Seit dem 25. Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DSGVO). Hier werden viele komplexe Anforderungen und Vorschriften an Unternehmen, Gewerbetreibende und Vereine gestellt. Bei Nichteinhaltung der Vorgaben drohen Geldbußen von bis zu 20.000.000€ oder 4% des weltweiten Jahresumsatzes eines Unternehmens. Solch hohe Sanktionen werden voraussichtlich jedoch nicht für kleinere Datenschutzverstöße verhängt. Trotzdem sind die Aufsichtsbehörden gem. Art. 83 Abs. 1 DSGVO dazu angewiesen, die Geldbußen verhältnismäßig und abschreckend zu gestalten. Wie genau diese „abschreckende Wirkung“ aussehen wird, bleibt nach wie vor abzuwarten.

Jeder Verantwortliche, sei es ein Unternehmen, Gewerbetreibender oder Verein, sollte die neuen Datenschutzbestimmungen ernst nehmen und versuchen, die Verarbeitung von personenbezogenen Daten DSGVO-konform zu gestalten. Denn nur so können unangenehme Überraschungen vermieden werden. Zudem sollte es von hohem Interesse sein, die personenbezogenen (Kunden-)Daten angemessen vor unbefugtem Zugriff und Weitergabe zu schützen.

Was sollten Sie auf jeden Fall beachten? – Wichtigste Baustellen

Wie bereits erwähnt, existieren zahlreiche Vorschriften, die einzuhalten sind. Wir haben für Sie eine Liste zusammengestellt, mit den wohl wichtigsten Mindestanforderungen der Datenschutz-Grundverordnung.

    1. Sofern Sie über eine gewerbliche Webseite verfügen, sollte diese den Vorgaben der Datenschutz-Grundverordnung genügen. Ein nicht datenschutzkonformer Internetauftritt führt zu dem wohl größten Risiko einer Abmahnung, da jedermann freien Zugriff auf ihn hat und somit schnell bspw. fehlende Informationspflichten feststellen und dagegen angehen kann. Die Anforderungen der DSGVO an eine gewerbliche Webseite finden Sie hier.
    2. Sind Sie dazu verpflichtet einen Datenschutzbeauftragten zu benennen? Sollte dies der Fall sein, raten wir Ihnen entweder einen Mitarbeiter als internen Datenschutzbeauftragten zu benennen oder einen externen Datenschutzbeauftragten zu bestellen. Die Kontaktdaten des Datenschutzbeauftragten sind auf der Webseite anzugeben. Daher ist es für Dritte sehr einfach festzustellen, ob in einem Unternehmen ein Datenschutzbeauftragter existiert oder nicht.
      Es sollte beachtet werden, dass sofern Sie sich für einen internen Datenschutzbeauftragten entscheiden, ein solcher auch über das in diesem Amt benötigte Wissen verfügen muss. Dies kann bspw. durch Schulungen erlangt werden. In vielen Fällen ist es von Vorteil einen externen Datenschutzbeauftragten anzustellen. Zum einen ist ein solcher oft kostengünstiger zum anderen verfügt er über das nötige Wissen und ist datenschutzrechtlich gut ausgebildet. Ob Sie dazu verpflichtet sind einen Datenschutzbeauftragten zu benennen, erfahren Sie hier.
    3. Analysieren Sie die datenschutzrelevanten Prozesse, in denen personenbezogene Daten verarbeitet werden und erstellen mit deren Hilfe ein Verzeichnis von Verarbeitungstätigkeiten. Wie genau dieses Verzeichnis auszusehen hat, können Sie hier nachlesen.
    4. Für jeden Prozess der Verarbeitung von personenbezogenen Daten ist eine Risikoanalyse durchzuführen, mit deren Hilfe eine Schutzbedarfsfeststellung erfolgt. Diese kann bspw. im Verzeichnis von Verarbeitungstätigkeiten integriert werden.
    5. Beschäftigen Sie externe Dienstleister oder sind für andere Unternehmen als externer Dienstleister tätig? Sofern Dienstleister personenbezogene Daten Ihres Unternehmens in Ihrem Auftrag verarbeiten, findet eine Auftragsverarbeitung statt, deren Vereinbarungen in einem Auftragsverarbeitungsvertrag (AV-Vertrag) zwischen den Parteien festgehalten werden muss. Weitere Informationen finden Sie hier.
    6. Sind alle Verarbeitungen von personenbezogenen Daten rechtmäßig? Für die Verarbeitung ist bspw. eine Einwilligung der Betroffenen notwendig. Weitere Erlaubnistatbestände befinden sich in Artikel 6 DSGVO.
    7. Dokumentieren Sie die technischen und organisatorischen Maßnahmen gemäß Art. 25 und 32 DSGVO, um festzustellen, ob Ihre personenbezogenen Daten ausreichend vor unbefugtem Zugriff und Weitergabe geschützt sind.
    8. Erfüllen Sie die Informationspflichten, die gemäß Art. 13 DSGVO bei der Verarbeitung von personenbezogenen Daten befolgt werden müssen? Diese sollten Sie bei sämtlichen Datenverarbeitungen umsetzen.
    9. Sofern in Ihrem Unternehmen/Gewerbe/Verein Verarbeitungen von personenbezogene Daten stattfinden, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich führen, wie bspw. bei Videoüberwachung oder Zeiterfassungssystemen, muss für die betroffenen Verarbeitungen eine Datenschutz-Folgenabschätzung durch den Datenschutzbeauftragten durchgeführt werden. Weitere Informationen erhalten Sie hier.
    10. Sind Sie in der Lage, die Betroffenenrechte zu erfüllen? Dazu gehören u. a.
      • das Auskunftsrecht (Art. 15 DSGVO), siehe hier,
      • das Recht auf Berichtigung (Art. 16 DSGVO),
      • das Recht auf Löschung (Art 17 DSGVO),
      • das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
      • das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) sowie
      • das Widerspruchsrecht (Art. 21 DSGVO).
    11. Verpflichten Sie alle Mitarbeiter, die Zugriff auf personenbezogenen Daten besitzen, zur Vertraulichkeit bzw. Einhaltung der Datenschutz-Grundverordnung. Zudem sollten die Mitarbeiter nachweislich für das Thema Datenschutz sowie die DSGVO sensibilisiert werden. Dies findest bspw. durch Schulungen, durchgeführt von dem Datenschutzbeauftragten, statt.
    12. Richten Sie eine regelmäßige Prüfung des Datenschutzes bzw. des Umgangs und der Verarbeitung mit personenbezogenen Daten ein. Datenschutz ist keine einmalige Aufgabe, sondern ein dauerhafter Prozess. Diese regelmäßigen Kontrollen, ggf. Verbesserungen und deren Umsetzung bilden ein Datenschutz-Managementsystem und helfen Ihnen dabei, auch in Zukunft datenschutzkonform zu arbeiten.

Benötigen Sie Hilfe bei der Umsetzung der teils komplexen Anforderungen der Datenschutz-Grundverordnung oder verfügen noch nicht über einen Datenschutzbeauftragten, sind jedoch daran interessiert diese Position extern zu besetzen?

Wir beraten Sie gern!

Rufen Sie uns an oder kontaktieren uns über das Kontaktformular. Gern können Sie auch über die sozialen Netzwerke oder per E-Mail mit uns Kontakt aufnehmen.

Ihr Name

Ihre E-Mail-Adresse (Pflichtfeld)

Betreff

Ihre Nachricht

Mit der Nutzung dieses Formulars erklären Sie sich mit der Speicherung und Verarbeitung Ihrer Daten durch diese Website einverstanden.