Datenschutz Grundverordnung - DSGVO
Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten, die erstmals eine einheitliche Regelung für den Umgang mit personenbezogenen Daten in ganz Europa vorsieht. Als Bürgerinnen und Bürger ist die DSGVO von enormer Relevanz, da sie Ihre Selbstbestimmung und Kontrolle über Ihre Daten stärkt und Ihnen somit mehr Rechte einräumt. Die neuen Bestimmungen sollen sicherstellen, dass Unternehmen verantwortungsvoll und transparent mit Ihren Daten umgehen und diese nicht unerlaubt oder unangemessen nutzen.
Warum gibt es die Datenschutzgrundverordnung?
Bis zum Jahr 2018 herrschten in der Europäischen Union bezüglich des Datenschutzes sehr unterschiedliche Regelungen und Standards. Doch nun wurde mit dem Erlass des DSGVO-Gesetzes einheitliche Richtlinien geschaffen, welche präzise festlegen, wie Unternehmen und Behörden mit der Verarbeitung personenbezogener Daten umzugehen haben.
Das Ziel dieser Verordnung ist es, einen einheitlichen Datenschutz in der EU zu gewährleisten, um den Flickenteppich verschiedener Regelungen in den unterschiedlichen Ländern zu vermeiden. Stattdessen gilt nun in der gesamten Europäischen Union das gleiche Datenschutzniveau mit durchgängigen gesetzlichen Bestimmungen.
Der EU-weite Anwendungsbereich ist in Artikel 3 der DSGVO genau definiert. Den gesamten Text des DSGVO-Gesetzes können Sie am Ende des Beitrags finden.
Was regelt die Datenschutzgrundverordnung?
Die DSGVO regelt den Umgang mit personenbezogenen Daten und schützt dabei die Rechte der Betroffenen. Diese Rechte gelten nicht nur für Daten im Internet, sondern auch für besonders schützenswerte Daten wie Gesundheitsinformationen, biometrische Daten oder Herkunft. Die DSGVO beinhaltet zwei gegensätzliche Ziele: den Schutz personenbezogener Daten auf der einen Seite und den Schutz des freien Binnenmarktes und des Datenverkehrs in der EU auf der anderen Seite. Diese Ziele sind in Art. 1 und Art. 2 der DSGVO festgelegt.
Bedeutung von Datenschutz im Unternehmen
Wenn es um den Datenschutz im Unternehmen geht, ist es wichtig zu verstehen, dass es nicht nur um die Einhaltung gesetzlicher Vorschriften geht. Vielmehr geht es darum, das Vertrauen der Kunden und Mitarbeiter zu wahren und somit langfristig erfolgreich am Markt agieren zu können.
Datensicherheit ist ein wichtiger Baustein für eine erfolgreiche Unternehmensstrategie. Ein Datenleck kann nicht nur den Ruf des Unternehmens schädigen, sondern auch finanzielle Konsequenzen haben. Daher sollte jedes Unternehmen sich intensiv mit dem Thema auseinandersetzen und Maßnahmen ergreifen, um die Sicherheit der Daten zu gewährleisten.
Dazu gehört beispielsweise die Schulung der Mitarbeiter im Umgang mit sensiblen Daten sowie die Implementierung von technischen Sicherheitsmaßnahmen wie Firewalls oder Verschlüsselungen. Auch eine regelmäßige Überprüfung der Systeme und Prozesse ist unerlässlich, um mögliche Schwachstellen rechtzeitig zu erkennen und zu beseitigen.
Ein effektiver Datenschutz hilft dabei, das Vertrauen der Kunden und Mitarbeiter zu stärken und somit langfristig erfolgreich am Markt agieren zu können.
Wie schützen wir unsere Daten? Wie schützen wir das Vertrauen unserer Kunden und Mitarbeiter? Wenn wir langfristig erfolgreich am Markt agieren wollen, müssen wir uns mit diesen Fragen auseinandersetzen.
Datenschutz im Unternehmen ist kein Luxus, sondern eine Notwendigkeit. Ein Datenleck kann unser Unternehmen in den Ruin treiben und unseren Ruf zerstören. Deshalb müssen wir alles tun, um unsere Daten zu schützen.
Wir müssen unsere Mitarbeiter schulen, damit sie den Umgang mit sensiblen Daten verstehen und beherrschen. Wir müssen technische Sicherheitsmaßnahmen wie Firewalls und Verschlüsselungen implementieren. Und wir müssen unsere Systeme und Prozesse regelmäßig überprüfen, um mögliche Schwachstellen rechtzeitig zu erkennen und zu beseitigen.
Ein effektiver Datenschutz ist der Schlüssel zum Vertrauen unserer Kunden und Mitarbeiter. Nur wenn wir ihre Daten schützen, können wir langfristig erfolgreich am Markt agieren. Also lasst uns gemeinsam dafür sorgen, dass die Energie in unserem Unternehmen sprüht und wir voller Tatendrang in die Zukunft starten können!
Checkliste für Ihren Datenschutz im Unternehmen
1. Bestellung Datenschutzbeauftragter
Es ist möglich, einen Datenschutzbeauftragten sowohl intern als auch extern zu benennen. Wenn Sie sich für einen externen Datenschutzbeauftragten entscheiden, profitieren Sie von dessen spezifischer Schulung und beruflicher Ausrichtung auf das Thema Datenschutz. Zunächst sollten Sie herausfinden, ob Ihr Unternehmen gemäß Artikel 37 der DSGVO verpflichtet ist, einen Datenschutzbeauftragten zu ernennen, oder ob es aufgrund der Komplexität des Themas sinnvoll wäre, dies zu tun.
2. Erstellung einer Datenschutzerklärung
Es ist erforderlich, dass sämtliche betroffenen Personen umfassend über die Verarbeitung ihrer Daten informiert werden und ihre Zustimmung hierzu geben. Eine unverzichtbare Pflicht für jeden Betreiber einer Website ist, eine Datenschutzerklärung in seine Internetpräsenz zu integrieren.
3. Verzeichnis von Verarbeitungstätigkeiten (VVT)
Es ist für jedes Unternehmen erforderlich, ein Verzeichnis aller Datenverarbeitungsvorgänge zu führen, wie in Artikel 30 der DSGVO vorgeschrieben. In diesem Register werden die Verantwortlichkeiten, die Zwecke der Datenverarbeitung sowie die Löschfristen festgelegt.
4. AV-Verträge
Wird ein Dienstleister beauftragt und von einem Verantwortlichen angeleitet, personenbezogene Daten zu verarbeiten, so ist es in bestimmten Fällen notwendig, einen Auftragsverarbeitungsvertrag abzuschließen. Dieser Vertrag legt die Verpflichtungen und Zuständigkeiten beider Parteien fest.
5. Verpflichtung zur Vertraulichkeit
Es ist erforderlich, dass sämtliche Angestellten, die mit personenbezogenen Daten arbeiten, eine schriftliche Verpflichtungserklärung unterzeichnen, welche die Geheimhaltung aller firmeninternen Daten sicherstellt. Diese Maßnahme ist unerlässlich, um den Schutz personenbezogener Daten zu gewährleisten.
6. TOM - Technische und organisatorischen Maßnahmen
Es handelt sich bei den TOM um eine Strategie, welche den verantwortungsbewussten Umgang mit sensiblen personenbezogenen Daten gewährleistet. Dabei können diverse Aspekte wie Mitarbeiter-Benutzerkonten, Berechtigungskonzepte, Videoüberwachung oder abschließbare Schränke für Akten berücksichtigt werden. Die TOM bieten somit eine umfassende Lösung zur Sicherung der Privatsphäre und des Datenschutzes.
7. Mitarbeiterschulung
Datenschutz ist ein facettenreiches Thema, welches entsprechende Schulungen der Mitarbeiter erfordert, um einen rechtmäßigen Umgang mit personenbezogenen Daten zu gewährleisten. Der Mitarbeiter selbst stellt das größte Risiko in Bezug auf Datenschutz dar. Daher ist es unumgänglich, regelmäßige Auffrischungen durchzuführen, um Verstöße und damit verbundene Bußgelder zu vermeiden.
8. Datenschutz-Software / Datenschutzmanagement System
Eine erhebliche Erleichterung bei der Einhaltung des Datenschutzes und eine enorme Zeitersparnis kann durch den Einsatz einer speziellen Software erzielt werden. Ein digitales Datenschutzmanagementsystem, wie die von der Immerce Consulting GmbH bietet hierbei einen einzigartigen Grad an Automatisierung und Intelligenz. Sie entlastet Sie in hohem Maße von der mühsamen Arbeit und ermöglicht es Ihnen, datenschutzrechtliche Verpflichtungen wie VVTs, TOMs oder Mitarbeiterschulungen einfach in Ihren Arbeitsalltag zu integrieren. Eine zentrale, übersichtliche Organisation aller relevanten Aspekte sorgt zudem dafür, dass Sie stets für Anfragen von Behörden, Kunden und Mitarbeitern gerüstet sind.
Die Grundsätze der Datenschutzgrundverordnung für die Verarbeitung von personenbezogenen Daten
Wenn es um die Verarbeitung von personenbezogenen Daten geht, darf dies nur auf rechtmäßige Weise erfolgen und unter Einhaltung spezieller Datenschutzgrundsätze, die in der DSGVO festgelegt sind. Nur durch die Befolgung dieser Grundsätze kann ein datenschutzkonformer Umgang mit Daten gewährleistet werden.
Für Unternehmen, die personenbezogene Daten verarbeiten, ist es essentiell, nicht nur die grundlegenden Richtlinien der DSGVO zu beachten, sondern auch jederzeit in der Lage zu sein, deren Einhaltung auf Nachfrage durch die zuständige Aufsichtsbehörde zu belegen. Im Folgenden wird ein Überblick über die Datenschutzgrundsätze des Artikels 5 der DSGVO gegeben und erläutert, was diese im Einzelnen bedeuten:
Treu und Glauben
Eine angemessene Verarbeitung gemäß Art. 5 Abs. 1 lit. a) DSGVO ist rechtlich anspruchsvoll und erfordert eine sorgfältige Prüfung im Einzelfall unter Berücksichtigung aller relevanten Faktoren. Im Wesentlichen geht es darum zu entscheiden, ob ein bestimmtes Verhalten als aufrichtig und ehrenhaft betrachtet werden kann.
Rechtmäßigkeit
Die Legitimität der Datenverarbeitung gemäß Art. 5 Abs. 1 lit. a) DSGVO wird im Allgemeinen in Art. 6 DSGVO spezifiziert. Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn eine der in Art. 6 Abs. 1 lit. a) bis lit. f) DSGVO aufgeführten Bedingungen erfüllt ist.
Datenminimierung
Im Rahmen der DSGVO ist es unerlässlich, personenbezogene Daten gemäß Artikel 5 Absatz 1 Unterabsatz c) zu verarbeiten. Dabei ist es wichtig, dass die Daten dem jeweiligen Zweck angemessen und erheblich sind und nur in dem Maße verarbeitet werden, wie es für den Zweck erforderlich ist. Dies ist der Grundsatz der Datenminimierung, der es ermöglicht, eine angemessene Verarbeitung von Daten sicherzustellen. Durch die Umsetzung dieses Grundsatzes kann eine rechtlich konforme Verarbeitung von personenbezogenen Daten gewährleistet werden.
Zweckbindung
Die DSGVO legt in Artikel 5 Absatz 1 Buchstabe b den Grundsatz der Zweckbindung fest. Dies bedeutet, dass die Zwecke der Datenverarbeitung bereits bei der Erhebung der personenbezogenen Daten eindeutig, legitim und festgelegt sein müssen. Jedoch ist eine Weiterverarbeitung zu anderen Zwecken möglich, sofern diese nicht im Widerspruch zu den ursprünglichen Erhebungszwecken stehen und eine entsprechende Rechtsgrundlage vorliegt.
Richtigkeit
Unter den Vorgaben der DSGVO ist es zwingend erforderlich, dass personenbezogene Angaben stets in einer sachlich korrekten und aktuellen Form präsentiert werden, wie es in Artikel 5 Absatz 1d vorgeschrieben ist. Sollten in Ausnahmefällen Fehler oder Unzulänglichkeiten in den Daten auftreten, so haben die betroffenen Personen das Recht, gemäß Artikel 16 DSGVO eine Korrektur der entsprechenden Daten zu fordern. Dieses Recht soll sicherstellen, dass jeder Einzelne eine gewisse Kontrolle über die Informationen hat, die über ihn gespeichert werden.
Transparenz
Ein besonders bedeutender Grundsatz der Datenschutz-Grundverordnung (DSGVO) ist Art. 5 Abs. 1 lit. d). Hierbei geht es darum, dass personenbezogene Daten stets sachlich korrekt und auf dem aktuellsten Stand sein müssen. Sollten sich im Laufe der Verarbeitung Unstimmigkeiten ergeben, müssen diese umgehend gelöscht (vgl. Art. 17 Abs. 1 lit. d) DSGVO) oder korrigiert werden (Art. 16 DSGVO). Dies gewährleistet eine hohe Datenqualität und schützt die Rechte der Betroffenen.
Speicherbegrenzung
Gemäß Artikel 5 Absatz 1 Buchstabe e) der Datenschutzgrundverordnung (DSGVO) dürfen personenbezogene Daten nur so lange gespeichert werden, dass eine Identifizierung der Person nur für die Zwecke der Verarbeitung erforderlich ist. Wenn die Speicherung dieser Daten für den Verarbeitungszweck nicht mehr benötigt wird, müssen sie gelöscht werden (Artikel 17 Absatz 1 Buchstabe a) der DSGVO) oder die Identifizierung der betroffenen Person muss aufgehoben werden. Es gibt jedoch Ausnahmen für Archivzwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschungszwecke und statistische Zwecke.
Rechenschaftspflicht
Gemäß Artikel 5 Absatz 2 der Datenschutz-Grundverordnung (DSGVO) ist der Verantwortliche dazu verpflichtet, die darin aufgeführten Datenschutzprinzipien einzuhalten. Aus diesem Grund muss er in der Lage sein, auf Anfrage der Aufsichtsbehörde die Einhaltung der DSGVO überzeugend nachzuweisen. Es ist also von hoher Bedeutung, dass der Verantwortliche jederzeit in der Lage ist, seine DSGVO-Konformität zu belegen.
Integrität & Vertraulichkeit
Es ist unerlässlich, dass personenbezogene Daten mit der gebotenen Sorgfalt verarbeitet werden, um eine angemessene Sicherheit dieser Daten zu gewährleisten. Dabei muss insbesondere darauf geachtet werden, dass unbefugte oder unrechtmäßige Verarbeitung, sowie unbeabsichtigter Verlust, Zerstörung oder Schädigung der Daten vermieden werden. Um dies zu erreichen, sind geeignete technische und organisatorische Maßnahmen zu ergreifen, welche in Art. 32 DSGVO konkretisiert werden.
Datenschutz in kleinen und mittleren Unternehmen
Kleine und mittlere Unternehmen (KMU) stehen oft vor der Herausforderung, den Datenschutz im Unternehmen umzusetzen und zu gewährleisten. Dabei ist es wichtig zu beachten, dass auch KMU personenbezogene Daten verarbeiten und somit für den Datenschutz verantwortlich sind, selbst dann, wenn sie nicht mehr als 20 Mitarbeiter beschäftigen. Insbesondere bei der Verarbeitung von sensiblen Daten wie beispielsweise Gesundheitsdaten oder Bankdaten ist ein hoher Schutz notwendig.
Um den Datenschutz in KMU zu gewährleisten, sollten diese zunächst eine Bestandsaufnahme durchführen und ermitteln, welche personenbezogenen Daten im Unternehmen verarbeitet werden. Dies sollte prozessorientiert durchgeführt werden, d.h. es müssen alle Prozesse im Unternehmen angesehen und überprüfen ob hier personenbezogene Daten verarbeitet werden. Anschließend werden angemessene technische und organisatorische Maßnahmen getroffen, um die Sicherheit dieser Daten zu gewährleisten.
Eine weitere wichtige Maßnahme ist die Sensibilisierung der Mitarbeiter für das Thema Datenschutz. Hierbei sollten Schulungen durchgeführt werden, um das Bewusstsein für den Umgang mit personenbezogenen Daten zu stärken.
Insgesamt gilt: Auch in kleinen und mittleren Unternehmen sollte der Datenschutz einen hohen Stellenwert haben. Durch angemessene Maßnahmen können KMU nicht nur ihre Kunden schützen, sondern auch das eigene Unternehmen vor finanziellen Schäden bewahren.
Aktuelle Bedrohungen für die Datensicherheit
Der Schutz von Unternehmensdaten ist ein wesentlicher Bestandteil des Datenschutzes im Unternehmen. Aktuell gibt es eine große Anzahl von Bedrohungen, die die Sicherheit der gespeicherten Daten gefährden können. Dazu zählen unter anderem Hackerangriffe, Malware-Angriffe sowie Phishing-Attacken.
Unbefugte versuchend dadurch, auf vertrauliche oder sensible Daten zuzugreifen und diese zu missbrauchen. Ebenso können sie versuchen, Systeme zu lahmzulegen oder ganze Netzwerke zu sabotieren. Um solche Bedrohungen abzuwehren, müssen Unternehmen ihre Systeme mit entsprechenden Sicherheitsmaßnahmen schützen.
Dazu gehört beispielsweise die regelmäßige Aktualisierung der Viren-Software, eine starke Firewall sowie ein umfassendes Passwortmanagement. Darüber hinaus muss das Unternehmen eine verantwortungsbewusste Kultur innerhalb des Teams schaffen, um Risiken und Gefahren zu minimieren und Vorfälle frühzeitig zu erkennen und zu vermeiden. Auf diese Weise kann ein effektiver Schutz vor aktuellen Bedrohung für die Datensicherheit gewährleistet werden.
Verarbeitung personenbezogener Daten nach Artikel 5 und Artikel 6
Artikel 5 der DSGVO legt die Grundsätze für die Verarbeitung personenbezogener Daten fest. Dazu gehören Unversehrtheit und Vertraulichkeit, Zweckbindung sowie Transparenz. Derartige Daten dürfen nur nach vorheriger Zustimmung der betroffenen Person verarbeitet werden und müssen in einer Weise gespeichert werden, die eine angemessene Sicherheit gewährleistet.
Artikel 6 enthält Bestimmungen über den rechtmäßigen Zweck der Verarbeitung personenbezogener Daten. Hier wird explizit auf die Rechtmäßigkeit der Verarbeitung hingewiesen, für den eine Person ihre persönlichen Informationen preisgegeben hat. Es ist zwingend notwendig, dass bei jeder Verarbeitung von personenbezogenen Daten die Erlaubnis der betroffen Person vorliegt. Außerdem sollten Unternehmen bei der Verarbeitung solcher Daten strenge Sicherheitsmaßnahmen ergreifen, um einen Missbrauch zu vermeiden.
In der EU gibt es strenge Richtlinien für die Verarbeitung personenbezogener Daten, um die Rechte des Einzelnen zu schützen. Jedes Unternehmen, das solche Daten verarbeitet, muss sich u.A. an Artikel 5 und 6 der DSGVO halten und gleichzeitig angemessene Sicherheitsvorkehrung treffen.
Verankerung des Datenschutzes in der Unternehmenskultur
Um sicherzustellen, dass die persönlichen und sensiblen Informationen der Kunden und Mitarbeiter geschützt werden, muss ein angemessenes Maß an Verantwortung und Pflichten von Seiten des Unternehmens übernommen werden. Diese Verantwortung muss jedoch nicht nur von oben nach unten durchgesetzt werden. Eine effektive Implementierung von Datenschutz in einer Organisation erfordert auch die Einbindung der Führungskräfte und Mitarbeiter auf allen Ebenen.
Durch die Verankerung des Datenschutzes in der Unternehmenskultur können Unternehmen das Bewusstsein für die Bedeutung des Schutzes persönlicher und vertraulicher Informationen schärfen und sicherstellen, dass alle Mitarbeiter, vom CEO bis zum Lagerarbeiter, verpflichtet sind, entsprechend den Richtlinien des Unternehmens zu handeln. Indem alle Mitarbeiter dazu ermutigt werden, Verantwortung für den Schutz der Privatsphäre anderer zu übernehmen, stellt das Unternehmen sicher, dass seine Datenschutzverpflichtungen erfüllt werden.
Daher ist es unerlässlich, dass jedes Unternehmen Strategien entwickelt, um den Datenschutz als integrales Element der Kultur der Organisation zu etablieren: mit klaren Richtlinien und strengen Verfahren für die Datenerhebung und -speicherung; mit regelmäßigen Schulungsprogrammen für alle Mitarbeiter; sowie mit wirksamen Audit-Prozessen zur Überprüfung all dieser Verfahren. Auf diese Weise können Unternehmen ihrer Pflicht zum Schutz von Kundendaten optimal nachkommen.
Unsere Leistungen im Bereich Datenschutz
Für Unternehmen in jeder Branche hat der Schutz von Daten höchste Priorität. Das gilt vor allem für personenbezogene Daten. Nach den Grundsätzen der DSGVO sind personenbezogene Daten besonders zu schützen.
Was das für Sie bedeutet: Ihr Unternehmen muss einen DSGVO-konformen Umgang mit Daten nachweisen können.
Dazu gehört die Entwicklung eines Datenschutzkonzepts, die Implementierung von datenschutzkonformen Prozessen, Datenschutzfolgenabschätzungen, die Schulung von Mitarbeitern sowie die kontinuierliche Überwachung der Datensicherheit.
Lassen Sie all diese Aufgaben von uns übernehmen! Wir kümmern uns als Ihr externer Datenschutzbeauftragter um den Datenschutz in Ihrem Unternehmen, während Sie sich auf Ihr Kerngeschäft konzentrieren können.
Ist ein Datenschutzkonzept Pflicht?
In der DSGVO ist nicht konkret festgelegt, unter welchen Umständen ein Datenschutzkonzept Pflicht ist. Trotzdem lässt sich die Verpflichtung zur Erstellung eines Datenschutzkonzepts aus den Artikeln der DSGVO ableiten.
Die Rechenschaftspflicht wird in Art. 5, Abs. 2 DSGVO festgehalten:
„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‘Rechenschaftspflicht’).“
Art. 5, Abs. 1 DSGVO sieht die Einhaltung folgender Regelungen vor:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
Ein Unternehmen muss gemäß der Rechenschaftspflicht also die eine rechtmäßige, zweckgebundene und transparente Datenverarbeitung vorweisen können. Das ist nur möglich, wenn die Datenverarbeitungsvorgänge und die Maßnahmen zum Datenschutz ausreichend dokumentiert werden.
Nicht nur gegenüber den Aufsichtsbehörden müssen Unternehmen Rechenschaft ablegen. Die Personen, deren personenbezogene Daten vom Unternehmen verarbeitet werden, haben nach Art. 15 DSGVO ein Recht auf Auskunft. Um dieser Auskunftspflicht nachkommen zu können, muss dokumentiert worden sein, wie die personenbezogenen Daten verarbeitet wurden. Das erfolgt in Form eines Datenschutzkonzepts.
Nach Art. 24 DSGVO muss zudem der Verantwortliche, meist der Datenschutzbeauftragte, die Erfüllung seiner Pflichten und damit die Umsetzung technischer und organisatorischer Maßnahmen zum Datenschutz nachweisen können. Auch hierfür ein Datenschutzkonzept hilfreich.
Kommt es zu einer meldepflichtigen Datenschutzpanne, muss diese nach Art. 33 DSGVO innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Ein Datenschutzkonzept hilft dabei, einen Überblick über das Ausmaß der Datenschutzpanne zu bekommen und die Folgen abschätzen zu können.
Ein Datenschutzkonzept ist also nicht direkt Pflicht, aber indirekt notwendig, um den Regelungen der DSGVO nachkommen zu können.
Diese Vorteile hat ein Datenschutzkonzept
Ein Datenschutzkonzept ist für eine reibungslose Umsetzung der Regelungen der DSGVO unverzichtbar, denn es bringt viele Vorteile mit sich. Mit einem Datenschutzkonzept können Sie problemlos jederzeit der Rechenschaftspflicht nachkommen, den Aufsichtsbehörden gegenüber Transparenz zeigen und beweisen, dass Ihr Unternehmen es mit dem Datenschutz ernst meint. Das macht Ihr Unternehmen auch gegenüber Kunden und Stakeholdern vertrauenswürdig. Auch für eine DSGVO-konforme Umsetzung von Datenschutzmaßnahmen ist ein Datenschutzkonzept hilfreich. Mitarbeiter haben so jederzeit Zugang zu den festgelegten Prozessen für die Datenverarbeitung und können sich an den Richtlinien orientieren.
Diese Informationen gehören in ein Datenschutzkonzept
- Ziele des Datenschutzkonzepts
Geben Sie Ort und Datum der Erstellung des Datenschutzkonzepts und der letzten Aktualisierung an. Legen Sie anschließend dar, welche Ziele Ihr Datenschutzkonzept hat. Das sind in der Regel die Dokumentation von Verarbeitungsvorgängen und Maßnahmen für die Aufsichtsbehörden und Betroffene und damit die Erfüllung der Rechenschaftspflicht und Auskunftspflicht sowie die Angabe von Richtlinien für Mitarbeiter.
- Angabe der zuständigen Person/des Datenschutzbeauftragten
Geben Sie an, wer in Ihrem Unternehmen für die Überwachung der Einhaltung der DSGVO zuständig ist. Falls Sie zur Ernennung eines Datenschutzbeauftragten (DSB) verpflichtet sind, geben Sie die Kontaktdaten des internen oder externen DSB an.
- Dokumentation der Datenverarbeitung
Nun folgt eine Beschreibung der Verarbeitung personenbezogener Daten in Ihrem Unternehmen.
Das Datenschutzkonzept sollte die Antwort auf folgende Fragen beinhalten:
- Welche Mitarbeiter verarbeiten auf welche Weise personenbezogene Daten?
- Wessen personenbezogene Daten werden verarbeitet?
- Zu welchem Zweck werden die personenbezogenen Daten verarbeitet?
- Wo werden die personenbezogenen Daten gespeichert bzw. aufbewahrt?
- Unter welchen Umständen werden personenbezogene Daten an wen weitergegeben?
- Wann werden die personenbezogenen Daten gelöscht bzw. vernichtet?
- Angabe von Maßnahmen zum Datenschutz
Halten Sie im Datenschutzkonzept die technischen und organisatorischen Maßnahmen fest, mit denen in Ihrem Unternehmen personenbezogene Daten geschützt werden. Beantworten Sie die folgenden Fragen:
- Wie werden die personenbezogenen Daten anonymisiert und/oder verschlüsselt, um die Rechte und Freiheiten Betroffener zu schützen?
- Wer hat Zugriff auf die personenbezogenen Daten?
- Wie wird die dauerhafte Löschung bzw. Vernichtung personenbezogener Daten nach der Aufbewahrungsfrist sichergestellt?
- Wie wird sichergestellt, dass personenbezogene Daten nicht von Unbefugten und/oder nach Ablauf der Aufbewahrungsfrist aufbewahrt werden?
- Wie wird verhindert, dass personenbezogene Daten nicht an unbefugte Dritte weitergegeben werden?
- Wie wird bei der rechtmäßigen Weitergabe von personenbezogenen Daten an Dritte die Datensicherheit gewährleistet?
- Maßnahmen im Falle von Datenschutzverstößen
Trotz aller Vorkehrungen kann es immer mal wieder zu einer Datenschutzpanne oder anderweitigen Datenschutzverstößen kommen. Ihr Unternehmen sollte für einen solchen Fall gerüstet sein und die Maßnahmen im Falle einer Datenschutzpanne im Datenschutzkonzept festhalten. Beantworten Sie folgende Fragen:
- Welche Risiken technischer und organisatorischer Art für eine Datenschutzpanne gibt es im Unternehmen?
- Können Mitarbeiter (anonym) Datenschutzverstöße melden?
- Welche Person ist für die Entgegennahme von Hinweisen auf Datenschutzverstöße zuständig?
- Wie werden Hinweisgeber im Unternehmen geschützt?
- Welche Maßnahmen bestehen zur Schadensbegrenzung im Falle einer Datenschutzpanne?
- Gibt es eine Datenschutzfolgenabschätzung? Anhand welcher Kriterien wird das Risiko für die Rechte und Freiheiten Betroffener im Falle einer Datenschutzverletzung abgeschätzt?
- Wie lauten die Folgemaßnahmen nach einer Datenschutzverletzung?
Um diese Fragen in Ihrem Datenschutzkonzept beantworten zu können, müssen Sie eine Datenschutzfolgenabschätzung erstellen. Außerdem müssen Sie wissen, wie Sie im Falle einer Datenschutzpanne zu reagieren haben und in Ihrem Unternehmen ein Hinweisgebersystem etablieren.
Lassen Sie sich bei Erstellung eines Datenschutzkonzepts helfen
Das ist nur eine grobe Struktur für ein Datenschutzkonzept. Was genau in ein Datenschutzkonzept hineingehört, hängt vom jeweiligen Unternehmen ab. Sie können sich an dieser Übersicht orientieren. Für die Erstellung eines Datenschutzkonzepts sind jedoch umfangreiche Fachkenntnisse zu den Regelungen der DSGVO und des Bundesdatenschutzgesetzes (BDSG) erforderlich. Die Datenverarbeitungsvorgänge und Datenschutzmaßnahmen im Unternehmen müssen nicht nur dokumentiert, sondern vorab erst einmal festgelegt werden. Die Erstellung eines Datenschutzkonzepts erfordert daher ein hohes Maß an Geduld und Sorgfaltund ist ein großer Aufwand für den internen Datenschutzbeauftragten und die Geschäftsführung.
Lassen Sie sich stattdessen von einem externen Datenschutzbeauftragten helfen. So vermeiden Sie Fehler, sparen Zeit und stehen von Beginn an auf der sicheren Seite. Als externer DSB helfen wir, die Immerce Consulting, Ihnen bei der Entwicklung eines Datenschutzkonzepts, das genau auf die Prozesse in Ihrem Unternehmen zugeschnitten ist. Wir kümmern uns um eine detaillierte Angabe aller Datenverarbeitungsvorgänge und Datenschutzmaßnahmen. Vorab erarbeiten wir mit Ihnen gemeinsam DSGVO-konforme Richtlinien für die Datenverarbeitung sowie Datenschutzmaßnahmen in Ihrem Unternehmen.
Uns können Sie vertrauen, denn wir wissen, worauf es bei einem Datenschutzkonzept ankommt!
FAQ
Was sind die Grundsätze der DSGVO?
Das sind die wichtigsten Grundsätze der DSGVO:
- Daten müssen gemäß Art. 5 Abs. 1 lit. a DSGVO rechtmäßig und transparent verarbeitet werden und den Grundsätzen von Treu und Glauben entsprechen.
- Daten dürfen gemäß Art. 5 Abs. 1 lit. a DSGVO nur für festgelegte, eindeutige und legitime Zweckeerhoben und verarbeitet werden.
- Daten dürfen laut Art. 5 Abs. 1 lit. d DSGVO nur verarbeitet werden, wenn diese auch wirklich erforderlich und dem Zweck nach angemessen sind.
Neben den konkreten Regelungen zum Umgang mit personenbezogenen Daten werden in der DSGVO und im BDSG auch allgemeine Grundlagen für den Datenschutz formuliert.
Die oben genannten Regelungen fallen unter diese allgemeinen Grundsätze. Unternehmen und andere Organisationen, welche personenbezogene Daten sammeln, sind verpflichtet, die Einhaltung der Datenschutzgrundsätze und der DSGVO-Vorlagen zu belegen, woraus sich eine umfassende Dokumentationspflicht ergibt.
Was ist der Unterschied zwischen Datenschutz und Datensicherheit?
Die Frage über die Unterschiede zwischen Datenschutz und Datensicherheit kommt öfter auf, da die beiden Begriffe gerne verwechselt werden.
Eine klare Abgrenzung der beiden Begrifflichkeiten ist nicht ohne weiteres möglich. Datenschutz und Datensicherheit beschreiben zwei verschiedene Bereiche, welche sich im Wesentlichen unterscheiden,jedoch auch eine Schnittmenge haben.
Die folgenden Definitionen sollen jedoch etwas Licht ins Dunkel bringen und zur Orientierung dienen.
Datenschutz dient dem Schutz der Persönlichkeitsrechte des Einzelnen vor dem Missbrauch seiner personenbezogenen Daten. An wen die persönlichen Daten weitergegeben werden, und wie diese verwendetet werden, sollte jeder Mensch selbst entscheiden können.
Dank des Datenschutzrechts wird jedem Individuum das Recht gewährt, eigene Entscheidungen bezüglich der Verarbeitung seiner persönlichen Daten zu treffen.
Datensicherheit ist die technische Sicherheit von Daten, also beispielsweise der Schutz des Unternehmensservers, der E-Mails vor Viren oder Trojanern, aber auch Backup-Strategien.
Datensicherheit, auch IT-Sicherheit genannt, sollte auf keinen Fall mit Datenschutz verwechselt werden.
Da Datenschutz ohne das Sicherstellen von Daten undenkbar ist, sind Unternehmen zur Einhaltung gewisser technischer und organisatorischer Maßnahmen verpflichtet.
Was passiert bei Verstößen gegen die DSGVO?
In der DSGVO sind in nahezu jedem Kapitel Pflichten niedergeschrieben, welchen von verantwortlichen Stellen wie beispielsweise Unternehmen, Behörden und Vereinen eingehalten werden sollten. Werden diese Regelungen nicht eingehalten, liegt ein Verstoß gegen die Vorschriften der DSGVO vor.
Die Folgen bei einem Verstoß fallen aber nicht immer gleich aus, sondern werden an zwei Kriterien festgelegt. Zum einen richten sie sich immer nach dem jeweiligen Gesetz und Regelwerk, wie z. B. nach DSGVO, dem BDSG oder den Datenschutzgesetzen der Länder. Zum anderen orientieren sie sich an den Konsequenzen, welche in den jeweiligen Gesetzen definiert sind.
In den meisten Fällen muss ein Unternehmen bei Verstößen mit Bußgeldern rechnen. Jedoch ist es darüber hinaus auch möglich, dass andere Konsequenzen erforderlich sind, zum Beispiel eine Freiheitsstrafe für natürliche Personen.
Neben den eben genannten Strafen sind auch wettbewerblichen Folgen in Form von Schadensersatzansprüchen und Abmahnungen, sowie Schadensersatzansprüchen von betroffenen natürlichen Personen speziell geregelt.
Wie meldet man einen Datenschutzverstoß?
Sobald eine Person der Auffassung ist, dass die Verarbeitung der eigenen personenbezogenen Daten gegen die DSGVO verstößt, kann sie den Vorfall melden.
Gemeldet wird der Verstoß bei einer Aufsichtsbehörde in dem Mitgliedsstaat des gewöhnlichen Aufenthaltsortes, des Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Die Aufsichtsbehörde hat dann die Möglichkeit, ein Bußgeldverfahren gegen die verantwortliche Stelle einzuleiten.
Verantwortliche Unternehmen haben die Pflicht, Verstöße gegen den Datenschutz in der Form von Datenpannen unverzüglich binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Eine Ausnahme besteht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Sie möchten Datenschutzverstöße in Ihrem Unternehmen vermeiden? Wir kümmern uns um die DSGVO-Konformität in Ihrem Unternehmen und übernehmen die Kommunikation mit der Aufsichtsbehörde.