Bin ich oder mein Unternehmen von der DS-GVO betroffen?

Sobald Sie personenbezogene Daten verarbeiten, müssen Sie die Anforderungen der DS-GVO erfüllen.

Bieten Sie Waren oder Dienstleistungen in Deutschland oder in der EU an?
Haben Sie Mitarbeiter in Ihrem Unternehmen?

Wenn Sie eine der beiden Fragen mit Ja beantworten können, sind Sie wahrscheinlich von der DS-GVO betroffen. Das gilt übrigens auch für Vereine und Privatpersonen, die Wohnungen oder Häuser an andere Privatpersonen vermieten.

Können Sie aus einem Firmennamen Ihrer Geschäftskunden den Inhaber ableiten, sind auch das personenbezogene Daten (z. B. Bäckerei Klaus Becker). Auch wenn der Namen nicht so einfach ableitbar ist: Ihre Ansprechpartner sind immer Personen, mit der Firma selbst kann man nicht reden.

Was muss unternommen werden?

Sie müssen ein Verzeichnis aller Tätigkeiten führen, bei denen personenbezogene

Daten verarbeitet werden. Das Verzeichnis ist fortlaufend zu aktualisieren.

Zu jeder Tätigkeit ist anzugeben

Zu welchen Zwecken die Daten verarbeitet werden,
wer für die Verarbeitung verantwortlich ist,
welche Datenkategorien verarbeitet werden,
welche internen und externen Datenempfänger es gibt,
ob eine Übermittlung in Drittländer oder an internationale Organisationen erfolgt,
welche Personengruppen von der Verarbeitung betroffen sind *,
auf welcher rechtlichen Grundlage die Verarbeitung geschieht,
wie lange die Daten gespeichert werden,
wann und wie die Daten gelöscht werden,
durch welche technischen und organisatorischen Maßnahmen die Sicherheit der Verarbeitung gewährleistet wird,
welche Hardware und Software jeweils zum Einsatz kommt,
welche Risiken bei der Verarbeitung für die Rechte und Freiheiten der betroffenen Personen bestehen könnten und ob eine Datenschutzfolgeabschätzung notwendig ist.

* Das bedeutet nicht, dass Sie jeden einzelnen Kunden, Lieferanten etc. angeben müssen, sondern dass diese bspw. in den Betroffenengruppen "Kunden" oder "Lieferanten" zusammengefasst werden.

Neben der Erstellung des Verzeichnisses ist zu beachten, dass mit Inkrafttreten der DS-GVO die betroffenen Personen weitgehende Rechte erhalten:

So könnten etwa Ihre Kunden jederzeit Auskunft verlangen, welche Daten Sie über die Person gespeichert haben oder sie können verlangen, dass die Daten gelöscht oder korrigiert werden.

Sie müssen dann innerhalb eines Monats diese Anfragen erfüllen oder mit einer Begründung ablehnen, da bei Nichtbeachtung Geldbußen drohen.

Mögliche Datenschutzverletzungen müssen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, wenn ein Risiko für die Rechte und Freiheiten der betroffenen Personen bestehen könnte.

Kann das der Datenschutzbeauftragte für mich erledigen?

In der DS-GVO ist eindeutig geregelt, dass der Verantwortliche selbst für die Umsetzung verantwortlich ist, bspw. für die kontinuierliche Pflege des Verzeichnisses der Verarbeitungstätigkeiten.

Die Aufgabe des Datenschutzbeauftragten ist die Beratung des Verantwortlichen und die Kontrolle der Umsetzung. Würde der Datenschutzbeauftragte für den Verantwortlichen die Anforderungen der DS-GVO umsetzen, wäre das ein Verstoß gegen die DS-GVO.

Das bedeutet aber nicht, dass der Verantwortliche die Umsetzung alleine machen muss. Er kann die Aufgaben sehr wohl an Mitarbeiter delegieren, aber eben nicht an den Datenschutzbeauftragten, denn dieser soll die Umsetzung kontrollieren. Alles Andere wäre ein nicht zulässiger Interessenskonflikt.

Das bietet Ihnen die Datenschutzverwaltung:

Wenn Sie den vorherigen Punkt gelesen haben, wissen Sie, was Sie grundsätzlich tun müssen.

Aber wo soll man anfangen, wie sehen konkrete Verarbeitungen aus, was könnten mögliche Verarbeitungen überhaupt sein? Was sind denn technische und organisatorische Maßnahmen, wie könnten diese konkret aussehen? Welche Kriterien gelten bei der Risikobestimmung? Wie nehme ich die Betroffenenrechte wahr und wie verwalte ich sie?

Die Datenschutzverwaltung unterstützt Sie bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten:

Mehr als 50 Vorlagen für Verarbeitungen, die die meisten Tätigkeiten Ihres Unternehmens abdecken. Arbeiten Sie einfach einen Fragenkatalog ab, die Tätigkeiten werden automatisch erstellt, ausgefüllt und können anschließend angepasst werden .
Mehr als 160 Vorlagen für technische und organisatorische Vorlagen (TOM), die Sie einfach auswählen, übernehmen und anpassen können.
Erfassung eigener Verarbeitungstätigkeiten und TOM.
Prüfung der Notwendigkeit einer Datenschutzfolgenabschätzung.
Erstellen des Verarbeitungsverzeichnisses im PDF-Format.
Musterverträge, die die Anforderungen der DS-GVO berücksichtigen (z.B. für Mitarbeiter, Websites, Auftragsverarbeiter).
Erfassung der Standorte, Abteilungen und Mitarbeiter Ihres Unternehmens.
Erfassung aller verwendeten Software, Hardware und der erstellen Dokumente.
Inklusive Zuweisung von Hardware an Mitarbeiter (BYOD und COPE).
Verwaltung von Betroffenenrechten und Datenschutzverstößen.
Grafische Darstellung der Unternehmensstrukturen (Organigramm) und der internen und externen Datenflüsse.
Aufgabenverwaltung.
Automatische Überprüfung der Tätigkeiten auf vollständige Angaben.
Ausführliche integrierte Hilfe, ergänzt um weiterführende Links.
Tutorials, die Ihnen die wichtigsten Funktionen interaktiv erklären.
Enthält die DS-GVO mit den Erwägungsgründen.
Wenn Sie einen Datenschutzbeauftragten benötigen, können Sie sich in eine Suchdatenbank eintragen. Sie können sich jederzeit wieder austragen.
Mehr als 200 Aufbewahrungsfristen für Dokumente, die personenbezogene Daten enthalten könnten (relevant für die Speicherdauer bzw. Datenlöschung).
Konkrete Beispiele für die Anwendung von TOM. Sie können sich eine individuelle Übersicht erstellen lassen.
Datenschutz-Generator für die Erstellung einer Datenschutzerklärung für Ihre Website.
und vieles mehr

Eine Übersicht über alle Funktionen der Datenschutzverwaltung finden Sie hier.

Erstellen Sie Ihr Verzeichnis der Verarbeitungstätigkeiten durch die zahlreichen

Vorlagen in kürzester Zeit.

Erhalten Sie außerdem einen Überblick über die Strukturen, Datenflüsse und

Ausstattung Ihres Unternehmens. Dies stellt unabhängig von den Anforderungen der DS-GVO eine äußerst wertvolle Information dar.

Erfahren Sie hier mehr über die Funktionen der Datenschutzverwaltung.

Gilt die DS-GVO nicht erst ab 250 Mitarbeitern?

Nein! In der Verordnung steht, dass Unternehmen mit weniger als 250 Mitarbeitern kein Verzeichnis erstellen müssen, aber nur dann, wenn keine regelmäßige Verarbeitung personenbezogener Daten erfolgt (nachzulesen in Artikel 30 Absatz 5). Während des laufenden Geschäftsbetriebs werden aber immer personenbezogene Daten verarbeitet und sei es nur zu Gehaltszahlungen.

Die einzige wirkliche Ausnahme ist die Verarbeitung personenbezogener Daten für ausschließlich persönliche und familiäre Zwecke (z. B. privates Adressbuch oder Fotoalbum).

Welche Konsequenzen kann das Ignorieren der DS-GVO haben?

Verstöße gegen den Datenschutz können ernsthafte rechtliche und finanzielle Folgen haben. Die DS-GVO verschärft die bisher geltenden Regelungen deutlich, das gilt auch für Geldbußen und mögliche Schadensersatzansprüche.

Im Extremfall drohen Geldbußen von bis zu 20 Millionen EUR. Die Größenordnung kommt für kleine Unternehmen und Vereine natürlich nicht in Betracht, doch auch sie müssen bei Verstößen mit Geldbußen in vier- oder fünfstelliger Höhe rechnen. Die DS-GVO legt fest, dass Geldbußen „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein sollen (nachzulesen in Artikel 83 Absatz 1).

Die Prüfung durch die Aufsichtsbehörden, ob Sie die Anforderungen erfüllen, wird in erster Linie darin bestehen, dass Ihr Verarbeitungsverzeichnis angefordert wird. Die Prüfung findet sozusagen „am Schreibtisch“ statt, kann aber auch vor Ort geschehen.

Auf Ihr Unternehmen aufmerksam kann die Behörde auch dadurch werden, dass Sie die Betroffenenrechte wie Auskunft nicht umsetzen und sich die betroffenen Personen bei der Behörde beschweren.

Sie sollten die Umsetzung der Anforderungen der DS-GVO wie die Steuererklärung

betrachten. Sie können natürlich das Finanzamt ignorieren, die Konsequenzen

sind aber eher unvorteilhaft.

Schon aufgrund der drohenden Geldbußen stellt die Datenschutzverwaltung eine lohnende Investition dar. Jetzt kaufen.

Ist für die Erstellung des Verzeichnisses eine Software nötig?

Nein, Sie können das Verzeichnis der Verarbeitungstätigkeiten auch in einem Textverarbeitungsprogramm oder sogar in Papierform erstellen.

Das hat aber mehrere Nachteile: Da das Verzeichnis nicht nur einmal erstellt wird und dann für alle Zeit gilt, sondern fortlaufend angepasst und erweitert werden muss, müssten Sie ohne spezielle Software auch fortlaufend aufwendige Änderungen an der Dokumentation vornehmen. So löst jede Änderung etwa am Mitarbeiterstamm, an der verwendeten Soft- und Hardware usw. auch eine Überarbeitung des Verzeichnisses aus.

Außerdem müssen Sie eine Lösung entwickeln wie Sie die Betroffenenrechte fristgerecht wahrnehmen können, also wann hat welcher Kunde welches Recht geltend gemacht und bis wann muss es erledigt sein.

Die Datenschutzverwaltung hat den Vorteil, dass Änderungen schnell erfasst sind und Sie auf Knopfdruck jederzeit ein aktuelles Verzeichnis erstellen und ausdrucken können. Die enthaltene Verwaltung der Betroffenenrechte hilft Ihnen zudem Bußgelder zu vermeiden.

Darüberhinaus stehen Ihnen viele weitere hilfreiche Funktionen zur Verfügung, die Ihnen in einer Textverarbeitung oder Papierform fehlen würden, z. B. die Aufgabenverwaltung oder die Überprüfung der Verarbeitungen auf Vollständigkeit.

Was ist die Datenschutzverwaltung?

Die Datenschutzverwaltung ist ein Datenschutzmanagementsystem, mit dem Sie die Anforderungen der DS-GVO umsetzen können.

Gibt es eine Testversion?

Ja. Sie können über das Kontaktformular einfach und unverbindlich eine Testversion anfordern. Diese ist 14 Tage lang uneingeschränkt lauffähig.

Was ist eine Verarbeitung?

Unter Verarbeitung versteht man u. a. das Erfassen, Organisieren, Ordnen, Speichern, Verändern, Auslesen, Abfragen, Verwenden und Löschen von Daten.

Das betrifft nicht nur Verarbeitungen am Computer, sondern auch in Papierform!

Was sind personenbezogene Daten?

Daten sind personenbezogen, wenn sie direkt oder indirekt einer natürlichen Person zugeordnet werden können.

Beispiele für personenbezogene Daten:

Namen, Telefonnummer, E-Mail, Kontonummer, Kundennummer, Gesundheitsdaten, betriebliche An- und Abwesenheitszeiten, Religionszuge-hörigkeit oder Gewerkschaftsangehörigkeit, IP-Adressen u.v.m.

Beispiele für betroffene Unternehmen:
Ärzte, Apotheken, Bäckereien, Fitnessstudios, Freiberufler, Frisöre, Gastronomiebetriebe,
gemeinnützige Organisationen, Handwerks-betriebe, Makler, Metzgereien, Radiosender, Rechtsanwälte, Reisebüros, Steuerberater, Tankstellen, Taxiunternehmen, Vereine, Vermieter (auch private) etc.

Welche Rechte haben die Betroffenen?

Beispiele: Recht auf Auskunft, Recht auf Berichtigung von Daten, Recht auf Löschung von Daten, Recht auf Vergessenwerden, Recht auf Einschränkung der Verarbeitung etc.