Für Unternehmer, die keinen passenden Datenschutzbeauftragten in ihren Reihen haben, stehen die Experten der dhpg zur Verfügung, die Sie bei folgenden Projekten unterstützen:
Wir stehen für standardisierte und optimierte Prozesse. Somit geht es um den Nutzen, den ein gut funktionierender Datenschutz einem Unternehmen bietet. Bei der dhpg können Sie auf folgende Leistungen zurückgreifen:
Unternehmer sind verpflichtet, gewisse Unterlagen für bestimmte Zeiträume aufzubewahren. Für viele geschäftliche Unterlagen gilt aus dem Steuerrecht heraus eine zehnjährige Aufbewahrungsfrist, die jedoch erst mit Schluss des Kalenderjahres beginnt, in dem der Jahresabschluss erstellt wurde. Gibt es keine gesetzlichen Aufbewahrungsfristen gilt der Grundsatz, dass personenbezogene Daten umgehend zu löschen sind, sobald der vereinbarte Nutzungszweck erfüllt worden ist. Meldet sich ein Kunde etwa vom Newsletter ab, sind seine zur Versendung des Newsletters erhobenen Daten umgehend zu löschen.
Der frühere Begriff Auftragsdatenverarbeitung (kurz ADV) wurde mit der DSGVO durch den Begriff Auftragsverarbeitung (kurz AVV) ersetzt. Eine Auftragsverarbeitung liegt vor, wenn ein Verantwortlicher personenbezogene Daten an einen Dienstleister übermittelt, der die Daten nur nach Weisung und nicht zu eigenen Zwecken verarbeiten darf. Es gilt eine entsprechende Vereinbarung zur Auftragsverarbeitung zwischen Unternehmen und Dienstleister zu schließen, wie es auch die DSGVO vorgibt.
Als Betroffener hat man das Recht vom Verantwortlichen Auskunft darüber zu verlangen, ob seine personenbezogenen Daten verarbeitet werden. Ist dies der Fall, besteht die Pflicht über die Einzelheiten der Verarbeitung umfassend Auskunft zu erteilen. Die DSGVO macht dabei genaue Angaben, welche Informationen darin enthalten sein müssen. Zudem sollte der Verantwortliche auch eine Kopie der personenbezogenen Daten zur Verfügung stellen. Die Auskunft muss der Verantwortliche unverzüglich, in jedem Fall aber innerhalb eines Monats, erteilen. Bei der Erteilung der Auskunft ist es wichtig, darauf zu achten, dass Rechte und Freiheiten des Verantwortlichen oder eines Dritten nicht beeinträchtigt werden. So darf der Verantwortliche beispielsweise personenbezogene Daten von Dritten oder Geschäftsgeheimnisse in Dokumenten schwärzen.
Das berechtigte Interesse ist eine von mehreren Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten. Nicht immer ist es notwendig, die Einwilligung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten einzuholen, etwa dann nicht, wenn anzunehmen ist, dass die Verarbeitung dieser Daten im Rahmen des berechtigten Interesses stattfindet. Hierzu sind drei Voraussetzungen notwendig: Der für die Verarbeitung der Daten Verantwortliche hat ein berechtigtes Interesse an der Datenverarbeitung, die Verarbeitung ist zu dessen Wahrung erforderlich (es gibt also keine weniger einschneidende Maßnahme, mit der das berechtigte Interesse in gleicher Weise gefördert wird) und bei einer Abwägung mit den Interessen der betroffenen Person überwiegen nicht deren Interessen. Dies abzuwägen ist immer ein Drahtseilakt aber auch eine Chance. Im Zweifelsfall berät Sie Ihr Datenschutzverantwortlicher oder der für Sie tätige externe Datenschutzbeauftragte.
In einem Berechtigungskonzept wird festgehalten, welche Zugriffsregeln auf Datensätze für die einzelnen Benutzergruppen gelten. Zudem werden hierin alle Prozesse detailliert erläutert, die dessen Umsetzung betreffen, z.B. das Anlegen oder Löschen von Nutzern und deren personenbezogene Daten. Hierzu ist es erforderlich, Rollen und die ihnen zugeordneten Aufgaben und Funktionen zu definieren. Ihnen können Berechtigungen erteilt oder entzogen werden. Die Pflege eines derartigen Berechtigungskonzepts wird empfohlen, zumal es ein Pflichtbestandteil zur ordnungsgemäßen Umsetzung der DSGVO ist und – nicht nur im Zweifelsfall – Auskunft darüber gibt, welche Mitarbeiter Zugriff auf personenbezogene Daten haben.
Die DSGVO hat europaweit die Rechte der betroffenen Personen gestärkt. So stehen ihnen folgende Rechte zu:
Das Bundesdatenschutzgesetz (kurz BDSG) trat am 27. Januar 1977 in Deutschland in Kraft und hatte seitdem die Aufgabe, Einzelpersonen vor Datenmissbrauch zu schützen. Diese Aufgabe übernimmt nun weitestgehend die DSGVO. Dennoch trat am 25. Mai 2018 und damit dem Tag der Geltung der DSGVO, eine neue Fassung des BDSG in Kraft. Mit den Regelungen des BDSG macht Deutschland von den Öffnungsklauseln in der DSGVO Gebrauch, die es den Mitgliedstaaten ermöglichen gewisse nationale Regelungen zu treffen.
Bei einem Verstoß gegen die DSGVO drohen betroffenen Unternehmen Bußgelder von bis zu 20 Millionen € bzw. bis zu 4 % des weltweiten Jahresumsatzes. Die Behörden haben die Höhe der Bußgelder dabei so zu wählen, dass sie in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sind. Dabei nennt die DSGVO auch eine Menge Kriterien, die berücksichtigt werden sollten, etwa die Art, Schwere und Dauer des Verstoßes, die Zahl der Betroffenen und das Ausmaß des erlittenen Schadens, die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes, frühere Verstöße, die Kooperationsbereitschaft des Unternehmens etc.
Eine Datenpanne liegt immer dann vor, wenn Dritte unbefugt Zugriff auf Daten erhalten. Auch die bloße Möglichkeit, dass Dritte Zugriff erhalten haben könnten, ist schon eine meldepflichtige Gefährdung. Übersehen wird häufig, dass auch die Vernichtung, der Verlust und die Veränderung von personenbezogenen Daten meldepflichtige Datenpannen sein können. Die Betroffenen können nicht nur dadurch gefährdet werden, dass Unbefugte ihre Daten erhalten, sondern etwa auch dadurch, dass den Befugten die Daten nicht mehr zur Verfügung stehen.
Der Datenschutz dient dem Zweck, Bürger vor der unbefugten Verarbeitung ihrer persönlichen Daten zu schützen. Der Datenschutz ist in der Grundrechte-Charta der EU als Grundrecht anerkannt und als Teil des Rechts auf informationelle Selbstbestimmung auch in Deutschland grundrechtlich garantiert. Jeder Bürger darf demnach selbst bestimmen, was mit seinen Daten geschieht und in welcher Form diese weiterverarbeitet werden. Dies bezieht sich auf alle Gebiete und Arten, in denen Daten verarbeitet werden können, wie beispielsweise Unternehmen, die mit Kundendaten arbeiten. Da dies ein breit gefächertes Aufgabengebiet ist, ziehen viele Unternehmen einen externen Datenschutzbeauftragten für die ordnungsgemäße Umsetzung dieser Aufgaben hinzu.
Die Datenschutz-Aufsichtsbehörde berät und kontrolliert öffentliche und private Stellen in Angelegenheiten des Datenschutzes. Der Bund und jedes Bundesland haben eine eigene Aufsichtsbehörde, an die sich auch jeder Betroffene mit seiner Beschwerde richten kann. Wenn bei einer Überprüfung der nicht ordnungsgemäße Umgang mit personenbezogenen Daten aufgedeckt wird, erteilt die zuständige Aufsichtsbehörde Bußgelder und Weisungen, bis hin zum Verbot einer Datenverarbeitung.
Jedes Unternehmen ist dazu angehalten, eine eigene Datenschutzrichtlinie zu implementieren; sie hilft beim erforderlichen Nachweis einer angemessenen Datenschutzorganisation. Ziel ist der Mitarbeiter-übergreifend einheitliche Umgang mit personenbezogenen Daten und den weiteren datenschutzrechtlich relevanten Sachverhalten. Diese Richtlinie stellt den zentralen Teil der Datenschutzorganisation dar und ist für alle Mitglieder des Unternehmens bindend. Sie wird vom Datenschutzbeauftragten in Zusammenarbeit mit der Geschäftsführung aufgesetzt und beinhaltet vor allem Angaben zur Datenschutzorganisation im Unternehmen, dem Umgang mit personenbezogenen Daten sowie Aufgaben im Rahmen der Meldepflicht.
In Deutschland braucht jedes Unternehmen, welches mehr als neun Mitarbeiter für die Verarbeitung von personenbezogenen Daten beschäftigt, einen Datenschutzbeauftragten, der sich um die Einhaltung der Vorgaben der DSGVO im Unternehmen kümmert. Daneben besteht die Pflicht für Unternehmen, die Daten geschäftsmäßig verarbeiten, um sie (anonymisiert) zu übermitteln oder für Marktforschungszwecke zu verwenden, einen Datenschutzbeauftragten zu bestellen. Diese Datenverarbeitung muss dabei einen eigenständigen Zweck der geschäftlichen Tätigkeit ausmachen, z.B. wie bei Auskunfteien oder Bewertungsplattformen. Die Aufgabe des Datenschutzbeauftragten wird entweder von einem Mitarbeiter des Unternehmens oder einem externen Datenschutzbeauftragten übernommen. Ein wichtiger Bestandteil seiner Aufgaben liegt in der Überwachung des fairen und ordnungsgemäßen Umgangs mit personenbezogenen Daten innerhalb des Unternehmens. Auch wenn keine Pflicht besteht, einen Datenschutzbeauftragten zu bestellen, sind die Unternehmen verpflichtet, den Datenschutz umzusetzen, sodass die Benennung eines Verantwortlichen oder die Einholung externer Beratung auch für diese sinnvoll sind.
Die Datenschutzerklärung muss auf jeder Webseite bereitgestellt werden. Sie enthält die Pflichtinformationen (siehe auch Informationspflicht) für die Betroffenen. Wichtig: Es ist erforderlich, dass die Datenschutzerklärung alle Verarbeitungsprozesse auf der Webseite darstellt sowie von jeder Unterseite aus erreichbar ist. Eine Datenschutzerklärung gilt dabei auch als Aushängeschild für ein Unternehmen, da Sie von jedermann eingesehen wird.
Um die Vorgaben der Europäischen Datenschutz-Grundverordnung ordnungsgemäß umzusetzen, bedarf es der Implementierung einer Datenschutzorganisation im Unternehmen. Verantwortlich für die Einführung einer solchen Datenschutzorganisation ist die Geschäftsführung. Mithilfe von Mitarbeitern und dem Datenschutzbeauftragten gilt es, Prozesse zur Wahrung des Datenschutzes festzulegen, umzusetzen und stetig zu kontrollieren. Bestandteile der Datenschutzorganisation sind beispielsweise ein Berechtigungskonzept sowie ein Verarbeitungsverzeichnis.
Hierbei handelt es sich um alle Mitarbeiter eines Unternehmens, die Zugriff auf personenbezogene Daten haben und diese sehen, bearbeiten oder löschen können. Im Zuge der DSGVO ist es sehr wichtig, diese Mitarbeiter im Sinne der Datenschutz-Richtlinie des Unternehmens zu schulen und für Dokumentationspflichten und Informationspflichten zu sensibilisieren. Um sicher zu stellen, welcher Mitarbeiter welche Rolle bei der Datenverarbeitung hat, ist die Implementierung eines Berechtigungskonzepts erforderlich. Zudem verpflichtet sich jeder datenverarbeitende Mitarbeiter auf Vertraulichkeit, auch für die Zeit nach Beendigung des Beschäftigungsverhältnisses.
Grundsätzlich gilt, dass personenbezogene Daten nur für die Dauer der Erfüllung des ursprünglichen Speicherungszwecks aufbewahrt werden dürfen. Ist der Zweck erfüllt, sieht die DSGVO vor, dass das betroffene Unternehmen diese Daten wieder löscht. Die Dauer der Speicherung richtet sich also nach dem Zweck, für den die Daten erhoben worden sind. Jedoch gilt es auch in diesem Rahmen, die gesetzlich vorgeschriebenen Aufbewahrungsfristen zu beachten. So sehen Handels- und Steuerrecht beispielsweise mehrjährige Aufbewahrungsfristen vor. Es ist daher wichtig ein Löschkonzept zu implementieren, in dem solche Speicherfristen berücksichtigt werden, um die Löschung aufbewahrungspflichtiger Daten zu verhindern.
Die DSGVO verpflichtet Unternehmen zur Dokumentation, d.h. es ist erforderlich, dass Unternehmen nachweisen können, wann, auf welche Weise und zu welchem Zweck personenbezogene Daten erhoben werden. Deswegen sollten derartige Informationen geschützt abgelegt werden. Wichtig ist auch, zu dokumentieren, welche Mitarbeiter Zugriff auf sensible Daten haben und in welcher Weise diese zur Bearbeitung berechtigt sind. Im besten Fall hält die Datenschutzrichtlinie derartige Prozesse für alle Mitarbeiter fest.
Als mögliche Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten kommt eine Einwilligung in Betracht. Eine solche Einwilligung muss freiwillig und ausdrücklich erteilt werden und kann jederzeit widerrufen werden. Da im Zweifel der Verantwortliche nachweisen muss, dass der Betroffene tatsächlich in die Verarbeitung seiner personenbezogenen Daten eingewilligt hat, sollte die Einwilligung schriftlich eingeholt oder auf andere Weise dokumentiert und sicher gespeichert werden.
Die Datenschutz-Grundverordnung trat am 25. Mai 2016 in Kraft und gilt seit dem 25. Mai 2018 in allen Mitgliedstaaten der Europäischen Union und den zusätzlichen Ländern des Europäischen Wirtschaftsraums (Island, Lichtenstein und Norwegen). Sie sorgt dafür, dass personenbezogene Daten in diesen Ländern einheitlich geschützt werden. Betriebe und Behörden stehen in der Pflicht, sich an die Grundverordnung zu halten, ansonsten riskieren sie Bußgelder. Insgesamt sorgt die Europäische Datenschutz-Grundverordnung dafür, dass den Betroffenen mehr Kontrollrechte über ihre Daten eingeräumt werden und sie leichter nachvollziehen können, wie ihre personenbezogenen Daten verarbeitet werden.
Unternehmen, die mindestens zehn Mitarbeiter für die Verarbeitung von Daten beschäftigen, kommen nicht umhin, einen Datenschutzbeauftragten zu ernennen. Dieser ist entweder bereits im Unternehmen angestellt oder kann als Außenstehender für die Position des Datenschutzbeauftragten hinzugezogen werden. In diesem Fall handelt es sich um einen sogenannten externen Datenschutzbeauftragten. Die Aufgabe des Datenschutzbeauftragten besteht darin, den fairen und ordnungsgemäßen Umgang mit personenbezogenen Daten innerhalb des Unternehmens zu kontrollieren und bei der Umsetzung zu beraten.
Birgt eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, führt der Verantwortliche vor der Verarbeitung eine Abschätzung der Folgen für den Schutz der personenbezogenen Daten durch. In diese Folgenabschätzung ist der Rat des Datenschutzbeauftragten einzubeziehen. An eine solche Folgenabschätzung stellt die DSGVO eindeutige Anforderungen. Die Datenschutzbehörden haben sogenannte „Black-Lists“ bzw. „White-Lists“ veröffentlicht, aus denen sich Prozesse ergeben, in denen eine Folgenabschätzung durchzuführen ist oder nicht benötigt wird. Eine solche Folgenabschätzung gehört zu den Dokumentationspflichten des Verantwortlichen und eine Nichtdurchführung stellt einen Datenschutzverstoß dar.
Wenn personenbezogene Daten erhoben werden, sieht es die Datenschutz-Grundverordnung vor, dass die betroffene Person, eine Information darüber erhält. Das Unternehmen, das diese Daten erhebt, muss die Person unter anderem über den Verwendungszweck sowie über den Umgang mit den Daten aufklären. Wichtig ist auch, dass die Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten an dieser Stelle übermittelt werden, damit sich betroffene Personen bei Fragen oder im Falle eines Widerrufs an einen Ansprechpartner wenden können. Diese und weitere Angaben sind gesetzlich ausdrücklich vorgeschrieben. Wird die Information nicht oder unvollständig erteilt, liegt ein Datenschutzverstoß vor, den die Behörden mit einem Bußgeld ahnden können. Eine solche Informationspflicht trifft Sie nicht nur, wenn Sie die Daten selbst beim Betroffenen erheben, sondern auch dann, wenn Sie die Daten von einem Dritten erhalten.
Um vertrauliche Daten zu schützen, müssen gewisse Sicherheitsvorkehrungen getroffen werden. In Hinblick auf die Datensicherheit im IT-Bereich ist es ratsam, ein Informationssicherheitsmanagement (kurz ISMS) im Unternehmen zu implementieren, welches als ergänzende Maßnahme zur ordnungsgemäßen Umsetzung der DSGVO dienen kann. Mithilfe des ISMS lassen sich Schwachstellen im Unternehmen aufdecken, die es dann im Rahmen der Datenschutzorganisation zu beheben gilt. Im weiteren Verlauf kann das ISMS bei der Erstellung von Richtlinien und Leitfäden unterstützen und dient später u.a. als Überwachungsinstrument zur Einhaltung der DSGVO.
Bei einer Verletzung des Schutzes personenbezogener Daten ist es erforderlich, dass der Verantwortliche dies innerhalb von 72 Stunden bei der zuständigen Datenschutz-Aufsichtsbehörde meldet. Meldet er den Verstoß erst später, muss er diese Verzögerung begründen. Andernfalls riskiert er Bußgelder. Neben der Behörde und dem Datenschutzbeauftragten, wird auch der Betroffene informiert, wenn die Verletzung ein hohes Risiko für seine Rechte und Freiheiten zur Folge hat. Wenn ein solcher Fall eintritt, sollte die Datenschutzrichtlinie zur Verfügung stehen, damit die Mitarbeiter über das Vorgehen bei einer solchen Datenpanne informiert sind.
Gemäß Art. 16 DSGVO hat jeder Betroffene das Recht, von dem Verantwortlichen eine Berichtigung der ihn betreffenden unrichtigen personenbezogenen Daten zu verlangen. Unternehmen sind dazu verpflichtet, umgehend die fehlerhaften Angaben zu korrigieren und fehlende Angaben nachzuarbeiten.
Jede Person, deren personenbezogene Daten von einer Behörde oder einem Unternehmen verarbeitet werden, hat ein Recht auf Löschung, insbesondere wenn:
Kommt der Verantwortliche dieser Bitte nicht ordnungsgemäß nach, kann die Person den Vorfall bei der Datenschutz-Aufsichtsbehörde melden. In solch einem Fall drohen Bußgelder.
s. Recht auf Löschung
Unternehmen, Behörden und andere Stellen, die personenbezogene Daten verarbeiten, sind gesetzlich dazu verpflichtet, geeignete technische und organisatorische Maßnahmen (TOMS) zu ergreifen, um ein angemessenes Schutzniveau sicher zu stellen. Zu den technischen Maßnahmen zählen beispielsweise Passwortnutzung, Protokolldateien und eindeutige Benutzerkonten. Unter die organisatorischen Maßnahmen fallen Aspekte wie das Vier-Augen-Prinzip, Arbeitsanweisungen und festgelegte Intervalle zur Überprüfung der Einhaltung sämtlicher datenschutzrechtlicher Anforderungen. Bei der Wahl der Maßnahmen sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und der Zweck der Verarbeitung sowie die Eintrittswahrscheinlichkeit und das Risiko für die betroffene Person zu berücksichtigen.
Unternehmen mit mehr als 250 Mitarbeitern sind dazu verpflichtet, den Prozess der Verarbeitung von personenbezogenen Daten in einem Verzeichnis zu dokumentieren. Dies ist ein Bestandteil der Datenschutzorganisation und eng mit dem Berechtigungskonzept innerhalb eines Unternehmens verbunden. Die zuständige Datenschutz-Aufsichtsbehörde kann zu jedem Zeitpunkt Einsicht verlangen und die Verarbeitungstätigkeiten überprüfen.
Unternehmen oder Einrichtungen haben laut DSGVO die Pflicht, ein sogenanntes Verarbeitungsverzeichnis zu führen, in dem sie alle Prozesse mit denen personenbezogene Daten verarbeitet werden, aufzeigen. Dies geschieht durch die Auflistung aller Verarbeitungstätigkeiten, -systeme und -verfahren und ist Bestandteil einer gut aufgestellten Datenschutzorganisation. Ausnahmen von dieser Pflicht gibt es unter weiteren Voraussetzungen nur für Unternehmen oder Einrichtungen mit weniger als 250 Mitarbeitern.
Zum Schutz von Daten sind diese oftmals verschlüsselt. Dies funktioniert folgendermaßen: Ein sogenannter „Klartext“ wird in einen „Geheimtext“ umgewandelt. Eine zweite Person kann den „Geheimtext“ wiederum transformieren, indem sie den geeigneten Schlüssel verwendet. Eine Datenverschlüsselung wendet man häufig bei der Übermittlung von Nachrichten an, wenn sie vertrauliche Inhalte enthalten. Mit dem richtigen Schlüssel kann der Empfänger die Nachricht dann lesen. Dass personenbezogene Daten ausschließlich verschlüsselt übermittelt werden dürfen, besagt die DSGVO nicht ausdrücklich, es ist jedoch eine technische Sicherungsmaßnahme, die in der Regel für einen angemessenen Schutz eingesetzt werden muss. Zweck ist es, dass unbefugte Dritte auf dem Weg der Übermittlung keine Klardaten abgreifen können.
Verarbeitet der Verantwortliche die Daten aufgrund eines berechtigten Interesses oder eines öffentlichen Interesses, kann der Betroffene dieser Verarbeitung widersprechen. Dieser Widerspruch ist grundsätzlich von dem Betroffenen zu begründen. Der Verantwortliche darf trotz Widerspruch die Daten weiterverarbeiten, wenn seine zwingenden schutzwürdigen Gründe die Interessen, Rechte und Freiheiten des Betroffenen überwiegen. Ohne Begründung und weitere Prüfung dürfen personenbezogene Daten nach einem Widerspruch aber nicht weiter verarbeitet werden, um Direktwerbung zu betreiben.
Sie haben bereits einen Ansprechpartner bei der dhpg? Hier finden Sie alle Partner und Berufsträger sowie deren Kontaktdaten.
