Die EU-Datenschutz-Grundverordnung (DSGVO) hat bei vielen Unternehmen zu großer Unsicherheit geführt. Dabei lässt sich mit einigen Grundlagen bereits ein gutes Datenschutzniveau erreichen. Die sieben wichtigsten Anforderungen des Datenschutzrechts finden Sie in dieser Übersicht – inkl. Links zu allen wichtigen Vorlagen.

1. Verzeichnis von Verarbeitungstätigkeiten

Die DSGVO schreibt vor, dass jedes Unternehmen ein sogenanntes Verzeichnis von Verarbeitungstätigkeiten führen muss. Darin wird der Umgang des Unternehmens mit personenbezogenen Daten dokumentiert. Es enthält u. a. Informationen über das Unternehmen selbst, die Zwecke der Datenverarbeitung, die Kategorien der von der Datenerhebung Betroffenen sowie Regelfristen für die Löschung dieser Daten. Das Verzeichnis von Verarbeitungstätigkeiten dient in erster Linie als Nachweis gegenüber den Datenschutzaufsichtsbehörden.

Viele Unternehmen vernachlässigen diese gesetzliche Pflicht und führen kein oder nur ein unzureichendes Verfahrensverzeichnis. Damit schaden sie jedoch nicht nur ihrer Vertrauenswürdigkeit gegenüber Kunden, sondern erschweren sich selbst auch die interne Organisation und setzen sich der Gefahr eines hohen Bußgeldes aus, da die Verzeichnisse den Aufsichtsbehörden auf Verlangen vorgelegt werden müssen. Immerhin macht ein fehlendes Verfahrensverzeichnis nach strenger juristischer Betrachtungsweise die gesamte betreffende Datenverarbeitung rechtswidrig.

Hier finden Sie eine Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten zum kostenlosen Download.

2. Auftragsverarbeitungs-Verträge

Die meisten Unternehmen bedienen sich externer Dienstleister, um personenbezogene Daten zu verarbeiten. Die Auftragsbreite reicht von der Entsorgung von Papierabfällen bis zur Wartung der IT-Systeme oder auch der Zurverfügungstellung von Rechenkapazität (Cloud-Computing).

In all diesen Fällen bleibt jedoch das auftraggebende Unternehmen für die Einhaltung des Datenschutzes verantwortlich. Deshalb sieht das Gesetz vor, dass jeweils ein Auftragsverarbeitungsvertrag (AV-Vertrag oder auch Vertrag über Auftragsverarbeitung) zwischen den Parteien geschlossen wird, der bestimmte Mindestanforderungen erfüllen muss. Hierbei haben viele Unternehmen jedoch Schwierigkeiten, weshalb Verträge vielfach fehlen oder die abgeschlossenen Verträge oft nicht dem gesetzlichen Standard entsprechen und Bußgelder drohen.

Wir bieten ein kostenloses DSGVO-konformes Muster für einen AV-Vertrag zum Download an.

3. Datenschutzbeauftragter

Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn in der Regel mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Dieser hat innerhalb des Unternehmens die Aufgabe, die Einhaltung des Datenschutzes zu überwachen. Dies ist jedoch oftmals eine sehr anspruchsvolle Aufgabe, da neben Organisationsvermögen, Zuverlässigkeit und datenschutzrechtlichen Kenntnissen auch technisches Wissen und ein geübter Umgang mit IT erforderlich sind. Ein Mitarbeiter ohne diese Soft-Skills und Fachkunde eignet sich daher nicht als Datenschutzbeauftragter bzw. sind intensive Schulungen zu empfehlen.

Obendrein darf auch kein Interessenskonflikt bestehen, so dass der Datenschutzbeauftragte weder Teil der Geschäftsführung sein, noch der Führung der Personal- oder IT-Abteilung angehören darf (mehr dazu in unserem Whitepaper zum betrieblichen Datenschutzbeauftragten).

Deswegen ist oftmals die Bestellung eines externen Datenschutzbeauftragten anzuraten, da aufgrund der Komplexität der Sachlage nur dieser in der Lage ist, den gesetzlichen Mindeststandard im Unternehmen herzustellen.

4. Lösch- und Sperrkonzepte

Die Datenschutz-Grundverordnung sieht strenge Regelungen für die Speicherung personenbezogener Daten vor. So dürfen diese stets nur so lange gespeichert werden, wie diese auch wirklich benötigt werden. Andererseits gibt es manchmal auch gesetzliche Aufbewahrungsfristen, so dass Daten über einen gewissen Zeitraum gespeichert werden müssen – und zwar getrennt von den Daten des alltäglichen Geschäfts.

Daher sollte jedes Unternehmen (neben dem Datensicherungskonzept) über ein Lösch- und Sperrkonzept verfügen, da die unbefugte Speicherung von personenbezogenen Daten ein schwerwiegender Verstoß gegen die DSGVO darstellt und mit hohen Bußgeldern belegt wird.

5. Informationspflichten

Spätestens mit Erhebung der Daten müssen Betroffene u.a. über den Verantwortlichen für die Datenverarbeitung, dessen Datenschutzbeauftragten, die Zwecke der Datenverarbeitung und etwaige Empfänger der Daten informiert werden. Die Informationspflichten müssen gegenüber sämtlichen Betroffenen erfüllt werden. Dazu zählen Mitarbeiter  wie Besucher der Unternehmenswebsite.

Zur Erfüllung Ihrer Informationspflichten, stellen wir Ihnen gleich mehrere kostenlose Generatoren bereit:

6. Beachtung von Auskunftsrechten

Vielen Unternehmen ist nicht bekannt, dass die von der Datenspeicherung Betroffenen von den entsprechenden Unternehmen jederzeit Auskunft u. a. über Art, Umfang und Zweck sowie eine mögliche Weitergabe an Dritte verlangen können.

Mehr Informationen dazu finden Sie in unserem Ratgeber zu Betroffenenrechten und zum Umgang mit Anfragen von Betroffenen.

7. Verpflichtung auf das Datengeheimnis

Den mit Datenverarbeitung betrauten Beschäftigten ist es verboten, personenbezogene Daten zu anderen als den  erforderlichen Zwecken zu erheben, zu verarbeiten und zu nutzen. Deshalb ist bereits bei der Einstellung eines Mitarbeiters darauf zu achten, dass dieser auf das Datengeheimnis verpflichtet wird. Andernfalls sollte dies unverzüglich nachgeholt werden.

Ein entsprechendes Verpflichtungsformular zur Erfüllung der Anforderungen haben wir Ihnen als Vorlage erstellt.

Fazit: Betrieblicher Datenschutz ist kein Hindernis

Wenn Sie in Ihrem Unternehmen die genannten sieben Schritte ausreichend umsetzen, dürften Sie in Sachen Datenschutz bereits recht gut dastehen. Ob eine vollständige Compliance mit der DSGVO erreicht wurde, kann natürlich nur durch einen Datenschutzexperten beurteilt werden.

Bitte bewerten Sie diese Inhalte!
[13 Bewertung(en)/ratings]

Dieser aktualisierte Artikel erschien zuerst am 6. Dezember 2014.