Die Datenschutzgrundverordnung (DSGVO) der Europäischen Union ist seit dem 25. Mai 2018 in Kraft. In Deutschland sind Unternehmen, Organisationen und Vereine verpflichtet, die Bestimmungen der DSGVO einzuhalten. Ergänzend sind die Vorgaben aus dem Bundesdatenschutzgesetz (BDSG) zu beachten.
Hier sind einige Hausaufgaben, die Unternehmen zur DSGVO haben:
1. Datenschutzbeauftragten ernennen: Unternehmen, die personenbezogene Daten verarbeiten, müssen unter bestimmten Voraussetzungen einen Datenschutzbeauftragten ernennen. Diese Person ist für die Überwachung der Einhaltung der DSGVO und für die Schulung der Mitarbeiter im Datenschutz zuständig. Faustregel: Wenn 20 oder mehr Mitarbeiter regelmäßig mit IT-Systemen auf personenbezogene Daten zugreifen, liegt eine Bestellpflicht vor.
2. Verarbeitungsverzeichnis erstellen: Unternehmen müssen ein Verzeichnis aller personenbezogenen Daten führen, die sie verarbeiten. Dieses Verzeichnis sollte Informationen darüber enthalten, welche Daten verarbeitet werden, zu welchem Zweck und an wen die Daten weitergegeben werden. Auch die Rechtsgrundlage für die Verarbeitung und die Dauer der Vorhaltung von Daten ist von hoher Bedeutung. Ein Löschkonzept mit Vorgaben und Verfahren zur Löschung personenbezogener Daten ergänzt das Verzeichnis der Verarbeitungstätigkeiten.
3. Einwilligung der betroffenen Person einholen: Unternehmen müssen die Einwilligung der betroffenen Person einholen, wenn die Rechtsgrundlage „Einwilligung“ relevant ist. Dies ist z.B. bei Newslettern der Fall, bei Verwendung von Mitarbeiterfotos oder auf der Homepage (Cookie-Einwilligugn). Die Einwilligung muss freiwillig, informiert und eindeutig sein.
4. Informationspflichten erfüllen: Betroffene Personen müssen über Verarbeitungen personenbezogener Daten informiert werden. Allgemein bekannt ist dies im Bereich der Internetseiten durch die häufig aufzufindende Datenschutzerklärung. Auch außerhalb der Website bestehen Informationspflichten, die umgesetzt werden müssen, z.B. gegenüber Bewerbern, Mitarbeitern, Geschäftspartnern (Kunden, Interessenten, Lieferanten) und in den sozialen Netzwerken.
5. Sicherheit der Verarbeitung umsetzen: Unternehmen müssen angemessene technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dazu gehören beispielsweise Verschlüsselung, Zugangskontrollen, Datensicherungen und regelmäßige Überprüfungen.
6. Auftragsverarbeitungsvertrag abschließen: Wenn ein Unternehmen einen Dienstleister beauftragt, personenbezogene Daten zu verarbeiten, muss eine Vereinbarung zur Auftragsverarbeitung abgeschlossen werden. In diesem Vertrag müssen die Verpflichtungen des Dienstleisters in Bezug auf den Datenschutz festgelegt werden. Bei Einsatz von Dienstleistern außerhalb der EU (z.B. Clouddienste) kommen die EU-Standardvertragsklauseln und das „EU-US Data Privacy Framework“ in Frage
7. Datenschutz-Folgenabschätzung durchführen: Unternehmen müssen eine Datenschutz-Folgenabschätzung durchführen, wenn eine geplante Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Dies gilt beispielsweise im Bereich der Videoüberwachung
8. Meldepflicht bei Datenpannen: Unternehmen müssen jede Datenpanne, bei der personenbezogene Daten verloren gehen, gestohlen oder unrechtmäßig weitergegeben werden, innerhalb von 72 Stunden an die zuständige Datenschutzbehörde melden. Bei hohem Risiko müssen die betroffenen Personen schnellstmöglich benachrichtigt werden.
9. Regelungen zu Betroffenenrechten: Diejenigen Personen, deren personenbezogene Daten verarbeitet werden, sind die betroffenen Personen und diesen stehen wichtige Rechte zu. Neben dem Recht aus Auskunft ist hier insbesondere das Recht aus Löschung zu nennen.
10. Regelmäßige Kontrolle: Die Datenschutzgrundverordnung (DSGVO) versteht den Datenschutz als Managementsystem. Des führt dazu, dass die Verfahren und Dokumentationen regelmäßig kontrolliert und aktualisiert werden.
Diese Hausaufgaben sind nur einige der wichtigsten Schritte, die Unternehmen in Deutschland zur Einhaltung der DSGVO unternehmen müssen. Die vollständige Liste der Anforderungen und Verpflichtungen finden Sie in der DSGVO selbst.
Haben Sie Fragen zu Datenschutz, zum externen Datenschutzbeauftragten oder zur Informationssicherheit? Sprechen Sie gerne mit unserem Beratungsteam.
Unser Blogangebot stellt lediglich einen unverbindlichen Informationszweck und keine Rechtsberatung dar. Sie spiegelt stets nur die Meinung des Autors wider. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit.
Über den Autor: Markus Olbring ist Inhaber und Geschäftsführer der comdatis it-consulting GmbH & Co.KG mit Sitz in Ahaus-Alstätte. Als IT-Berater und IT-Sachverständiger beschäftigt er sich seit über 15 Jahren mit den Themen Datenschutz, Informationssicherheit, Digitalisierung und IT-Compliance.