fbpx

Wissenswertes über Datenschutz

Was ist Datenschutz?

Datenschutz bedeutet vor allem, personenbezogene Daten vor Missbrauch zu schützen.

Jeder Mensch hat das Recht auf informelle Selbstbestimmung. Das Gesetz regelt, wer welche Daten und Informationen erhalten, weitergeben oder verarbeiten darf.

Was bedeutet das für Unternehmen?

Unternehmen müssen sich die Einwilligung der Personen einholen, deren Daten sie speichern, verarbeiten oder weitergeben. Je nachdem, zu welchem Zweck und zu welchem Nutzen ein Unternehmen Daten verarbeitet, kommen verschiedene Regelungen zum Einsatz.

Konkret bedeutet das für Ihr Unternehmen

  • Brauchen Sie einen Datenschutzbeauftragten? Oder eine externe Beratung?
  • Werden vertrauliche Daten (z.B. Mitarbeiter- oder Kundendaten) in Ihrem Unternehmen sorgfältig gesichert und geschützt?
  • Sind Ihre Mitarbeiter im Umgang mit Daten geschult?
  • Gibt es Zugriffsregeln für Ihr Netzwerk?
  • Sind Ihre Daten und Informationen ausreichend vor Schadsoftware geschützt?
Datenschutzleck

Beauftragung für Datenschutz

Der Datenschutzbeauftragte ist innerhalb eines Unternehmens für den betrieblichen Datenschutz verantwortlich:

  • wenn das Unternehmen mindestens 10 Mitarbeiter hat, die Daten verarbeiten
  • wenn der Detailgrad der personenbezogenen Daten sehr hoch ist
  • wenn der Kern des Geschäfts die Verarbeitung personenbezogener Daten ist
Datenschutzbeauftragter
Was sind die Aufgaben eines Datenschutzbeauftragten?

Der Datenschutzbeauftragte ist hauptverantwortlich für alle Aufgaben, die mit dem betrieblichen und personenbezogenen Daten und deren Verarbeitung zu tun haben.

Diese Rolle kann von einem internen Mitarbeiter übernommen werden, aber auch als externe Dienstleistung zugekauft werden. Letzteres ist häufig günstiger und bringt zusätzlich eine bessere Absicherung der Haftung mit sich.

Wie bestellt man einen Datenschutzbeauftragten?

Die Ernennung oder Bestellung eines Datenschutzbeauftragten kann von der Geschäftsführung oder einer Person mit Prokura durchgeführt werden. Der Datenschutzbeauftragte muss eine speziell geschulte Person sein und kann mittels Bestellurkunde ernannt werden.

Die neue EU Datenschutz-Grundverordnung

Mit ihren neuen Datenschutzregeln hat die europäische Kommission bislang viele Reaktionen hervorgerufen.

Die Auslegung und Auswirkung der neuen Regelungen ist noch nicht absehbar und beschäftigt die Gerichte in zahlreichen Verfahren. Das macht viele Unternehmen nervös und unsicher, denn es drohen hohe Geldbußen und Strafen, wenn die Datenschutzgrundverordnung (DSGVO) nicht gesetzeskonform angewandt wird.

Was ist neu?

Erweiterte Informationspflichten

Die Personen, deren Daten bei Formularen, wie z.B. Einwilligungserklärungen, Eingabeformulare oder Gewinnspielkarten verarbeitet werden, müssen ihre Zustimmung zur Art der Verarbeitung geben. Unternehmen haben die Pflicht, betroffene Personen umfassend zu informieren.

Datenschutzbeauftragte(r)

Ein Unternehmen muss einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte bestellen, sobald die Mitarbeiteranzahl neun Mitarbeiter übersteigt.

Dokumentationspflichten organisieren

Unternehmen müssen ein Verarbeitungsverzeichnis erstellen, in dem alle Tätigkeiten aufgeführt sind, die mit der Verarbeitung personenbezogener Daten in Verbindung stehen. Das ist z.B. in der Personalverwaltung, Lohnabrechnung, Kundenverwaltung oder bei vielen Werbemaßnahmen der Fall.

Auftragsdatenverarbeitung

Unternehmen müssen sicherstellen, dass andere, z.B. Partner oder Dienstleister mit denen sie zusammenarbeiten, vertrauliche Daten entsprechend rechtskonform verarbeiten. Das bedeutet, dass Sie auch für externe Dienstleister zur Rechenschaft gezogen werden können, wenn kein entsprechender Vertrag zur Auftragsdatenverarbeitung vorliegt.

Schulungen für Mitarbeiter

Mitarbeiter, die mit personenbezogenen Daten zu tun haben, sollten im Umgang mit diesen Daten geschult sein. Nur wenn Sie Ihre Mitarbeiter für das Thema sensibilisieren und stetig fortbilden, können Sie als Unternehmer sicher sein, dass die DSGVO eingehalten wird.

DSGVO

Auftragsdatenverarbeitung

Unternehmen können auch für das rechtswidrige Handeln externer Dienstleister zur Rechenschaft gezogen werden, wenn kein entsprechender Vertrag zur Auftragsdatenverarbeitung vorliegt.

Fast jedes Unternehmen muss im Rahmen der neuen Datenschutzgrundverordnung (DSGVO) einen solchen Vertrag mit seinen Dienstleistern und Partnern schließen.

Wenn ein Unternehmen z.B. Google Analytics verwendet, einen Newsletter über externe Anbieter versendet, die Lohnabrechnung über externe Dienstleister organisiert oder das Rechenzentrum auslagert, ist ein Vertrag zur Auftragsdatenverarbeitung Pflicht.

Auftragsdatenverarbeitung

Datenschutzerklärung

Besucher einer Website müssen sich zu jeder Zeit informieren können, welche Daten von ihnen beim Besuch erfasst, gespeichert oder verarbeitet werden.

Fast jedes Unternehmen mit eigener Website erfasst die Daten der Website-Besucher. Standardmäßig wird oft z.B. die Verweildauer und über die IP-Adresse des Computers auch der Standort des Nutzers erfasst.

Was ist neu?

Bisher musste die Datenschutzerklärung den Nutzer über Umfang, Art, Zweck und Verwendung der personenbezogenen Daten informieren. Mit der neuen Datenschutzgrundverordnung (DSGVO) werden diese Informationen dem Nutzer explizit zur Verfügung gestellt.

Das macht die Rechte der Betroffenen sichtbarer und ermöglicht, dass Nutzer detaillierteren Einblick erhalten.

Datenschutzerklärung

FAQ

Ab wann gilt die EU-Datenschutzgrundverordnung?

Die neue EU-Datenschutz Grundverordnung ist seit dem 24.05.2016 in Kraft getreten. Nach der im EU-Amtsblatt geregelten Übertrittszeit von zwei Jahren kommt sie nach Inkrafttreten seit dem 25.05.2018 zur Anwendung.

Für wen gilt die neue Verordnung?

Die neue Verordnung gilt für alle Unternehmen, Organisationen und Vereine, welche ganz oder teilweise personenbezogene Daten verarbeiten bzw. speichern. Personenbezogene Daten sind z.B. Name, Anschrift und weitere Daten über bestimmte Personen, z.B. auch eigene Mitarbeiter, Kunden oder Mitglieder.

Was sind die wichtigsten Veränderungen?

Personengebundene Daten müssen schützt werden und Gefahren und Risiken müssen durch ein entsprechend umfangreiches Sicherheitsniveau abgedeckt sein – so verlangt es die neue DSGVO. Betroffene dürfen die Löschung von Daten beanspruchen, wenn es für die Verwendung der Daten keine Berechtigung mehr gibt. Außerdem besteht eine erweiterte Dokumentationspflicht: Unternehmen müssen Rechenschaft über die Einhaltung der datenschutzrechtlichen Grundsätze ablegen. Wichtig ist, dass bei jeder Art der Datenverarbeitung eine gesetzliche Einwilligung der Betroffenen vorliegt.

Was muss mein Unternehmen tun?

Leider gibt es keine pauschale und generelle Antwort auf diese Frage. Jedes Unternehmen ist spezifisch und erledigt Aufgaben auf seine eigene Art und Weise. Auch sind die Anforderungen je nach Branche und Unternehmensgröße sehr verschieden. Welche Prozesse und Dokumente Sie also in Ihrem Unternehmen überprüfen sollten, kann Ihnen ein geschulter Datenschutzexperte sagen.

Wer gibt Hilfestellung bei Fragen zu den neuen Regelungen?

Sie haben als Unternehmen die Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen. Dieser kümmert sich um alle Angelegenheiten rund um Ihren Datenschutz. Sollten Sie die neuen Regelungen selbst umsetzen wollen, empfiehlt es sich, die Beteiligten entsprechend zu schulen. Bei Fragen zum Thema Datenschutz können Sie sich im Allgemeinen auch an einen Datenschutzexperten oder Berater wenden.

Was passiert, wenn ich gegen Regelungen verstoße?

Bisher sind nach  §43 BDSG Bußgelder von bis zu 300.000 Euro pro Fall möglich. Ebenso können strafrechtliche Konsequenzen drohen. Mit der neuen DSGVO kann die Maximalsumme für ein Bußgeld bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes ausmachen.

Häufige Fragen zur DSGVO

Personenbezogene Daten

Personenbezogene Daten sind nach europäischem Recht (EU DSGVO) alle Informationen, die sich auf eine natürliche Person beziehen und so Rückschlüsse auf deren Persönlichkeit erlauben. Dieses schließt auch die Informationen ein, die auf natürliche Personen beziehbar sind.

Im Besonderen können personenbezogene Daten zum Beispiel politische oder religiöse Ansichten, Gesundheitsdaten, Sexualität und die kulturelle oder ethnische Abstammung/Herkunft sein. Nach Ansicht des Gesetzgebers sind diese „besonders schützenswert“.

Datenschutz für kleine Unternehmen

Die DSGVO ist für kleine wie für große Unternehmen gleichermaßen gültig und rechtsverbindlich. An alle Unternehmen werden dieselben Anforderungen gestellt, wenn es um Nachweise, Speicherung, Sicherheit und Schutz der erhobenen Daten geht. Um rechtskonform agieren zu können, erfordert es ein gutes Wissen zur Gesetzeslage und zu den daraus entstehenden Anforderungen an Ihr Unternehmen.

Hierbei unterstützen wir Sie.

Datenschutz vs. Datensicherheit

Beim Datenschutz geht es darum, ob Daten erhoben oder gespeichert werden dürfen.
Datensicherheit beschreibt den Schutz vor unrechtmäßigem Zugriff auf Daten.

Was passiert im Falle einer Datenpanne?

Seit dem 25. Mai 2018 müssen alle arten von Datenpannen genaustens dokumentiert werden. So will es Art. 33 Abs. 5 EU-DSGVO.

Darüber hinaus müssen solche Pannen, bei denen ein Risiko für die Betroffenen in Hinblick auf Rechte und Freiheiten entsteht innerhalb von 3 Tagen (72 Stunden) an die zuständige Datenaufsichtsbehörde gemeldet werden. In Deutschland ist dies eine zentrale Stelle je Bundesland.

Solche Datenpannen können beispielsweise sein, wenn Briefe oder E-Mail falsch versendet oder  Pakete falsch adressiert werden, Akten verloren gehen oder USB-Stick oder andere Datenträger entwendet werden.

© Lanz Services GmbH