Wissenswertes zum Datenschutz

Zentrale Datenschutzgesetze

Wenn es um Datenschutz bezüglich unternehmerischem Tun geht, spielen vor allem diese drei Gesetze eine entscheidene Rolle:

1.) EU-Datenschutzgrundverordnung (EU-DSGVO), seit 25.05.2018

2.) Bundesdatenschutzgesetz (BDSG), seit 25.05.2018

3.) Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG), seit 01.12.2021

Alles drei Gesetze ziehen Veränderungen in Bezug auf Datenschutz- und Privacy-Anforderungen nach sich, auf die Unternehmen angemessen reagieren müssen.

Die wichtigsten Änderungen

  • Meldepflicht bei Datenpannen: Betroffene und Aufsichtsbehörden innerhalb von 72 Stunden
  • Bußgeld in Höhe von bis zu 20 Millionen EUR oder 4% des jährlichen weltweiten Umsatzes
  • Verantwortliche und Verarbeiter der Daten haftbar
  • Haftung kaufmännische Sorgfaltspflicht
  • Haftung für materielle und immaterielle Schäden
  • Beweislastumkehr

Grundlagen DSGVO

  • Betrifft: alle Unternehmen und Einrichtungen
  • Anwendung: Verarbeitung von personenbezogenen Daten natürlicher Personen
  • Personen-Identifizierende Daten: Informationen, die
    > eine Person unmittelbar identifizieren
    > es erlauben könnten, die Identität einer Person festzustellen
  • Informationen über private Verhältnisse
  • sensible Daten haben besonderes Gewicht

Anforderung an das Unternehmen I

  • Rechtmäßigkeit und Einwilligung
    > Rechtsvorschrift, Vertrag oder Einwilligung
    > Informierte, freiwillige Einwilligung (nachweisbar)
  • Rechte betroffener Personen
    > Information, Berichtigung, Löschung, Widerspruch
  • Sicherheit personenbezogener Daten (strategisch)
    > Risikominimierung durch Datensparsamkeit, Anonymisierung, Pseudonymisierung und Verschlüsselung
  • Rechenschaftspflicht für die Einhaltung
    > erweiterte Dokumentations- und Nachweispflichten
    > Verfahrensverzeichnis
    > Transparenz von Verfahren

Anforderung an das Unternehmen II

  • Technik und Voreinstellungen
    > Technische und organisatorische Maßnahmen (8 Punkte)
    > Privacy by Design & Privacy by Default
  • Zweckbindung
  • Datenschutzfolgenabschätzung
    > Risikobasierter Ansatz
  • Auftragsverarbeitung
    > Gemeinsame Verantwortung
  • Koppelungsverbot
    > „Dienst gegen Daten“ bei Zusatzleistungen unzulässig
  • Verpflichtung zur Bestellung eines Datenschutzbeauftragten
  • Schulung, Sensibilisierung und Verpflichtung der Mitarbeiter

Vorgehensweise

  • Verantwortliche identifizieren
  • Datenschutzaudit durchführen:
  • Bestandsaufnahme und Risikoanalyse
  • Bestellung eines Datenschutzbeauftragten
  • Roadmap: Planung und Umsetzung der Maßnahmen
  • Schulung der Mitarbeiter
  • Aktualisierung und Pflege

Datenschutzaudit

  • Vorbereitung
    > Vorgespräch und Auditplan
  • Technisches und organisatorisches Audit
  • Analyse, Auswertung, Dokumentation
    > Managementreport und Maßnahmenplan
  • Abschlussgespräch, Ergebnisse, Roadmap

Der Datenschutzbeauftragte (DSB)

  • Aufgaben
    > Schulung und Verpflichtung der Mitarbeiter
    > Beratung bei der Verarbeitung von personenbezogenen Daten
    > Bearbeitung von Anfragen und Beschwerden
    > Erstellung von Richtlinien und Arbeitsanweisungen
    > Vertretung gegenüber externen Stellen
    > Dokumentation
    > Kontrolle
  • Anforderungen an Fachkunde hoch: Recht, Technik und Organisation
  • Zuverlässigkeit: keine Interessenkollisionen
  • DSB: extern oder intern? Outsourcing empfohlen
    > Keine Kosten für Aus- und Weiterbildung
    > Umsetzung der vorgeschriebenen Arbeiten effektiver und schneller
    > Eigene Mitarbeiter können sich dem Kerngeschäft widmen
  • Interne DSB unterliegen einem besonderen Kündigungsschutz

Stand: 10.01.2022

Scroll to Top