069-663 68 41 220
 info@wesaveyourcopyrights.com
WeSaveYourCopyrights » DSGVO-Tipps – Tipps zur Umsetzung der Datenschutzgrundverordnung DSGVO (Update)
Datenschutzgrundverordnung_DSGVO_Anwalt_Datenschutzrecht_Frankfurt_we-save-your-copyrights

DSGVO-Tipps – Tipps zur Umsetzung der Datenschutzgrundverordnung DSGVO (Update)

Veröffentlicht 30.04.2018 in News von Christian Weber

 

Datenschutz im Unternehmen – DSGVO-Tipps zur datenschutzkonformen Verarbeitung personenbezogener Daten gemäß der Datenschutzgrundverordnung (DSGVO)

 

 

Die europäische Datenschutzgrundverordnung „DSGVO“ (Verordnung EU 2016/679) ist seit Mai 2018 in Kraft. Dennoch haben selbst im Jahr 2023 viele Unternehmen viele datenschutzrechtliche Pflichten und Anforderungen nach der DSGVO nicht, oder nur halbherzig umgesetzt.

 

In den nachfolgenden DSGVO-Tipps erläutern wir, was die DSGVO konkret für Ihr Unternehmen bedeutet. Wir geben Ihnen dadurch einen allgemeinen Überblick darüber, welche Pflichten sich aus der europäischen Datenschutzgrundverordnung (DSGVO) für Unternehmen, Freiberufler und Selbstständige ergeben. Außerdem enthält der Beitrag zahlreiche Hinweise und Tipps, was bei der Umsetzung der DSGVO zu beachten ist.

 

 

1. Wer ist von der Datenschutzgrundverordnung betroffen?

 

Die DSGVO betrifft alle Unternehmen und Unternehmer, also auch Einzelunternehmer, Selbstständige, Start-Ups und Freiberufler und zwar unabhängig von der Anzahl der Mitarbeiter und unabhängig vom Jahresumsatz. Lediglich die Bestellung eines Datenschutzbeauftragten knüpft an zusätzliche Merkmale wie beispielsweise die Anzahl von Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG-neu) oder daran, dass eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen stattfindet (Art. 37 (1) b) DSGVO) an.

 

Unser DSGVO-Tipp: Jeder Unternehmer benötigt ein DSGVO-konformes Datenschutzkonzept – Lassen Sie ein Datenschutzkonzept erstellen!

 

 

2. Was sind die Rechtsgrundlagen für den Datenschutz und die datenschutzrechtlichen Pflichten im Unternehmen?

 

Entscheidende Bestimmungen zum Datenschutz in Unternehmen finden sich künftig vor allem in der europäischen Datenschutzgrundverordnung (DSGVO) sowie ergänzend im neuen Bundesdatenschutzgesetz (BDSG-neu). Sowohl die DSGVO, als auch das BDSG-neu gelten verbindlich seit dem 25.5.2018. Bis dahin müssen alle Unternehmer die sich für sie ergebenden rechtlichen Pflichten erfüllen und die Anforderungen der DSGVO und des BDSG-neu umsetzen.

 

 

3. Was sind überhaupt personenbezogene Daten?

 

„Personenbezogene Daten“ sind alle Informationen, über die eine natürliche Person identifiziert werden kann (z. B. Name, Anschrift, Online-Kennung, Personalausweisnummer, Telefonnummer, E-Mailadresse, Geburtsdatum etc.) oder sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Zur Identifizierbarkeit reicht es aus, wenn eine natürliche Person indirekt, z. B. mittels Zuordnung zu einer Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann. Auch Fotografien, auf denen Personen erkennbar bzw. identifizierbar abgebildet sind, stellen ein personenbezogenes Datum dar.

 

 

4. Wann liegt eine Verarbeitung personenbezogener Daten vor?

 

Datenverarbeitung ist definiert als ein mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang im Zusammenhang mit personenbezogenen Daten wie beispielsweise das Erheben, die Speicherung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung sowie das Löschen oder die Vernichtung von Daten.

 

Unser DSGVO-Tipp: Praktisch jeder Unternehmer und jedes Unternehmen verarbeitet personenbezogene Daten. Der Datenschutz betrifft insoweit auch kleine Betriebe, Freiberufler und Einzelunternehmer.

 

 

5. Welche allgemeinen datenschutzrechtlichen Grundsätze gelten bei der Verarbeitung personenbezogener Daten?

 

Folgende allgemeinen datenschutzrechtlichen Grundsätze sind von Unternehmen unabhängig von der Größe und der Anzahl von Mitarbeitern sowie unabhängig vom Umsatz zu beachten:

 

  • personenbezogene Daten dürfen grundsätzlich nur dann verarbeitet werden, wenn hierfür ein gesetzlicher Erlaubnistatbestand existiert oder eine freiwillige und (ggf. ausdrückliche) Einwilligung der Betroffenen Person vorliegt, da die Verarbeitung andernfalls nicht rechtmäßig ist (vgl. Art. 6 DSGVO)

 

  • als gesetzliche Erlaubnistatbestände kommen beispielsweise die Erfüllung vertraglicher Pflichten, die Erfüllung einer rechtlichen Verpflichtung (z. B. die steuerrechtliche Aufbewahrungspflicht) oder ein so genanntes berechtigtes Interesse, das nicht durch höherrangige Interessen der betroffenen Person überwogen wird (z.B. die Erfassung von IP-Adressen auf deiner Internetseite zwecks Gewährleistung der IT-Sicherheit) in Betracht

 

  • es sollten immer nur so viele Daten erhoben und verarbeitet werden wie unbedingt notwendig (Grundsatz der Datensparsamkeit)

 

  • nicht oder nicht mehr benötigte Daten müssen zeitnah gelöscht werden

 

  • personenbezogene Daten dürfen nur für den vorher definierten Zweck verwendet werden und keinesfalls für andere Zwecke

 

  • bei der Weitergabe von Daten an Dritte dürfen nur die Daten weitergegeben werden, die für den damit verbundenen Zweck unbedingt erforderlich sind

 

  • personenbezogene Daten dürfen nur so lange gespeichert werden wie es der Zweck oder eine gesetzliche Verpflichtung erfordern

 

  • es muss sichergestellt werden, dass personenbezogene Daten korrekt verarbeitet und vor Verlust, Missbrauch und unbefugtem Zugriff geschützt werden

 

  • je sensibler verarbeitete personenbezogene Daten sind, desto höher sind auch die Anforderungen an die Maßnahmen zum Datenschutz, insbesondere an die IT-Sicherheit

 

  • Mitarbeiter sollten für das Thema Datenschutz sensibilisiert und regelmäßig geschult werden (weitere Informationen zum Thema Mitarbeiterschulung hier)

 

 

6. Welcher Handlungsbedarf besteht für Unternehmen?

 

Aus der Datenschutzgrundverordnung ergibt sich für alle Unternehmen und Unternehmer ein nicht zu unterschätzender Handlungsbedarf. Dieser richtet sich unter Anderem auf:

 

  • die Überprüfung oder Erstellung eines DSGVO-konformen Datenschutzkonzepts einschließlich des Mitarbeiterdatenschutzes

 

  • die Anpassung sämtlicher Datenverarbeitungsprozesse unter Anderem im Hinblick auf deren rechtliche Zulässigkeit und die Rechtsgrundlage der Zulässigkeit

 

  • die Überprüfung der Sicherheit der Datenverarbeitung (unter besonderem Augenmerk der technischen und organisatorischen Maßnahmen zur Verhinderung von Datenschutzverstößen)

 

  • die Überprüfung oder Erstellung eines Löschkonzepts

 

  • die Anpassung bestehender Auftragsdatenverarbeitungsverträge

 

  • die Anpassung von Datenschutzerklärungen bzw. Datenschutzhinweisen (z.B. auf der Internetseite oder in Bezug auf Newsletter-Empfänger, Kunden etc. )

 

  • die etwaige Information oder Einholung einer (neuen) Einwilligung in Bezug auf vorhandene Bestandsdaten von Kunden, Newsletter-Empfänger etc.

 

 

  • die Erstellung oder Anpassung vorhandener sog. Verarbeitungsverzeichnisse (Verzeichnis der Verarbeitungstätigkeiten)

 

  • die nachweisbare Dokumentation sämtlicher vorgenannter Vorgänge und Prozesse

 

 

Unser DSGVO-Tipp: Die Einhaltung datenschutzrechtlicher Anforderungen muss vom Unternehmen im Streitfall bewiesen werden können. Daher sollten alle datenschutzrechtlich relevanten Vorgänge und Ereignisse lückenlos dokumentiert werden.

 

 

7. Welche betrieblichen Prozesse sind von den Regeln der Datenschutzgrundverordnung betroffen?

 

Die DSGVO verlangt eine mehr oder weniger grundlegende Anpassung der Organisationsprozesse im Unternehmen, beispielsweise im Hinblick auf:

 

  • die Prozesse rund um die Erhebung personenbezogener Daten, insbesondere bezogen auf Daten von Kunden, Vertragspartnern, Mitarbeitern, Bewerbern, Dienstleistern etc. (unter Berücksichtigung des Grundsatzes der Datensparsamkeit)

 

  • die Dokumentation und Nachweisbarkeit von datenverarbeitenden Prozessen (beispielsweise in Form sog. Verzeichnisse der Verarbeitungstätigkeiten)
  • die Prozesse bei Datenschutzpannen und Meldung von Datenschutzverstößen an die Aufsichtsbehörde (Meldepflicht)

 

  • Abläufe und Maßnahmen bezogen auf die sog. Betroffenenrechte und deren Ausübung (z.B. im Falle eines Auskunftsersuchens oder eines Widerrufs einer Einwilligung). Siehe auch unseren Beitrag zum Auskunftsanspruch nach DSGVO.

 

  • die Prozesse zur Löschung von (nicht oder nicht mehr benötigten) Daten (Löschkonzept unter Berücksichtigung des Grundsatzes der Datensparsamkeit)

 

  • vorhandene Verträge im Bereich der Auftragsdatenverarbeitung müssen überarbeitet bzw. angepasst werden

 

Den Dokumentations- und Nachweispflichten kommt dabei ein besonderes Augenmerk zu. Die umfassenden Dokumentationspflichten ergeben sich beispielsweise aus Art. 5 Abs. 2, Art. 24 Abs. 2 und Art. 30 DSGVO.

 

 

8. Wie kann man als Unternehmen den konkreten Umsetzungsbedarf ermitteln?

 

Die datenschutzrechtlichen Anforderungen hängen im Einzelfall von der Art und dem Umfang erhobener Daten, dem Umfang und Zweck der Verarbeitung und der Art der Verwendung der personenbezogenen Daten, dem Unternehmensgegenstand sowie von weiteren Faktoren ab.

 

Eine sorgfältige Ermittlung und Analyse der datenverarbeitenden Prozesse und deren Dokumentation sind daher essentielle Voraussetzung, um die sich daraus ergebenden konkreten Pflichten nach der DSGVO im konkreten Fall zu ermitteln. Erst auf Grundlage einer eindeutigen Statusermittlung können die datenverarbeitenden Prozesse und deren Dokumentation DSGVO-kompatibel angepasst werden.

 

Es empfiehlt sich daher im ersten Schritt eine Ermittlung sämtlicher datenschutzrelevanter Vorgänge im Unternehmen, also insbesondere derjenigen Vorgänge, bei denen personenbezogene Daten erhoben, gespeichert oder anderweitig verarbeitet werden.

 

 

9. Welche Dokumente sind von Unternehmen zum Zwecke der Umsetzung der Datenschutzgrundverordnung regelmäßig zu erstellen oder anzupassen?

 

Folgende Rechtstexte und Dokumente sind datenschutzkonform vorzuhalten und entsprechend an die aktuellen Anforderungen der DSGVO anzupassen:

 

  • Verzeichnis von Verarbeitungstätigkeiten

 

  • Auftragsverarbeitungsverträge

 

  • Technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten

 

  • Verschwiegenheitsverpflichtungserklärungen

 

  • Datenschutzhinweise einschließlich der Information über ggf. bestehende Betroffenenrechte (beispielsweise bei Vertragsanbahnung bezogen auf Daten des Vertragspartners oder Kunden sowie auf der Internetseite in Bezug auf die Daten der Webseiten-Besucher und/oder bei der Registrierung von Kunden)

 

  • Datenschutzrechtliche Einwilligungserklärungen (beispielsweise zum Zwecke des Newsletter-Versands per E-Mail)

 

 

10. Was ist ein sog. Verzeichnis von Verarbeitungstätigkeiten?

 

Das Verzeichnis von Verarbeitungstätigkeiten enthält alle datenschutzrelevanten Vorgänge in einem Unternehmen. Im Verzeichnis der Verarbeitungstätigkeiten müssen alle datenverarbeitenden Prozesse des Unternehmens detailliert dokumentiert werden. Den Inhalt und Umfang regelt Art. 30 DSGVO. Das Verzeichnis ist schriftlich oder in elektronischer Form zu führen.

 

Es dient unter Anderem dazu, sich den Überblick darüber zu verschaffen wann, wo und zu welchem Zweck sowie auf welcher Grundlage personenbezogene Daten verarbeitet werden. Andererseits dient es auch dazu, gegenüber den Datenschutz-Behörden bei Bedarf die Art und Weise, den Umfang, den Zweck und die gesetzliche Grundlage der hauseigenen Datenverarbeitung darlegen und nachweisen zu können.

 

 

11. Wann liegt eine Auftragsverarbeitung vor und was sind Auftragsverarbeitungsverträge?

 

Ein Auftragsverarbeitungsvertrag ist immer dann abzuschließen, wenn personenbezogene Daten durch einen Dritten (Auftragsverarbeiter) für den Auftraggeber verarbeitet werden. Dies geschieht beispielsweise beim Versand von Newslettern über externe Dienstleister oder bei der Nutzung sog. Web-Analyse-Tools wie Google Analytics oder anderen extern gehosteten Diensten wie Cloud-Lösungen, Email-Provider, Warenwirtschaftssystemen etc. Auch in sämtlichen anderen Situationen, in denen sich ein Unternehmen Dritter bedient und dabei dem Dritten personenbezogene Daten übermittelt werden oder dieser davon Kenntnis erlangt, liegt in der Regel eine Auftragsdatenverarbeitung vor, die den Abschluss eines AV-Vertrages erforderlich macht. Zur Auftragsdatenverarbeitung zählt deshalb auch die Beauftragung eines Freelancers, der für den Auftraggeber tätig wird und dabei mit personenbezogenen Daten „in Berührung kommt“.

 

Ein sogenannter AV-Vertrag dient unter Anderem dazu sicherzustellen, dass personenbezogene Daten von denjenigen, dem personenbezogene Daten zur Verarbeitung zur Verfügung gestellt werden, gemäß den rechtlichen Vorgaben der DSGVO datenschutzkonform verarbeitet und vor Missbrauch, Verlust und Diebstahl geschützt werden.

 

Wenn mit einem Dritten, der Daten für das Unternehmen verarbeitet oder dem das Unternehmen Daten übermittelt, kein AV-Vertrag geschlossen wird oder werden kann, fehlt die erforderliche Rechtsgrundlage für die Weitergabe personenbezogener Daten an diesem Dritten und für die Einsicht in personenbezogene Daten durch den Dritten. Eine Zusammenarbeit mit diesem Dritten ist seit dem 25.5.2018 nicht in datenschutzkonformer Weise möglich und daher nicht zu empfehlen.

 

 

12. Können bestehende Alt-Verträge zur Auftragsdatenverarbeitung weiterhin genutzt werden?

 

Nein. Veraltete, nach dem Bundesdatenschutzgesetz bereits seit 2009 zwar erforderliche Auftragsverarbeitungsverträge beziehungsweise Aufträge zur Datenverarbeitung (ADV) sind in der Regel nicht kompatibel zur Datenschutzgrundverordnung und müssen durch einen neuen DSGVO-konformen AV-Vertrag (AVV) ersetzt werden.

 

 

13. Was sind sog. technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten (sog. TOMs)

 

Bei den sog. TOMs handelt es sich um einen individuellen Katalog aus Sicherheitsmaßnahmen und Schutzvorkehrungen, um personenbezogene Daten zu schützen und Datenschutzpannen zu vermeiden. Diese müssen sich immer nach dem Einzelfall und nach der Art der Daten, dem Risiko eines Schadens sowie nach der Eintrittswahrscheinlichkeit und möglichen Schwere eines Schadens richten. Je sensibler die Daten, desto höher sind die Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten.

 

 

14. Welche konkreten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten (TOMs) kommen in Betracht (nicht abschließende Liste von Beispielen)?

 

  • Unterweisung der Mitarbeiter
  • Verschwiegenheitserklärung der Mitarbeiter
  • Pseudonymisierung von Daten (z.B. mittels einer „ID“)
  • Verschlüsselung von Daten auf lokalen Systemen
  • Verschlüsselung von Daten beim Versand
  • Zutrittskontrolle
  • Vergabe von Zugriffsrechten auf IT-Anlagen
  • Firewall
  • Virenschutz
  • Schutz gegen Datenverlust und Sicherstellung der Wiederherstellbarkeit von Daten (regelmäßige Datensicherung, ggf. unterbrechungsfreie Stromversorgung ‚USV‘)
  • regelmäßige Systemwartungen
  • regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs

 

 

15. Was ist bei Datenschutzpannen zu beachten?

 

Von einer Datenschutzpanne spricht man beispielsweise bei einer unrechtmäßigen Weitergabe oder  dem Verlust von Daten sowie beim Zugriff von Unberechtigten auf personenbezogene Daten.

 

Im Schadensfall muss innerhalb einer Frist von 72 Stunden ab Bekanntwerden eine Meldung an die zuständige Aufsichtsbehörde erfolgen. Deshalb ist es wichtig, bereits im Vorfeld im Unternehmen hierfür einen entsprechenden Prozessablauf zu etablieren und diesen zu dokumentieren.

 

 

 

Fazit: Unser zusammenfassender DSGVO-Tipp

 

Die Umstellung auf die Datenschutzgrundverordnung bzw. deren Umsetzung verursachen bei den betroffenen Unternehmen teilweise erhebliche Kosten. Die Umsetzung der Anforderungen aus der DSGVO und die damit ggf. einhergehenden Aufwände und Kosten für Unternehmer und Unternehmen stellen eine Compliance-Notwendigkeit dar.

 

Für Unternehmen, die die neuen datenschutzrechtlichen Anforderungen nach der DSGVO und BDSG-Neu noch nicht umgesetzt haben, wird es nun höchste Zeit. Unternehmen, die seit Inkrafttreten der DSGVO am 25.05.2018 immer noch nicht DSGVO-konform aufgestellt sind, laufen Gefahr, von Mitbewerbern aus wettbewerbsrechtlichen Gesichtspunkten auf Unterlassung in Anspruch genommen und abgemahnt werden. Zudem besteht das Risiko von der Datenschutzbehörde überprüft und sanktioniert sowie ggf. mit Bußgeldern belegt zu werden. Bußgelder können bis zu einer Höhe von 20 Millionen Euro verhängt werden.

 

Für die Umsetzung und Einhaltung der Anforderungen der DSGVO durch Implementierung eines datenschutzkonformen Datenschutzkonzepts trägt in erster Linie der Vorstand bzw. Geschäftsführer die Verantwortung.  Diesen trifft eine umfassende Haftung für Datenschutzverstöße und für die ständige Einhaltung und erforderlichenfalls Anpassung des Datenschutzkonzepts. Die Umsetzung bzw. Einhaltung der gesetzlichen Anforderungen der DSGVO in Unternehmen durch ein entsprechendes Datenschutzkonzept einschließlich eines entsprechenden Löschkonzepts und der erforderlichen technischen und organisatorischen Maßnahmen ist daher dringend empfohlen.

 

Gerne stehen wir Ihnen für eine umfassende Beratung im Bereich Datenschutz und bei der Umsetzung der Vorgaben der Datenschutzgrundverordnung mit kompetentem Rat zur Verfügung. Schreiben Sie uns eine Nachricht oder rufen Sie uns an.

 

 

 

Es wird ausdrücklich darauf hingewiesen, dass es sich bei den DSGVO-Tipps um allgemeine Aussagen handelt, die nicht abschließend sind, nicht jeden Einzelfall abbilden und nicht auf jeden Fall übertragbar sind. Zudem sind die in diesen DSGVO-Tipps behandelten rechtlichen Fragen noch nicht abschließend geklärt, insbesondere liegt dazu keine höchstrichterliche Rechtsprechung vor. Zu vielen datenschutzrechtlichen Fragen werden daher unterschiedliche Rechtsansichten vertreten. Die Fragen und Antworten können deshalb eine fachkundige Rechtsberatung im Einzelfall nicht ersetzen.

 

 

 

 

Informationen zu der von uns angebotenen Datenschutzschulung für Mitarbeiter finden Sie hier

 

 

Informationen zur datenschutzrechtlichen anwaltliche Beratung finden Sie hier

 

 

Weitere Informationen zu unseren Leistungen im Bereich Datenschutzrecht finden Sie hier

 

 

Informationen für Unternehmen zum Thema Auskunftsanspruch nach der DSGVO

 

 

 

(c) Rechtsanwalt Christian Weber, WeSaveYourCopyrights Rechtsanwaltsgesellschaft mbH, 18.4.2018 (Update: 20.12.2021)

 

 

 

verwandte Schlagwörter: Datenschutz, DS-GVO, DSGVO, Datenschutzgrundverordnung, europäische Datenschutzgrundverordnung, Verarbeitungsverzeichnis, Verzeichnis von Verarbeitungstätigkeiten, Datenschutzrechtsreform, Datenschutzrecht, TOM, TOMs, AV-Vertrag, Auftragsdatenverarbeitung, Auftragsverarbeitungsvertrag, ADV, Datenverarbeitung, Datenverarbeitung nach der DS-GVO, personenbezogene Daten, Verarbeitung personenbezogener Daten, Datenschutzgrundverordnung (DSGVO), technische und organisatorische Maßnahmen, Datenschutzhinweis, Datenschutzerklärung, Einwilligung, datenschutzrechtliche Einwilligung, Art. 6 DS-GVO, Art. 30 DS-GVO, Rechtmäßigkeit der Datenverarbeitung

No Comments

Sorry, the comment form is closed at this time.