Datenschutz für Unternehmer

Sie haben Fragen zum Datenschutz in Ihrem Unternehmen? Als Fachanwälte für IT-Recht und Medienrecht beraten wir unsere Mandanten umfassend zu sämtlichen Fragen des Datenschutzrechtes.

 

Datenschutz-Grundverordnung (DSGVO) – Was müssen Unternehmen beachten?

Seit dem 25.05.2018 müssen Unternehmen die DSGVO beachten. In einem ersten Schritt sollte jedes Unternehmen prüfen, ob und in welchem Umfang personenbezogene Daten verarbeitet werden. In einem zweiten Schritt müssen die Maßnahmen festgelegt werden. Als erfahrene Fachanwälte unterstützen wir Sie bei der Bestandsaufnahme in Bezug auf Verarbeitungsvorgänge und bei der Erstellung von Verarbeitungsverzeichnissen.

 

In 5 Schritten zu einer Umsetzung der DSGVO – Wir helfen Ihnen!

Die Umsetzung der DSGVO ist möglich. Da die Entwicklung der Rechtsprechung und das Vorgehen der Behörden in Datenschutzfragen noch abgewartet werden muss, empfehlen wir Unternehmen jedenfalls unsere 5 Schritte zur Umsetzung der DSGVO zu beachten. Ergeben sich weitere Fragen, so können diese mit fachanwaltlicher Hilfe geschlossen werden. Wichtig ist, eine erste Grundlage zu schaffen, mit der  im Unternehmen gearbeitet werden kann.

 

Schritt 1: Datenschutzbeauftragter erforderlich?

Benötigen Sie einen Datenschutzbeauftragter? Diese Frage  ist einfach zu beantworten. Es gilt eine 10-Personenregel. Sind mindestens 10 Personen in dem Unternehmen mit der Datenverarbeitung beschäftigt, ist ein Datenschutzbeauftragter zu bestellen. Die Personen müssen ständig mit der Datenverarbeitung befasst sein. Hier zählen Aushilfen, freie Mitarbeiter und Vollzeitkräftig jeweils als eine Person und zwar unabhängig vom Umfang der Tätigkeit.

Muss ich einen externen Datenschutzbeauftragter bestellen oder kann ein Angestellter als Datenschutzbeauftragter bestellt werden? Ein externer Datenschutzbeauftragter ist nicht notwendig. Unser Tipp: Mitarbeiter mit IT-Affinität können als Datenschutzbeauftragter bestellt werden. Dabei gilt: Selbst ein schwach geeigneter Datenschutzbeauftragter ist besser als kein Datenschutzbeauftragter, da es für die Datenschutzbehörden äußerst einfach ist, die Bestellung eines Datenschutzbeauftragten zu überprüfen.

 

Schritt 2: Verarbeitungsverzeichnis erstellen!

Nach Art. 30 DSGVO ist die Führung eines Verarbeitungsverzeichnisses vorgeschrieben. Da die Regelung nicht eindeutig ist, ist zu befürchten, dass jedes Unternehmen ein Verarbeitungsverzeichnis erstellen muss. Die in den Art. 30  Absätzen 1 und 2 DSGVO genannten Pflichten gelten nämlich nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien.

Es handelt sich um Rechtsbegriffe, die in der DSGVO nicht definiert werden. Es ist daher auch Unternehmen unter 250 Mitarbeitern, welche z.B. regelmäßig Kundendaten verarbeiten, zu empfehlen, ein Verarbeitungsverzeichnis zu erstellen. Verarbeitungstätigkeiten sind z.B.

  • E-Mails
  • Buchhaltung
  • Software für den Betrieb und Projektmanagement
  • elektronische Terminverwaltung
  • elektronische Personalakten
  • Unternehmenswebsite

Für das Verarbeitungsverzeichnis ist kein bestimmter Aufbau vorgeschrieben. Auf Wunsch erstellen wir für Sie das passende Muster und unterstützen Sie mit erfahrenen IT-Experten bei der Erstellung der Verarbeitungsverzeichnisses.

 

Schritt 3: Feststellung von Lücken (Gap-Analysis)

Nachdem festgestellt wurde, welche Daten verarbeitet werden, müssen die Verarbeitungsvorgänge auf die Vereinbarkeit mit der DSGVO geprüft werden.  Es sind die Grundsätze der DSGVO zu beachten. Hierzu zählen:

  • Datensparsamkeit
  • Datenrichtigkeit
  • Rechtmäßigkeit
  • Löschfristen
  • Zugriffsrechte
  • Zugangskontrolle
  • Schutz gegen Viren und Hacker

 

Schritt 4:  Technisch organisatorische Maßnahmen (TOMs) festlegen!

Die sogenannten TOMs sind in einem weiteren Schritt zu bestimmen und zu ergreifen. Unser Tipp: Dokumentieren Sie sämtliche TOMs.  Nach Art. 5 Abs. 1 lit. f DSGVO sind folgende Maßnahmen vorgeschrieben:

  • Verschlüsselung (z.B. E-Mails / Website)
  • Stabilität der Systeme
  • Wiederherstellbarkeit bei Datenverlust
  • Fristen für die Überprüfung

 

Schritt 5: Auftragsdatenverarbeitung , Datenschutzerklärung und Richtlinien

Auftragsverarbeitung: Abschließend muss bei der Nutzung externer Dienstleister, die Zugriff oder Einblick in Bezug auf personenbezogene Daten des Unternehmens, der Kunden oder Mitarbeiter haben, ein Vertrag in Bezug auf eine Auftragsverarbeitung geschlossen werden. Diese Verträge (AVD – Auftragsdatenverarbeitung oder nach DSGVO Auftragsverarbeitung) waren bereits nach dem BDSG vorgeschrieben und sind ggf. zu überprüfen und andernfalls neu abzuschließen. Die bußgeldbewehrte Pflicht besteht nun für beide Parteien.

Datenschutzinformationen: Da die Regelungen des Art. 13 und 14 DSGVO von den Regelung des alten BDSG abweichen, müssen sämtliche Datenschutzinformationen neu erstellt werden.  Diese Informationen müssen nicht nur auf die Website, sondern müssen auch jedem Kunden und Mitarbeiter mitgeteilt werden.

Richtlinien zum Umgang mit Anfragen in Bezug auf Betroffenenrechte und Datenschutzverstößen: Da die Regelungen des Art. 13 und 14 DSGVO von den Regelung des alten BDSG abweichen, müssen sämtliche Datenschutzinformationen neu erstellt werden.  Diese Informationen müssen nicht nur auf die Website, sondern müssen auch jedem Kunden und Mitarbeiter mitgeteilt werden

 

Fachanwälte für IT-Recht und Medienrecht – Wir unterstützen Sie bei der Umsetzung der DSGVO

Als Fachanwälte unterstützen wir Sie bei der Einführung und Einhaltung der Vorgaben der DSGVO und des BDSG-Neu.

  • Wir erstellen Ihnen entsprechende Muster, prüfen Ihre Verarbeitungsvorgänge, decken Schutzlücken auf  und helfen Ihnen, diese zu schließen. Wir bieten Vertragsmuster zur Auftragsverarbeitung, Datenschutz-Folgenabschätzung, Datenschutzerklärung und zum Beschäftigten-Datenschutz.
  • Im Falle von Beschwerden und Datenschutzkontrollen durch Aufsichtsbehörden und/oder Kunden beraten und vertreten wir Sie. Wir unterstützen Sie bei der Abwehr von Bußgeldern und Schadenersatzansprüchen wegen Verstößen gegen die DSGVO und allgemeinen Datenschutzverstößen.
  • Darüber hinaus verteidigen wir Sie gegen Abmahnungen wegen Verstoßes gegen das Datenschutzrecht / DSGVO und helfen Ihnen eigene Ansprüche durchzusetzen.
Zurück zu Datenschutz Weitere Rechtsgebiete
Kontakt