Umsetzung des Datenschutzes

Nachfolgend finden Sie eine Auflistung darüber, welche Punkte bei der Umsetzung des Datenschutzes in Ihrem Unternehmen besonderes Augenmerk genießen sollten. Zu den jeweiligen Punkten finden Sie auch eine kurze Erläuterung.

Um die Anforderungen der Datenschutz-Grundverordnung effektiv umsetzen zu können, muss ein sog. Datenschutz-Management im Unternehmen eingeführt werden. Das ist letztlich nichts anderes als eine besondere Form des Prozess-Managements.

Sämtliche Abteilungen, in denen personenbezogene Daten verarbeitet werden, müssen in die Umsetzung der DS-GVO einbezogen werden. Die Mitarbeiter müssen wissen, dass bei der Vearbeitung von personenbezogenen Daten oder bei der Einführung neuer Verarbeitungsvorgänge (z.B. neue Software zur Kundenverwaltung, Auftragsverwaltung oder Einführung von Videoüberwachung, etc.) bestimmte Regeln (Handlungsanweisungen) eingehalten werden müssen und welche Maßnahmen ergriffen werden müssen (z.B. Benachrichtigung des Datenschutzbeauftragten, Vorgesetzten, Abschluss eines AV-Vertrag etc.).

So bietet es sich als erstes an, bestimmte Personen zu benennen, die in ihrem Bereich/ihrer Abteilung zunächst alle relevanten Datenverarbeitungsvorgänge mittels eines Verarbeitungsverzeichnisses zusammentragen. Danach können diese dann vom Datenschutzbeauftragten oder einem Rechtsberater auf ihre Zulässigkeit hin geprüft werden.

Die Informationspflichten der Verantwortlichen gegenüber den betroffenen Personen haben sich im Vergleich zur alten Rechtslage stark verschärft.

Art. 13 und Art. 14 DSGVO legen fest, worüber die betroffenen Personen informiert werden müssen, wenn deren personenbezogene Daten verarbeitet werden.

Dabei unterscheidet sich der Umfang der Informationspflicht danach, ob die Daten direkt bei der betroffenen Person (Art. 13 DS-GVO) oder erst über einen Dritten erhoben werden (Art. 14 DS-GVO).

Am leichtesten lassen sich diese Informationspflichten über ein „Informationsblatt“ zu den eigentlichen Vertragsdokumenten vor Vertragsschluss mit dem Betroffenen erfüllen. Im konkreten Einzelfall kann es jedoch Schwierigkeiten geben, wie der Informationspflicht nachgekommen werden kann (z.B. telefonische Anfragen).

Die betroffenen Personen haben, wie schon früher auch, das Recht Auskunft darüber zu verlangen, welche Daten zu welchen Zwecken von ihnen gespeichert werden und an wen diese Daten weitergegeben werden.

Den genauen Inhalt des Auskunftsrechts regelt Art. 15 DS-GVO. Für den für die Datenverarbeitung Verantwortlichen bedeutet dies, dass er in seinem Unternehmen, Verein etc. einen Prozess etabliert haben muss, um diesem Auskunftsersuchen zügig nachkommen zu können.

Eine zügige und rechtmäßige Auskunftserteilung hängt unmittelbar mit der ordnungsgemäßen Erstellung von Verarbeitungsverzeichnissen und der Einführung eines Datenschutz-Managements zusammen. Sind diese beiden Punkte umgesetzt, sollte einer erfolgreichen Erteilung der Auskunft nichts mehr im Wege stehen.

Die Pflicht ein Verarbeitungsverzeichnis (Art. 30 DSGVO) zu erstellen und sauber zu führen, ist wahrscheinlich das, was bei den meisten Unternehmen zur Zeit eher negativ mit der Umsetzung des Datenschutzes empfunden wird.

Es dient dazu eine Übersicht darüber zu erhalten, welche Daten zu welchen Zwecken, auf welche Art und Weise und in welchem Umfang verarbeitet werden. Nur wenn eine solche Auflistung existiert, kann überhaupt erst eine ernsthafte Prüfung der rechtlichen Zulässigkeit erfolgen.

Es macht zwar zunächst viel Arbeit, ist aber in der weiteren Verwendung für die Umsetzung und das Leben des Datenschutzes im Unternehmen Gold wert. Wer hier gründlich arbeitet, hat letztlich nur Vorteile.

Die Verarbeitung personenbezogener Daten darf nur erfolgen, wenn es eine Rechtsgrundlage erlaubt oder die betroffene Person, deren Daten verarbeitet werden, eingewilligt hat.

Eine Einwilligung sollte nicht vorschnell eingeholt werden. Sie kann schließlich jederzeit widerrufen werden. Das hat Konsequenzen für die weitere Datenverarbeitung. Häufig kann die Verarbeitung auf eine der Rechtsgrundlagen des Art. 6 DSGVO gestützt werden.

Art. 28 DS-GVO regelt die sog. Auftragsverarbeitung. Diese liegt zusammengefasst vor, wenn eine andere Stelle (der Auftragsverarbeiter) personenbezogene Daten im Auftrag des Verantwortlichen und dabei weisungsgebunden verarbeitet. Die Einordnung kann in der Praxis jedoch häufig schwierig werden.

Der Auftragsverarbeiter ist dabei besonders sorgfältig auszuwählen. Insbesondere ist im Vorfeld zu prüfen, ob die von dem Verantwortlichen vorgegebenen technischen und organisatorischen Maßnahmen bei der Datenverarbeitung eingehalten werden.

Gem. Art. 28 Abs. 3 DSGVO muss für eine rechtmäßige Auftragsverarbeitung ein gesonderter Vertrag (AV-Vertrag) geschlossen werden. In der Praxis wird dieser häufig als Anlage zur eigentlichen Leistungsvereinbarung beigefügt. Den Inhalt des Vertrages gibt Art. 28 DSGVO zwar grundsätzlich vor. Allerdings sollten hier die Feinheiten der jeweiligen Auftragsverarbeitung berücksichtigt werden und auch Muster nicht ungeprüft übernommen werden.

Denn auch wenn die Nutzung von Mustern verlockend erscheint, sollte stets geprüft werden, ob das Muster noch an die individuellen Bedürfnisse angepasst werden muss. Hierbei unterstützen wir Sie gerne.