Datenschutz für Unternehmen einfach erklärt

Schaffung einer Datenschutzrichtlinie oder eines Datenschutzhandbuches

Unternehmen sind unter der EU Datenschutz Grundverordnung  verpflichtet, die datenschutzrechtlichen Anforderungen nicht nur punktuell sondern strukturell zu erfüllen. Das heißt konkret: ein Unternehmen muss im Audit-Fall nicht nur nachweisen können, dass es zu einem bestimmten Zeitpunkt datenschutzkonform gearbeitet hat. Es muss vielmehr der Nachweis geführt werden, dass man die datenschutzrechtlichen Anforderungen laufend in der Unternehmenspraxis erfüllt. Die gesetzliche Basis hierfür findet sich in Artikel 5 Absatz 2 EU-Datenschutz-Grundverordnung.

Daher lautet die einheitliche Empfehlung auch der Datenschutz Aufsichtsbehörden, dass Unternehmen (je nach Größe) eine Datenschutzrichtlinie oder ein Datenschutzhandbuch erlassen sollten, um die datenschutzrechtlichen Anforderungen adressieren zu können.

Daher beinhaltet unser Datenschutz-Kit für kleinere Unternehmen eine Datenschutzrichtlinie und basiert unser Compliance-Kit 2.0 für größere Häuser auf einem integrierten Datenschutz-Handbuch.

Verzeichnis der Verarbeitungstätigkeiten

Unternehmen sind ferner verpflichtet, ihre Verarbeitungstätigkeiten in einem schriftlichen Verzeichnis zu dokumentieren. In anderen Worten: ein mit ihren Verarbeitungstätigkeiten nicht im Detail vertrauter Mitarbeiter einer Aufsichtsbehörde sollte nach Durchsicht des Verzeichnisses der Verarbeitungstätigkeiten einen groben Überblick erhalten, wer im Unternehmen wie und welche Daten verarbeitet, wann diese gelöscht werden und wie sie technisch gesichert sind. Gesetzliche Grundlage hierfür bildet Artikel 30 EU-Datenschutz-Grundverordnung.

Sowohl Datenschutz-Kit als auch Compliance-Kit 2.0 beinhalten daher Vorlagen zur Dokumentation Ihres Verzeichnisses der Verarbeitungstätigkeiten. Wir geben den Unternehmen zudem eine Empfehlung an die Hand, welche Verzeichnisse zu Beginn in jedem Fall dokumentiert werden sollten. Bei Bedarf stellen wir auch vorausgefüllte Dokumente zur Vervollständigung an die Hand. Die ausgefüllten Dokumente können dann im Anschluss im Datenschutz-Kit oder im Compliance-Kit 2.0 hochgeladen werden. Dadurch werden diese automatisch versioniert und mit einem Zeitstempel versehen. So erfüllen Sie automatisch die gestiegenen Anforderungen an die Nachweisfähigkeit im Datenschutz für Ihr Unternehmen.

Verträge mit Dritt-Dienstleistern

Unternehmen sind verpflichtet, bei der Auslagerung von Datenverarbeitungstätigkeiten einen Datenschutz-Vertrag mit dem Dienstleister abzuschließen (so genannte Auftragsverarbeitungs-Vereinbarung). Regelmäßig sind dies nach Auffassung der Behörden folgende Fälle:

  • die datenverarbeitungs-technischen Arbeiten für die Lohn- und Gehaltsabrechnungen oder die Finanzbuchhaltung,
  • die Werbeadressenverarbeitung,
  • die Auslagerung eines Teils des eigenen Telekommunikationsanlagenbetriebs,
  • die Auslagerung der E-Mail-Verwaltung oder von Datendiensten zu Web-Sites,
  • die Datenerfassung, Mikroverfilmung oder Datenkonvertierung,
  • die Backup-Sicherheitsspeicherung,
  • die Datenträgerentsorgung.

Eine detaillierte Schilderung seitens der Behörden findet sich auch in folgendem Dokument. Die gesetzliche Verankerung ergibt sich aus Art. 28 EU-Datenschutz-Grundverordnung.

Auch hier können Datenschutz-Kit bzw. Compliance-Kit 2.0 genutzt werden, um zum einen Vertragsvorlagen zu erhalten und zum anderen die abgeschlossenen Verträge hochzuladen und so die eigene Datenschutzkonformität entsprechend der gesetzlichen Vorgaben zu dokumentieren.

Infografik DE

Informationssicherheit und Datenschutz

Die EU Datenschutz Grundverordnung  verstärkt durch eine Erhöhung der Bußgelder die Anforderung für die Unternehmen, die eigenen IT-Systeme branchenüblich gesichert zu führen (gesetzlich geregelt in Artikel 32 EU-Datenschutz-Grundverordnung). Mit anderen Worten: die Unternehmen müssen ausreichende Mittel zur Verfügung stellen, um ihre IT auf dem Stand der Technik zu halten, soweit dieser branchenüblich und bezahlbar ist. Man merkt an der Formulierung: wo genau diese Anforderung im Detail verläuft, ändert sich laufend und kann nicht statisch festgezogen werden.

Fest steht aber: wenn IT-Systeme so deutlich unter dem Mindest-Standard zurückbleiben, dürfen diese nicht zur Verarbeitung personenbezogener Daten eingesetzt werden. Die Datenschutz Aufsichtsbehörden werden daher sukzessive die Einhaltung gewisser Mindeststandards forcieren. Dazu gehört beispielsweise die Verschlüsselung von Notebooks, die serverseitige Verschlüsselung von E-Mails oder das Abschalten nicht mehr aktualisierungsfähiger Betriebssysteme.

Ferner werden die Vorgaben im Bereich Informationssicherheit durch die Aufsichtsbehörden in der Regel in der Form interpretiert, dass Unternehmen ihre IT-Anforderungen laufend überprüfen sollten – analog beispielsweise zu den Anforderungen einer Zertifizierung im Bereich Informations-Sicherheits-Management nach ISO27001.

Im Datenschutz-Kit wie im Compliance-Kit 2.0 sind Vorlagen für die Dokumentation der eigenen IT-Maßnahmen sowie ein Datenschutzkonzept beinhaltet. Wir halten ferner eine Liste mit IT-Mindeststandards vor, welche nach unserer Auffassung nicht unterschritten werden sollten und anhand derer Unternehmen die eigene IT einem Schnell-Check unterziehen können

Webseiten-Datenschutzerklärung und Betroffeneninformation

Die EU Datenschutz Grundverordnung  konstituiert die Anforderung, Betroffene über Datenverarbeitungs-Vorgänge zu informieren (ersichtlich aus Artikel 13 bzw. 14 EU-Datenschutz-Grundverordnung). Mit anderen Worten: wenn ein Unternehmen personenbezogene Daten eines Betroffenen erhebt und verarbeitet, muss dies durch eine Information flankiert werden, was mit diesen Daten im Detail geschieht.

Dies gilt auch für die Erhebung der Daten durch eine Webseite. Wir empfehlen daher üblicherweise, die Betroffen-Information und die Webseiten-Datenschutzerklärung zu kombinieren und so den Informationsverpflichtungen zu entsprechen.

Auch hier finden sich im Datenschutz-Kit bzw. im Compliance-Kit 2.0 entsprechende Vorlagen.

Bestellung Datenschutzbeauftragter und Meldung bei der Aufsichtsbehörde Datenschutz

Unternehmen sind zudem verpflichtet, einen Datenschutzbeauftragten zu bestellen. Details zu den Voraussetzungen finden Sie hier. Die Anforderung ergibt sich aus Artikel 37 EU-Datenschutz-Grundverordnung (ggfs. in Verbindung mit § 38 BDSG). Der Datenschutzbeauftragte ist bei der Aufsichtsbehörde zu melden. Die meisten Datenschutz Aufsichtsbehörden haben hierfür in der Zwischenzeit eigene Melde-Portale auf ihren Webseiten zur Verfügung gestellt.

Im Datenschutz-Kit ist die Bestellung eines Datenschutzbeauftragten für kleine Unternehmen beinhaltet. Das Compliance-Kit 2.0 kann von internen oder externen Datenschutzbeauftragten als Werkzeug genutzt werden.

Sensibilisierung und Schulung von Mitarbeitern

Die EU Datenschutz Grundverordnung  wird dahingehend ausgelegt, dass die Beschäftigten durch das Unternehmen bzw. den Datenschutzbeauftragten geschult werden müssen (abgeleitet aus der so genannten „Rechenschaftspflicht“ in Artikel 5 Absatz 2 EU-Datenschutz-Grundverordnung). Der Schulungsumfang richtet sich dabei nach Branche und Größe des Unternehmens und kann je nach Abteilung variieren. Aufgrund der gestiegenen Anforderungen an die Nachweisbarkeit der eigenen Datenschutzkonformität sind Unternehmen gehalten, die Durchführung von Schulungsmaßnahmen zu dokumentieren. 

Ferner sind die Beschäftigten bei Beginn ihrer Tätigkeit auf die datenschutzrechtlichen Vorgaben zu verpflichten. Entsprechende Vorlagen halten wir im Datenschutz-Kit wie im Compliance-Kit 2.0 zur Verfügung.

Im Datenschutz-Kit wie im Compliance-Kit 2.0 ist die Nutzung unserer webbasierten eLearning-Plattform beinhaltet. Mit dieser können Sie Ihre Beschäftigten per E-Mail im Datenschutz schulen. Die erfolgreiche Schulungsteilnahme wird revisionssicher archiviert. Das Datenschutz-Kit beinhaltet dabei die Basis-Schulungs-Module. Im Compliance-Kit 2.0 finden Sie die volle Auswahl an verfügbaren Schulungs-Modulen. Sämtliche Schulungseinheiten sind zweisprachig in deutscher und englischer Fassung verfügbar. Unser webbasiertes eLearning-System kann bei Bedarf auch ohne Datenschutz-Kit oder Compliance-Kit 2.0 erworben werden.

Datenschutz-Folgenabschätzung

Systeme mit besonderer Verarbeitungsintensität müssen einer detaillierten datenschutzrechtlichen Prüfung unterzogen werden (so genannte Datenschutz-Folgenabschätzung nach Artikel 35 EU-Datenschutz-Grundverordnung). Unter diesem Link finden sie eine beispielhafte Übersicht der Systeme, bei denen nach Ansicht der Aufsichtsbehörden eine solche Prüfung durchzuführen ist.

Auch hier halten wir im Datenschutz-Kit wie im Compliance-Kit 2.0 entsprechende Vorlagen bereit, die nach Bearbeitung zur gesetzlich vorgeschriebenen Dokumentation entsprechend bei uns im System archiviert werden können.

Meldepflichten im Datenverlustfall

Für Unternehmen besonders kritisch ist die unter der EU Datenschutz Grundverordnung  gestiegene Anforderung, im Datenverlustfall die Aufsichtsbehörde bzw. ergänzend auch die Betroffenen informieren zu müssen. Details finden sich in Artikel 33 EU-Datenschutz-Grundverordnung.

Wir halten im Datenschutz-Kit wie im Compliance-Kit 2.0 entsprechende Prozess-Vorlagen mit begleitenden Vorlagen zur Verfügung, anhand derer ein Datenverlustfall behandelt werden kann.

Wahrnehmung von Betroffenenrechten

Betroffenen habe unter der EU Datenschutz Grundverordnung  das Recht, bestimmte Rechte (z.B. auf Auskunft, Löschung, Berichtigung, Sperrung, Herausgabe etc.) gegenüber den Unternehmen geltend zu machen. Ziel ist es den Betroffenen die Möglichkeit zu geben, entsprechend ihrer grundrechtlich geschützten Rechtsposition bei der Verwendung von Daten zur eigenen Position mit entscheiden zu können.

Auch hier sind im Datenschutz-Kit und im Compliance-Kit 2.0 Ablauf-Diagramme und begleitende Vorlagen beinhaltet, anhand derer die Geltendmachung von Betroffenenrechten datenschutzkonform adressiert werden kann.

Sebastian Kraska Var2

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages..

Jetzt beraten lassen

Rückrufservice

 

Beratung vereinbaren