Kontakt

DSGVO

Verantwortlichkeit

Es muss eine Person bestimmt werden, die die Einhaltung und Umsetzung der DSGVO koordiniert und überwacht. Hierzu kann ein Datenschutzbeauftragter (DSB) benannt werden, wenn dieser nicht ohnehin gesetzlich vorgeschrieben ist. Wird ein DSB benannt, muss dieser der zuständigen Aufsichtsbehörde gemeldet werden. Es sollte außerdem ein interner Datenschutzkoordinator benannt werden, der zwischen dem Datenschutzbeauftragten und den internen Abteilungen und der Geschäftsleitung vermittelt.

Die zuständige Person muss den Beschäftigten bekannt gegeben werden. Beschäftigte können sich nun direkt an den Datenschutzverantwortlichen oder den DSB wenden.

Die Gesamtverantwortung verbleibt stets bei der Geschäftsleitung.

Kernprozesse der DSGVO

Verarbeitungsverzeichnis

Zunächst sollten alle Prozesse identifiziert werden, bei denen personenbezogene Daten verarbeitet werden, das sog. Verzeichnis der Verarbeitungstätigkeiten. Hierbei müssen folgende Fragen geklärt werden:

  • Welche Verarbeitungen betrifft das? (z.B. Personalverwaltung, Bewerbermanagement, Internetseite, Datenbanken, etc.)
  • Was ist der Zweck der Verarbeitung?
  • Welche Personengruppen sind von der Verarbeitung betroffen?
  • Welche Datenarten werden verarbeitet? Werden sensible Daten (z.B. Gesundheitsdaten, Daten von Minderjährigen) verarbeitet?
  • Müssen die betroffenen Personen über die Verarbeitung gesondert, informiert werden?
  • Werden Daten an Dritte (z.B. Dienstleister, Behörden, Tochterunternehmen) übermittelt?
  • Zu welchem Zweck werden die Daten übermittelt?
  • Werden Daten in Drittländer (nicht EWR-Staaten) übermittelt?
  • Auf welcher Rechtsgrundlage werden die pers.bez. Daten verarbeitet?
  • Besteht durch die Verarbeitung voraussichtlich ein hohes Risiko für die betroffenen Personen?

Beschäftigte

Alle Personen, die personenbezogene Daten verarbeiten müssen auf die Vertraulichkeit und das Datengeheimnis verpflichtet sein. Es ist unumgänglich diese Personen zum Umgang mit personenbezogenen Daten und den wichtigsten gesetzlichen Regelungen – regelmäßig – zu unterweisen.

Dies ist eine wichtige organisatorische Maßnahme zur Sicherstellung der rechtskonformen Datenverarbeitung.

Betroffene Personen

Im Verarbeitungsverzeichnis wurden alle, von der Datenverarbeitung betroffenen Personengruppen identifiziert. Dies können neben den Beschäftigten selbst, auch Auftraggeber, Kunden, Lieferanten sein.

Datenschutzrichtlinie

Der Geschäftsleitung und den Beschäftigten müssen alle relevanten gesetzlichen Bestimmungen zum Datenschutz bekannt sein, damit diese in der Praxis umgesetzt werden können.

Die Geschäftsleitung muss jederzeit nachweisen können, ob und wie diese Bestimmungen im Unternehmen umgesetzt sind.

Zu diesem Zweck muss eine Datenschutzrichtlinie bzw. ein schlüssiges Datenschutzkonzept vorliegen.

Das Datenschutzkonzept wird durch die Geschäftsleitung, die Fachabteilungen und den DSB kontinuierlich weiterentwickelt.

Die TOM’s

technische und organisatorische Maßnahmen

Durch geeignete organisatorische Maßnahmen wie Unterweisungen, Dienstanweisungen, Richtlinien, Betriebsvereinbarungen usw. und technische Vorkehrungen wie Passwortschutz, Zugangsbeschränkungen, soll eine sichere Datenverarbeitung gewährleistet werden.

Je nach Art der verarbeiteten Daten können verschiedene Maßnahmen als ausreichend und sinnvoll angesehen werden. Um konkrete Maßnahmen bestimmen zu können muss für jede Verarbeitung eine Einschätzung des Risikos (Schwellenwertanalyse) durchgeführt werden. Danach werden vorhandene Maßnahmen geprüft und bewertet und ggf. weitere Maßnahmen ergriffen bzw. festgelegt.

Auftragsverarbeitung

Wird ein Dienstleister mit der Verarbeitung von pbz. Daten beauftragt, so handelt es sich im Sinne der DSGVO um eine Auftragsverarbeitung. Mit solchen Dienstleistern muss ein Vertrag geschlossen werden, der den Anforderungen des Art. 28 DSGVO entspricht.

Hierzu erstellt man eine Aufstellung aller Dienstleister, die dies betreffen kann, um im Anschluss die Notwendigkeit eines AV-Vertrages prüfen zu können oder vorhandene Verträge zu sichten und zu prüfen.

Selbstverständlich muss zu jeder Zeit die Zuverlässigkeit des Auftragsverarbeiters (AV) sichergestellt sein. D.h. auch der AV muss alle rechtlichen Vorschriften einhalten. Die Zuverlässigkeit muss regelmäßig überprüft werden.

Die Verantwortung für die Auswahl zuverlässiger Dienstleister liegt stets bei der Geschäftsleitung.

Informationspflicht

Sollen Daten von einer natürlichen Person verarbeitet werden, muss die Person hierüber informiert werden. Die Information muss (bis auf wenige Ausnahmen) vor, spätestens mit Beginn der Datenverarbeitung erfolgen.

Die Informationspflicht gilt zum Beispiel für Beschäftigte, Kunden, Beschäftigte von Kunden und Geschäftspartnern.

Es gibt verschiedene Möglichkeiten, die Informationspflicht umzusetzen. Den Beschäftigten kann z.B. bei Einstellung ein entsprechendes Informationsblatt ausgehändigt werden. Besucher der Webseite werden über die vorgeschriebene Datenschutzerklärung informiert. Weitere Informationen können als PDF auf der Webseite oder im Intranet bereitgestellt werden.

Es ist wichtig, dass jederzeit nachweisbar ist, dass und wie man betroffene Personen informiert.

Auskunftspflicht

Jede natürliche Person hat das Recht Auskunft darüber zu erhalten welche Daten über sie verarbeitet werden. Ihr Unternehmen muss diese Auskunft innerhalb eines Monats erteilen, sonst droht ein empfindliches Bußgeld oder eine Schadensersatzklage.

Die Auskunft muss über den Zweck der Datenverarbeitung, die Art der Daten (z.B. Kontaktdaten, Bankinformationen, Gesundheitsdaten usw.) die Quelle der Informationen, die Rechtsgrundlage, die Weitergabe an Dritte und die Dauer der Speicherung erfolgen.

Es ist wichtig vor einer Auskunft an eine Person deren Identität sicher festzustellen, um missbräuchliche Auskünfte zu verhindern. Auch muss festgelegt werden, wer im Unternehmen Auskünfte erteilen darf und solche Anfragen bearbeitet, damit alle Fristen und sonstige Vorschriften sicher eingehalten werden können.

In einer Richtlinie sollte der Prozess genau beschrieben werden, wie Auskünfte erteilt werden.

Datenpannen und Sicherheitsvorfälle

Kommt es zu einer Datenpanne ist schnelles Handeln gefragt.

Nicht immer geht es hierbei um Hackerangriffe oder den Diebstahl von Unternehmensdaten durch Beschäftigte. Eine Datenpanne kann zum Beispiel die versehentliche Übermittlung von Daten an unbefugte Dritte (Mailverteiler) sein oder der Verlust von Daten durch einen technischen Defekt.

Kommt es zu einer Datenpanne, muss diese in der Regel binnen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, sonst drohen empfindliche Bußgelder.

In einer Richtlinie sollte konkret beschrieben werden, wie sich Beschäftigte im Fall eines Datenschutzvorfalles zu verhalten haben. Was ist zu tun? Wer führt die Meldung an die Aufsichtsbehörde durch? Müssen betroffene Personen informiert werden?

Im schlimmsten Fall beschweren sich Betroffene bei der Aufsichtsbehörde (z.B. dem Landesdatenschutzbeauftragten). Liegt dann keine Meldung ihres Unternehmens über den Vorfall vor, wird dies in der Regel mit einem Bußgeld geahndet.

Risikoeinschätzung

Soll eine neue Software oder sonstige Datenverarbeitung (z.B. CMS, App, Webseite, Clouddienste) eingeführt werden, muss der Datenschutz von Anfang an berücksichtigt werden.

Ihr Unternehmen ist verpflichtet zu dokumentieren, wie der Schutz der personenbezogenen Daten bei der Entscheidung z.B. für eine Software berücksichtigt wurde.

Hier kann der Datenschutzbeauftragte gute Beratung leisten.

Hält das neue Produkt alle datenschutzrechtlichen Anforderungen ein? Ist die Software in der Lage den Schutz der Daten sicherzustellen? Können die Daten datenschutzkonform gelöscht werden? Werden die Daten womöglich in nicht sicheren Drittländern verarbeitet (Serverstandort in den USA, China, Russland)?

Der Datenschutzbeauftragte wird in einer Risikoanalyse prüfen, welche Risiken für die betroffenen Personen bei der Datenverarbeitung bestehen und entsprechende technische und organisatorische Maßnahmen ableiten, um diese Risiken zu minimieren.

Datenschutzkonforme Löschung

Es besteht eine Pflicht zur Datenlöschung, wenn diese nicht mehr benötigt werden.

Entfällt der Zweck, zu dem personenbezogene Daten erhoben wurden, müssen diese Daten umgehend gelöscht werden. Die gesetzlichen Aufbewahrungsfristen sind hierbei einzuhalten.

Hierzu wird zunächst eine Übersicht der einschlägigen Aufbewahrungs- und Löschfristen benötigt.

Es muss eine Übersicht geben, mit welchen Programmen und Geräten personenbezogene Daten im Unternehmen verarbeitet werden.

Webdesign ErfurtWebdesign & WerbeagenturReinigungsfirma ErfurtImmobilienbewertungReinigung & DesinfektionFinanzberatung ApoldaRestaurant NordhausenSchimmel GutachterHauskaufberatungFriseur SondershausenHausverwaltung SondershausenKonstantin GabrielKundentermine vereinbarenZielgruppe definierenPullman CityModellbahn Wiehe3D SchillingHotel NordhausenFacereading onlineLager, Garagen und StellplätzeMentaltrainingFinanzmaklerHNO Arzt ErfurtOffroad TourenAutomatisierung für den MittelstandMitarbeiter BenefitsBusinessfotograf ErfurtGodlike
Navigation
Servicegebiet
Datenschutzbeauftragter Altenburg
Datenschutzbeauftragter Annaberg-Buchholz
Datenschutzbeauftragter Apolda
Datenschutzbeauftragter Arnstadt
Datenschutzbeauftragter Aschersleben
Datenschutzbeauftragter Aue
Datenschutzbeauftragter Bautzen
Datenschutzbeauftragter Bernburg
Datenschutzbeauftragter Burg
Datenschutzbeauftragter Chemnitz
Datenschutzbeauftragter Coswig
Datenschutzbeauftragter Delitzsch
Datenschutzbeauftragter Dessau-Roßlau
Datenschutzbeauftragter Dresden
Datenschutzbeauftragter Eisenach
Datenschutzbeauftragter Eisleben
Datenschutzbeauftragter Erfurt
Datenschutzbeauftragter Freiberg
Datenschutzbeauftragter Freital
Datenschutzbeauftragter Gardelegen
Datenschutzbeauftragter Gera
Datenschutzbeauftragter Görlitz
Datenschutzbeauftragter Gößnitz
Datenschutzbeauftragter Gotha
Datenschutzbeauftragter Greiz
Datenschutzbeauftragter Halberstadt
Datenschutzbeauftragter Halle (Saale)
Datenschutzbeauftragter Hoyerswerda
Datenschutzbeauftragter Ilmenau
Datenschutzbeauftragter Jena
Datenschutzbeauftragter Leipzig
Datenschutzbeauftragter Limbach-Oberfrohna
Datenschutzbeauftragter Magdeburg
Datenschutzbeauftragter Meiningen
Datenschutzbeauftragter Meißen
Datenschutzbeauftragter Merseburg
Datenschutzbeauftragter Mühlhausen
Datenschutzbeauftragter Naumburg (Saale)
Datenschutzbeauftragter Nordhausen
Datenschutzbeauftragter Pirna
Datenschutzbeauftragter Plauen
Datenschutzbeauftragter Quedlinburg
Datenschutzbeauftragter Riesa
Datenschutzbeauftragter Rudolstadt
Datenschutzbeauftragter Saalfeld
Datenschutzbeauftragter Salzwedel
Datenschutzbeauftragter Sangerhausen
Datenschutzbeauftragter Schmalkalden
Datenschutzbeauftragter Schönebeck
Datenschutzbeauftragter Sondershausen
Datenschutzbeauftragter Sonneberg
Datenschutzbeauftragter Staßfurt
Datenschutzbeauftragter Stendal
Datenschutzbeauftragter Suhl
Datenschutzbeauftragter Weimar
Datenschutzbeauftragter Weißenfels
Datenschutzbeauftragter Wittenberg
Datenschutzbeauftragter Zeitz
Datenschutzbeauftragter Zittau
Datenschutzbeauftragter Zwickau

© 2024 ad hoc datenschutz – Alle Rechte vorbehalten