Datenschutz mit Konzept


Datenschutzgrundverordnung

In der Datenschutz-Grundverordnung (DSGVO) wird die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen geregelt. Sie soll sicherstellen, dass personenbezogene Daten innerhalb der Europäischen Union geschützt sind, gleichzeitig aber den freien Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleisten.

Die DSGVO gilt ab dem 25. Mai 2018 in allen Mitgliedsstaaten der Europäischen Union. Bis dahin müssen Firmen und Behörden sicherstellen, dass sie persönliche Daten den Regeln entsprechend behandeln. Andernfalls drohen empfindliche Bußgelder. Viele einschneidende Veränderungen kommen mit dem neuen EU-Datenschutz auf uns zu. Entsprechend groß ist die Verunsicherung über die EU-Datenschutz-Grundverordnung.

Eigentlich schon seit 2016 in Kraft, war die Übergangsfrist am 25. Mail 2018 endgültig zu Ende. Sicher ist damit auf jeden Fall, dass die Nutzer mehr Rechte bekommen und mehr Pflichten auf Netz-Anbieter sowie Unternehmen zukommen, die Mitarbeiter- und Kundendaten speichern und verarbeiten. Befürchtet wird allerdings auch, dass nach dem Stichtag eine Abmahnwelle auf Firmen zurollt, die die Datenschutz-Grundverordnung nicht bestimmungsgerecht umgesetzt haben.

DSGVO aus Sicht der Verbraucher und Verbraucherinnen

Für die Verbraucher und Verbraucherinnen  gilt, dass ihnen mit der neuen EU-Verordnung erweiterte Rechte zu ihren persönlichen Daten zustehen. Die Verbraucher und Verbraucherinnen sind die großen Gewinner des neuen europäischen Datenschutzes. Er stärkt ihre Rechte – auch durch neue Regelungen – und vereinheitlicht die Gesetzgebung im europäischen Binnenmarkt. Verbraucher und Verbraucherinnen sollen einfacher verstehen können als bisher, was mit ihren Daten geschieht. Unter anderem soll sich kein Unternehmen soll mehr hinter juristischen Formeln verstecken, welchen Schmu es mit den Daten seiner Nutzer betreibt. Dies gilt insbesondere für komplizierte Sachverhalte, "wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik" es den Kunden schwer machen zu erkennen, was mit ihren persönlichen Daten passiert.

Bürger stehen dank der Datenschutz-Grundverodnung mehr Mittel als bisher zur Verfügung, um zu erfahren, welche Daten Unternehmen über sie speichern, und um diese löschen zu lassen. Alle bisherigen Rechte der Verbraucher und Verbraucherinnen und Pflichten der Unternehmen bleiben dabei erhalten. Unternehmen müssen also wie bisher über gespeicherte Daten informieren und auf Nachfrage über deren Weitergabe berichten.


Datenschutz für Betriebe


Schritt 1: Bestimmung von Verantwortlichen

Verantwortlich für die Einhaltung der Anforderungen der DSGVO ist gemäß Art. 24 DS-GVO das Unternehmen für alle Verarbeitungen von personenbezogenen Daten, die ein Unternehmen durchführt.
Aufgabe der Geschäftsführung ist es, verantwortliche Personen zu ernennen, die mit der Prüfung und Umsetzung der Datenschutz-Compliance beauftragt werden und in der Ausstattung der entsprechenden Personen mit ausreichenden Ressourcen.
Der wichtigste Schritt in dieser Hinsicht ist bereits erfolgt, wenn ein Datenschutzbeauftragten ernannt wurde.

 

To-Do-Liste:

  • Status der Umsetzung: Datenschutzbeauftragte/r wurde bestellt?
  • Ausstehende to-dos: Prüfung, ob die schriftliche Bestellung des Datenschutzbeauftragten, um eine schriftliche Beschreibung seines Tätigkeitsprofilsergänzt werden sollte.
  • Prüfung, ob weitere Mitarbeiter den Datenschutzbeauftragten unterstützen sollten.

Schritt 2: Analyse des Ist-Zustandes

Ausgangspunkt der Umsetzungsmaßnahmen ist die Analyse, welche personenbezogenen Daten im Unternehmen verarbeitet werden. Der Begriff der Verarbeitung ist hier weit zu verstehen und umfasst im Sinne von Art. 4 Nr. 2 DS-GVO sämtliche Vorgänge im Zusammenhang mit personenbezogenen Daten, wie etwa das Erheben, das Erfassen, das Ordnen, die Speicherung, die Anpassung oder Veränderung etc. von personenbezogenen

Daten.

 

To-do-Liste:

  • Status der Umsetzung festhalten
  • Veranwortlichkeiten festlegen
  • Ausstehende to-Dos festlegen

Schritt 3:

Gemäß Art. 30 DS-GVO benötigt ein Unternehmen ein Verzeichnis der Verarbeitungstätigkeiten. Ein fehlendes, unvollständiges oder falsches Verzeichnis der Verarbeitungstätigkeit kann mit einem Bußgeld von bis zu 10 Millionen ¤ oder 2 % des weltweiten Jahresumsatzes geahndet werden (Art 83 Abs. 4 lit. a DSGVO).  Ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO  muss nicht zwingend sämtliche Informationen enthalten,  die für die Prüfung der datenschutzrechtlichen Zulässigkeit  notwendig sind. So genügt es etwa nach Art. 30 Abs. 1 lit. c DSGVO,  dass nur die „Kategorien betroffener Personen“ und die  „Kategorien personenbezogener Daten“ angegeben werden  sollen. Zudem müssen keine Informationen über zugrunde liegende 

Vertragsverhältnisse und/oder ADV-Verträge in einem  Verzeichnisses der Verarbeitungstätigkeit enthalten sein. Die  genannten Daten werden aber für die Prüfung der Rechtmäßigkeit der Datenverarbeitung zwingend benötigt.  Da aufgrund der insgesamt hohen Bußgeldandrohung eine umfassende  Prüfung und Dokumentation der Prüfung der Erfüllung  sämtlicher Vorgaben der DS-GVO für jedes einzelne Verfahren  zur Vermeidung einer Haftung ohnehin notwendig ist, wird empfohlen,  das Verzeichnis der Verarbeitungstätigkeit als ein zentrales  Datenschutz-Compliance-Dokument zu verwenden, und  dort etwa auch die Prüfung von Ermächtigungsgrundlagen, Erfüllung  von Transparenzanforderungen und sämtliche weiteren  Vorgaben der DS-GVO zu dokumentieren.

Schritt 4: Anpassung einzelner Verfahren

In diesem Schritt muss jedes im Verzeichnis der Verarbeitungstätigkeit aufgenommene Verfahren darauf hin geprüft werden, ob alle Voraussetzungen der DS-GVO umgesetzt wurden. Die Prüfung an sich sollte innerhalb des Verzeichnisses der Verarbeitungstätigkeit in einem angemessenen Umfang dokumentiert werden.
Sollte sich im Rahmen der Prüfung herausstellen, dass einzelne Verfahren noch nicht vollständig DS-GVO-Compliant umgesetzt werden, so sollte eine entsprechende Anpassung der Verfahren zur Erfüllung der Vorgaben der DS-GVO (zum Beispiel Erfüllung der Transparenzanforderungen) schnellstmöglich erfolgen.

Schritt 5: Finalisierung und Implementierung eines laufenden Berichts- und Prüfwesens

Die DS-GVO verlangt, dass Unternehmen technische und organisatorische Maßnahmen implementieren, um die Einhaltung der Vorgaben der DS-GVO sicherzustellen und dies jederzeit nachweisen zu können (Art. 24 Abs. 1 und Abs. 2 DS-GVO). Dies umfasst nicht nur technische und organisatorische Schutzmaßnahmen im Sinne eines hohen Maßes an IT-Sicherheit, sondern auch organisatorische Maßnahmen im Sinne eines Datenschutz-
Compliance-Managementsystems („DCMS“).

Hierbei gilt es, gemeinsam mit allen Verantwortlichen zu besprechen, auf welchem Weg, ein Ausgleich zwischen einem hohen Maß an Datenschutz-Compliance und dem hierfür erforderlichen Verwaltungsaufwand erzielt werden kann.

 

To-Do-Liste:

  • Erstellung von Prozessen auf Basis der in Schritt 1 definierten Verantwortlichkeiten
  • Überarbeitung des Musters für den Tätigkeitsbericht
  • Erarbeitung von Kontrollmethoden

Schritt 6: Laufende Maßnahmen

  • Durchführung regelmäßiger interner Schulungen
  • Sensibilisierung für die Meldung neuer datenverarbeitender
    Prozesse, um die laufende Anpassung des Verzeichnis der
    Verarbeitungstätigkeit zu ermöglichen
  • Implementierung eines Revisionsprozesses zur Vermeidung
    einer „Vergreisung“ des Verzeichnis der Verarbeitungstätigkeit
  • Anlegen von Musterschreiben, Fragebögen etc. zur Erleichterung
    einer Datenerhebung und des „Nachfassens“ bei den
    erhebenden und bearbeitenden Stellen
  • Vorbereitung von Musterverträgen zur Weitergabe/Abrufbarkeit
    der operativen Einheiten (z.B. zur Auftragsdatenverarbeitung)
  • Implementierung eines Prozesses zur Einhaltung des Datenschutzrechts
    im Unternehmen („Audits“; „Stichprobenkontrollen“)
  • Implementierung eines Berichtswesens zum Stand der Datenschutzcompliance
    an Unternehmensleitung