DATENSCHUTZ FÜR UNTERNEHMEN

Was besagt Datenschutz? Wodurch wird er geregelt?

Wie stehen Bundesdatenschutzgesetz und Datenschutz-Grundverordnung zueinander?

Was sind die Vor- und Nachteile eines internen gegenüber eines externen Datenschutzbeauftragten?

DATENSCHUTZGESETZ

WAS BESAGT DAS DATENSCHUTZGESETZ?

Das Bundesdateschutzgesetz (BDSG) regelt den Umgang mit personenbezogenen Daten, die durch Informations- und Kommunikationssysteme sowie manuell verarbeitet werden.

Zweck des Gesetzes ist die Wahrung der Persönlichkeitsrechte durch schutzhaften Umgang mit personenbezogenen Daten.

WEN BETRIFFT DAS DATENSCHUTZGESETZ?

Das Datenschutzgesetz betrifft alle nicht-öffentlichen Stellen – und damit alle Unternehmen unabängig von Ihrer Form oder Größe.

DATENSCHUTZGRUNDVERORDNUNG 2018

WAS BEDEUTET SIE FÜR UNTERNEHMEN?

Daten verarbeitende Unternehmen, sprich nahezu alle Unternehmen, unterliegen seit dem Mai 2018 nicht nur dem Bundesdatenschutzgesetz, sondern prioritär der neuen EU-Datenschutz-Grundverordnung. Damit müssen Unternehmen Ihre Prozesse auf die neuen Verordnungen anpassen.

WAS HAT SICH AB MAI 2018 GEÄNDERT?

Viele Neuerungen und Änderungen treten mit der DSGVO in Kraft. So haben sich beispielsweise die Grundlagen zur Verpflichtung eines Datenschutzbeauftragten geändert oder auch die Vorgaben zur Website-Compliance. Die Vorgabe zu Zertifizierungen hat sich ebenfalls verschärft und erinnert an ISO-Normen aus dem Qualitätsmangement.

Auch Sanktionen haben sich verändert und sind nun weniger absolut als relativ zu betrachten. Als letztes Beispiel haben sich Transparenz- und Informationspflichten verändert.

VERFAHRENSVERZEICHNIS

Auch nach neuer DSGVO noch aktuell?

WAS IST EIN DATENSCHUTZ VERFAHRENSVERZEICHNIS?

Das Verfahrensverzeichnis oder auch die Verfahrensübersicht ist ein Element des BDSG. Jede staatliche wie private Stelle, die personenenbezogene Daten verarbeitet, muss dokumentieren, wie mit den Daten umgegangen wird.

Die Dokumentation bzw. das Dokument wird Verfahrensverzeichnis genannt.

Die DSGVO löst den Begriff des Verfahrenverzeichnisses ab und führt die Pflicht zur Führung des „Verzeichnis der Verarbeitungstätigkeiten“ ein. Dies ist im Grundsatz des gleiche mit einigen Abänderungen zur Pflege und Führung.

INTERNES VS. ÖFFENTLICHES VERFAHRENSVERZEICHNIS NACH DSGVO

Nach BDSG war bislang sowohl die Führung eines internen wie auch die Pflege eines externen Verfahrenverzeichnisses Pflicht. Durch die neuen Auflagen zu Auskunfts- und Meldepflichten wird dies in der Praxis auch in Zukunft durch die DSGVO Bestand haben – auch wenn eine grundsätzliche Veröffentlichung des Verzeichnisses nicht weiter notwendig ist.

Unternehmen, die bereits ein Verfahrensverzeichnis geführt haben, haben bei der Anlegung des „Verzeichnis der Verarbeitungstätigkeiten“ ein relativ leichtes Spiel.

DSGVO AB MAI 2018: RECHTE DER BETROFFENEN

Aus wirtschaftlicher Perspektive lassen sich die Änderungen grundsätzlich in Rechte der Betroffenen und Pflichten für Unternehmen einteilen. Nachfolgend ein Auszug der Rechte der Betroffenen.

AUSKUNFTSRECHT

Durch die neue DSGVO wird das Auskunftsrecht von Betroffenden gestärkt. Die Auskunft muss nun auf Wunsch auch auf elektronischer Form geschehen.

Unter anderem besteht das Recht auf Auskunft zu:

  • den personenbezogenen Daten selbst
  • Herkunft der Daten
  • Zwecke der Verarbeitung
  • Übermittlungen
  • etc.

RECHT AUF LÖSCHUNG

Datenlöschung darf u.a. gefordert werden, wenn:

  • keine weitere Notwendigkeit zur Speicherug besteht.
  • die Einwillung der Datenverarbeitung widerrufen worden ist.
  • die Daten unrechtmäßig erhoben wurden.
  • eine Rechtspflicht nach nationalem oder EU-Recht besteht.

Das Recht auf Löschung erlischt, wenn:

  • das Speichern einer rechtlichen Verpflichtung dient.
  • das öffentliche Interesse das Löschen überwiegt.
  • Archivierungen für Wissenschaft entgegenstehen.
  • das Recht auf freie Meinungsäußerung überwiegt.

DATENÜBERTRAGBARKEIT

Der Betroffende hat das Recht, seine eigenen Daten zu einem anderen Anbieter mitnehmen zu können. Das heißt, Anbieter müssen die Daten, die durch den Betroffenden selbst angegeben worden sind, so aufbereiten, dass diese strukturiert und durch Maschinen leserlich sind.

Das Recht der Datenportabilität ist durch die DSGVO neu.

WIDERSPRUCH BEI AUTOM. EINZELFALLENTSCHEIDUNGEN

Bei automatisierten Entscheidungen, die nicht von einem Menschen getroffen wurden, hat der Betroffende das Recht Widerspruch einzulegen. Entscheidungen dieser Art sind zum Beispiel Annahmen von Online-Krediten oder Online-Einstellungsverfahren.

Ausnahmen gibt es aber auch: zum Beispiel, wenn der Betroffende eine ausdrückliche Einwillung zur automatisierten Entscheidung etwa für zur Erfüllung eines Vertrags zustimmt.

DSGVO AB MAI 2018: PFLICHTEN FÜR UNTERNEHMEN

Aus wirtschaftlicher Perspektive lassen sich die Änderungen grundsätzlich in Rechte der Betroffenen und Pflichten für Unternehmen einteilen. Nachfolgend ein Auszug der Pflichten für Unternehmen.

DATENSCHUTZ (TOM)

TOM = Technischer und organisatorischer Schutz der Daten hinsichtlich Datenschutz und Datensicherheit. Der Umfang sowie konkrete Maßnahmen für diese Pflicht ergeben sich auch aus den geschätzten Wahrscheinlichkeiten des Eintritts sowie der Schwere der Risiken für die Persönlichkeitsrechte und -freiheiten.

Auch der technische Fortschritt spielt in der Bewertung eine Rolle.

VERZEICHNISFÜHRUNG

Das bisherige „Verfahrensverzeichnis“ findet auch in der neuen DSGVO Anwendung in ähnlicher Form unter anderem Namen. Mehr Informationen zum neuen „Verzeichnis der Verarbeitungstätigkeiten“ finden Sie unter dem Link.

Zusätzliche Angaben des neuen Verzeichnisses sind u.a.:

  • Kontaktdaten des Datenschutzbeauftragten
  • Löschfristen
  • Technische und organisatorische Maßnahmen zum Datenschutz (TOM)

MELDEPFLICHTEN

mit der DSGVO kommen zu den bisherigen Informations- und Meldepflichten noch weitere hinzu. Bei Verletzung des Schutzes personenbezogener Daten muss eine Meldung gemacht werden, mit Ausnahme von sehr unwahrscheinlichen Risiken für Freiheiten uns Persönlichkeitsrechte.

Innerhalb von 72 Stunden müssen umfangreiche Infos zum Ereignis der Aufsichtsbehörde übermittelt werden sowie den betroffenden Personen selbst (mit Ausnahme von einigen Fällen wie z.B. die vorherige Verschlüsselung der Daten).

DATENSCHUTZBEAUFTRAGTER

Ein betrieblicher Datenschutzbeauftragter (ob extern oder intern) muss immer dann bestellt werden, wenn die Kerntätigkeit des Unternehmens bzw. des Auftragsdatenverarbeiters:

  • aus Verarbeitungsvorgängen besteht, die (nach Art, Umfang und Zweck) eine Kontrolle benötigen.
  • sensible Daten verarbeitet.

Weitere Gründe zur Ernennung eines DSB sind:

  • 10 oder mehr mit der Datenverarbeitung beschäftigte Personen
  • Verarbeitung von Daten, die der Datenschutzfolgen-abschätzung unterliegen (z.B. bei Gesundheitsdaten)
  • Daten dienen der (anonymisierte) Übermittlung oder der Markt- / Meinungsforschung

Möchten Sie mehr zum Datenschutz wissen?

Gerne beantworten wir Ihre Fragen zum Datenschutz oder zur Bestellung eines externen Datenschutzbeauftragten.

Vielen Dank.

Ich versichere, die Datenschutzhinweise gelesen zu haben. Der Nutzung meiner Daten gemäß den Datenschutzhinweisen stimme ich ausdrücklich zu.