Datenschutz – die 6 wichtigsten Anforderungen

activeMind AG - Datenschutz-Versäumnisse und Anforderungen

Die Kontrollen der Aufsichtsbehörden im Bereich des unternehmerischen Datenschutzes nehmen stark zu; häufig werden Versäumnisse aufgedeckt. Dabei ist die Erfüllung der wichtigsten Anforderungen oft schon mit geringen Aufwand möglich. Deshalb haben wir Ihnen regelmäßig auftretende Datenschutz-Versäumnisse und ihre schnelle Behebung zusammengetragen.

1. Verfahrensverzeichnis

Das Bundesdatenschutzgesetz (BDSG) schreibt vor, dass jedes Unternehmen ein sog. Verfahrensverzeichnis führen muss. Darin wird der Umgang des Unternehmens mit personenbezogenen Daten dokumentiert. Es enthält u.a. Informationen über das Unternehmen selbst, die Art der Datenerhebung sowie deren Zweck, eine Auflistung der von der Datenerhebung Betroffenen sowie Regelfristen für die Löschung dieser Daten.

Viele Unternehmen vernachlässigen diese gesetzliche Pflicht und führen kein oder nur ein unzureichendes Verfahrensverzeichnis. Damit schaden sie jedoch nicht nur ihrer Vertrauenswürdigkeit gegenüber Kunden sondern erschweren sich selbst auch die interne Organisation und setzen sich der Gefahr eines hohen Bußgeldes aus. Immerhin macht ein fehlendes Verfahrensverzeichnis nach strenger juristischer Betrachtungsweise die gesamte betroffene Datenverarbeitung rechtswidrig.

Das Erstellen eines solchen Verfahrensverzeichnisses ist daher dringend zu empfehlen. Wir haben Ihnen die wichtigsten Hinweise, Anforderungen und ein kostenloses Muster-Verfahrensverzeichnis bereitgestzellt.

2. Auftragsdatenverarbeitungs-Verträge

Die meisten Unternehmen bedienen sich externer Dienstleister, um personenbezogene Daten zu verarbeiten. Die Auftragsbreite reicht von der Entsorgung von Papierabfällen bis zur Wartung der IT-Systeme oder auch der Zurverfügungstellung von Rechenkapazität.

In all diesen Fällen bleibt jedoch das auftraggebende Unternehmen für die Einhaltung des Datenschutzes verantwortlich. Deshalb sieht das Gesetz vor, dass jeweils ein Auftragsdatenverarbeitungsvertrag zwischen den Parteien geschlossen wird, der bestimmte Mindestanforderungen erfüllen muss. Hierbei haben viele Unternehmen jedoch Schwierigkeiten, weshalb Verträge vielfach fehlen oder die abgeschlossenen Verträge oft nicht dem gesetzlichen Standard entsprechen und Bußgelder drohen.

Damit dies nicht passiert, lohnt es sich für Unternehmen, die hier dokumentierten Anforderungen und die Vorlagen rund um die Auftragsdatenverarbeitung zu beachten.

3. Datenschutzbeauftragter

Es besteht in vielen Fällen eine gesetzliche Pflicht, einen Datenschutzbeauftragten zu bestellen. Dieser hat innerhalb des Unternehmens die Aufgabe, die Einhaltung des Datenschutzes zu überwachen. Dies ist jedoch oftmals eine sehr anspruchsvolle Aufgabe, da neben Organisationsvermögen und Zuverlässigkeit nicht nur rechtliche Kenntnisse, sondern auch technisches Wissen und ein geübter Umgang mit IT erforderlich sind. Ein Mitarbeiter ohne diese Fachkunde eignet sich daher nicht als Datenschutzbeauftragter bzw. sind intensive Schulungen zu empfehlen. Obendrein darf auch kein Interessenskonflikt bestehen, so dass der Datenschutzbeauftragte weder Teil der Geschäftsführung sein, noch der Führung der Personal- oder IT-Abteilung angehören darf.

Deswegen ist oftmals die Bestellung eines externen Datenschutzbeauftragten anzuraten, da aufgrund der Komplexität der Sachlage nur dieser in der Lage ist, den gesetzlichen Mindeststandard im Unternehmen herzustellen.

4. Lösch- und Sperrkonzepte

Das BDSG sieht strenge Regelungen für die Speicherung personenbezogener Daten vor. So dürfen diese stets nur so lange gespeichert werden, wie diese auch wirklich benötigt werden. Andererseits gibt es manchmal auch gesetzliche Aufbewahrungsfristen, so dass Daten über einen gewissen Zeitraum gespeichert werden müssen, und zwar getrennt von den Daten des alltäglichen Geschäfts.

Daher sollte jedes Unternehmen (neben dem Datensicherungskonzept) über ein Lösch- und Sperrkonzept verfügen, da die unbefugte Speicherung von personenbezogenen Daten ein schwerwiegender Verstoß gegen das BDSG darstellt und mit hohen Bußgeldern belegt wird.

5. Beachtung von Auskunftsrechten

Vielen Unternehmen ist nicht bekannt, dass die von der Datenspeicherung Betroffenen von den entsprechenden Unternehmen jederzeit Auskunft über Art, Umfang und Zweck sowie eine mögliche Weitergabe an Dritte verlangen können. Kann oder will das Unternehmen diese Auskunft nicht erteilen, stellt dies einen schwerwiegenden Verstoß gegen Datenschutzgrundsätze dar und wird mit hohen Bußgeldern sanktioniert. Wir haben Ihnen zusammengestellt, welche Auskünfte Unternehmen geben müssen.

6. Verpflichtung auf das Datengeheimnis

Den mit Datenverarbeitung betrauten Beschäftigten ist es verboten, personenbezogene Daten zu erheben, zu verarbeiten und zu nutzen. Deshalb ist bereits bei der Einstellung eines Mitarbeiters darauf zu achten, dass dieser gem. §5 BDSG auf das Datengeheimnis verpflichtet wird. Ist dies bei der Einstellung nicht geschehen, sollte dies unverzüglich nachgeholt werden.

Ein entsprechendes Verpflichtungsformular zur Erfüllung der Anforderungen haben wir Ihnen als Vorlage erstellt.

Bitte bewerten Sie diese Inhalte!
[11 Bewertung(en)/ratings]


(Artikel erstmals veröffentlicht am 6.12.2014, zuletzt aktualisiert am 4.5.2016)