig: Alle Landesdatenschutzbehörden haben im Übrigen eine beratende Funktion.


Sie haben Fragen zur DSGVO oder benötigen einen Datenschutzbeauftragten?

Anschrift

Elisabethstr. 2
42859 Remscheid

Besuchen Sie unsere Service-Seite: Datenschutz-RS.de

POST (0)
GET (1)
SESSION (0)
SERVER (67)
COOKIES (0)
FILES (0)
18ms