Rechtsanwalt Jan N. Machunsky Datenschutzbeauftragter, Göttingen, Hamburg Nienstedten, Rotenburg (Wümme).

Seit dem 25.05.2018 gilt die Datenschutz Grundverordnung (DSGVO) unmittelbar für alle Unternehmen, Vereine, Selbstständige unabhängig von ihrer Größe. Diese löst den größten Teil des Bundesdatenschutzgesetzes (BDSG) ab.

Die Bürger sollen jederzeit wissen, wer welche Daten über sie erhoben hat, ob und wie er sie gebraucht und an wen er sie weitergibt. Für den Bürger bestehen daher ein Auskunftsanspruch sowie ein Anspruch auf Löschung der Daten.

Jeder soll seine Daten kontrollieren können sowie ein Recht auf Vergessenwerden haben.

Bei Missachtung der Vorschriften drohen erheblich verschärfte Buß- und Strafandrohungen in Höhe von bis zu 20. Mio. € oder 4 Prozent des Jahresumsatzes.

Der Datenschutz gehört zu den derzeit wichtigsten Unternehmerpflichten. Als Vorstand einer AG, Geschäftsführer einer GmbH bzw. UG ist dies direkt vom gesetzlichen Pflichtenkatalog erfasst und gehört zu einer funktionierenden Compliance. Auch alle anderen Unternehmer, die in Kontakt mit personenbezogenen Daten kommen, müssen die Datenschutzrechtlichen Bestimmungen einhalten.

Es gelten folgende Prinzipien:

  • Einwilligungskonzept, es muss in die Verarbeitung personenbezogener Daten eingewilligt werden.
  • Datenminimierung sowie Schutz durch Pseudonymisierung
  • Zweckbindung (Zweckvereinbarung), zu welchen Zweck werden die Daten verwendet.
  • Erforderlichkeit der Datenerhebung
  • Strenges Haftungs- und Bußgeldkonzept
  • Pflicht zur Bestellung eines Datenschutzbeauftragten ab 10 Mitarbeitern

Datenschutzorganisation

Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)

Durch die Datenschutzgrundverordnung wurde die Einrichtung eines funktionierenden Datenschutzsystems sowie dessen Dokumentation eingeführt. Die verantwortliche Stelle ist dazu verpflichtet, die Einhaltung datenschutzrechtlicher Vorschriften nachweisen zu können. In einem Bußgeldverfahren nach § 83 DSGVO kann dies eine Beweislastumkehr schaffen, sodass der Mangel eines entsprechenden Nachweises zu Bußgeldern in Höhe von bis zu 20. Mio. € oder 4 Prozent des Jahresumsatzes führen kann.

Datenschutzbeauftragter

Gemäß § 38 Abs.1 BDSchG n.F ist ein Datenschutzbeauftragter zu bestellen, wenn in de Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Sofern die Tätigkeit einer Datenschutzfolgenabschätzung nach § 35 BDSchG unterliegt, oder die Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt oder Meinungsforschung verarbeitet werden, kommt es nicht auf die Anzahl der Mitarbeiter an.

Es kommen dabei zwei Möglichkeiten in Betracht:

Interner Datenschutzbeauftragter:
Ein interner Datenschutzbeauftragter kennt das Unternehmen bereits gut. Er fällt jedoch für die Zeiten der Aus- und Fortbildung, sowie während der Arbeit als Datenschutzbeauftragter aus. Darüber hinaus entstehen Kosten für die Aus- und Fortbildung sowie Literatur. Die Haftung verbleibt weiter im Unternehmen

Externer Datenschutzbeauftragter:
Ein externer Datenschutzbeauftragter hat den Vorteil, dass er keinerlei Einarbeitungszeit benötigt, keinerlei Aus- und Fortbildungs-, sowie Literaturkosten entstehen.

Datenschutzaudit und Risikobewertung

Ermittlung und Prüfung aller Datenschutzrelevanten Bereiche im Unternehmen. Es müssen alle Prozesse und Bereiche im Unternehmen, die personenbezogenen Daten verarbeiten erfasst und anschließend analysiert werden. Anschließend findet eine Datenschutz-Folgeabschätzung statt.

Verfahrensverzeichnisse

Interne Verfahrensübersicht:
Im internen Verfahrensverzeichnis müssen alle relevanten Verfahren einzeln aufgelistet werden. Ziel ist es, die Datenverarbeitung transparenter zu gestalten. Es sind alle Verfahren der Datenerhebung, Datenverarbeitung und Datennutzung mit Personenbezug zu erfassen. Da hier alle Verfahren detailliert aufzuführen sind, sind diese Verzeichnisse oft sehr umfangreich. Sofern ein Unternehmen weniger als 250 Mitarbeiter beschäftigt, muss es diese Verzeichnisse nicht mehr führen, sofern die Verfahren ein geringes Risiko aufweisen, nur gelegentlich erfolgen, sofern es sich nicht um sensible Daten handelt.

Einführung von Datenschutzprozessen:
Da das Unternehmen diese Verpflichtung fortlaufen erfüllen muss, sind entsprechende Prozesse und Richtlinien zu entwickeln, die ein kontinuierlich hohes Schutzniveau gewährleisten. Des Weiteren sind die Mitarbeiter regelmäßig zu schulen.

Einbindung des Datenschutzbeauftragten:
Sobald neue Verfahren integriert werden, ist der Datenschutzbeauftragte zu kontaktieren und in den Prozess mit einzubinden.

  • Schulungen der Mitarbeiter
    Die Mitarbeiter müssen für das Thema sensibilisiert und entsprechend geschult werden.
  • Verpflichtung auf das Datengeheimnis
    Die Mitarbeiter müssen auf das Datengeheimnis verpflichtet werden.
  • IT-Sicherheitskonzepte
    Es sind IT-Sicherheitskonzepte zu entwickeln, die auch Fälle des IT Ausfalls berücksichtigen.
  • Archivierung und Löschung
  • Beschwerdemanagement
    Ein Beschwerdesystem ist einzuführen.
  • Data Breach Notification
    Es ist ein Notfallplan für den Fall schwerwiegender Verstöße gegen den Datenschutz zu entwickeln.

Datenschutzkonzepte

  • Technische und organisatorische Maßnahmen (TOMs): Die TOMs umfassen alle technischen und organisatorischen Maßnahmen zum Schutz der Daten. Dies sind die physische Sicherung des Geländes sowie insbesondere der Serverräume, die Sicherung der Software und Hardware. Dies sind etwa Zutrittskontrollen, Zugangskontrollen, Eingabekontrollen, Weitergabekontrollen und ähnliche Maßnahmen. Diesem Punkt kommt eine überaus große Rolle zu.
  • Archivierung und Protokollierung: Gemäß den Anforderungen des HGB sowie der AO sind bestimmte Daten für einen gewissen Zeitraum unveränderbar aufzubewahren.
  • Entsorgung: Sofern diese nicht mehr benötigt werden, oder dies von der betroffenen Person beantragt wird, sind die personenbezogenen Daten sicher zu löschen.

Datenschutz und Arbeitnehmer

  • Arbeitnehmerdatenschutz:
    Im Unternehmen sind die personenbezogenen Daten des Arbeitnehmers zu schützen.
  • Probleme mit Bring your own device:
    Dies ist ein gängiges Thema in der digitalen Zeit. Leider ist dieses Vorgehen nicht unproblematisch, da so Arbeitnehmerdaten mit Unternehmensdaten vermischt werden.

Outsourcing sowie Digitalisierung und Datenschutz

  • Outsourcing
  • Auftragsdatenverarbeitung: Sobald ein Unternehmen eine natürliche oder juristische Person damit beauftragt personenbezogene Daten für dieses zu verarbeiten, spricht man von einer Auftragsdatenverarbeitung. Hier sind entsprechende Kontrollen, Genehmigungen und Verträge notwendig.
  • Nachweispflicht für die Datenherkunft
  • Cloud-Computing

Datenschutz und Kommunikation

  • Datenschutz im Internet: Hier zählt vor allem eine Klare Kommunikation mit dem Kunden, sowie die Einholung von Einwilligungen.
  • Social Media: Der Einsatz von Social Media im Unternehmen, wie etwa Facebook, Linkedin, Twitter & Co. Wirft einige datenschutzrechtliche Fragen auf.
  • Datenschutz und Telekommunikation
  • Auskunftspflicht: Pflicht zur Herausgabe von Daten, sowie zur Auskunftserteilung über Daten.

E-Commerce

Im E-Commerce kommt, wegen der ausschließlich elektronischen Datenverarbeitung dem Thema Datenschutz eine überragende Rolle zu. Wichtige Themen sind hier:

  • Schutz von Kundendaten
  • Opt-in/Opt-out
  • Bonitätsprüfung
  • Datenweitergabe an Partner

Rechtsanwalt Jan N. Machunsky ist zertifizierter Datenschutzbeauftragter und Ihr Ansprechtpartner in allen Datenschutzrechtlichen Fragen. Er kann in Ihrem unternehmen als externer Datenschutzbeauftragter berufen werden.

Sie benötigen unsere Hilfe oder einen Datenschutzbeauftragten? Schreiben Sie uns.