Die Datenschutzgrundverordnung (DS-GVO) regelt die Verarbeitung personenbezogener
Daten durch private Unternehmen und öffentliche Stellen. Sie trat am 25. Mai 2018 in Kraft und gilt in der gesamten EU.
Die Anforderungen der DS-GVO stellen eine deutliche Verschärfung des alten
Datenschutzrechts dar, unter anderem aufgrund erheblich erweiterter Dokumentations- und Nachweispflichten und wesentlich höherer Geldbußen.
Bei der alten Regelung mussten Ihnen Verstöße gegen den Datenschutz nachgewiesen werden. Mit der neuen Regelung wird dieses Prinzip umgekehrt und Sie müssen nachweisen, dass Sie die Vorgaben einhalten.
Erfahren Sie hier mehr über die Anforderungen der DS-GVO und wie Ihnen die Datenschutzverwaltung bei der Umsetzung helfen kann.
Sobald Sie personenbezogene Daten verarbeiten, müssen Sie die Anforderungen der DS-GVO erfüllen.
Wenn Sie eine der beiden Fragen mit Ja beantworten können, sind Sie wahrscheinlich von der DS-GVO betroffen. Das gilt übrigens auch für Vereine und Privatpersonen, die Wohnungen oder Häuser an andere Privatpersonen vermieten.
Können Sie aus einem Firmennamen Ihrer Geschäftskunden den Inhaber ableiten, sind auch das personenbezogene Daten (z. B. Bäckerei Klaus Becker). Auch wenn der Namen nicht so einfach ableitbar ist: Ihre Ansprechpartner sind immer Personen, mit der Firma selbst kann man nicht reden.
Sie müssen ein Verzeichnis aller Tätigkeiten führen, bei denen personenbezogene
Daten verarbeitet werden. Das Verzeichnis ist fortlaufend zu aktualisieren.
Zu jeder Tätigkeit ist anzugeben
* Das bedeutet nicht, dass Sie jeden einzelnen Kunden, Lieferanten etc. angeben müssen, sondern dass diese bspw. in den Betroffenengruppen "Kunden" oder "Lieferanten" zusammengefasst werden.
Neben der Erstellung des Verzeichnisses ist zu beachten, dass mit Inkrafttreten der DS-GVO die betroffenen Personen weitgehende Rechte erhalten:
So könnten etwa Ihre Kunden jederzeit Auskunft verlangen, welche Daten Sie über die Person gespeichert haben oder sie können verlangen, dass die Daten gelöscht oder korrigiert werden.
Sie müssen dann innerhalb eines Monats diese Anfragen erfüllen oder mit einer Begründung ablehnen, da bei Nichtbeachtung Geldbußen drohen.
Mögliche Datenschutzverletzungen müssen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, wenn ein Risiko für die Rechte und Freiheiten der betroffenen Personen bestehen könnte.
Unter Verarbeitung versteht man u. a. das Erfassen, Organisieren, Ordnen, Speichern, Verändern, Auslesen, Abfragen, Verwenden und Löschen von Daten.
Das betrifft nicht nur Verarbeitungen am Computer, sondern auch in Papierform!
Daten sind personenbezogen, wenn sie direkt oder indirekt einer natürlichen Person zugeordnet werden können.
Beispiele für personenbezogene Daten:
Namen, Telefonnummer, E-Mail, Kontonummer, Kundennummer, Gesundheitsdaten, betriebliche An- und Abwesenheitszeiten, Religionszuge-hörigkeit oder Gewerkschaftsangehörigkeit, IP-Adressen u.v.m.
In der DS-GVO ist eindeutig geregelt, dass der Verantwortliche selbst für die Umsetzung verantwortlich ist, bspw. für die kontinuierliche Pflege des Verzeichnisses der Verarbeitungstätigkeiten.
Die Aufgabe des Datenschutzbeauftragten ist die Beratung des Verantwortlichen und die Kontrolle der Umsetzung. Würde der Datenschutzbeauftragte für den Verantwortlichen die Anforderungen der DS-GVO umsetzen, wäre das ein Verstoß gegen die DS-GVO.
Das bedeutet aber nicht, dass der Verantwortliche die Umsetzung alleine machen muss. Er kann die Aufgaben sehr wohl an Mitarbeiter delegieren, aber eben nicht an den Datenschutzbeauftragten, denn dieser soll die Umsetzung kontrollieren. Alles Andere wäre ein nicht zulässiger Interessenskonflikt.
Wenn Sie den vorherigen Punkt gelesen haben, wissen Sie, was Sie grundsätzlich tun müssen.
Aber wo soll man anfangen, wie sehen konkrete Verarbeitungen aus, was könnten mögliche Verarbeitungen überhaupt sein? Was sind denn technische und organisatorische Maßnahmen, wie könnten diese konkret aussehen? Welche Kriterien gelten bei der Risikobestimmung? Wie nehme ich die Betroffenenrechte wahr und wie verwalte ich sie?
Die Datenschutzverwaltung unterstützt Sie bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten:
Eine Übersicht über alle Funktionen der Datenschutzverwaltung finden Sie hier.
Erstellen Sie Ihr Verzeichnis der Verarbeitungstätigkeiten durch die zahlreichen
Vorlagen in kürzester Zeit.
Erhalten Sie außerdem einen Überblick über die Strukturen, Datenflüsse und
Ausstattung Ihres Unternehmens. Dies stellt unabhängig von den Anforderungen der DS-GVO eine äußerst wertvolle Information dar.
Erfahren Sie hier mehr über die Funktionen der Datenschutzverwaltung.
Nein! In der Verordnung steht, dass Unternehmen mit weniger als 250 Mitarbeitern kein Verzeichnis erstellen müssen, aber nur dann, wenn keine regelmäßige Verarbeitung personenbezogener Daten erfolgt (nachzulesen in Artikel 30 Absatz 5). Während des laufenden Geschäftsbetriebs werden aber immer personenbezogene Daten verarbeitet und sei es nur zu Gehaltszahlungen.
Die einzige wirkliche Ausnahme ist die Verarbeitung personenbezogener Daten für ausschließlich persönliche und familiäre Zwecke (z. B. privates Adressbuch oder Fotoalbum).
Verstöße gegen den Datenschutz können ernsthafte rechtliche und finanzielle Folgen haben. Die DS-GVO verschärft die bisher geltenden Regelungen deutlich, das gilt auch für Geldbußen und mögliche Schadensersatzansprüche.
Im Extremfall drohen Geldbußen von bis zu 20 Millionen EUR. Die Größenordnung kommt für kleine Unternehmen und Vereine natürlich nicht in Betracht, doch auch sie müssen bei Verstößen mit Geldbußen in vier- oder fünfstelliger Höhe rechnen. Die DS-GVO legt fest, dass Geldbußen „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein sollen (nachzulesen in Artikel 83 Absatz 1).
Die Prüfung durch die Aufsichtsbehörden, ob Sie die Anforderungen erfüllen, wird in erster Linie darin bestehen, dass Ihr Verarbeitungsverzeichnis angefordert wird. Die Prüfung findet sozusagen „am Schreibtisch“ statt, kann aber auch vor Ort geschehen.
Auf Ihr Unternehmen aufmerksam kann die Behörde auch dadurch werden, dass Sie die Betroffenenrechte wie Auskunft nicht umsetzen und sich die betroffenen Personen bei der Behörde beschweren.
Sie sollten die Umsetzung der Anforderungen der DS-GVO wie die Steuererklärung
betrachten. Sie können natürlich das Finanzamt ignorieren, die Konsequenzen
sind aber eher unvorteilhaft.
Schon aufgrund der drohenden Geldbußen stellt die Datenschutzverwaltung eine lohnende Investition dar. Jetzt kaufen.
Nein, Sie können das Verzeichnis der Verarbeitungstätigkeiten auch in einem Textverarbeitungsprogramm oder sogar in Papierform erstellen.
Das hat aber mehrere Nachteile: Da das Verzeichnis nicht nur einmal erstellt wird und dann für alle Zeit gilt, sondern fortlaufend angepasst und erweitert werden muss, müssten Sie ohne spezielle Software auch fortlaufend aufwendige Änderungen an der Dokumentation vornehmen. So löst jede Änderung etwa am Mitarbeiterstamm, an der verwendeten Soft- und Hardware usw. auch eine Überarbeitung des Verzeichnisses aus.
Außerdem müssen Sie eine Lösung entwickeln wie Sie die Betroffenenrechte fristgerecht wahrnehmen können, also wann hat welcher Kunde welches Recht geltend gemacht und bis wann muss es erledigt sein.
Die Datenschutzverwaltung hat den Vorteil, dass Änderungen schnell erfasst sind und Sie auf Knopfdruck jederzeit ein aktuelles Verzeichnis erstellen und ausdrucken können. Die enthaltene Verwaltung der Betroffenenrechte hilft Ihnen zudem Bußgelder zu vermeiden.
Darüberhinaus stehen Ihnen viele weitere hilfreiche Funktionen zur Verfügung, die Ihnen in einer Textverarbeitung oder Papierform fehlen würden, z. B. die Aufgabenverwaltung oder die Überprüfung der Verarbeitungen auf Vollständigkeit.