Die DSGVO ist seit dem 25. Mai. 2018 in Kraft getreten und wurde zum 20.09.2019 erstmalig revidiert. Die Unsicherheit über die damit einhergehenden Anforderungen und Erfordernisse aber weiterhin groß. Die in der Presse angekündigten großen Abmahnungen, Prüfungen und Strafen durch Aufsichtsbehörden sind bislang ausgeblieben, auch wenn die Umsetzung in den Betrieben oft noch mangelhaft ist.
Unternehmen, die die Vorgaben der DSVGO missachten, müssen mit empfindlichen Geldstrafen rechnen. Diese können dabei nicht nur gegen Privatunternehmen erlassen werden. Selbst für Behörden hat der Schutz personenbezogener Daten nun oberste Priorität. Wer die gesetzlichen Vorgaben ignoriert, wird kräftig zur Kasse gebeten: Die Verordnung sieht Bußgelder bis zu 20 Millionen Euro vor. Bei besonders schweren Vergehen werden sogar bis zu 4 % des gesamten weltweiten Umsatzes im letzten Geschäftsjahr fällig. Nicht nur deshalb ist es sehr wichtig, die Inhalte der DSGVO zu kennen. Datenschutzkonformes Arbeiten ist mit Inkrafttreten der Regeln endgültig ein essenzieller Bestandteil der betrieblichen Organisation.
Für Unternehmen und Selbstständige sind folgende Punkte wichtig:
- Klärung der Erfordernisse zur Bestellung eines Datenschutzbeauftragten sowie erforderlichenfalls Meldung an die Aufsichtsbehörden, wenn die Kriterien für Benennungspflicht erfüllt sind
- Erfüllung der Informationspflichten und Einwilligungsanforderungen bezüglich der Datenschutzhinweise auf Webseiten und Social-Media-Auftritten, News-Letter-Einwilligungen, Verarbeitungen im Rahmen von Vertriebs- und Marketingprozessen
- Erfassung aller Daten mit personenbezogenen Daten im Rahmen der Erstellung des „Verzeichnisses für Verarbeitungstätigkeiten (VVT)“
- Erfassung der Dienstleistungsverhältnisse, bei den personenbezogene Daten durch Fremddienstleister verarbeitet werden. Ggf. Anpassung vorhandener Verträge oder Abschluss neuer Verträge
- Firmeninterne Information, Schulungen und Einwilligungen der Beschäftigten
- Implementierung interner Datenschutzmanagementprozesse wie z.B. bei der Datenschutz-Folgeabschätzung, zur Verankerung des Datenschutzes in Vertriebs- und Einkaufprozessen notwendig
- Erstellung eines Datenschutzhandbuches zur Darlegung des „Datenschutzkonzeptes“ und nicht zuletzt
- Ständige Überwachung der Einhaltung geeigneter Maßnahmen und der Dokumentation der Datenschutzaktivitäten.
Stufe 1: Erstanalyse und Berichterstellung
- Analyse des gegenwärtigen Ist-Zustandes des Datenschutzes und Teilbereichen der IT-Sicherheit nach DSGVO-Art. 32
- Prüfungen von relevanten Rechtmäßigkeiten von Verarbeitungen mit personenbezogenen Daten
- Bewertung der dabei aufgetretenen Sicherheitslücken, potentiellen Gefährdungen oder zumindest Schwachstellen
- Zusammenfassender Bericht über die Ergebnisse der Erstanalyse und den beinhalteten Maßnahmenempfehlungen als Grundlage für die Erstellung des Datenschutz-Gesamtkonzeptes
Stufe 2: Erstellung des Datenschutz-Gesamtkonzeptes Anhand der obigen Erstanalyse des Ist-Zustandes kann der Datenschutzstand bewertet werden. Wo ist bereits ein gutes Level erreicht, an welcher Stelle befinden sich noch Lücken? Sind alle notwendigen Unterlagen vorhanden? Daraus erfolgt dann die Erstellung eines Orientierungshandbuches inkl. der erforderlichen Verfahrensanweisungen, Formulare und sonstiger Dokumentation in enger Zusammenarbeit mit dem IT-Verantwortlichen unter Berücksichtigung von:
- Darlegung Auskunfts- u. Registeraufgaben in Form von Verzeichnissen von Verarbeitungstätigkeiten bzgl. personenbezogener Daten nach DSGVO-Art. 30 / BDSG-Neu-§§ 48-50, 70. Die hier aufgeführten, einzelnen Verarbeitungstätigkeiten enthalten die wesentlichen Angaben einer jeden Verarbeitung (z.B. Angabe der Betroffenen, Datenkategorie, Zweck der Verarbeitung, Empfänger der jeweiligen Daten etc.)
- Erfüllung Meldepflichten nach DSGVO-Art. 33 / BDSG-Neu-§§ 65+66, Auskunftserteilungen nach DSGVO-Art. 34 / BDSG-Neu-§ 66
- Festlegung und Optimierung betriebsinterner Regelungen zum datenschutzkonformen Umgang mit personenbezogenen Daten bei Nutzung von PC‘s, Tablets, Laptops, Handys, Datenspeicher usw. nach DSGVO-Art. 40 + 41 / BDSG-Neu-§ 71 und deren Überwachung
- Unterstützung bei der Umsetzung notwendiger technischer und organisatorischer Maßnahmen (§ 9 BDSG sowie Anlage zu § 9 Satz 1 BDSG)
- Datenschutz-Folgeabschätzungen nach DSGVO-Art. 35 + 36 / BDSG-Neu-§ 67 und Mitarbeit von externen Auftragsverarbeitungen nach DSGVO-Art. 28 / BDSG-Neu-§ 62
- Einbindung und Darlegung der Rechte auf Berichtigung, Löschung, Einschränkung und Übertragbarkeit usw. nach DSGVO-Art. 16, 17, 18, 19 und 20 / BDSG-Neu-§§ 56-59
Stufe 3: Betriebliche Umsetzung / Schulungen
- Durchführung aller erforderlichen Mitarbeiterschulungen und Erstunterweisungen / Instruktionen sowie Erstellung Teilnehmerlisten und Teilnahmebescheinigungen
- Prüfung der Verpflichtung von Mitarbeitern zur Vertraulichkeit sowie ausschließlichen Daten-verarbeitung auf Weisung des Verantwortlichen entsprechend Art. 29 zur DSGVO / BDSG-Neu-§ 52-54,
- abschließendes, internes Datenschutzaudit nach BDSG-§ 9a
Der Gesetzgeber hat in der neuen DSGVO-Art. 37 – 39 und auch im BDSG-Neu-§ 38 (f. nicht öffentliche Stellen) definiert, ab wann das Bestellen eines Datenschutzbeauftragten (DSB) erforderlich ist bzw. als Pflicht gilt. Es sind folgende vier Bereiche zu überprüfen, um mit Gewissheit sagen zu können, ob eine Bestellung erforderlich ist, wenn der Verantwortliche oder Auftragsverarbeiter:
- in der Regel mindestens 20 Personen (also 20 oder mehr) ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt.
Anmerkung: seit dem 20.09.2019 ist die Zahl der Personen von 10 auf nunmehr 20 heraufgesetzt worden. - Verarbeitungen vornimmt, die der Datenschutzfolgenabschätzung unterliegen (dies ist insbesondere relevant bei Gesundheitsdaten und damit in allen ärztlichen Praxen, med. Laboren und ähnlichen Bereichen), da hier eine Verpflichtung unabhängig von der Anzahl der Mitarbeiter besteht.
- Verarbeitungen vornimmt, die über Rasse, ethnische Herkunft, politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit oder Sexualleben einer Person informieren, da auch hier ebenfalls eine Verpflichtung besteht unabhängig von der Anzahl der Mitarbeiter
- personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet. Sollte man sich im Unternehmen mit den Voraussetzungen der Bestellung eines Datenschutzbeauftragten noch nicht befasst haben, ist eine Überprüfung der Notwendigkeit dringend anzuraten.
Erläuterungen: Unter einer „automatisierten Datenverarbeitung“ ist die heute gängige Datenverarbeitung mittels Informationstechnik gemeint – unabhängig auf welchem Endgerät (Computer, Laptop, Smartphone) sie erfolgt. Damit „beschäftigt“ ist jeder Mitarbeiter, der bei der Arbeit an diesen Endgeräten mit personenbezogenen Daten in Kontakt kommt. „Ständig“ mit der Datenverarbeitung beschäftigt zu sein bedeutet nicht, dass das Aufgabenfeld dieser Mitarbeiter allein im Umgang mit personenbezogenen Daten besteht. Die Datenverarbeitung muss lediglich ein „ständiger“ Begleiter der normalen Arbeit sein. Das trifft beispielsweise auf Mitarbeiter der IT-Abteilung, Servicetechniker usw. aber auch auf Sekretäre/innen und jeden, der E-Mail-Kontakt mit Kunden pflegt, zu. Unberücksichtigt sind jedoch Mitarbeiter die nur gelegentlich mit personenbezogenen Daten in Kontakt kommen oder diese Tätigkeiten nur für einen kurzen Zeitraum ausüben (etwa Auszubildende). Sollte man sich im Unternehmen mit den Voraussetzungen der Bestellung eines Datenschutzbeauftragten noch nicht befasst haben, ist eine Überprüfung der Notwendigkeit dringend anzuraten.
Wir bieten ihnen auch diese Gestellung des Datenschutzbeauftragten an und haben dies auf Basis der nachfolgenden Aspekte folgendermaßen umgesetzt:
- Abschluss der Weiterbildungsphase unserer internen Datenschutzbeauftragten, die bereits seit 2011 für unser Haus tätig ist, bis Mitte Juli 2018 und Ernennung zur Leitung des Bereiches Datenschutz.
- Abschluss der erweiterten Ausbildungsphase unseres internen Informationssicherheitsbeauftragten (gem. ISO 27001) zum Datenschutzbeauftragten bis Mitte August 2018.
- Eigenständige Berufshaftpflichtversicherung als eine „Vermögensschaden-Haftpflichtversicherung“ für den Bereich Datenschutzkonzepte gemäß den Empfehlungen des BvD e.V. in seiner Publikation „Das berufliche Leitbild der Datenschutzbeauftragten“ (3. Ausgabe 2016, 3.6).
Schulungen im Bereich Datenschutz: Inhalte, Dauer und Kosten der Datenschutzschulungen In diesem Leitfaden werden die wichtigsten Themen, Voraussetzungen, Fragen und der Umfang der Arbeiten zu einem regelkonformen Datenschutz dargelegt.
Zu den Schulungsinhalten und Kosten.
Wesentliche Qualifikationsmerkmale des Datenschutzbeauftragten sind grundlegende Kenntnisse und Fähigkeiten zu den Aufgaben des Datenschutzbeauftragten. Unser Datenschutzbeauftragter hat zudem an einer qualifizierten Schulung mit anschließender schriftlicher Abschlussprüfung z.B. der DEKRA mit besonderem Erfolg teilgenommen. Die IT- Erfahrung, vereint mit der Zusatzausbildung zum Datenschutzbeauftragten, qualifiziert und berechtigt auch zum Einsatz als extern tätiger Datenschutzbeauftragter.
Ernennungszertifikat Fr. Rossi
Bilder: everythingpossible – Fotolia, Sergey Nivens – fotolia