"Machen Sie sich um den Datenschutz in Ihrem Unternehmen keinen Kopf – geben Sie ihn einfach in die Hände unserer Datenschutzexperten."

Unser Ziel: Datenschutz mit Sinn und Verstand

Sie möchten ordnungsgemäß mit personenbezogenen Daten umgehen? Mit einem externen Datenschutzbeauftragten der dhpg ist das kein Problem.

In drei Schritten zum externen Datenschutzbeauftragten

1
Individueller Vertrag
Individueller Vertrag
Unser Vertrag orientiert sich an Ihren Bedürfnissen und kann individuell gestaltet werden. Sie entscheiden, welche Leistungen Ihnen im Datenschutz und möglicherweise darüber hinaus wichtig sind.
2
Festgelegter Plan
Festgelegter Plan
Mit einem festgelegten Plan prüfen und optimieren wir Schritt für Schritt Ihre Prozesse und erarbeiten gemeinsam eine gut funktionierende Datenschutzorganisation.
3
Kompetenter Partner
Kompetenter Partner
Die dhpg gewährleistet Datenschutz und IT-Sicherheit aus einer Hand. Neben Prozessberatung und Zertifizierungen bieten wir u.a. auch IT-Sicherheitstests an, die aufzeigen, inwieweit Ihr Unternehmen vor Cyberattacken gesichert ist.
Kompetenter Partner

Umfassender Datenschutz für Ihr Unternehmen

Optionale & individuelle Pakete passend für Ihr Unternehmen

  • Kompetenter PartnerSoll-Ist-Analyse nach EU-DSGVO und ISO 27001 mit Handlungsempfehlungen
  • Kompetenter PartnerAufbau einer Datenschutzorganisation
  • Kompetenter PartnerErarbeiten einer Datenschutz-Richtlinie
  • Kompetenter PartnerIndividuelle Datenschutzanfragen

Fordern Sie einen externen Datenschutzbeauf- tragten der dhpg an

Für Unternehmer, die keinen passenden Datenschutzbeauftragten in ihren Reihen haben, stehen die Experten der dhpg zur Verfügung, die Sie bei folgenden Projekten unterstützen:

 

  • Aufbau einer Datenschutzorganisation
  • Regelmäßige Mitarbeiterschulungen
  • Überwachung der Einhaltung des Datenschutzes
  • Ansprechpartner für die Aufsichtsbehörde
  • Prüfung von IT-Systemen (Hard- und Software)
  • Beratung der Geschäftsführung und datenverarbeitender Mitarbeiter
  • Kontrolle der ordnungsgemäßen Erhebung und Verarbeitung von personenbezogenen Daten
  • Unterstützung bei Datenschutzerklärungen 
  • Unterstützung bei rechtlichen Auseinandersetzungen 

 

Warum Sie auf unsere Datenschutzexperten setzen sollten

  • Als zertifizierte externe Datenschutzbeauftragte bilden wir uns ständig weiter. Zudem profitieren Sie von unserer Erfahrung und davon, dass wir rechts und links auch andere Themen und Branchen im Auge behalten.
  • Unsere Berater sind Juristen und IT-Experten mit langjähriger Erfahrung im Umgang mit Datenschutz und Behörden. Genau deshalb haben viele Unternehmen uns als ihren Datenschutzbeauftragten bestellt.
  • Wir sprechen auf Augenhöhe mit unseren Mandanten. Das ist uns wichtig, denn als externe Datenschutzbeauftragte sind wir nicht weisungsunterstellt. Somit gelingt es uns auch, mögliche Interessenskonflikte zwischen Unternehmensleitung, Betriebsrat und Mitarbeiter auszugleichen.

 

Bringen Sie Ihren Datenschutz mit der dhpg auf ein neues Niveau

Wir stehen für standardisierte und optimierte Prozesse. Somit geht es um den Nutzen, den ein gut funktionierender Datenschutz einem Unternehmen bietet. Bei der dhpg können Sie auf folgende Leistungen zurückgreifen:

  • Prüfung anhand eines vereinbarten Prüfungsplans
  • Jahresbericht für das Management
  • Jahresgespräch mit zertifizierten Experten vor Ort
  • Beratung zu allen anfallenden datenschutzrechtlichen Themenfeldern
  • Regelmäßige Infobriefe per Mail
  • Penetrationstests (IT-Sicherheitstest)
     

Der Vorteil für Sie: Sie haben Zeit, um sich auf die wesentlichen Aufgaben Ihres Unternehmens zu konzentrieren. Denn eines möchten wir nicht: Sie als Verantwortlichen eines mittelständischen Unternehmens vor ein zeitfressendes Projekt stellen.

Glossar

A

Aufbewahrungspflicht

Unternehmer sind verpflichtet, gewisse Unterlagen für bestimmte Zeiträume aufzubewahren. Für viele geschäftliche Unterlagen gilt aus dem Steuerrecht heraus eine zehnjährige Aufbewahrungsfrist, die jedoch erst mit Schluss des Kalenderjahres beginnt, in dem der Jahresabschluss erstellt wurde. Gibt es keine gesetzlichen Aufbewahrungsfristen gilt der Grundsatz, dass personenbezogene Daten umgehend zu löschen sind, sobald der vereinbarte Nutzungszweck erfüllt worden ist. Meldet sich ein Kunde etwa vom Newsletter ab, sind seine zur Versendung des Newsletters erhobenen Daten umgehend zu löschen.

Auftragsverarbeitung (AV)/Auftragsdatenverarbeitung (ADV)

Der frühere Begriff Auftragsdatenverarbeitung (kurz ADV) wurde mit der DSGVO durch den Begriff Auftragsverarbeitung (kurz AVV) ersetzt. Eine Auftragsverarbeitung liegt vor, wenn ein Verantwortlicher personenbezogene Daten an einen Dienstleister übermittelt, der die Daten nur nach Weisung und nicht zu eigenen Zwecken verarbeiten darf. Es gilt eine entsprechende Vereinbarung zur Auftragsverarbeitung zwischen Unternehmen und Dienstleister zu schließen, wie es auch die DSGVO vorgibt.

Auskunftsrecht

Als Betroffener hat man das Recht vom Verantwortlichen Auskunft darüber zu verlangen, ob seine personenbezogenen Daten verarbeitet werden. Ist dies der Fall, besteht die Pflicht über die Einzelheiten der Verarbeitung umfassend Auskunft zu erteilen. Die DSGVO macht dabei genaue Angaben, welche Informationen darin enthalten sein müssen. Zudem sollte der Verantwortliche auch eine Kopie der personenbezogenen Daten zur Verfügung stellen. Die Auskunft muss der Verantwortliche unverzüglich, in jedem Fall aber innerhalb eines Monats, erteilen. Bei der Erteilung der Auskunft ist es wichtig, darauf zu achten, dass Rechte und Freiheiten des Verantwortlichen oder eines Dritten nicht beeinträchtigt werden. So darf der Verantwortliche beispielsweise personenbezogene Daten von Dritten oder Geschäftsgeheimnisse in Dokumenten schwärzen.

B

Berechtigtes Interesse

Das berechtigte Interesse ist eine von mehreren Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten. Nicht immer ist es notwendig, die Einwilligung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten einzuholen, etwa dann nicht, wenn anzunehmen ist, dass die Verarbeitung dieser Daten im Rahmen des berechtigten Interesses stattfindet. Hierzu sind drei Voraussetzungen notwendig: Der für die Verarbeitung der Daten Verantwortliche hat ein berechtigtes Interesse an der Datenverarbeitung, die Verarbeitung ist zu dessen Wahrung erforderlich (es gibt also keine weniger einschneidende Maßnahme, mit der das berechtigte Interesse in gleicher Weise gefördert wird) und bei einer Abwägung mit den Interessen der betroffenen Person überwiegen nicht deren Interessen. Dies abzuwägen ist immer ein Drahtseilakt aber auch eine Chance. Im Zweifelsfall berät Sie Ihr Datenschutzverantwortlicher oder der für Sie tätige externe Datenschutzbeauftragte.

Berechtigungskonzept

In einem Berechtigungskonzept wird festgehalten, welche Zugriffsregeln auf Datensätze für die einzelnen Benutzergruppen gelten. Zudem werden hierin alle Prozesse detailliert erläutert, die dessen Umsetzung betreffen, z.B. das Anlegen oder Löschen von Nutzern und deren personenbezogene Daten. Hierzu ist es erforderlich, Rollen und die ihnen zugeordneten Aufgaben und Funktionen zu definieren. Ihnen können Berechtigungen erteilt oder entzogen werden. Die Pflege eines derartigen Berechtigungskonzepts wird empfohlen, zumal es ein Pflichtbestandteil zur ordnungsgemäßen Umsetzung der DSGVO ist und – nicht nur im Zweifelsfall – Auskunft darüber gibt, welche Mitarbeiter Zugriff auf personenbezogene Daten haben.

Betroffenenrechte

Die DSGVO hat europaweit die Rechte der betroffenen Personen gestärkt. So stehen ihnen folgende Rechte zu:

  • Auskunftsrecht
  • Recht auf Berichtigung
  • Recht auf Löschung bzw. „Recht auf Vergessenwerden
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht

Bundesdatenschutzgesetz (BDSG)

Das Bundesdatenschutzgesetz (kurz BDSG) trat am 27. Januar 1977 in Deutschland in Kraft und hatte seitdem die Aufgabe, Einzelpersonen vor Datenmissbrauch zu schützen. Diese Aufgabe übernimmt nun weitestgehend die DSGVO. Dennoch trat am 25. Mai 2018 und damit dem Tag der Geltung der DSGVO, eine neue Fassung des BDSG in Kraft. Mit den Regelungen des BDSG macht Deutschland von den Öffnungsklauseln in der DSGVO Gebrauch, die es den Mitgliedstaaten ermöglichen gewisse nationale Regelungen zu treffen.

Bußgelder

Bei einem Verstoß gegen die DSGVO drohen betroffenen Unternehmen Bußgelder von bis zu 20 Millionen € bzw. bis zu 4 % des weltweiten Jahresumsatzes. Die Behörden haben die Höhe der Bußgelder dabei so zu wählen, dass sie in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sind. Dabei nennt die DSGVO auch eine Menge Kriterien, die berücksichtigt werden sollten, etwa die Art, Schwere und Dauer des Verstoßes, die Zahl der Betroffenen und das Ausmaß des erlittenen Schadens, die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes, frühere Verstöße, die Kooperationsbereitschaft des Unternehmens etc.

D

Datenpanne

Eine Datenpanne liegt immer dann vor, wenn Dritte unbefugt Zugriff auf Daten erhalten. Auch die bloße Möglichkeit, dass Dritte Zugriff erhalten haben könnten, ist schon eine meldepflichtige Gefährdung. Übersehen wird häufig, dass auch die Vernichtung, der Verlust und die Veränderung von personenbezogenen Daten meldepflichtige Datenpannen sein können. Die Betroffenen können nicht nur dadurch gefährdet werden, dass Unbefugte ihre Daten erhalten, sondern etwa auch dadurch, dass den Befugten die Daten nicht mehr zur Verfügung stehen.

Datenschutz

Der Datenschutz dient dem Zweck, Bürger vor der unbefugten Verarbeitung ihrer persönlichen Daten zu schützen. Der Datenschutz ist in der Grundrechte-Charta der EU als Grundrecht anerkannt und als Teil des Rechts auf informationelle Selbstbestimmung auch in Deutschland grundrechtlich garantiert. Jeder Bürger darf demnach selbst bestimmen, was mit seinen Daten geschieht und in welcher Form diese weiterverarbeitet werden. Dies bezieht sich auf alle Gebiete und Arten, in denen Daten verarbeitet werden können, wie beispielsweise Unternehmen, die mit Kundendaten arbeiten. Da dies ein breit gefächertes Aufgabengebiet ist, ziehen viele Unternehmen einen externen Datenschutzbeauftragten für die ordnungsgemäße Umsetzung dieser Aufgaben hinzu.

Datenschutz-Aufsichtsbehörde

Die Datenschutz-Aufsichtsbehörde berät und kontrolliert öffentliche und private Stellen in Angelegenheiten des Datenschutzes. Der Bund und jedes Bundesland haben eine eigene Aufsichtsbehörde, an die sich auch jeder Betroffene mit seiner Beschwerde richten kann. Wenn bei einer Überprüfung der nicht ordnungsgemäße Umgang mit personenbezogenen Daten aufgedeckt wird, erteilt die zuständige Aufsichtsbehörde Bußgelder und Weisungen, bis hin zum Verbot einer Datenverarbeitung.

Datenschutz-Richtlinie

Jedes Unternehmen ist dazu angehalten, eine eigene Datenschutzrichtlinie zu implementieren; sie hilft beim erforderlichen Nachweis einer angemessenen Datenschutzorganisation. Ziel ist der Mitarbeiter-übergreifend einheitliche Umgang mit personenbezogenen Daten und den weiteren datenschutzrechtlich relevanten Sachverhalten. Diese Richtlinie stellt den zentralen Teil der Datenschutzorganisation dar und ist für alle Mitglieder des Unternehmens bindend. Sie wird vom Datenschutzbeauftragten in Zusammenarbeit mit der Geschäftsführung aufgesetzt und beinhaltet vor allem Angaben zur Datenschutzorganisation im Unternehmen, dem Umgang mit personenbezogenen Daten sowie Aufgaben im Rahmen der Meldepflicht.

Datenschutzbeauftragter (DSB)

In Deutschland braucht jedes Unternehmen, welches mehr als neun Mitarbeiter für die Verarbeitung von personenbezogenen Daten beschäftigt, einen Datenschutzbeauftragten, der sich um die Einhaltung der Vorgaben der DSGVO im Unternehmen kümmert. Daneben besteht die Pflicht für Unternehmen, die Daten geschäftsmäßig verarbeiten, um sie (anonymisiert) zu übermitteln oder für Marktforschungszwecke zu verwenden, einen Datenschutzbeauftragten zu bestellen. Diese Datenverarbeitung muss dabei einen eigenständigen Zweck der geschäftlichen Tätigkeit ausmachen, z.B. wie bei Auskunfteien oder Bewertungsplattformen. Die Aufgabe des Datenschutzbeauftragten wird entweder von einem Mitarbeiter des Unternehmens oder einem externen Datenschutzbeauftragten übernommen. Ein wichtiger Bestandteil seiner Aufgaben liegt in der Überwachung des fairen und ordnungsgemäßen Umgangs mit personenbezogenen Daten innerhalb des Unternehmens. Auch wenn keine Pflicht besteht, einen Datenschutzbeauftragten zu bestellen, sind die Unternehmen verpflichtet, den Datenschutz umzusetzen, sodass die Benennung eines Verantwortlichen oder die Einholung externer Beratung auch für diese sinnvoll sind.

Datenschutzerklärung

Die Datenschutzerklärung muss auf jeder Webseite bereitgestellt werden. Sie enthält die Pflichtinformationen (siehe auch Informationspflicht) für die Betroffenen. Wichtig: Es ist erforderlich, dass die Datenschutzerklärung alle Verarbeitungsprozesse auf der Webseite darstellt sowie von jeder Unterseite aus erreichbar ist. Eine Datenschutzerklärung gilt dabei auch als Aushängeschild für ein Unternehmen, da Sie von jedermann eingesehen wird.

Datenschutzorganisation

Um die Vorgaben der Europäischen Datenschutz-Grundverordnung ordnungsgemäß umzusetzen, bedarf es der Implementierung einer Datenschutzorganisation im Unternehmen. Verantwortlich für die Einführung einer solchen Datenschutzorganisation ist die Geschäftsführung. Mithilfe von Mitarbeitern und dem Datenschutzbeauftragten gilt es, Prozesse zur Wahrung des Datenschutzes festzulegen, umzusetzen und stetig zu kontrollieren. Bestandteile der Datenschutzorganisation sind beispielsweise ein Berechtigungskonzept sowie ein Verarbeitungsverzeichnis.

Datenverarbeitende Mitarbeiter

Hierbei handelt es sich um alle Mitarbeiter eines Unternehmens, die Zugriff auf personenbezogene Daten haben und diese sehen, bearbeiten oder löschen können. Im Zuge der DSGVO ist es sehr wichtig, diese Mitarbeiter im Sinne der Datenschutz-Richtlinie des Unternehmens zu schulen und für Dokumentationspflichten und Informationspflichten zu sensibilisieren. Um sicher zu stellen, welcher Mitarbeiter welche Rolle bei der Datenverarbeitung hat, ist die Implementierung eines Berechtigungskonzepts erforderlich. Zudem verpflichtet sich jeder datenverarbeitende Mitarbeiter auf Vertraulichkeit, auch für die Zeit nach Beendigung des Beschäftigungsverhältnisses.

Dauer der Speicherung

Grundsätzlich gilt, dass personenbezogene Daten nur für die Dauer der Erfüllung des ursprünglichen Speicherungszwecks aufbewahrt werden dürfen. Ist der Zweck erfüllt, sieht die DSGVO vor, dass das betroffene Unternehmen diese Daten wieder löscht. Die Dauer der Speicherung richtet sich also nach dem Zweck, für den die Daten erhoben worden sind. Jedoch gilt es auch in diesem Rahmen, die gesetzlich vorgeschriebenen Aufbewahrungsfristen zu beachten. So sehen Handels- und Steuerrecht beispielsweise mehrjährige Aufbewahrungsfristen vor. Es ist daher wichtig ein Löschkonzept zu implementieren, in dem solche Speicherfristen berücksichtigt werden, um die Löschung aufbewahrungspflichtiger Daten zu verhindern.

Dokumentationspflichten

Die DSGVO verpflichtet Unternehmen zur Dokumentation, d.h. es ist erforderlich, dass Unternehmen nachweisen können, wann, auf welche Weise und zu welchem Zweck personenbezogene Daten erhoben werden. Deswegen sollten derartige Informationen geschützt abgelegt werden. Wichtig ist auch, zu dokumentieren, welche Mitarbeiter Zugriff auf sensible Daten haben und in welcher Weise diese zur Bearbeitung berechtigt sind. Im besten Fall hält die Datenschutzrichtlinie derartige Prozesse für alle Mitarbeiter fest.

E

Einwilligung

Als mögliche Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten kommt eine Einwilligung in Betracht. Eine solche Einwilligung muss freiwillig und ausdrücklich erteilt werden und kann jederzeit widerrufen werden. Da im Zweifel der Verantwortliche nachweisen muss, dass der Betroffene tatsächlich in die Verarbeitung seiner personenbezogenen Daten eingewilligt hat, sollte die Einwilligung schriftlich eingeholt oder auf andere Weise dokumentiert und sicher gespeichert werden.

Europäische Datenschutz-Grundverordnung (EU-DSGVO)

Die Datenschutz-Grundverordnung trat am 25. Mai 2016 in Kraft und gilt seit dem 25. Mai 2018 in allen Mitgliedstaaten der Europäischen Union und den zusätzlichen Ländern des Europäischen Wirtschaftsraums (Island, Lichtenstein und Norwegen). Sie sorgt dafür, dass personenbezogene Daten in diesen Ländern einheitlich geschützt werden. Betriebe und Behörden stehen in der Pflicht, sich an die Grundverordnung zu halten, ansonsten riskieren sie Bußgelder. Insgesamt sorgt die Europäische Datenschutz-Grundverordnung dafür, dass den Betroffenen mehr Kontrollrechte über ihre Daten eingeräumt werden und sie leichter nachvollziehen können, wie ihre personenbezogenen Daten verarbeitet werden.

Externer Datenschutzbeauftragter

Unternehmen, die mindestens zehn Mitarbeiter für die Verarbeitung von Daten beschäftigen, kommen nicht umhin, einen Datenschutzbeauftragten zu ernennen. Dieser ist entweder bereits im Unternehmen angestellt oder kann als Außenstehender für die Position des Datenschutzbeauftragten hinzugezogen werden. In diesem Fall handelt es sich um einen sogenannten externen Datenschutzbeauftragten. Die Aufgabe des Datenschutzbeauftragten besteht darin, den fairen und ordnungsgemäßen Umgang mit personenbezogenen Daten innerhalb des Unternehmens zu kontrollieren und bei der Umsetzung zu beraten.

F

Folgenabschätzung

Birgt eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, führt der Verantwortliche vor der Verarbeitung eine Abschätzung der Folgen für den Schutz der personenbezogenen Daten durch. In diese Folgenabschätzung ist der Rat des Datenschutzbeauftragten einzubeziehen. An eine solche Folgenabschätzung stellt die DSGVO eindeutige Anforderungen. Die Datenschutzbehörden haben sogenannte „Black-Lists“ bzw. „White-Lists“ veröffentlicht, aus denen sich Prozesse ergeben, in denen eine Folgenabschätzung durchzuführen ist oder nicht benötigt wird. Eine solche Folgenabschätzung gehört zu den Dokumentationspflichten des Verantwortlichen und eine Nichtdurchführung stellt einen Datenschutzverstoß dar.

I

Informationspflicht

Wenn personenbezogene Daten erhoben werden, sieht es die Datenschutz-Grundverordnung vor, dass die betroffene Person, eine Information darüber erhält. Das Unternehmen, das diese Daten erhebt, muss die Person unter anderem über den Verwendungszweck sowie über den Umgang mit den Daten aufklären. Wichtig ist auch, dass die Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten an dieser Stelle übermittelt werden, damit sich betroffene Personen bei Fragen oder im Falle eines Widerrufs an einen Ansprechpartner wenden können. Diese und weitere Angaben sind gesetzlich ausdrücklich vorgeschrieben. Wird die Information nicht oder unvollständig erteilt, liegt ein Datenschutzverstoß vor, den die Behörden mit einem Bußgeld ahnden können. Eine solche Informationspflicht trifft Sie nicht nur, wenn Sie die Daten selbst beim Betroffenen erheben, sondern auch dann, wenn Sie die Daten von einem Dritten erhalten.

Informationssicherheitsmanagement

Um vertrauliche Daten zu schützen, müssen gewisse Sicherheitsvorkehrungen getroffen werden. In Hinblick auf die Datensicherheit im IT-Bereich ist es ratsam, ein Informationssicherheitsmanagement (kurz ISMS) im Unternehmen zu implementieren, welches als ergänzende Maßnahme zur ordnungsgemäßen Umsetzung der DSGVO dienen kann. Mithilfe des ISMS lassen sich Schwachstellen im Unternehmen aufdecken, die es dann im Rahmen der Datenschutzorganisation zu beheben gilt. Im weiteren Verlauf kann das ISMS bei der Erstellung von Richtlinien und Leitfäden unterstützen und dient später u.a. als Überwachungsinstrument zur Einhaltung der DSGVO.

M

Meldepflicht

Bei einer Verletzung des Schutzes personenbezogener Daten ist es erforderlich, dass der Verantwortliche dies innerhalb von 72 Stunden bei der zuständigen Datenschutz-Aufsichtsbehörde meldet. Meldet er den Verstoß erst später, muss er diese Verzögerung begründen. Andernfalls riskiert er Bußgelder. Neben der Behörde und dem Datenschutzbeauftragten, wird auch der Betroffene informiert, wenn die Verletzung ein hohes Risiko für seine Rechte und Freiheiten zur Folge hat. Wenn ein solcher Fall eintritt, sollte die Datenschutzrichtlinie zur Verfügung stehen, damit die Mitarbeiter über das Vorgehen bei einer solchen Datenpanne informiert sind.

R

Recht auf Berichtigung

Gemäß Art. 16 DSGVO hat jeder Betroffene das Recht, von dem Verantwortlichen eine Berichtigung der ihn betreffenden unrichtigen personenbezogenen Daten zu verlangen. Unternehmen sind dazu verpflichtet, umgehend die fehlerhaften Angaben zu korrigieren und fehlende Angaben nachzuarbeiten.

Recht auf Löschung

Jede Person, deren personenbezogene Daten von einer Behörde oder einem Unternehmen verarbeitet werden, hat ein Recht auf Löschung, insbesondere wenn:

  • die personenbezogenen Daten für die Zwecke, für die sie verarbeitet wurden, nicht mehr notwendig sind,
  • der Betroffene seine Einwilligung widerrufen hat und keine andere Rechtsgrundlage für die Verarbeitung vorliegt,
  • der Betroffene einen wirksamen Widerspruch gegen die Verarbeitung eingelegt hat oder
  • die personenbezogenen Daten unrechtmäßig verarbeitet wurden.

Kommt der Verantwortliche dieser Bitte nicht ordnungsgemäß nach, kann die Person den Vorfall bei der Datenschutz-Aufsichtsbehörde melden. In solch einem Fall drohen Bußgelder.

Recht auf Vergessenwerden

s. Recht auf Löschung

T

TOMs

Unternehmen, Behörden und andere Stellen, die personenbezogene Daten verarbeiten, sind gesetzlich dazu verpflichtet, geeignete technische und organisatorische Maßnahmen (TOMS) zu ergreifen, um ein angemessenes Schutzniveau sicher zu stellen. Zu den technischen Maßnahmen zählen beispielsweise Passwortnutzung, Protokolldateien und eindeutige Benutzerkonten. Unter die organisatorischen Maßnahmen fallen Aspekte wie das Vier-Augen-Prinzip, Arbeitsanweisungen und festgelegte Intervalle zur Überprüfung der Einhaltung sämtlicher datenschutzrechtlicher Anforderungen. Bei der Wahl der Maßnahmen sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und der Zweck der Verarbeitung sowie die Eintrittswahrscheinlichkeit und das Risiko für die betroffene Person zu berücksichtigen.

V

Verarbeitungstätigkeiten

Unternehmen mit mehr als 250 Mitarbeitern sind dazu verpflichtet, den Prozess der Verarbeitung von personenbezogenen Daten in einem Verzeichnis zu dokumentieren. Dies ist ein Bestandteil der Datenschutzorganisation und eng mit dem Berechtigungskonzept innerhalb eines Unternehmens verbunden. Die zuständige Datenschutz-Aufsichtsbehörde kann zu jedem Zeitpunkt Einsicht verlangen und die Verarbeitungstätigkeiten überprüfen.

Verarbeitungsverzeichnis

Unternehmen oder Einrichtungen haben laut DSGVO die Pflicht, ein sogenanntes Verarbeitungsverzeichnis zu führen, in dem sie alle Prozesse mit denen personenbezogene Daten verarbeitet werden, aufzeigen. Dies geschieht durch die Auflistung aller Verarbeitungstätigkeiten, -systeme und -verfahren und ist Bestandteil einer gut aufgestellten Datenschutzorganisation. Ausnahmen von dieser Pflicht gibt es unter weiteren Voraussetzungen nur für Unternehmen oder Einrichtungen mit weniger als 250 Mitarbeitern.

Verschlüsselung

Zum Schutz von Daten sind diese oftmals verschlüsselt. Dies funktioniert folgendermaßen: Ein sogenannter „Klartext“ wird in einen „Geheimtext“ umgewandelt. Eine zweite Person kann den „Geheimtext“ wiederum transformieren, indem sie den geeigneten Schlüssel verwendet. Eine Datenverschlüsselung wendet man häufig bei der Übermittlung von Nachrichten an, wenn sie vertrauliche Inhalte enthalten. Mit dem richtigen Schlüssel kann der Empfänger die Nachricht dann lesen. Dass personenbezogene Daten ausschließlich verschlüsselt übermittelt werden dürfen, besagt die DSGVO nicht ausdrücklich, es ist jedoch eine technische Sicherungsmaßnahme, die in der Regel für einen angemessenen Schutz eingesetzt werden muss. Zweck ist es, dass unbefugte Dritte auf dem Weg der Übermittlung keine Klardaten abgreifen können.

W

Widerspruchsrecht

Verarbeitet der Verantwortliche die Daten aufgrund eines berechtigten Interesses oder eines öffentlichen Interesses, kann der Betroffene dieser Verarbeitung widersprechen. Dieser Widerspruch ist grundsätzlich von dem Betroffenen zu begründen. Der Verantwortliche darf trotz Widerspruch die Daten weiterverarbeiten, wenn seine zwingenden schutzwürdigen Gründe die Interessen, Rechte und Freiheiten des Betroffenen überwiegen. Ohne Begründung und weitere Prüfung dürfen personenbezogene Daten nach einem Widerspruch aber nicht weiter verarbeitet werden, um Direktwerbung zu betreiben.

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht
E-Mail+49 2261 8195 0 Mehr über Dr. Christian Lenz

Alexandra Hecht

Rechtsanwältin, Fachanwältin für Arbeitsrecht
E-Mail+49 2222 7007 0Mehr über Alexandra Hecht

René Manz

IT-Prüfer und Berater
E-Mail+49 221 33636 0 Mehr über René Manz

Kontakt

dhpg Wirtschaftsprüfer Rechtsanwälte Steuerberater GmbH & Co. KG
Wirtschaftsprüfungsgesellschaft
Berufsausübungsgesellschaft
D-53113 Bonn
Marie-Kahle-Allee 2

Sie haben bereits einen Ansprechpartner bei der dhpg? Hier finden Sie alle Partner und Berufsträger sowie deren Kontaktdaten.

Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Permalink