Wissenswertes zum Datenschutz
Zentrale Datenschutzgesetze
Wenn es um Datenschutz bezüglich unternehmerischem Tun geht, spielen vor allem diese drei Gesetze eine entscheidene Rolle:
1.) EU-Datenschutzgrundverordnung (EU-DSGVO), seit 25.05.2018
2.) Bundesdatenschutzgesetz (BDSG), seit 25.05.2018
3.) Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG), seit 01.12.2021
Alles drei Gesetze ziehen Veränderungen in Bezug auf Datenschutz- und Privacy-Anforderungen nach sich, auf die Unternehmen angemessen reagieren müssen.
Die wichtigsten Änderungen
- Meldepflicht bei Datenpannen: Betroffene und Aufsichtsbehörden innerhalb von 72 Stunden
- Bußgeld in Höhe von bis zu 20 Millionen EUR oder 4% des jährlichen weltweiten Umsatzes
- Verantwortliche und Verarbeiter der Daten haftbar
- Haftung ► kaufmännische Sorgfaltspflicht
- Haftung für materielle und immaterielle Schäden
- Beweislastumkehr
Grundlagen DSGVO
- Betrifft: alle Unternehmen und Einrichtungen
- Anwendung: Verarbeitung von personenbezogenen Daten natürlicher Personen
- Personen-Identifizierende Daten: Informationen, die
> eine Person unmittelbar identifizieren
> es erlauben könnten, die Identität einer Person festzustellen - Informationen über private Verhältnisse
- sensible Daten haben besonderes Gewicht
Anforderung an das Unternehmen I
- Rechtmäßigkeit und Einwilligung
> Rechtsvorschrift, Vertrag oder Einwilligung
> Informierte, freiwillige Einwilligung (nachweisbar) - Rechte betroffener Personen
> Information, Berichtigung, Löschung, Widerspruch - Sicherheit personenbezogener Daten (strategisch)
> Risikominimierung durch Datensparsamkeit, Anonymisierung, Pseudonymisierung und Verschlüsselung - Rechenschaftspflicht für die Einhaltung
> erweiterte Dokumentations- und Nachweispflichten
> Verfahrensverzeichnis
> Transparenz von Verfahren
Anforderung an das Unternehmen II
- Technik und Voreinstellungen
> Technische und organisatorische Maßnahmen (8 Punkte)
> Privacy by Design & Privacy by Default - Zweckbindung
- Datenschutzfolgenabschätzung
> Risikobasierter Ansatz - Auftragsverarbeitung
> Gemeinsame Verantwortung - Koppelungsverbot
> „Dienst gegen Daten“ bei Zusatzleistungen unzulässig - Verpflichtung zur Bestellung eines Datenschutzbeauftragten
- Schulung, Sensibilisierung und Verpflichtung der Mitarbeiter
Vorgehensweise
- Verantwortliche identifizieren
- Datenschutzaudit durchführen:
- Bestandsaufnahme und Risikoanalyse
- Bestellung eines Datenschutzbeauftragten
- Roadmap: Planung und Umsetzung der Maßnahmen
- Schulung der Mitarbeiter
- Aktualisierung und Pflege
![](https://www.wirkfabrik-aufbau.de/wp-content/uploads/2024/12/datenschutz-vorgehensweise.png)
Datenschutzaudit
- Vorbereitung
> Vorgespräch und Auditplan - Technisches und organisatorisches Audit
- Analyse, Auswertung, Dokumentation
> Managementreport und Maßnahmenplan - Abschlussgespräch, Ergebnisse, Roadmap
Der Datenschutzbeauftragte (DSB)
- Aufgaben
> Schulung und Verpflichtung der Mitarbeiter
> Beratung bei der Verarbeitung von personenbezogenen Daten
> Bearbeitung von Anfragen und Beschwerden
> Erstellung von Richtlinien und Arbeitsanweisungen
> Vertretung gegenüber externen Stellen
> Dokumentation
> Kontrolle - Anforderungen an Fachkunde hoch: Recht, Technik und Organisation
- Zuverlässigkeit: keine Interessenkollisionen
- DSB: extern oder intern? Outsourcing empfohlen
> Keine Kosten für Aus- und Weiterbildung
> Umsetzung der vorgeschriebenen Arbeiten effektiver und schneller
> Eigene Mitarbeiter können sich dem Kerngeschäft widmen - Interne DSB unterliegen einem besonderen Kündigungsschutz
Stand: 10.01.2022