Datenschutzmanagement-System

Mit uns erhalten Sie den Datenschutz-Überblick. Wir unterstützen Sie engagiert und kompetent bei der Einführung und Umsetzung aller Datenschutzanforderungen.

Symbolbild Datenschutzmanagement

Wir freuen uns, dass Sie unsere Internetseiten im Bereich Datenschutz besuchen! Sie können sich hier einen kompletten Überblick zum Thema Datenschutz verschaffen.

Damit Sie sich schnell zurecht finden haben wir Ihnen viele Themen rund um den betrieblichen Datenschutz im Inhaltsverzeichnis aufgelistet.

So können Sie selbst entscheiden,

  • ob Sie sich alle Inhalte – angefangen von allgemeinen Datenschutzinformationen bis hin zur Umsetzung der Datenschutzanforderungen – durchlesen möchten oder,
  • ob Sie ggf. schon direkte Datenschutz-Fragen haben und diese lieber gezielt nachlesen wollen.

Wie First Class Management Ihnen beim Datenschutz helfen kann

Um das Datenschutzkonzept in Ihrem Unternehmen zu verwirklichen, bieten wir Ihnen eine große Auswahl an Unterstützung:

  • Aufbau eines Datenschutzkonzeptes
  • Hilfestellung/Erstellung der Dokumentation
  • Internes Datenschutz Audit
  • Soll-Ist Analyse
  • Externer Datenschutzbeauftragter
  • Beratung und Betreuung zum Thema Datenschutz
  • Schulungen/Unterweisungen zum Datenschutz
  • Unterstützung bei der Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten
  • Unterstützung bei Auftragsverarbeitungsverträgen

Bei Interesse können Sie gerne mit uns Kontakt aufnehmen. Wir stehen Ihnen für Ihre Fragen zur Verfügung.

Folgende Informationen haben wir für Sie zum Thema Datenschutz zusammengestellt:

Zu behaupten, das Recht auf Privatsphäre sei nicht so wichtig, wenn man nichts zu verbergen habe, ist wie zu sagen, das Recht auf freie Meinungsäußerung sei nicht so wichtig, weil man nicht zu sagen habe.

Edward Snowden

Allgemeine Informationen über die neue Datenschutz-Grundverordnung

Am 24.05.2016 ist die europäische Datenschutz-Grundverordnung (EU-DS-GVO) in Kraft getreten. Diese ist seit dem 25.05.2018 von Unternehmen, welche geschäftlich in Europa tätig sind, oder mit EU-Kunden geschäftliche Vereinbarungen unterhalten, verpflichtend einzuhalten. Ziel der neuen EU-Datenschutz-Grundverordnung ist die Vereinheitlichung und Verschärfung des Datenschutzes innerhalb der Europäischen Union.

Zudem sind Unternehmen, gemäß des zusätzlich geltenden Bundesdatenschutzgesetzes (mit neuer Fassung), dazu verpflichtet, Datenschutzbeauftragte zu unterhalten, wenn mindestens 10 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese sind automatisierte Arbeitsprozesse, welche die Überwachung, Steuerung und Organisation der Daten optimiert. Beispiele hierfür sind u.a. automatisierte E-Mails, Textverarbeitung und/oder auch der Einsatz von Software und Systemen zur Datenverwaltung. Diese Vorgehensweise der automatisierten Verarbeitung ist in der heutigen Zeit in fast allen Unternehmen eine gängige Methode.

Bei Datenschutzverstößen und bei Nichteinhaltung von geltenden Datenschutzgesetzen, können Bußgelder von bis zu 20 Millionen Euro oder 4% des gesamten Jahresumsatzes des letzten Geschäftsjahres erhoben werden.

Wie Sie sehen können, ist das Thema Datenschutz umfassend und mit zahlreichen Anforderungen der Datenschutzvorschriften bestückt. Diese Informationsflut verunsichert nicht nur die Unternehmensleitung, sondern auch die Angestellten, welche sich mit dem Thema vertraut machen möchten. Kurz und knapp: Wo soll man bei dem Thema Datenschutz überhaupt anfangen?

Für solche Fragen gibt es externe Beratungsstellen wie wir – die First Class Management GmbH. Wir sind bestens auf den Datenschutz vorbereitet und geleiten Ihr Unternehmen durch das unübersichtliche Datenschutzwirrwarr. Von uns erhalten Sie zum Thema Datenschutz und Datensicherheit eine umfassende und kompetente Betreuung. Wir sind darauf spezialisiert, Risiken und Probleme in Ihrem Unternehmen ausfindig zu machen und diese zu minimieren. Durch unsere Risiko- und Problemanalyse können wir anschließend gezielt Lösungen herausarbeiten, um die gängigen Datenschutzanforderungen in Ihrem Unternehmen umzusetzen und kontinuierlich zu verbessern.

Ziel des Datenschutzes

Ziel des Datenschutzgesetzes ist der Schutz des allgemeinen Persönlichkeitsrechts und der Schutz des Rechts auf informationelle Selbstbestimmung vor dem Missbrauch Dritter. Letzteres garantiert den Schutz des Einzelnen gegen eine unbegrenzte Erhebung, Speicherung und Weitergabe seiner persönlichen Daten. Das heißt, jeder Mensch soll selbst bestimmen dürfen, wann und für wen er seine Daten preisgibt. Dies steht u.a. auch im Zusammenhang mit dem Schutz der Privatsphäre.

Die Regelung wird wie folgt in § 1 Abs. 1 BDSG beschrieben:

 „Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“

Was zählt unter „personenbezogene Daten“?

Personenbezogene Daten sind allgemein u.a. Namen, Anschriften und Telefonnummer sowie detaillierte Informationen wie z.B. Standortdaten, akademische Titel und Körpermerkmale.

Im täglichen Arbeitsleben handelt es sich um

  • Vor- und Nachname
  • Alter
  • Geburtsdatum
  • Familienstand
  • Anschrift
  • Telefonnummer / ggf. Handynummer
  • personalisierte Email-Adressen, wie mustermann@firma.de
  • Visitenkarten mit personenbezogenen Informationen
  • Besitzmerkmale (Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten usw.)
  • Werturteile (Schul- und Arbeitszeugnisse)
  • Konto- und Kreditkartennummern
  • Personalausweisnummer
  • Sozialversichertennummer
  • Informationen zu Vorstrafen und Straftaten
  • Gesundheitsdaten
  • IP-Adresse des Computers

Die neue Datenschutz-Grundverordnung erweitert diese Definition nach Artikel 4 Ziffer 1 DSGVO: hier nach sind die „Angaben, die bei Zuordnung zu einer natürlichen Person, Einblicke in deren genetische, psychische, physische, physiologische, wirtschaftliche, kulturelle oder soziale Identität ermöglichen.”

Neben den oben genannten personenbezogenen Daten definiert das Bundesdatenschutzgesetz noch eine Anzahl besonderer personenbezogener Daten. In diese Kategorie fallen weitere persönliche Daten, wie beispielsweise:

  • ethnische Herkunft
  • Angaben über die politische Meinung
  • religiöse oder weltanschaulichen Überzeugungen
  • Mitgliedschaft in einer Gewerkschaft
  • Angaben zur persönlichen Gesundheit
  • Angaben zur sexuellen Orientierung oder Sexualleben

Diese personenbezogenen Daten werden als besonders sensible angesehen und dementsprechend stärker geschützt.

Wenn Sie auf Ihre Lohn- und Gehaltsabrechnung schauen, können Sie bereits erkennen, welche und wie viele personenbezogenen Daten erhoben werden. Hierunter fallen u.a.:

  • Religion
  • Mitgliedschaft in einer Gewerkschaft
  • Angaben zur persönlichen Gesundheit
  • Gehalt
  • Kinder
  • Krankenkasse
  • Familienstand
  • Steuernummer
  • Geburtsdatum
  • Privatanschrift
  • Sozialversicherungsnummer

Das erheben vertraulicher Daten wird sowohl in großen Firmen als auch in kleineren Betrieben angewandt.

Unter welchen Voraussetzungen ist die Verarbeitung personenbezogener Daten weiterhin erlaubt und worauf muss ich achten?

Das Arbeiten mit personenbezogenen Daten ist im Grunde ein Eingriff in die Privatsphäre des Betroffenen. Denn alle personenbezogenen Daten sind sensible Informationen über einen Menschen. Deshalb ist es wichtig, vertrauensvoll und sorgsam mit der Erhebung und Speicherung der Daten umzugehen.

  • Daten dürfen nur für den Zweck genutzt werden, für die sie erhoben worden sind (Zweckbindung).
  • Es dürfen nur Daten verarbeitet und gespeichert werden, die wirklich benötigt werden (Daten, die nicht unmittelbar gebraucht werden, dürfen nur unter strengen Voraussetzungen erhoben werden).
  • Personenbezogene Daten dürfen nur dann verarbeiten und gespeichert werden, wenn eine ausdrückliche Einwilligung der betroffenen Person erteilt wurde. Dazu muss die betroffene Person eine Einwilligung erteilen oder eine gesetzliche Erlaubnis vorliegen (Rechtmäßigkeit).
  • Es kann ebenfalls zu einer Einwilligung kommen, wenn die personenbezogenen Daten durch eine Vertragserfüllung benötigt werden.
  • Die betroffene Person muss jederzeit die Möglichkeit haben auf ihre Daten zugreifen zu können, wenn sie dies wünscht.
  • Auf Wunsch des Betroffenen, müssen sämtliche Daten umgehend korrigiert und/oder gelöscht werden (bei der Löschung – gesetzliche Aufbewahrungsfristen überprüfen).
  • Die Betroffenenrechte müssen stets sichergestellt werden.
  • Ein Datenschutzbeauftragter muss im Unternehmen bestellt werden. Dies kann sowohl intern durch die Ausbildung eines eigenen Datenschutzbeauftragten erfolgen oder durch einen extern betrieblichen Datenschutzbeauftragten. Der Datenschutzbeauftrage muss der zuständigen Aufsichtsbehörde gemeldet werden.
  • Die Kontaktdaten des Datenschutzbeauftragten müssen auf Ihrer Homepage (sofern vorhanden) veröffentlicht werden.
  • Die personenbezogenen Daten dürfen unter keinen Umständen an Dritte weitergegeben werden, ohne die Erlaubnis der betreffenden Person!

Grundsätze bei der Verarbeitung personenbezogener Daten

  • Rechtmäßigkeit: Verbot mit Erlaubnisvorbehalt
  • Verarbeitung nach Treu und Glauben: Verhältnismäßigkeitsgrundsatz
  • Transparenz: für die betroffenen Personen muss direkt erkennbar sein, dass und welche personenbezogenen Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden
  • Zweckbindung: die Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke verwendet werden – bspw. Auftragsausführung -. Eine Zweckänderung oder Erweiterung – bspw. Werbung – ist nur nach vorheriger Einwilligung erlaubt, Art, 6 Abs. 4 DSGVO
  • Datenminimierung: die Datenverarbeitung muss auf das für den Zweck notwendige Maß beschränkt sein
  • Richtigkeit: personenbezogene Daten müssen sachlich richtig und aktuell sein
  • Speicherbegrenzung: die Verarbeitung der pb-Daten soll nur so lange dauern, wie dies für die Verwirklichung des Zwecks erforderlich ist; Löschpflichten in Art. 17 DSGVO
  • Integrität und Vertraulichkeit: personenbezogene Daten müssen so verarbeitet werden, dass ein angemessener Schutz der Daten sichergestellt ist. Schutz vor Unbefugten sowie unrechtmäßiger Verarbeitung, Verlust, Zerstörung oder Manipulationen durch geeignete technische und organisatorische Maßnahmen (TOMs)

Das Datenschutzkonzept – Datenschutzmanagementsystem

Sinn und Vorteile des Datenschutzmanagementsystems

Der größte Vorteil für Sie ist, der Nachweis der datenschutzkonformen Umsetzung und natürlich die Sicherheit, die Sie dadurch erlangen.

Wir wollen gar nicht behaupten, dass die Unternehmen im Bereich Datenschutz schlecht aufgestellt sind – sondern, dass der Knackpunkt meistens daran liegt, dass die Einhaltung und Umsetzung der Datenschutzanforderungen nicht ausreichend dokumentiert ist!

Unternehmer sind oftmals verunsichert, viele haben sogar Angst vor Abmahnungen irgendwelcher Anwaltskanzleien und einige hat es sogar getroffen.

Mit einem Datenschutzmanagementsystem kann Ihnen so etwas nicht passieren. Da würde wohl auch keine Kanzlei auf die Idee kommen, Ihnen – einfach mal so – einen Abmahnbrief zu senden.

Selbstverständlich resultieren aber noch weitere Vorteile aus einem Datenschutzmanagementsystem:

  • Strukturiere und dokumentierte Datenschutzanforderungen
  • Vermeidung, bzw. Verminderung von Bußgeldern
  • Schaffung von Vertrauen / Werbemöglichkeiten
  • Professioneller Unternehmensauftritt im Bereich Datenschutz
  • Fachliches Wissen und Erfahrung durch Einführung/Umsetzung des DSMS
  • Einbindung des Datenschutzmanagementsystems in ein vorhandenes Managementsystem (bspw. ISO 9001)
  • Optimierte und datenschutzkonforme Prozessabläufe
  • Höhere Sicherstellung der Betriebs- und Geschäftsgeheimnisse
  • Schutz vor Beschuldigungen/Anschwärzungen durch ehemalige oder verärgerte Mitarbeiter oder der Konkurrenz bei Anwaltskanzleien oder den Aufsichtsbehörden
  • Verringerung der Eintrittswahrscheinlichkeit für Datenschutzverstöße oder sogar Datenpannen
  • Begrenzung des Schadens und des Risikos für die Betroffenen

Vorgehensweise / Einführung eines Datenschutzmanagementsystem, bzw. Datenschutzkonzeptes

Hier gibt es eine positive Nachricht – wie bei allen anderen Managementsystemen – gibt es auch beim Datenschutzmanagementsystem fast keine Formanforderungen.

Konkret heißt das, dass Sie nicht an eine bestimmte Reihenfolge, einen Aufbau oder eine Formvorgabe bei der Datenschutzdokumentation gebunden sind.

Klar definiert sind nur die Themen, wie z.B.: das Verzeichnis der Verarbeitungstätigkeiten, der Auftragsverarbeitungsvertrag oder die Dokumentation der technischen und organisatorischen Maßnahmen. Wie diese Dokumentation genaue aussieht, ist nicht vorgegeben. Wichtig ist aber, dass die Datenschutz-Dokumentation vorhanden ist!

Wir empfehlen Ihnen nach dem PDCA Modell (Plan – Do – Check – Act) vorzugehen. Somit ist die Vorgehensweise für die Einführung des Datenschutzmanagementsystems genauso wie auch bei vielen anderen Managementsystem (bspw. Qualitätsmanagement). Sie haben dadurch auch den Vorteil, dass Sie die Dokumentation der Datenschutzanforderungen in ein oder mehrere ggf. bereits vorhandene Managementsysteme einbinden können. Sollte noch kein anderes Managementsystem vorhanden sein, könnten Sie ggf. zukünftig hinzukommende Managementsysteme in Ihr bestehendes Datenschutzmanagementsystem integrieren.

Das PDCA Modell (Plan – Do – Check – Act)

 (P-Plan) Planung des Datenschutzmanagementsystems

Bei der Planung eines Datenschutzmanagementsystems sollte zuerst eine Datenschutz-Bestandsaufnahme (Soll-Ist Analyse) erfolgen. Hier prüfen Sie u.a. folgende Punkte:

  • Welche personenbezogenen Daten werden im Unternehmen überhaupt erhoben (Mitarbeiter, Leiharbeiter, Dienstleister, Kunden, Lieferanten, Besucher) und zu welchem Zweck werden diese Daten erhoben (auch Internetseiten!)?
  • Dauer der Verarbeitung?
  • Empfänger der Daten (falls diese weitergeleitet werden)?
  • Wer hat alles Zugriff zu den personenbezogenen Daten und warum?
  • Welche Systeme sind datenschutzrelevant und wie erfolgt der Schutz und die Sicherung dieser Systeme?
  • Wer wird als betrieblicher Datenschutzbeauftragter bestellt (interner oder externer Datenschutzbeauftragter)?
  • Welche Mitarbeiter sind mit personenbezogenen Daten beschäftigt und sind diese entsprechend sensibilisiert/ geschult?
  • Planung von Prozessoptimierungen und Verbesserungen

 (D-Do) Einführung/ Umsetzung des Datenschutzmanagementsystems

Bei der Einführung des Datenschutzes setzen Sie die geplanten Maßnahmen um, dass heißt, Sie führen bspw. folgende Punkte aus:

  • Interne Bestellung des Datenschutzbeauftragten (Ernennungsschreiben Datenschutzbeauftragter, ebenfalls ist eine entsprechende Stellenbeschreibung als Datenschutzbeauftragter sinnvoll
  • Benennung des betrieblichen Datenschutzbeauftragten (intern oder extern) bei der Aufsichtsbehörde
  • Sicherstellung und Dokumentation technischer und organisatorischer Datenschutz-Maßnahmen
  • Erstellung eines Verarbeitungsverzeichnisses, bzw. Verzeichnis der Verarbeitungstätigkeiten
  • Datenschutz-Vertraulichkeitsverpflichtung für Mitarbeiter
  • Datenschutz-Schulung für Mitarbeiter
  • Interne Datenschutzpolitik oder Datenschutzleitlinie
  • Interne Datenschutzvereinbarungen und Handlungsanweisungen für Mitarbeiter, wie bspw. „Geschäftliche und private Nutzung von Internet und Email“ / Nutzung von Dienst- und Privatgeräten (Mobiltelefone, Laptops, Tablets, usw.)
  • Einführung des Datenschutzkonzeptes (Verpflichtung zur Erreichung der Datenschutz-Ziele und Grundsätze des Datenschutzes)

(C-Check) Kontrolle und Überprüfung des Datenschutzmanagementsystems

Die Überprüfung der eingeführten Datenschutzmaßnahmen kann in stichprobenartigen Kontrollen erfolgen. Zudem sollte ein internes Datenschutzaudit durch eine unabhängige und qualifizierte Person erfolgen (fachlich geeignet, keine Betriebsblindheit und kein Interessenskonflikt). Die Wirksamkeit der eingeführten Datenschutzmaßnahmen muss überprüft werden.

(A-Act) Optimierung und Verbesserung des Datenschutzmanagementsystems

Sie haben angefangen und das ist gut so! Jetzt werden Sie einige Themen beschäftigen die noch nicht optimal laufen und diese heißt es jetzt zu optimieren.

  • Stellen Sie Ihre Datenschutz-Erfahrungen sicher
  • Analysieren Sie das vorhandene Verbesserungspotenzial
  • Führen Sie die Verbesserungen ein und beginnen erneut mit dem Punkt 1) Plan

Aufbau und Dokumentation eines Datenschutzmanagementsystems, bzw. Datenschutzkonzeptes

Wir hoffen, dass wir Ihnen eine gute Übersicht über den Aufbau und die Dokumentation eines Datenschutzmanagementsystems ermöglichen konnten.

Sollten Sie in Bezug auf die Datenschutzanforderungen oder die Dokumentation des Datenschutzes Fragen haben, stehen wir Ihnen mit Rat und Tat zur Seite!

Weitere Informationen im Bereich Datenschutz

Betroffenenrechte:

Das Datenschutzrecht in der neuen Datenschutzgrundverordnung soll die Rechte der Betroffenen stärken und schützen. Dabei bestehen die Betroffenenrechte aus mehreren Punkten welche der Betroffene gelten machen kann.

Informationenpflicht: Der Betroffene muss Einsicht über die Informationen der Datenverarbeitung sowie Einsicht in seine Rechte erhalten (Wer? Was? Wo? Wann? Wie? Wieso?).

Auskunftsrecht: Der Betroffene muss davon in Kenntnis gesetzt werden können, welche Daten gespeichert bzw. verarbeitet werden.

Recht auf Berichtigung: Falsche Angaben müssen korrigiert werden. Hierbei ist der Verarbeitungszweck zu berücksichtigen, sodass eine längere Zeitspanne bis zur Berichtigung angesetzt werden kann.

Recht auf Löschung: Der Betroffene hat das Recht seine personenbezogenen Daten unverzüglich löschen zu lassen. Der Verantwortliche ist dazu verpflichtet, diese Daten auf Verlangen des Betroffenen zu löschen. Diese Regelung kann angewandt werden wenn:

  • der Zweck der Datenspeicherung und -erhebung erfüllt wurde und somit nicht mehr notwendig ist
  • der Betroffene seine Einwilligung zur Datenerhebung und -speicherung widerruft
  • die Daten unrechtmäßig verarbeitet werden

Die personenbezogenen Daten müssen nach Ablauf (z.B. nach Beendigung einer Geschäftsbeziehung unter Berücksichtigung gesetzlicher Aufbewahrungszeiten) gelöscht werden.

Unternehmen müssen der Datenlöschung nicht folgeleisten, wenn:

  • Die Speicherung der personenbezogenen Daten rechtlich verpflichtend ist
  • die Meinungs- und Informationsfreiheit überwiegt
  • öffentliche Interesse im Gesundheitswesen überwiegt
  • Wissenschaftliche bzw. geschichtliche Forschungszwecke oder Archivzwecke überwiegen

Recht auf Einschränkung der Verarbeitung: Die betroffene Person kann dem Verantwortlichen, die Einschränkung zur Verarbeitung seiner Daten vorgeben, wenn folgende Voraussetzungen gegeben sind:

  • Wenn die betroffene Person die Korrektheit seiner personenbezogenen Daten bestreitet und dem Verantwortlichen gestattet, die personenbezogenen Daten zu kontrollieren.
  • Die Verarbeitung der personenbezogenen Daten ist unrechtmäßig. Die betroffene Person kann verlangen, dass die personenbezogenen Daten mit Einschränkung weiterverarbeitet werden dürfen, anstatt diese zu löschen.
  • Die betroffene Person legt Widerspruch nach Art. 21 DSGVO zur Verarbeitung seiner personenbezogenen Daten ein.
  • Die personenbezogenen Daten werden zu der Geltendmachung von Rechtsansprüchen benötigt, nachdem der Verarbeitungszweck der Daten abgeschlossen ist.

Recht auf Datenübertragung: Die gespeicherten personenbezogenen Daten müssen auf Verlangen des Betroffenen elektronisch übermittelt werden.

 

Widerspruchsrecht: Die betroffene Person kann die Verarbeitung seiner Daten untersagen.

Dem Verantwortlichen (das Unternehmen, welches mit den Daten des Betroffenen arbeitet) steht, ab der Anforderung des Betroffenen, eine Zeitspanne von einem Monat zur Verfügung, um die Anforderungen des Betroffenen umzusetzen. Allerdings besteht die Möglichkeit, die Frist auf bis zu 2 Monate zu verlängern. Die Kosten dafür sind unentgeltlich. Ausgenommen hiervon stellt der Tatbestand von Missbrauch der erhobenen Daten dar.

Das Verarbeitungsverzeichnis / Verzeichnis der Verarbeitungstätigkeiten

Verpflichtend ist es für Unternehmen, ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen und kontinuierlich weiter zu führen.

Die Anforderungen der neuen Datenschutzgrundverordnung erhöht die Nachweispflicht bei der Verarbeitung personenbezogener Daten. Deshalb muss das Verzeichnis der Verarbeitungstätigkeiten erheblich umfangreicher ausfallen als bis her. Das Verzeichnis der Verarbeitungstätigkeiten kann die zuständige Aufsichtsbehörde allzeit anfordern. Falls das Verzeichnis der Verarbeitungstätigkeiten nicht detailliert genug beschrieben wurde oder gar nicht vorliegt, drohen gravierende Bußgelder.

Das Verzeichnis dient dem Unternehmen zur Übersicht der personenbezogenen Daten, die verarbeitet werden, sowie die rechtliche Absicherung im Unternehmen. In dem Verzeichnis der Verarbeitungstätigkeiten müssen alle Prozesse aufgeführt werden in den personenbezogenen Daten verarbeitet werden. Zu jedem einzelnen Prozess gibt es eine gesonderte Verfahrensbeschreibung. In solchen Verfahrensbeschreibungen müssen alle Verarbeitungsschritte von personenbezogenen Daten ausführlich niedergeschrieben werden. Es muss dabei hervorgehen, welche technischen und organisatorischen Maßnahmen zum Schutz der Daten getroffen wurde und welche personenbezogenen Daten das Unternehmen, mit Hilfe, welcher Verfahren und auf welche Art verarbeitet werden.

Informationen zum Auftragsdaten-Verarbeitungsvertrag

Was ich über einen Auftragsdaten-Verarbeitungsvertrag wissen muss

Eine neue gesetzliche Anforderung der Datenschutzgrundverordnung ist der Auftragsverarbeitungsvertrag (AV-Vertrag). Unternehmen, die im Auftrag mit Person bezogenen Daten arbeitet (wie z.B Lohnbuchhaltungsbüros, Mailboxdienste oder Datenerfassungsdienste) müssen nach der neuen Datenschutz-Grundverordnung (DSGVO) einen Auftragsverarbeitungsvertrag abschließen. Ohne eine eindeutige Einwilligung dürfen Daten von einer Person nicht weiterverarbeitet werden.

Ein Auftragsverarbeitungsvertrag ist zu schließen, wenn personenbezogene Daten durch einen weisungsabhängigen Dienstleister verarbeitet werden. Der AV-Vertrag sorgt für die Rechte und Pflichten der Auftraggeber, Auftragnehmer und den Sub-Dienstleister. Durch die neuen Anforderungen des AV-Vertrages wird die Zusammenarbeit zwischen dem Auftraggeber und dem Auftragnehmer verschärft.

Durch den AV-Vertrag soll sichergestellt werden, dass die erhobenen personenbezogenen Daten nur zu dem Zweck verwendet werden, die für die Verarbeitung genutzt werden. Der Dienstleister wird durch dieses AV-Vertrag dazu verpflichtet, die Daten ebenfalls zu schützen.

Was muss in einem AV-Vertrag beinhaltet sein?

  • Name und Kontaktdaten des Verantwortlichen sowie ggf. dessen Vertreter
  • Name und Kontaktdaten des Auftraggebers (Achtung, nur bei Auftragsverarbeitern)
  • Name und Kontaktdaten des Datenschutzbeauftragten
  • Dauer und Gegenstand der Verarbeitung
  • Art der personenbezogenen Daten und die Kategorien der betroffenen Personen
  • Rechte und Pflichten des Verantwortlichen
  • Art und Zweck der Verarbeitung
  • Die Kategorien der Verarbeitung allen Verantwortlichen
  • Übermittlung in Drittländer sowie die geeigneten Garantien
  • Löschung, Sperrung oder Rückgabe der Daten nach Beendigung des Auftrags
  • Wahrung der Vertraulichkeit (Verschwiegenheit)
  • Empfängerkategorien
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
  • Aufbewahrungsfristen
  • Angaben zu Rechtsgrundlagen
  • Angaben zu Informationspflichten
  • Angaben zur Einwilligung
  • Angaben zu Verträgen mit Dienstleistern
  • Angaben zur durchgeführten Datenschutzfolgeabschätzung (individuell)

Schadsoftware und Schutzmaßnahmen (nicht abschließend)

Viren:

Viren sind Programmcodes, die durch Erreichen eines bestimmten Datums, den Computer beschädigen können.

Trojaner:

Trojaner können Zugangsberechtigungen und Passwörter ausspionieren und an den Hacker zurücksenden. Trojaner sind deshalb so gefährlich, da Sie noch im Betriebssystem bestehen bleiben, auch wenn das Programm schon deinstalliert wurde.

Würmer:

Würmer können in den Netzwerken sehr großen Schaden anrichten, indem Sie die Zugriffsrechte umgehen. Würmer nutzen E-Mail-Adressen im Internet, um sich selbstständig an diese Adressen zu versenden. Sie können sich aber auch an Internetseiten hängen.

Spamware:

Spamware hat die Fähigkeit, selbstständig massenhaft E-Mail-Adressen zu erstellen und diese unter diesem Namen zu senden.

Spyware:

Spyware ist eine Spionageprogramm zum Ausspionieren von Nutzerdaten wie z. B. Passwörter.

Mögliche Schutzmaßnahmen (nicht abschließend):

  • Virenschutzprogramm
  • Firewall
  • Einsatz von Spamfiltern
  • Prüfziffernverfahren
  • Plausibilitätskontrollen
  • Protokollierung
  • Passwortschutz
  • Anlegen von Sperrungen bei Datenbanksystemen
  • Automatisches Anlegen von Sicherungskopien durch das Programm
  • Regelmäßige Updates
  • Einsatz spezieller Tools
  • Schreibschutz und Kennwortschutz
  • Kryptographie (Verschlüsselungsverfahren)

Gründe zur Einführung von Datenschutzmaßnahmen (nicht abschließend)

  • Personen, die durch einen Verstoß der Datenschutzverordnung Schaden erhalten haben, haben einen Anspruch auf Schadenersatz.
  • Erhalt einer möglichen Freiheitsstrafe bis zu drei Jahren, wenn personenbezogene Daten weitergegeben werden, ohne die Berechtigung dafür zu haben. Dies betrifft auch den Verkauf von richtigen oder falschen Daten/Angaben, die einen selbst oder einen anderen bereichern können.
  • Bei Verstößen gegen die gesetzlichen Vorschriften, zahlt keine bestehende Versicherung (falls vorhanden).
  • Imageschäden, was dafür sorgen kann, dass das Unternehmen, für Jahre in einem schlechten Bild dargestellt wird.
  • Falls personenbezogene Daten abhandenkommen (bspw. Laptop verloren) oder in die falschen Hände geraten, muss das Unternehmen die betroffenen Personen sofort informieren.
  • Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, hierbei kommt es darauf an welcher der Werte größer ist.

Bei der Entscheidung wie hoch die Geldbuße und/oder die Strafe ausfällt, sind folgende Aspekte zu berücksichtigen:

  • Art, Schwere und Dauer des Verstoßes
  • Individueller Verantwortungsgrad
  • Vorsätzliches oder fahrlässiges Handeln
  • Getroffene Maßnahmen
  • Frühere Verstöße
  • Einhaltung von genehmigten Verhaltensregeln
  • Zertifizierungen
  • Einhaltung früher angeordneter Maßnahmen
  • Kooperationsbereitschaft und Art und Weise des Bekanntwerdens
  • Kategorien personenbezogener Daten

Lassen Sie sich von First Class Management beim Datenschutz unterstützen

Um das Datenschutzkonzept in Ihrem Unternehmen zu verwirklichen, bieten wir Ihnen eine große Auswahl an Unterstützung:

  • Aufbau eines Datenschutzkonzeptes
  • Hilfestellung/Erstellung der Dokumentation
  • Internes Datenschutz Audit
  • Soll-Ist Analyse
  • Externer Datenschutzbeauftragter
  • Beratung und Betreuung zum Thema Datenschutz
  • Schulungen/Unterweisungen zum Datenschutz
  • Unterstützung bei der Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten
  • Unterstützung bei Auftragsverarbeitungsverträgen

Bei Interesse können Sie gerne mit uns Kontakt aufnehmen.