ad hoc datenschutz
Kontakt

Leitfaden für DSGVO-Konformität in Unternehmen

Die DSGVO (Datenschutz-Grundverordnung) ist ein zentraler Bestandteil des europäischen Datenschutzrechts und stellt hohe Anforderungen an Unternehmen. Sie regelt den Schutz personenbezogener Daten und verlangt von Unternehmen, diese sicher und transparent zu verarbeiten. Eine korrekte Umsetzung der DSGVO schützt nicht nur vor rechtlichen Konsequenzen, sondern stärkt auch das Vertrauen der Kunden. Erfahren Sie in unserem Leitfaden, wie Ihr Unternehmen DSGVO-konform agieren kann und welche Maßnahmen zur Einhaltung erforderlich sind.

Verantwortlichkeit

Es muss eine Person benannt werden, die die Einhaltung der DSGVO koordiniert und überwacht. Dies kann ein Datenschutzbeauftragter (DSB) sein, sofern er nicht ohnehin gesetzlich vorgeschrieben ist. Wenn ein DSB benannt wird, muss dieser der zuständigen Aufsichtsbehörde gemeldet werden. Zusätzlich sollte ein interner Datenschutzkoordinator als Bindeglied zwischen dem DSB und den internen Abteilungen fungieren. Die verantwortliche Person muss den Beschäftigten bekannt sein, damit sie sich bei DSGVO-Fragen direkt an den Datenschutzverantwortlichen wenden können. Die Geschäftsleitung trägt die Gesamtverantwortung.

DSGVO Verantwortlichkeiten

Kernprozesse der DSGVO

Verzeichnis der Verarbeitungstätigkeiten

Zunächst sollten alle Prozesse identifiziert werden, bei denen personenbezogene Daten gemäß der DSGVO verarbeitet werden, das sog. Verzeichnis der Verarbeitungstätigkeiten. Hierbei müssen folgende Fragen zur DSGVO-Konformität geklärt werden:

  • Welche Verarbeitungen betrifft das? (z.B. Personalverwaltung, Bewerbermanagement, Internetseite, Datenbanken, etc.)
  • Was ist der Zweck der Verarbeitung?
  • Welche Personengruppen sind von der Verarbeitung betroffen?
  • Welche Datenarten werden verarbeitet? Werden sensible Daten (z.B. Gesundheitsdaten, Daten von Minderjährigen) verarbeitet?
  • Müssen die betroffenen Personen über die Verarbeitung gesondert, informiert werden?
  • Werden Daten an Dritte (z.B. Dienstleister, Behörden, Tochterunternehmen) übermittelt?
  • Zu welchem Zweck werden die Daten übermittelt?
  • Werden Daten in Drittländer (nicht EWR-Staaten) übermittelt?
  • Auf welcher Rechtsgrundlage werden die pers.bez. Daten verarbeitet?
  • Besteht durch die Verarbeitung voraussichtlich ein hohes Risiko für die betroffenen Personen?

Beschäftigte

Alle Personen, die personenbezogene Daten im Rahmen der DSGVO verarbeiten, müssen zur Vertraulichkeit und zum Datengeheimnis verpflichtet werden. Es ist unerlässlich, diese Personen regelmäßig zum Umgang mit personenbezogenen Daten und den relevanten DSGVO-Bestimmungen zu schulen. Diese Schulungen sind eine zentrale organisatorische Maßnahme, um eine rechtskonforme Datenverarbeitung gemäß der DSGVO sicherzustellen.

DSGVO für Beschäftigte

Betroffene Personen

Im Verarbeitungsverzeichnis wurden alle, von der Datenverarbeitung im Rahmen der DSGVO betroffenen Personengruppen identifiziert. Dies können neben den Beschäftigten selbst, auch Auftraggeber, Kunden, Lieferanten sein.

DSGVO für Betroffene

Datenschutzrichtlinie

Der Geschäftsleitung und den Beschäftigten müssen alle relevanten gesetzlichen Bestimmungen zum Datenschutz gemäß DSGVO bekannt sein, damit diese in der Praxis umgesetzt werden können. Die Geschäftsleitung muss jederzeit nachweisen können, ob und wie die DSGVO-Bestimmungen im Unternehmen umgesetzt sind. Zu diesem Zweck muss eine Datenschutzrichtlinie bzw. ein schlüssiges Datenschutzkonzept vorliegen. Das Datenschutzkonzept wird durch die Geschäftsleitung, die Fachabteilungen und den DSB kontinuierlich im Rahmen der DSGVO weiterentwickelt.

Datenschutzrichtlinien laut DSGVO

Die TOM’s

technische und organisatorische Maßnahmen

Durch organisatorische Maßnahmen wie Schulungen, Dienstanweisungen und Richtlinien sowie technische Vorkehrungen wie Passwortschutz und Zugangsbeschränkungen soll die DSGVO-konforme Datenverarbeitung sichergestellt werden. Abhängig von der Art der verarbeiteten Daten sind unterschiedliche Maßnahmen erforderlich. Zur Festlegung der geeigneten Maßnahmen wird für jede Verarbeitung eine Risikoeinschätzung gemäß der DSGVO durchgeführt. Bestehende Maßnahmen werden geprüft und bei Bedarf angepasst, um die Einhaltung der DSGVO sicherzustellen.

Technische und organisatorische Maßnahmen laut DSGVO

Auftragsverarbeitung

Wird ein Dienstleister mit der Verarbeitung von pbz. Daten beauftragt, so handelt es sich im Sinne der DSGVO um eine Auftragsverarbeitung. Mit solchen Dienstleistern muss ein Vertrag geschlossen werden, der den Anforderungen des Art. 28 DSGVO entspricht.

Hierzu erstellt man eine Aufstellung aller Dienstleister, die dies betreffen kann, um im Anschluss die Notwendigkeit eines AV-Vertrages prüfen zu können oder vorhandene Verträge zu sichten und zu prüfen.

Selbstverständlich muss zu jeder Zeit die Zuverlässigkeit des Auftragsverarbeiters (AV) sichergestellt sein. D.h. auch der AV muss alle rechtlichen Vorschriften einhalten. Die Zuverlässigkeit muss regelmäßig überprüft werden.

Die Verantwortung für die Auswahl zuverlässiger Dienstleister liegt stets bei der Geschäftsleitung.

Auftragsverarbeitung gemäß DSGVO

Informationspflicht

Wenn personenbezogene Daten verarbeitet werden sollen, muss die betroffene Person gemäß der DSGVO informiert werden. Diese Information muss vor oder spätestens zu Beginn der Datenverarbeitung erfolgen. Die Informationspflicht der DSGVO gilt für Beschäftigte, Kunden und Geschäftspartner. Die Umsetzung kann durch Informationsblätter bei der Einstellung, Datenschutzerklärungen auf der Webseite oder durch PDFs im Intranet erfolgen. Es ist wichtig, jederzeit nachweisbar zu machen, dass und wie die betroffenen Personen über die DSGVO-konforme Datenverarbeitung informiert wurden.

Informationspflicht gemäß DSGVO

Auskunftspflicht

Jede natürliche Person hat gemäß der DSGVO das Recht, Auskunft über die Verarbeitung ihrer Daten zu erhalten. Unternehmen müssen diese Auskunft innerhalb eines Monats erteilen, andernfalls drohen Bußgelder oder Schadensersatzklagen. Die Auskunft muss Informationen über den Zweck, die Art der Daten, deren Quelle, Rechtsgrundlage, Weitergabe an Dritte und die Speicherdauer umfassen. Vor Erteilung muss die Identität der anfragenden Person geprüft werden. Zudem sollte klar festgelegt werden, wer im Unternehmen DSGVO-konforme Auskünfte erteilen darf.

Auskunftspflicht gemäß DSGVO

Datenpannen und Sicherheitsvorfälle

Kommt es zu einer Datenpanne, ist gemäß der DSGVO schnelles Handeln erforderlich.

Nicht immer geht es hierbei um Hackerangriffe oder den Diebstahl von Unternehmensdaten durch Beschäftigte. Eine Datenpanne kann zum Beispiel die versehentliche Übermittlung von Daten an unbefugte Dritte (Mailverteiler) sein oder der Verlust von Daten durch einen technischen Defekt.

Kommt es zu einer Datenpanne, muss diese in der Regel binnen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, sonst drohen empfindliche Bußgelder.

In einer Richtlinie sollte konkret beschrieben werden, wie sich Beschäftigte im Fall eines Datenschutzvorfalles zu verhalten haben. Was ist zu tun? Wer führt die Meldung an die Aufsichtsbehörde durch? Müssen betroffene Personen informiert werden?

Im schlimmsten Fall beschweren sich Betroffene bei der Aufsichtsbehörde (z.B. dem Landesdatenschutzbeauftragten). Liegt dann keine Meldung ihres Unternehmens über den Vorfall vor, wird dies in der Regel mit einem Bußgeld geahndet.

DSGVO Datenpannen

Risikoeinschätzung

Soll eine neue Software oder sonstige Datenverarbeitung (z.B. CMS, App, Webseite, Clouddienste) eingeführt werden, muss der DSGVO-konforme Datenschutz von Anfang an berücksichtigt werden.

Ihr Unternehmen ist verpflichtet zu dokumentieren, wie der Schutz der personenbezogenen Daten bei der Entscheidung z.B. für eine Software berücksichtigt wurde.

Hier kann der Datenschutzbeauftragte gute Beratung leisten.

Hält das neue Produkt alle datenschutzrechtlichen Anforderungen ein? Ist die Software in der Lage den Schutz der Daten sicherzustellen? Können die Daten datenschutzkonform gelöscht werden? Werden die Daten womöglich in nicht sicheren Drittländern verarbeitet (Serverstandort in den USA, China, Russland)?

Der Datenschutzbeauftragte wird in einer Risikoanalyse prüfen, ob das Produkt alle DSGVO-Anforderungen erfüllt, welche Risiken für die betroffenen Personen bei der Datenverarbeitung bestehen und entsprechende technische und organisatorische Maßnahmen ableiten, um diese Risiken zu minimieren.

Risikoeinschätzung gemäß DSGVO

DSGVO-konforme Löschung

Es besteht laut DSGVO eine Pflicht zur Datenlöschung, wenn diese nicht mehr benötigt werden.

Entfällt der Zweck, zu dem personenbezogene Daten erhoben wurden, müssen diese Daten umgehend gelöscht werden. Die gesetzlichen Aufbewahrungsfristen der DSGVO sind hierbei einzuhalten.

Hierzu wird zunächst eine Übersicht der einschlägigen Aufbewahrungs- und Löschfristen benötigt.

Es muss eine Übersicht geben, mit welchen Programmen und Geräten personenbezogene Daten im Unternehmen verarbeitet werden.

DSGVO-konforme Löschung
Navigation
Servicegebiet

Datenschutzbeauftragter Altenburg

Datenschutzbeauftragter Annaberg-Buchholz

Datenschutzbeauftragter Apolda

Datenschutzbeauftragter Arnstadt

Datenschutzbeauftragter Aschersleben

Datenschutzbeauftragter Aue

Datenschutzbeauftragter Bautzen

Datenschutzbeauftragter Bernburg

Datenschutzbeauftragter Burg

Datenschutzbeauftragter Chemnitz

Datenschutzbeauftragter Coswig

Datenschutzbeauftragter Delitzsch

Datenschutzbeauftragter Dessau-Roßlau

Datenschutzbeauftragter Dresden

Datenschutzbeauftragter Eisenach

Datenschutzbeauftragter Eisleben

Datenschutzbeauftragter Erfurt

Datenschutzbeauftragter Freiberg

Datenschutzbeauftragter Freital

Datenschutzbeauftragter Gardelegen

Datenschutzbeauftragter Gera

Datenschutzbeauftragter Görlitz

Datenschutzbeauftragter Gößnitz

Datenschutzbeauftragter Gotha

Datenschutzbeauftragter Greiz

Datenschutzbeauftragter Halberstadt

Datenschutzbeauftragter Halle (Saale)

Datenschutzbeauftragter Hoyerswerda

Datenschutzbeauftragter Ilmenau

Datenschutzbeauftragter Jena

Datenschutzbeauftragter Leipzig

Datenschutzbeauftragter Limbach-Oberfrohna

Datenschutzbeauftragter Magdeburg

Datenschutzbeauftragter Meiningen

Datenschutzbeauftragter Meißen

Datenschutzbeauftragter Merseburg

Datenschutzbeauftragter Mühlhausen

Datenschutzbeauftragter Naumburg (Saale)

Datenschutzbeauftragter Nordhausen

Datenschutzbeauftragter Pirna

Datenschutzbeauftragter Plauen

Datenschutzbeauftragter Quedlinburg

Datenschutzbeauftragter Riesa

Datenschutzbeauftragter Rudolstadt

Datenschutzbeauftragter Saalfeld

Datenschutzbeauftragter Salzwedel

Datenschutzbeauftragter Sangerhausen

Datenschutzbeauftragter Schmalkalden

Datenschutzbeauftragter Schönebeck

Datenschutzbeauftragter Sondershausen

Datenschutzbeauftragter Sonneberg

Datenschutzbeauftragter Staßfurt

Datenschutzbeauftragter Stendal

Datenschutzbeauftragter Suhl

Datenschutzbeauftragter Weimar

Datenschutzbeauftragter Weißenfels

Datenschutzbeauftragter Wittenberg

Datenschutzbeauftragter Zeitz

Datenschutzbeauftragter Zittau

Datenschutzbeauftragter Zwickau

© 2024 ad hoc datenschutz – Alle Rechte vorbehalten