Schreibtisch mit MacBook

Ab 25. Mai 2018 greift die Datenschutzgrundverordnung (DSGVO), welche einen EU-einheitlichen Rechtsrahmen bildet. Ziel der DSGVO ist der Schutz persönlicher Daten von Kunden und Mitarbeitern. Es ist jetzt höchste Zeit, sich mit der DSGVO auseinanderzusetzen, denn es wird keine Verlängerung der Übergangsfrist der seit Mai 2017 beschlossenen Punkte für Unternehmen geben. Nachfolgend nun die wichtigsten Punkte und Hinweise als eine Art Checkliste Datenschutzgrundverordnung (DSGVO).

01 Datenschutzbeauftragten benennen

Unternehmen müssen unter bestimmten Voraussetzungen einen eigenen Datenschutzbeauftragten benennen. Dies betrifft alle Unternehmen, in denen personenbezogene Daten automatisiert verarbeitet werden. Hierzu gehören u.a. Namen, E-Mail-Adressen, Kontonummern oder Standortdaten von Kunden, Lieferanten, Mitarbeitern und Geschäftspartnern.

Ab wann muss ein Datenschutzbeauftragter benannt werden?

  • Wenn sich mindestens zehn Mitarbeiter regelmäßig mit persönlicher Daten von Kunden und Mitarbeitern beschäftigen
  • Wenn besonders sensible Daten verarbeitet werden oder ein hohes Risiko für Betroffene besteht, falls die Angaben missbraucht werden (ethnischen Herkunft, sexuellen Orientierung, religiösen Überzeugung oder Gesundheitszustand)
  • Wenn das Unternehmen personenbezogene Daten an Dritte übermittelt, beispielsweise bei Verwendung von Social-Share-Plugins, Google-AnalyticsSlack, Jira oder Cloud-Anbietern wie Dropbox, iCloud, Google Drive

Welche Aufgabe hat der Datenschutzbeauftragte?

Der Datenschutzbeauftragten soll das Unternehmen nicht nur in Sachen Datenschutz beraten, sondern auch diesen überwachen. Zudem sensibilisiert und schult er andere Mitarbeiter u.a. im Umgang mit Passwörtern oder der mobilen Arbeit und dem damit verbunden Schutz persönlicher Daten. Im Falle einer Beschwerde durch die Datenschutzbehörde oder durch einen Kunden ist er direkter Ansprechpartner zur Klärung des Sachverhalts. Muss das Unternehmen eine Datenschutz-Folgenabschätzung – eine Risikobewertung im Umgang mit Daten oder zum Zwecke der Datenverarbeitung – durchführen, überwacht der Datenschutzbeauftragte diese und berät die Verantwortlichen.

Was muss ich tun?

Bei Unternehmen die keinen Datenschutzbeauftragten bestellen müssen, kann der Geschäftsführer selbst den Datenschutz übernehmen. Unternehmen welche gezwungen sind einen Datenschutzbeauftragten zu benennen, müssen die Kontaktdaten (Telefonnummer oder E-Mail) des Datenschutzbeauftragten bereitstellen und in geeigneter Form veröffentlichen.

02 Anlegen eines Verzeichnisses zur Verarbeitungstätigkeit

Jedes Unternehmen ist verpflichtet ein Verzeichnis der Verarbeitungstätigkeiten anzulegen. Dafür reicht eine simple Tabelle. Hier müssen geklärt erfasst werden, wann, wie und warum im Unternehmen Daten erhoben werden, dies gilt sowohl für Kunden- als auch Mitarbeiterdaten.

Welche Punkte müssen erfasst werden?

  • Verantwortliche(r) Mitarbeiter
  • Zweck der Datenerhebung
  • Betroffener Personenkreis
  • Zugriffsberechtigte der übermittelten Daten
  • Datenkategorie bzw. Art der Daten welche erfasst werden
  • Erfassen der Übermittlung an Dritte
  • Festhalten der Löschfrist der Daten
  • Rechtsgrundlage nach DSGVO
  • Einwilligungsprozedere zur Datenverarbeitung und Informationsweitergabe zum Ablauf und Art der Datenverarbeitung
  • Weg bzw. Ablaufprozess der Datenverarbeitung – Vom Erstkontakt bis hin zur eigentlichen Nutzung

EXCEL-Mustervorlage „Verzeichnisses zur Verarbeitungstätigkeit“

03 Prozesse der Datenverarbeitung in einem Prozesshandbuch festschreiben

Es ist nach DSGVO notwendig alle Prozesse der Datenverarbeitung zu dokumentierten und bestenfalls zu optimieren. Ziel ist es betriebsinterne Strukturen aufzubauen, die es ermöglichen, Datenpannen zu verhindern, schnellstmöglich zu beheben und zu melden. So sollte Prozesse zur Verarbeitung geklärt und schriftlich in einem Prozesshandbuch fixiert werden.

Was muss im Prozesshandbuch zusammengefasst werden?

  • Wie werden Kunden oder Mitarbeiter über die Verarbeitung ihrer Daten informiert?
  • Welche Informationen dürfen Mitarbeiter an Kunden hinsichtlich der Datenverarbeitung weitergeben?
  • Welcher Ablauf zur Datenlöschung besteht und welche Person ist für die Löschung verantwortlich?
  • Welche Prozesse bestehen bei erkennen eines Datenlecks und wie wird die zuständige Landesdatenschutzbehörde informiert (ACHTUNG: Meldepflicht innerhalb von 72 Stunden nachdem die Verletzung bekannt wurde). Ein Datenleck besteht beispielsweise nicht nur bei erfolgreichem Hackerangriff, sondern auch bei Verlust eines unverschlüsselten USB-Sticks mit personenbezogenen Daten
  • Wie ist der Löschprozess nach Ablauf der rechtlich geltenden Fristen organisiert?
  • Wie werden Mitarbeiter geschult, damit diese Prozesse befolgen können?

04 Datenschutz-Folgeabschätzung durchführen

Wer mit besonders sensiblen Daten arbeitet muss besonders umsichtig mit diesen persönlichen Angaben umgehen und wenn nötig eine Datenschutz-Folgeabschätzung durchführen. Die neue DSGVO verpflichtet alle künftigen Datenverarbeitungsvorgänge darauf zu prüfen, ob ein hohes Risiko für den betreffenden Personenkreis besteht. Dies gilt besonders, wenn mittels der erhobenen Daten eine Kategorisierung oder der Identifizierung der Person möglich ist, beispielsweise über Daten zur ethnischen Herkunft, sexuellen Orientierung, religiösen Überzeugung oder dem Gesundheitszustand.

Was ist das Ziel der Datenschutz-Folgeabschätzung?

Ziel der Datenschutz-Folgeabschätzung ist die Risikobewertung für eine Verletzung von Persönlichkeitsrechte und der daraus resultierenden Schutzmaßnahmen, welche zur Wahrung getroffen werden müssen.

Was beinhaltet die Datenschutz-Folgeabschätzung?

  • Beschreibung des Datenverarbeitungsvorgangs um den es sich handelt
  • Begründung des Zwecks und dem berechtigten Interesse zur Datenverarbeitung
  • Beschreibung eventuell bestehender Risiken für den betroffenen Personenkreis
  • Festlegung technischer und organisatorischer Maßnahmen und Kontrollmechanismen zum Schutz der Daten
  • Dokumentation der Prozesse bei unerlaubten Zugriff auf die Daten

05 Dokumentation Ihrer Anstrengungen zur Wahrung der DSGVO-Bestimmungen

Unternehmen sollten ihre Anstrengungen zur Einhaltung der DSGVO möglichst genau dokumentierten, sodass bei ungewolltem Verstoß einer Vorgabe, die Chance auf ein „blaues Auge“ besteht und kein Bußgeld gezahlt werden muss.

Was sollte ich alles dokumentierten?

Generell gilt, dass Sie lieber zu viel als zu wenig erfassen sollten. Zu den unternehmerischen Anstrengungen zur Einhaltung der DSGVO können u.a. Teilnahmen an Seminaren zum Datenschutz erfasst werden, Art und Einrichtungszeitpunkt technische Schutzmaßnahmen wie einer Firewall und Dienstleisterverträge.

06 Anpassung bestehender Datenschutzhinweise, Datenschutzerklärungen und Einwilligungserklärungen

Die neue Datenschutzgrundverordnung hebt hierbei den bisher geltenden Datenschutz für Unternehmen auf eine neue Ebene. Bestehende Datenschutzhinweise, Datenschutzerklärungen und Einwilligungserklärungen müssen an die neuen Vorgaben der DSGVO angepasst und entsprechend der eigenen Prozesse umformuliert werden. Das bedeutet, dass Datenschutzbelehrungen nicht von anderen Unternehmen einfach kopiert werden können, sondern exakt die Vorgänge Ihres Unternehmens widerspiegeln müssen.

Weitere Artikel zum Thema DSGVO

Hier finden Sie unsere Artikel zum Thema Datenschutzgrundverordnung (DSGVO). Unsere Artikelliste wird kontinierlich fortgesetzt.

Bildquelle: © Markus Spiske | MacBook timepiece - unsplash.com

 

 

Dieser Artikel erhebt keinen Anspruch auf Richtigkeit und Vollständigkeit. Wir möchten darauf hinweisen, dass wir keine Rechtsberatung vornehmen. Wir möchten einzig unsere Eindrücke zu dem Sachverhalt schildern und Sie auf etwaige Entwicklungen hinweisen.

Redaktion, 17.04.2018