Data Protection

Die europäische Datenschutz – Grundverordnung (EU-DSGVO) ist seit dem 25. Mai 2018 in Kraft und viele Unternehmen sind noch damit beschäftigt, sie umzusetzen. Welche Pflichten haben Unternehmen? Was genau muss ich tun, um gesetzeskonform zu sein? Was muss ich tun, um Strafen zu vermeiden?

Die Datenschutzbehörden haben ihr Personal signifikant aufgestockt, Prüfungen sind im Gange und es gibt bereits einige Urteile des europäischen Gerichtshofs (EUGH) und verschiedener Landesbehörden. Auch empfindliche Bußgelder sind bereits verhängt worden. Die gesetzlich vorgesehenen Strafen erreichen eine Höhe, die kein Unternehmen aus der Portokasse zahlen kann. Das Bundesdatenschutzgesetz (BDSG) sieht sogar in schweren Fällen Haftstrafen für Verantwortliche vor.

Wir unterstützen sie konkret und pragmatisch dabei die Richtlinien zu Data Protection umzusetzen. Dabei stimmen wir das Vorgehen auf ihre spezielle Ausgangssituation ab und definieren gemeinsam den besten Weg für ihr Unternehmen.

Grundsätze der DSGVO

Artikel 5 der EU-DSGVO definiert Grundsätze für die Verarbeitung personenbezogener Daten. Damit bilden diese Regeln die Grundlage für Data Protection / Datenschutz.

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: personenbezogene Daten müssen also auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden
  • Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden
  • Datenminimierung: die erhobenen Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein
  • Richtigkeit: personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden
  • Speicherbegrenzung: die Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist
  • Integrität und Vertraulichkeit: als Verantwortlicher müssen Sie geeignete technische und organisatorische Maßnahmen ergreifen, die Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung bieten. Denn erhobenen Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet
  • Rechenschaftspflicht: Der Verantwortliche ist für die Einhaltung dieser Grundsätze verantwortlich und muss die Einhaltung nachweisen können

Betroffenenrechte

Kapitel 3 der EU-DSGVO beschreibt die Rechte, die ein Betroffener im Hinblick auf die Erhebung und Verarbeitung seiner personenbezogenen Daten hat. Diese Rechte bilden auf der anderen Seite die Grundlage für die Pflichten eines Unternehmens, da es sie gewährleisten muss.

  • Informationspflicht (Art. 13 & 14): Diese Artikel definieren welche Informationen der betroffenen Person wann zur Verfügung gestellt werden müssen
  • Auskunftsrecht (Art. 15): Eine betroffene Person hat das Recht vom Verantwortlichen eine Auskunft über ihre personenbezogenen Daten und zusätzliche Informationen zu erhalten
  • Recht auf Berichtigung (Art. 16): Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen
  • Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17): Eine betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen. Dies gilt zum Beispiel, wenn personenbezogene Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind
  • Recht auf Einschränkung der Verarbeitung (Art. 18): eine betroffene Person hat unter bestimmten Voraussetzungen das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen
  • Recht auf Datenübertragbarkeit (Art. 20): die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen zu übermitteln
  • Widerspruchsrecht (Art. 21): eine betroffene Person hat das Recht, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen

Wichtige Dokumentation in der DSGVO

Unternehmen müssen ihre Aktivitäten im Zuge des Datenschutzes dokumentieren, um Konformität mit der DSGVO herzustellen. Vor allem das Verzeichnis der Verarbeitungstätigkeiten (VVT) steht hier im Vordergrund. Sie müssen aber auch andere Dokumente erstellen.

  • Verzeichnis von Verarbeitungstätigkeiten (Art. 30): Ein VVT basiert auf den Geschäftsprozessen und beschreibt in welcher Art hier personenbezogene Daten verarbeitet werden (Verarbeitungstätigkeiten). Jeder Verantwortliche und auch jeder Auftragsverarbeiter muss ein solches Verzeichnis führen. Es muss unter anderem die Zwecke der Verarbeitung und eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten enthalten.
  • Auftragsverarbeitung (AV) (Art. 28): Wenn Sie personenbezogene Daten im Auftrag verarbeiten lassen, müssen Sie sicherstellen, dass diese gemäß DSGVO verarbeitet werden. Besonders wichtig ist hier, dass der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen so durchführt, dass der Schutz der Rechte der betroffenen Person gewährleistet ist. Als Grundlage der Auftragsverarbeitung schließen die Parteien einen AV Vertrag, der die Pflichten und Rechte beider Parteien regelt.
  • Technische und organisatorische Maßnahmen (TOMs) (Art. 32 DSGVO & Art. 64 BDSG): Der Verantwortliche und der Auftragsverarbeiter haben die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Ziel dieser Maßnamen ist die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und damit den Zugang zu personenbezogenen Daten sicherzustellen.
  • Datenschutzfolgenabschätzung (DSFA) (Art. 35): Der Verantwortliche muss eine Abschätzung der Folgen für den Schutz personenbezogener Daten durchführen. Dies ist der Fall, wenn ein vorgesehener Verarbeitungsvorgang voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Sie müssen eine Datenschutzfolgenabschätzung durchführen bevor eine Verarbeitung eingeführt wird.

Sichtbarkeit der DSGVO nach außen

Als Unternehmen ist es auch wichtig nach außen zu zeigen, dass Sie das Thema Datenschutz und Data Protection ernst nehmen. Deshalb empfehlen wir Ihnen auch folgende Maßnahmen durchzuführen.

  • Datenschutzbeauftragter: Ein Unternehmen muss nicht in allen Fällen einen Datenschutzbeauftragten ernennen. Es dient allerdings immer als Zeichen dafür, dass Datenschutz ein wichtiges Thema ist und die notwendige Aufmerksamkeit erhält. Sie können auch einen externen Datenschutzbeauftragten benennen.
  • Datenschutzerklärung: Sobald Sie eine Webseite betreiben, brauchen Sie auch eine Datenschutzerklärung. Sie beschreibt für alle Webseitenbesucher wie Sie als Unternehmen und wie Ihre Webseite technisch Datenschutz umsetzt. Bestimmte Angaben wie der Verantwortliche, Verarbeitungszweck und Weitergabe von Daten sollten aber auf jeden Fall enthalten sein.
  • Cookie Banner / Consent Banner: Die meisten Webseiten verwenden Cookies. Nach dem Urteil des EuGH vom 01.10.2019 sind klare Vorgaben vorhanden, wie ein Cookie Banner aussehen muss und welche Informationen Sie Ihren Nutzern zur Verfügung stellen müssen.
  • Verpflichtung auf Datenschutz: Stellen Sie sicher, dass auch Ihre Mitarbeiter den Datenschutz befolgen. Insbesondere wenn Ihre Mitarbeiter regelmäßig personenbezogene Daten verarbeiten, sollten Sie eine schriftliche Verpflichtung als Teil des Arbeitsvertrags einführen.
  • Mitarbeiterschulung: Nur wenn Ihre Mitarbeiter über das entsprechende und notwendige Wissen verfügen, können Sie den Datenschutz befolgen und dadurch der Konformität Ihres Unternehmens helfen. Sorgen Sie durch interne oder externe Schulungen dafür.
DSGVO Checkliste

Bei Data Protection und speziell der Umsetzung der DSGVO unterstützen wir Sie gerne u.a. in folgenden Themen:

  • Betroffenenrechte
  • Löschkonzepte
  • ePrivacy
  • Datenschutzerklärungen und Vorgaben für ihre Webseite
  • Verzeichnis der Verarbeitungstätigkeiten (VVT)
  • Auftragsverarbeitung (AV)
  • technische und organisatorische Maßnahmen (TOMs)
  • Mitarbeiterschulungen
  • Datenschutzprozesse

Beschreibung der Leistungen

bimoso Consulting unterstützt Sie bei Data Protection und der Umsetzung der Gesetzesanforderungen der europäischen Datenschutzgrundverordnung. Dabei bieten wir Ihnen verschiedene Möglichkeiten an:

  • Ein komplettes, auf Ihre Unternehmenssituation angepasstes Projekt (Analyse Ihrer spezifischen Ausgangssituation, Ableitung von Maßnahmen und deren Umsetzung)
  • Unterstützung in der Einführung bestimmter Einzelmaßnahmen (z.B. Datenschutzdokumentation, IT-Sicherheitskonzept, Löschkonzept)
  • Beratung hinsichtlich Datenschutz und IT Sicherheit
  • Auditierung bereits getroffener Maßnahmen und Gesetzteskonformität
Datenschutz-Zyklus mit bimoso consulting
Jetzt Kontakt aufnehmen