Die Datenschutz-Grundverordnung (DSGVO) ist seit 2018 ein wichtiger Bestandteil des europäischen Datenschutzrechts. Darin werden der Schutz und Umgang mit personenbezogenen Daten geregelt. Dazu gehört auch, wie Unternehmen diese Daten sicher und transparent verarbeiten müssen. Durch Fehler in der Datenverarbeitung können sich Unternehmen seitdem sehr hohe Strafen einhandeln. Die richtige Umsetzung der DSGVO schützt Sie nicht nur vor rechtlichen Konsequenzen, sondern stärkt auch das Vertrauen Ihrer Kunden, Mitarbeiter und Geschäftspartner in Sie. Im folgenden Leitfaden erfahren Sie, wie Ihr Unternehmen DSGVO-konform agieren kann und welche Maßnahmen zur Einhaltung erforderlich sind.
Es muss in jedem Fall eine Person benannt werden, die die Einhaltung der DSGVO koordiniert und überwacht. Dies kann ein Datenschutzbeauftragter (DSB) sein, sofern er nicht ohnehin gesetzlich vorgeschrieben ist. Wenn ein DSB benannt wird, muss dieser der zuständigen Aufsichtsbehörde gemeldet werden. Zusätzlich sollte ein interner Datenschutzkoordinator als Bindeglied zwischen dem DSB und den internen Abteilungen fungieren. Die verantwortliche Person muss den Beschäftigten bekannt sein, damit sie sich bei DSGVO-Fragen direkt an den Datenschutzverantwortlichen wenden können. Die Geschäftsleitung trägt die Gesamtverantwortung.
So ermitteln Sie zuverlässig Bereiche in Ihrem Unternehmen, die DSGVO-Konformität bedürfen:
Bestimmen Sie zunächst sorgfältig alle Prozesse, bei denen personenbezogene Daten gemäß der DSGVO verarbeitet werden. Mit diesen Daten kann dann das sogenannte „Verzeichnis der Verarbeitungstätigkeiten" erstellt werden, in dem Sie die folgenden Fragen zur DSGVO-Konformität beantworten müssen:
Welche Verarbeitungsbereiche sind dabei involviert? (z.B. Personalverwaltung, Bewerbermanagement, Internetseite, Datenbanken, etc.)
Was ist der genaue Zweck der Verarbeitung?
Welche Personengruppen sind von der Verarbeitung betroffen?
Welche Datenarten werden verarbeitet? Werden sensible Daten (z.B. Gesundheitsdaten, Daten von Minderjährigen) verarbeitet?
Müssen die betroffenen Personen über die Verarbeitung gesondert informiert werden?
Werden Daten an Dritte (z.B. Dienstleister, Behörden, Tochterunternehmen) übermittelt?
Zu welchem Zweck werden die Daten übermittelt?
Werden Daten in Drittländer (nicht EWR-Staaten) übermittelt?
Auf welcher Rechtsgrundlage werden die personenbezogenen Daten verarbeitet?
Besteht durch die Verarbeitung voraussichtlich ein hohes Risiko für die betroffenen Personen?
Alle Personen, die personenbezogene Daten im Rahmen der DSGVO verarbeiten, müssen zur Vertraulichkeit und zum Datengeheimnis verpflichtet werden. Es ist unerlässlich, diese Personen regelmäßig zum Umgang mit personenbezogenen Daten und den relevanten DSGVO-Bestimmungen zu schulen. Diese Schulungen sind eine zentrale organisatorische Maßnahme, um eine rechtskonforme Datenverarbeitung gemäß der DSGVO sicherzustellen.
Im Verarbeitungsverzeichnis wurden alle von der Datenverarbeitung im Rahmen der DSGVO betroffenen Personengruppen identifiziert. Dies können neben den Beschäftigten selbst auch Auftraggeber, Kunden und Lieferanten sein.
Der Geschäftsleitung und den Beschäftigten müssen alle relevanten gesetzlichen Bestimmungen zum Datenschutz gemäß DSGVO bekannt sein, damit diese in der Praxis umgesetzt werden können. Die Geschäftsleitung muss jederzeit nachweisen können, ob und wie die DSGVO-Bestimmungen im Unternehmen umgesetzt sind. Zu diesem Zweck muss eine Datenschutzrichtlinie bzw. ein schlüssiges Datenschutzkonzept vorliegen. Das Datenschutzkonzept wird durch die Geschäftsleitung, die Fachabteilungen und den DSB kontinuierlich im Rahmen der DSGVO weiterentwickelt.
Durch organisatorische Maßnahmen wie Schulungen, Dienstanweisungen und Richtlinien sowie technische Vorkehrungen wie Passwortschutz und Zugangsbeschränkungen soll die DSGVO-konforme Datenverarbeitung sichergestellt werden. Abhängig von der Art der verarbeiteten Daten sind unterschiedliche Maßnahmen erforderlich. Zur Festlegung der geeigneten Maßnahmen wird für jede Verarbeitung eine Risikoeinschätzung gemäß der DSGVO durchgeführt. Bestehende Maßnahmen werden geprüft und bei Bedarf angepasst, um die Einhaltung der DSGVO sicherzustellen.
Wenn ein Dienstleister mit der Verarbeitung von personenbezogenen Daten beauftragt wird, so handelt es sich im Sinne der DSGVO um eine Auftragsverarbeitung. Mit solchen Dienstleistern muss ein Vertrag geschlossen werden, der den Anforderungen des Art. 28 DSGVO entspricht.
Hierzu erstellt man eine Aufstellung aller Dienstleister, die dies betreffen kann, um im Anschluss die Notwendigkeit eines AV-Vertrages prüfen zu können oder vorhandene Verträge zu sichten und zu prüfen.
Selbstverständlich muss zu jeder Zeit die Zuverlässigkeit des Auftragsverarbeiters (AV) sichergestellt sein. Das heißt: Auch der Arbeitsvertrag muss alle rechtlichen Vorschriften einhalten. Die Zuverlässigkeit muss regelmäßig überprüft werden.
Die Verantwortung für die Auswahl zuverlässiger Dienstleister liegt stets bei der Geschäftsleitung.
Wenn personenbezogene Daten verarbeitet werden sollen, muss die betroffene Person gemäß der DSGVO informiert werden. Diese Information muss vor oder spätestens zu Beginn der Datenverarbeitung erfolgen. Die Informationspflicht der DSGVO gilt für Beschäftigte, Kunden und Geschäftspartner. Die Umsetzung kann durch Informationsblätter bei der Einstellung, Datenschutzerklärungen auf der Webseite oder durch PDFs im Intranet erfolgen. Es ist wichtig, jederzeit nachweisbar zu machen, dass und wie die betroffenen Personen über die DSGVO-konforme Datenverarbeitung informiert wurden.
Jede natürliche Person hat gemäß der DSGVO das Recht, Auskunft über die Verarbeitung ihrer Daten zu erhalten. Unternehmen müssen diese Auskunft innerhalb eines Monats erteilen, andernfalls drohen Bußgelder oder Schadensersatzklagen. Sie muss Informationen über den Zweck, die Art der Daten, deren Quelle, Rechtsgrundlage, Weitergabe an Dritte und die Speicherdauer umfassen. Vor Erteilung der Auskunft wird unbedingt die Identität der anfragenden Person geprüft. Zudem sollte klar festgelegt werden, wer im Unternehmen DSGVO-konforme Auskünfte erteilen darf.
Wenn es zu Datenpannen kommt, ist gemäß der DSGVO schnelles Handeln erforderlich.
Datenpannen bedeuten für viele Hackerangriffe oder den Diebstahl von Unternehmensdaten durch Beschäftigte. Doch sie können zum Beispiel auch die versehentliche Übermittlung von Daten an unbefugte Dritte (Mailverteiler) sein, oder der Verlust von sensiblen Daten durch einen technischen Defekt.
Egal, wie sie zustande kam: Kommt es zu einer Datenpanne, muss sie in der Regel binnen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, sonst drohen empfindliche Bußgelder.
In einer Richtlinie sollte konkret beschrieben werden, wie sich Beschäftigte im Fall eines Datenschutzvorfalles zu verhalten haben. Was ist zu tun? Wer führt die Meldung an die Aufsichtsbehörde durch? Müssen betroffene Personen informiert werden?
Im schlimmsten Fall beschweren sich Betroffene bei der Aufsichtsbehörde (z.B. dem Landesdatenschutzbeauftragten). Liegt dann keine Meldung ihres Unternehmens über den Vorfall vor, wird dies in der Regel mit einem Bußgeld geahndet.
Soll eine neue Software oder sonstige Datenverarbeitung (z.B. CMS, App, Webseite, Clouddienste) eingeführt werden, muss der DSGVO-konforme Datenschutz von Anfang an berücksichtigt werden.
Ihr Unternehmen ist verpflichtet, zu dokumentieren, wie der Schutz der personenbezogenen Daten bei der Entscheidung z.B. für eine Software berücksichtigt wurde.
Hier kann der Datenschutzbeauftragte gute Beratung leisten.
Hält das neue Produkt alle datenschutzrechtlichen Anforderungen ein? Ist die Software in der Lage, den Schutz der Daten sicherzustellen? Können die Daten datenschutzkonform gelöscht werden? Werden die Daten womöglich in nicht sicheren Drittländern verarbeitet (Serverstandort in den USA, China, Russland)?
Der Datenschutzbeauftragte wird in einer Risikoanalyse prüfen, ob das Produkt alle DSGVO-Anforderungen erfüllt, welche Risiken für die betroffenen Personen bei der Datenverarbeitung bestehen und entsprechende technische und organisatorische Maßnahmen ableiten, um diese Risiken zu minimieren.
Es besteht laut DSGVO eine Pflicht zur Datenlöschung, wenn diese nicht mehr benötigt werden.
Entfällt der Zweck, zu dem personenbezogene Daten erhoben wurden, müssen diese Daten umgehend gelöscht werden. Die gesetzlichen Aufbewahrungsfristen der DSGVO sind hierbei einzuhalten.
Hierzu wird zunächst eine Übersicht der einschlägigen Aufbewahrungs- und Löschfristen benötigt.
Es muss eine Übersicht vorhanden sein, mit welchen Programmen und Geräten personenbezogene Daten im Unternehmen verarbeitet werden.
