Unterstützung im Datenschutz

Ergänzend zu dem Artikel 37 der DSGVO („Benennung eines Datenschtzbeauftragten“) regelt das neue Bundesdatenschutzgesetz gemäß §38 BDSG(neu) die Pflichten zur Bestellung des Datenschutzbeauftragten bei nichtöffentlichen Stellen.

Generell gilt: Ein Datenschutzbeauftragter muss benannt sein, wenn 10 und mehr Personen regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Dies betrifft auch Mitarbeiter und Beschäftigte in Teilzeit, wobei jeder Teilzeitbeschäftigte voll gerechnet wird.

Aber auch wenn weniger als 10 Mitarbeiter mit der Erfassung, Bearbeitung und Speicherung von personenbezogenen Daten beschäftigt sind, kann es unter Umständen zwingend notwendig sein, einen Datenschutzbeauftragten zu bestellen. Nämlich dann, wenn Verarbeitungen vorgenommen werden, die nach Artikel 35 der DSGVO eine Datenschutz-Folgeabschätzung erfordern, oder wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Unternehmen, deren Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen liegt, die eine regelmäßige und systematische Überwachung von betroffenen Personen zur Folge haben, unterliegen ebenfalls der Verpflichtung zur Bestellung eines Datenschutzbeauftragten.

Und nun?

Jedes Unternehmen muss selbst klären, ob es einer Bestellpflicht unterliegt und einen Datenschutzbeauftragten bestellen muss.

Unabhängig davon ob ein Datenschutzbeauftragter explizit benannt werden muss, müssen natürlich die Anforderungen an den Datenschutz seitens der DSGVO und des BDSG(neu) auf jeden Fall umgesetzt werden. Viele – gerade kleinere – Unternehmer sind mit den zahlreichen Dokumentations-, Auskunfts- und nachweispflichten der DSGVO überfordert.

Wir unterstützen Sie dabei, die Anforderungen die sich aus der DSGVO und dem BSDSG(neu) ergeben, in Ihrem Unternehmen umzusetzen.

In der Datenschutzgrundverordnung (DSGVO) und im Bundesdatenschutzgesetz neu (BDSG(neu)) werden verschiedene Maßnahmen und Dokumentationspflichten beschrieben, denen jede nichtöffentliche Stelle nachkommen muss.

Letztlich geht es darum, sämtlich Prozesse und Begebenheiten im eigenen Unternehmen zu analysieren, zu identifizieren an welchen Stellen personenbezogene Daten erhoben, verarbeitet oder weitergeleitet werden und dies kritisch zu überprüfen, zu dokumentieren und ggf. Maßnahmen zu ergreifen um den neuen Vorschriften folge zu leisten.

Die wichtigsten Kriterien der DSGVO sind hierbei:

• Aufbau eines individuellen Datenschutzkonzeptes
• Lückenlose Dokumentation der Erfassung, Verarbeitung und Löschung von Daten
• Die Dokumentation der internen Verarbeitungsprozesse und der technischen wie organisatorischen Maßnahmen zum Schutz der Daten.
• Bei Bedarf eine Risikoabschätzung und in besonderen Fällen eine umfangreiche Datenschutzfolgeabschätzung.
• Kontrolle und Dokumentation aller externen Auftragsverarbeiter, sowie die Absicherung durch entsprechende AV-Verträge mit den Auftragsverarbeitern
• Aufbau und Dokumentation konkreter Lösch- und Backup-Konzepte

Zudem werden durch die DSGVO auch die Rechte der Personen deren Daten erhoben werden gestärkt. Für Unternehmen heißt das unter anderem:

• Es dürfen nur noch die absolut relevanten Daten erhoben werden (also z.B. kein Geburtsdatum wenn es nur im die Anmeldung zu einem Newsletter geht)
• Personen müssen über die Verarbeitung ihrer Daten zu dem Zeitpunkt an dem die Daten erhoben werden informiert werden.
• Die Verarbeitung (und speziell die Veränderung) von personenbezogenen Daten muss lückenlos dokumentiert und nachvollziehbar sein.
• Personen haben ein Auskunftsrecht. Das heißt, Unternehmen müssen in der Lage sein, entsprechende Anfragen zu beantworten.
• Daten dürfen nicht mehr einfach ewig gespeichert werden. Alle Daten müssen gemäß ihrer Aufbewahrungs- und Löschfristen auch wieder gelöscht werden. Zudem haben Personen ein verstärktes Selbstbestimmungsrecht und können auf die Löschung ihrer Daten bestehen – insofern kein höheres Recht eine Löschung der Daten verbietet.

Es gibt also eine Menge zu tun…
Aber keine Panik, wir helfen Ihnen dabei die Anforderungen die sich aus der DSGVO und dem BSDSG(neu) ergeben, in Ihrem Unternehmen umzusetzen.

Nach der Datenschutzgrundverordnung (DSGVO) sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. (Artikel 4 DSGVO, Abs. 1)
Eine identifizierbare Person ist nach DSGVO eine Person, „die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“ (Artikel 4 DSGVO, Abs. 1)

Somit sind zunächst sämtliche Informationen wie Namen, Anschrift, Kontaktinformationen personenbezogene Daten. Aber auch Fotos müssen als personenbezogene Daten gewertet werden, wenn Rückschlüsse auf die konkrete Person möglich sind. Dies gilt sowohl für digitale, wie nichtdigitale Werke.

Ebenso wird eine IP-Adresse als Teil der personenbezogenen Daten angesehen. Dies hat Auswirkungen auf Webseitenbetreiber, da jeder Webserver die IP-Adressen der zugreifenden Rechner automatisch für zumindest 7 Tage gespeichert. Sobald eine Webseite zusätzliche Elemente (z.B. Cookies, Plugins, etc) nutzt, müssen auch diese Dienste im Einzelnen auf die Rechtmäßigkeit im Sinne des Datenschutzes überprüft werden. Der Betrieb einer Webseite ist weiterhin möglich, jedoch bedarf die Webseite einer besonderen Überprüfung. Pflicht wird in jedem Fall die Anpassung der Datenschutzerklärung, die neben dem Impressum einer absoluten Mindestanforderung an jede Webseite entspricht.

Kritisch wird es, sobald ein Unternehmen sogenannte „besondere Kategorien personenbezogener Daten“ verarbeitet. Laut DSGVO sind dies Daten, „aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“. Die Verarbeitung dieser Daten, sowie „die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“ (Art. 9 DSGVO)

Die Verarbeitung solcher Daten ist nur in speziellen Fällen erlaubt und unterliegt besonderen Bestimmungen.

Was viele vergessen: Es geht hier nicht nur um personenbezogene Daten von Kunden und Interessenten. Auch die Daten der eigenen Mitarbeiter sind personenbezogene Daten im Sinne des DSGVO und unterliegen somit den neuen Regelungen und dem BDSG(neu).

Die Datenschutzgrundverordnung beschreibt recht konkret was bei der Verarbeitung personenbezogener Daten zu beachten ist.

Gemäß Art. 5 Abs. 1 DSGVO müssen personenbezogene Daten:

• auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
• für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“);
• dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
• sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
• in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89Absatz 1 verarbeitet werden („Speicherbegrenzung“);
• in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

Wichtig hierbei ist, dass der Verantwortliche (in letzter Instanz der Geschäftsführer) für die Einhaltung dieser Regelungen verantwortlich ist. Die Einhaltung muss zudem nachgewiesen werden können („Rechenschaftspflicht“) (Art. 5 Abs.2 DSGVO).

Auch wurden die Rechte der Betroffenen gestärkt, so dass jedes Unternehmen z.B. zukünftig schon bei der Erhebung der Daten genau darüber informieren muss welche Daten und zu welchem Zweck die Daten erhoben werden und was mit ihnen passiert. (Art. 13 DSGVO – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person). Ebenso haben Betroffene ein umfangreiches Auskunftsrecht (Art. 15 DSGVO) sowie ein Recht auch Datenlöschung (Art.17 DSGVO – „Recht auf Vergessenwerden“)

Es gibt also viel zu tun…
Als externer Datenschutzbeauftragte unterstützen wir Sie dabei, Ihre aktuellen Prozesse zu analysieren und Ihrer umfangreichen Dokumentationspflicht nachzukommen.

Nach Art. 30 DSGVO muss jeder Verantwortlicher „ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen“, führen (Art. 30 DSGVO). Das Verzeichnis von Verarbeitungstätigkeiten dokumentiert alle im Prozesse im eigenen Unternehmen, in dem personenbezogene Daten erhoben oder verarbeitet werden.

In Deutschland müssen alle Unternehmen unabhängig von der Betriebsgröße ein Verzeichnis der Verarbeitungstätigkeiten Verantwortlicher anlegen. (Art. 70 BDSG (neu)). In der Regel finden im Unternehmen mehrere Verarbeitungsvorgänge personenbezogener Daten statt, so dass mehrere Verarbeitungsverzeichnisse anzulegen sind.

Für jede Verarbeitungstätigkeit werden u.a. folgende Angaben dokumentiert:

• den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
• die Zwecke der Verarbeitung;
• eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
• die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
• gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation
• wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
• wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Alle Stellen, welche personenbezogene Daten verarbeiten, erheben oder nutzen, sind verpflichtet, technische und organisatorische Maßnahmen (kurz: TOM) zu treffen um zu gewährleisten, dass die Sicherheits- und Schutzanforderungen der DSGVO und des BDSG(neu) erfüllt sind. Art. 32 DSGVO und insbesondere §64 BDSG (neu) stellt eine Reihe Anforderungen an technisch-organisatorische Maßnahmen zum Schutz personenbezogener Daten und deren Dokumentation.

Unter technischen Maßnahmen sind alle Schutzversuche zu verstehen, die im weitesten Sinne physisch umsetzbar sind, wie etwa Umzäunung des Geländes, Sicherung von Türen und Fenstern, bauliche Maßnahmen oder Maßnahmen die in Soft- und Hardware umgesetzt werden, wie etwa Benutzerkonto, Passworterzwingung, Logging (Protokolldateien), etc.

Als organisatorische Maßnahmen sind solche Schutzversuche zu verstehen die durch Handlungsanweisung, Verfahrens- und Vorgehensweisen umgesetzt werden. Beispiele hierfür sind Besucheranmeldung, Arbeitsanweisung zum Umgang mit fehlerhaften Druckerzeugnissen, Vier-Augen-Prinzip, festgelegte Intervalle zur Stichprobenprüfungen, etc.

Nach dem BDSG (neu) muss der Verantwortliche (in letzter Instanz der Geschäftsführer) „bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau […] gewährleisten“ und „unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorischen Maßnahmen […] treffen“

Weiter heißt es im BDSG(neu):
„Der Verantwortliche hat hierbei die einschlägigen technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen.“ BDSG (neu), §64 Abs. 1

Sobald die Verarbeitung von Daten „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“, muss eine Datenschutzfolgeabschätzung durchgeführt und dokumentiert werden. (Art. 35 Abs. 1)

Dies unter anderem in folgenden Fällen:

• Systematische und umfassende Bewertung persönlicher Aspekte von Personen (Profiling)
• Umfangreiche Verarbeitung besondere Kategorien von personenbezogenen Daten oder über strafrechtliche Verurteilungen und Straftaten
• Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

Auch bei der Verwendung neuer Technologien muss im Einzelfall geprüft werden, ob eine Datenschutz-Folgeabschätzung notwendig wird. Die Folgenabschätzung enthält gemäß Art. 35 DSGVO folgende Informationen:

• eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
• eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
• eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
• die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Eine Datenschutz-Folgenabschätzung sollte in jedem Falle mit Unterstützung eines Datenschutzbeauftragten durchgeführt werden.

Sprechen Sie uns an…
Wir unterstützen Sie gerne

Als Auftragsverarbeiter zählen alle Unternehmen und Subunternehmer die im Auftrag weisungsgebunden Daten verarbeiten. Unter den Begriff Auftragsverarbeitung fallen unter anderem Clouddienste, Werbeadressenverarbeitung durch ein Newsletter-Tool, Auslagerung der Backup-Sicherheitsspeicherung, die Datenträgerentsorgung durch einen Dienstleister oder sonstige Tätigkeiten die durch externe Firmen abgewickelt (out-gesourced) werden. So auch das klassische Support-/Call-Center.

Ebenso muss nach der Einführung des neuen Bundesdatenschutzgesetzes auch ein Auftragsverarbeitungs-Vetrag mit Freenlancern abgeschlossen werden – sobald sie Zugriff auf personenbezogene Daten haben – was eigentlich immer der Fall ist, da alleine schon Namen, Adressen und eMail-Adresen von Mitarbeitern zu den personenbezogenen Daten zählen.

Aber auch mit Personen und Unternehmen mit theoretischem Zugriff auf personenbezogene Daten haben müssen AV-Verträge abgeschlossen werden. Das betrifft dann z.B. die Putzkolonne oder den hauseigenen Elektriker.

Steuerberater oder Banken fallen dahingegen nicht unter die neue Regelung, da sie in erster Linien nicht weisungsbefugt agieren.

Klingt kompliziert? Ist es aber nicht wirklich.
Sprechen Sie uns einfach an, wir helfen Ihnen durch den Dschungel an neuen Anforderungen der DSGVO und des BDSG(neu)

Zunächst einmal kann jede natürliche Person zu einem Datenschutzbeauftragten ernannt werden. Das bedeutet, Sie können auch einen Ihrer Mitarbeiter zum internen Datenschutzbeauftragten ernennen. Jedoch sollten Sie dabei folgende Punkte bedenken:

• Zwar verfügt ein interner Mitarbeiter meist über gute Kenntnis der Betriebsabläufe; dadurch besteht aber ggf. auch die Gefahr von „Betriebsblindheit“
• Da Datenschutzbeauftragte keinen Weisungen unterliegen, ist die Position eines internen Datenschutzbeauftragten nicht immer einfach, vor allem, wenn dieser weitere Aufgaben im Unternehmen weisungsgebunden ausführen soll.
• Ein Mitarbeiter der als Datenschutzbeauftragter fungiert besitzt einen besonderen Kündigungsschutz mit 1 Jahr Nachwirkung. Eine Abberufung des Datenschutzbeauftragten ist zudem zu schwer möglich.
• Es besteht die Pflicht, den Mitarbeiter für seine Tätigkeit als Datenschutzbeauftragter und die Fortbildungen frei zu stellen; Somit fallen neben den Lohnkosten auch Kosten für Fortbildung und Fachliteratur (Gesetzes-Kommentar, Fachzeitschrift) an
• Wenn die Erfahrung als Datenschutzbeauftragter fehlt, ergeben sich häufig Anlaufprobleme (schlechte Effizienz) und externer Beratungsbedarf

Ein externer Datenschutzbeauftragter hat hingegen einige Vorteile:

• Er bringt Erfahrungen aus oft sehr unterschiedlichen Unternehmen mit
• Unbefangenheit – keine Gefahr der „Betriebsblindheit“
• Externer Datenschutzbeauftragte gehen nach einem abgestimmten Plan und in der Regel sehr effektiv vor
• Haftung als externer Berater (im Rahmen der vereinbarten Haftungssumme)
• Externe haben in diesem Falle meist eine höhere Akzeptanz bei den Mitarbeitern
• Keine Ausfallzeiten für Mitarbeiter; Fortbildungspflicht auf eigene Kosten im Dienstvertrag geregelt, ebenso Ausstattung mit Fachliteratur
• Es können reguläre Kündigungsfristen für den Dienstvertrag vereinbart werden

Als externer Datenschutzbeauftragter bringe ich die notwendige Fachkenntnis und Erfahrung in Ihr Unternehmen ein und unterstütze Sie beratend und in der Umsetzung Ihres individuellen Datenschutzkonzeptes.

Verstöße gegen die DSGVO und das BDSG (neu) können sowohl Schadensersatzforderungen, als auch Bußgeld- oder Strafverfahren nach sich ziehen. Betroffene haben das Recht auf Schadensersatz (§83 BDSG (neu), Art. 82 DSGVO), das Recht auf wirksamen gerichtlichen Rechtsbehelf (Art. 77 DSGVO) und das Recht auf Beschwerde bei einer zuständigen Behörde (Art. 76 DSGVO).

Die maximale Höhe der möglichen Geldbußen nach DSGVO liegt bei 20 Millionen Euro oder 4% des globalen Umsatzes. (Art. 83 Abs. 5 DSGVO), die Geldbuße soll wirksam, verhältnismäßig und abschreckend sein (Art. 83 Abs. 1 DSGVO). Zudem sind im Bundesdatenschutzgesetz, BDSG (neu) unter den Paragraphen §41, §42 und §43 weitere ergänzende Rechtsfolgen festgelegt.

Und nun?
Keine Panik. Die Schadensersatzforderungen sind bewusst hoch gesetzt um eine abschreckende Wirkung zu entfalten. Wenn Sie sich umgehend um das Thema Datenschutz in ihrem Unternehmen kümmern und ihr individuelles Datenschutzkonzept im Rahmen ihrer Möglichkeiten erstellen, kann Ihnen nicht viel passieren.

Wir unterstützen Sie gerne als externe Berater bei der Umsetzung und helfen Ihnen bei der Identifizierung und Umsetzung der notwendigen Maßnahmen

Zunächst mal Ruhe bewahren.

Und sich dann am Besten mit uns in Verbindung setzen…

Letztlich geht es darum, sämtlich Prozesse und Begebenheiten im eigenen Unternehmen zu analysieren, zu identifizieren an welchen Stellen personenbezogene Daten erhoben, verarbeitet oder weitergeleitet werden und dies kritisch zu überprüfen, zu dokumentieren um ggf. Maßnahmen zu ergreifen um den neuen Vorschriften Folge zu leisten.

Wir unterstützen Sie gerne als externe Berater bei der Umsetzung und helfen Ihnen bei der Identifizierung und Umsetzung der notwendigen Maßnahmen

Sprechen Sie uns an…