Datenschutz Grundverordnung – im Unternehmen einfach erklärt

Datenschutzbeauftragtenfinden.de Wissensartikel

Hier finden Sie alle relevanten Informationen über die Datenschutz Grundverordnung. Die europaweit geltende Datenschutz Grundverordnung (EU-DSGVO) hat zum Zweck, die personen­bezogenen Daten zu schützen, die Rechenschaftspflicht bei Verstößen zu erhöhen. Die Datenschutz Grundverordnung zielt darauf ab, einen einheitlichen Datenschutzstandard innerhalb Europas zu gewährleisten. Sie kommt überall dort zum Einsatz, wo personenbezogene Daten automatisch verar­beitet, abgespeichert, genutzt und übermittelt werden. Seit Inkrafttreten der EU-DSGVO am 25. Mai 2018 ist der Umgang mit personenbezogenen Daten im Unternehmen in der Umsetzung weiterhin komplexer, weil die Verarbeitung der Daten minutiös protokolliert verpflichtet.

Auf die sogenannten zwei Rollen – die „Verarbeiter“ und die „Auftragsverarbeiter“ – wird die DSGVO angewandt. Zu den Verarbeitern gehören verantwortliche Personen von Unternehmen und Behörden, die eine Webseite bzw. einen Onlineshop in Deutschland bzw. der EU betreiben oder Mitarbeiter beschäftigen, die personenbezogene Daten digital verarbeiten. Sie werden als Auftragsverar­beiter eingestuft, wenn sie Dienstleistungen im Auftrag von anderen handeln, für deren Ausführung die personenbe­zogenen Daten des Auftraggebers benötigt werden. Klassische Beispiele wären eine PR-Agentur oder ein Steuerberater.

Viele Unternehmen wollen in Sachen EU-DSGVO kein Risiko eingehen und verwenden daher oftmals Musterformu­lare. Beispielsweise den Auftragsverarbeitungsvertrag (AV-Vertrag) oder zur Bestellung des Datenschutzbeauftragten. Ob diese Musterformulare wirklich passend sind, ist stets eine Einzelfallentscheidung.

Datenschutz Grundverordnung – Daten identifizieren, Prozesse definieren

Viele Unternehmen müssen einen Datenschutzbeauftragten bestellen. Es ist eine Pfilcht bei Unternehmen, die automatisch und sehr häufig personenbezogene Daten verarbeiten. Kleinbetriebe können von der Bestellung eines Datenschutzbeauftragten ausgeschlos­sen werden, wenn sie keine besonderen Daten verarbeiten. Besondere Datenkategorien können Herkunft, sexuelle Ausrichtung, Gesundheitsdaten, Bankdaten und andere sensible Informationen über Personen sein.

Geschützt sind personenbezogene Daten einer natürlichen Person, beispielsweise wie der Name, die Adresse, die ethnische Einstellung und die politische Überzeugung. Daten zur Gesundheit und sexuellen Orien­tierung sind als sensibel einzustufen. Nach Artikel 7 EU-DSGVO dürfen solche Daten ausschließlich mit der (schriftlichen) Einwilligung des Betroffenen genutzt werden.

Mitarbeiterfotos nur mit Einwilligung

Bei der Veröffentlichung eines Fotos eines Mitarbeiters, dreht sich der Spieß um. Hier geht es nicht mehr darum, die Grundlagen der Verarbeitung von personenbezogenen Daten zu kennen. Denn nach der EU-DSGVO können die Mitarbeiter profitieren und verlangen, dass die Nutzung des Mitarbeiterfotos nur mit Einwilligung erfolgen darf.

Eine wichtige Aufgabe des Datenschutzbeauftragten ist die Erstellung eines Datenschutzberichts. Er kann als Tätigkeitsbericht des Datenschutzbeauftragten gegenüber der Geschäftsführung verstanden werden.

Zur lückenlosen Dokumentation der Verarbeitungsprozesse der personenbezogenen Daten ist das Verzeichnis von Verarbeitungstätigkeiten nach DSGVO zu entwickeln. Dahinter versteckt sich eine tabellarische Datenauflistung, in der Angaben zur Datenverarbeitung erfasst werden. Zu diesen Daten gehören der Name, die Adresse und die Telefonnummer der entsprechen­den Person. Auf Anfrage ist diese Auflistung den Datenschutzbehörden zur Verfügung zu stellen. Hier werden sowohl die Daten unternehmensfremder (beispielsweise Auftragsverarbeiter) und -eigener Personen, erfasst.

Die sozialen Medien sind aus unserem Leben kaum mehr wegzudenken. Mittlerweile sind sie auch für Unternehmen ein integraler Bestandteil des Marketings eines Unternehmens geworden. Das ermöglicht die direkte Kommunikation mit Kunden und Interessenten. Seit Inkrafttreten der EU-DSGVO sollten Unternehmen eine Social Media Richtlinie bereithalten. Diese Richtlinie sorgt für mehr Transparenz und verarbeitet möglichst wenig personenbezogenen Daten. Diese besondere Neuerung ist die Einführung des „berechtigten Interesses“ eines Unternehmens. Wenn nach einer sorgfältigen Abwägung das unternehmerische Recht der Werbeschaltungen das Recht auf Privatsphäre einzelner Nutzer überwiegt, kann das Unternehmen personenbezogene Daten verwenden.

Datenschutzkonzept gemäß der Datenschutz Grundverordnung entwerfen

Definitionsgemäß ist ein Datenschutzkonzept eine zusammenfassende Dokumentation sämtlicher Aspekte des Datenschutzes. In ihm werden die Ziele, Verantwortlichkeiten und Dokumen­tationspflichten nach der EU-DSGVO definiert.Das Datenschutzkonzept ist als ein wichtiges Strategiepapier eines Unternehmens zu verstehen. Sein Hauptzweck ist es, den Rechenschaftspflichten gegenüber den Datenschutzbehör­den zu genügen. Alle, die im Unternehmen personenbezogene Daten verarbeiten und dafür Zugriff auf die Daten erhalten, sollten prüfen, ob eine Verpflichtungs- und Vertraulichkeitserklärung zu unterzeichnen ist, weil die Vertraulichkeit im Umgang mit diesen Daten zu gewährleisten ist.

Datenschutz und Datensicherheit

Die beiden Funktionen Datenschutz und Datensicherheit sind eng miteinander verbunden. Der wichtigste Teil des Datenschutzkonzeptes ist die Sicherung der personenbezogenen Daten, um zu gewährleisten, dass kein Unbefugter auf diese Daten zugreifen kann. Im Kern lassen sich die folgenden Maßnahmen der Datensicherung unterscheiden:

Unter technischen Maßnahmen sind alle Schutzversuche zu verstehen, die im weitesten Sinne physisch umsetzbar sind, wie etwa

  • Umzäunung des Geländes
  • Sicherung von Türen und Fenstern
  • bauliche Maßnahmen allgemein
  • Alarmanlagen jeglicher Art

Oder Maßnahmen die in Soft- und Hardware umgesetzt werden, wie zum Beispiel:

  • Benutzerkonto
  • Passworterzwingung
  • Logging (Protokolldateien)
  • biometrische Benutzeridentifikation
  • oder die Sicherung, zusammengefasst Organisatorische Maßnahmen

Als organisatorische Maßnahmen sind solche Schutzversuche zu verstehen die durch Handlungsanweisung, Verfahrens- und Vorgehensweisen umgesetzt werden. Beispiele hierfür sind

  • Besucheranmeldung
  • Arbeitsanweisung zum Umgang mit fehlerhaften Druckerzeugnissen
  • Vier-Augen-Prinzip
  • festgelegte Intervalle zur Stichprobenprüfungen

Parallel dazu geht es darum, die Sicherh­eitsmaßnahmen so zu verstärken, dass der Grundsatz der Datenintegrität gewahrt bleibt. Gleichzeitig verbessert sich die Sicherheit des Datenzugriffs, indem geeignete Verschlüsselungstechniken eingesetzt werden. Eine Optimierung der Konzeptentwicklung mithilfe von zielgerichtet entworfenen Softwareprodukten kann bei der Umsetzung eine wirkliche Hilfe sein.

Datenschutz in einer Cloud – ist das möglich und sind Daten im Internet sicher?

Die EU-DSGVO hat auch einen Einfluss auf den Datenschutz in der Cloud. Im Zusammenhang mit der Datenschutz Grundverordnung wird der kommerzielle Inhaber der Cloud als „Auftragsverarbeiter“ eingestuft. Als Konsequenz fällt eine Cloud-Dienstleistung unter die Verordnung der EU-DSGVO und muss angemessen geschützt werden. Die für den Datenschutz Verantwortlichen in einem Unternehmen müssen hierbei grundsätzlich den Datenschutz bestmöglich befolgen.

Doch nicht alles ist gleich – bei einer Ablage der Daten in der Cloud ist ein passender Schutz der Daten erforderlich. Auch die Verbindung mit der Cloud sollte man mit einem Virenscanner oder Sicherheitssoftware absichern. Hilfreich ist die langfristige Absicherung durch ein kontinuierliches Monitoring, bei der die Verantwortlichen die volle Kontrolle der Daten in der Cloud behalten.

Schritt 1 von 4

Wo befindet sich Ihre Firma ?

Sie haben Fragen? Direkten Kontakt aufnehmen:

Geschäftszeiten: Mo. bis Fr., 9 bis 19 Uhr

Andere Bereiche, die von der Datenschutz Grundverordnung betroffen sind

Es ist nicht immer das Viergestirn zwischen dem verantwortlichen Unternehmen, seinen Partnern, Mitarbeitern und Kunden, bei der die EU-DSGVO umgesetzt werden muss. Auch das Home-Office – gerne auch als Telearbeit bezeichnet – nimmt immer weiter zu. Sie erledigen ihre Arbeiten vollständig oder teilweise von zuhause aus? Hier greifen Anforderungen der EU-DSGVO.

Wie die Einhaltung des Datenschutzes im Home Office ist, zeigt diese Checkliste:

  • Inhalt der Nutzung
  • Sicherheitsmaßnahmen
  • Weisungsgebundenheit bezüglich der Daten
  • Zutritts- und Kontrollrechte
  • Regulierung des Datentransports einschließlich ihrer Übertragung
  • Regelungen beim Ausscheiden des Mitarbeiters

Auch Vereine und Verbände müssen die Datenschutz Grundverordnung anwenden, da die Mitgliederdaten personenbezogenen Charakter besitzen. Grundsätzlich ist Datenschutz im Verein genauso strukturiert wie der von Unternehmen. Also mit den gleichen Rechten und Pflichten für die Vereinsführung und die Mitglieder. Bei Vereinen spielen vor allem Informationspflichten gegenüber seinen Mitgliedern eine Rolle. Die Transparenz gegenüber den Mitgliedern ist dadurch deutlich verbessert.

Inhalte eines Löschungskonzepts für personenbezogene Daten

Daten sowie personenbezogene Daten sollen nicht dauerhaft in Unternehmen verbleiben, wenn sie nicht mehr genutzt werden. Im Artikel 17 EU-DSGVO ist das „Recht auf Löschung“ bzw. „Recht auf Vergessen werden“ bezeichnet. Danach kann eine Person verlangen, dass seine personenbezogenen Daten das verantwortliche Unternehmen löschen muss. Dieses Unternehmen hat demzufolge die Pflicht, die personenbezogene Daten ebendieser Person zu löschen. Sofern keine Aufbewahrungspflichten oder vor allem anderen Gesetze eine Regelung zur Speicherungsfrist vorschreiben.

DIN-Norm 66398: Vorgaben zur Entwicklung eines Löschkonzepts

Die EU-DSGVO formuliert die Anforderung an die Löschung der Daten klar. Um jederzeit handlungsfähig zu bleiben und eine Datenlöschung kurzfristig und vollständig erfolgen kann, sollten Unternehmen ein Löschkonzept entwickeln. Dies beginnt bereits bei der richtigen Abspeicherung der personenbezogenen Daten. Denn laut Artikel 5 der Datenschutz Grundverordnung sind die Daten so abzuspeichern, dass eine Identifizierung nur so lange möglich wird, wie es für den Verarbeitungszweck erforderlich ist. Darüber hinaus müssen Daten nach Zweckerfüllung gelöscht werden.

Wann tritt eine Löschpflicht ein?

Eine „Löschpflicht“ tritt ein, wenn die betroffene Person ihre Einwilligung zur Verarbeitung zurückzieht. Und Widerspruch gegen die Verarbeitung einlegt. Oder die personenbezogenen Daten unrechtmäßig erworben wurden. Für die Löschung muss entweder nach EU-Recht oder dem jeweils geltenden nationalen Recht, beispielsweise Bundesdatenschutzgesetz (neu), erfolgen. Diese „Löschpflicht“ greift nicht, wenn die personenbezogenen Daten weiterhin genutzt werden, demzufolge spielt der Zweck der Nutzung eine Rolle. Werden die personenbezogenen Daten zur Ausübung der freien Meinungsäußerung, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen öffentlichen Interesses und zur Geltendmachung von Rechtsansprüchen benötigt, kommt die Löschpflicht nicht zur Geltung. Datenschutz Grundverordnung im Unternehmen ist sinnvoll.

Die Norm DIN 66398 legt die grundlegenden Schritte zur Entwicklung des eigenen Löschkonzepts eines Unternehmens dar. Weil grundsätzlich sollten die folgenden Faktoren umgesetzt werden:

  1. Bestimmung der Datenarten, die in den Datenbeständen des Unternehmens vorhanden sind
  2. Zuweisung der Datenarten in eine jeweilige Löschklasse
  3. Festlegung der Regeln für die Löschung der einzelnen Datenarten
  4. Definition konkreter Umsetzungsmaßgaben
  5. Fortlaufende Dokumentation der ergriffenen Schritte

Für die Entwicklung eines gesetzeskonformen Löschkonzepts sollten die relevanten Fachbegriffe eindeutig definiert und den für die Daten Verantwortlichen bekannt sein. Deshalb bezeichnet die „Datenart“ alle Daten zu einem ge­meinsamen Zweck. Die „Löschfrist“ wiederum bezeichnet den Zeitraum, nach dessen Ablauf die Daten gelöscht sein sollten. Der „Startzeitpunkt“ legt fest, wann diese Löschfrist beginnt. In „Löschklassen“ werden die Daten erfasst – sortiert nach Löschfrist und .

Mitarbeiterschulungen für einen bewussteren Datenumgang

Die besten Maßnahmen zum Schutz der personenbezogenen Daten und bei der Datenschutz Grundverordnung im Unternehmen können ihr Ziel nicht erreichen, bspw. wenn nicht alle Mitarbeiter für den Umgang der Daten sensibilisiert sind. Nichtsdestotrotz ist es notwendig, den Mitarbeitern, die mit den Unternehmensdaten umgehen, zu erklären, welche Dinge zu beachten sind oder was bei fehlender Sensibilisierung passieren kann.

 

Typische Schwachstellen im Datenschutz sind die Mitarbeiter im Unternehmen selbst. Mitarbeitern fällt der bewusste Umgang mit Daten schwer. Wir hoffen Sie konnten Hinweise über die Datenschutz Grundverordnung – im Unternehmen erhalten. Hier empfehlen wir Ihnen folgenden Artikel Datenschutz im Internet.

Externer Datenschutzbeauftragter gesucht? Jetzt exter DSB finden!

Schritt 1 von 4

Wo befindet sich Ihre Firma ?

Sie haben Fragen? Direkten Kontakt aufnehmen:

Geschäftszeiten: Mo. bis Fr., 9 bis 19 Uhr

Datenschutzgesetz
Datenschutz

Basis-Datenschutz-Modell (nach SDM)

Dieser Artikel beschreibt die Basis-Datenschutz-Modell DIN SPEC 32789 (BDM) nach dem Standard Datenschutzmodell (SDM). Auf folgende Fragen geben wir Antworten: Was ist das Basis-Datenschutz-Modell? Welche

Mehr lesen »

Schreibe einen Kommentar