Praxishinweise zur DSGVO - Erste Hilfe in sechs Schritten

 
1 Für wen gilt die DSGVO?

Die DSGVO gilt für alle natürlichen Personen, öffentlichen Institutionen sowie für alle Privatunternehmen mit Sitz in der EU, die im Rahmen ihrer betrieblichen Tätigkeit personenbezogene Daten verarbeiten. Das klingt erst einmal abstrakt, jedoch betrifft Sie das neue Datenschutzrecht schneller, als Sie vielleicht glauben: Es gilt grundsätzlich auch für Vereine und Verbände, die personenbezogene Daten speichern. Handwerksbetriebe sind ebenso betroffen wie Arztpraxen oder Rechtsanwaltskanzleien. Auch Vermieter können betroffen sein. Möglicherweise ein kleiner Trost: Die neuen Datenschutzregelungen gelten gleichermaßen für alle Behörden, insbesondere Finanzbehörden.

 

Hinweis:
Wenn Ihr Unternehmen keinen Sitz in der EU hat, unterliegt es dennoch der DSGVO, sofern Sie Ihre Waren oder Dienstleistungen in der EU anbieten.

 

Allgemein unterliegt Ihr Unternehmen nur dann dem Datenschutzrecht, wenn die Verarbeitung, Nutzung oder Erhebung personenbezogener Daten dort

  • • in bzw. aus nicht automatisierten Dateien oder
  • • mit Hilfe von Datenverarbeitungsanlagen erfolgt.

 

Hinweis:
Ausgenommen sind die Erhebung, Verarbeitung und Nutzung personenbezogener Daten für ausschließlich persönliche/familiäre Zwecke und Tätigkeiten.

 

Mit der DSGVO wird ein weitestgehend einheitliches Datenschutzrecht innerhalb der EU eingeführt. Dabei sollen insbesondere die Rechte und Kontrollmöglichkeiten derjenigen gestärkt werden, deren personenbezogene Daten verarbeitet werden („Betroffene“). Dadurch steigen die Anforderungen sowohl an „Verantwortliche“ als auch an „Auftragsverarbeiter“.

 
1.1 Wer ist Verantwortlicher und wer Auftragsverarbeiter?

Verantwortlicher im Sinne der DSGVO ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die (zulässigen) Zwecke und Mittel dieser Verarbeitung sind durch die DSGVO bzw. das BDSG vorgegeben. Auftragsverarbeiter im Sinne der DSGVO ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.

 
1.2 Was sind personenbezogene Daten

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener): Alter, Geschlecht, Anschrift, Religion, sexuelle Orientierung, Vermögen, Äußerungen, politische und weltanschauliche
Überzeugungen usw.

 
1.3 Wann ist die Datenverarbeitung erlaubt?

Für die Verarbeitung personenbezogener Daten gilt der allgemeine Grundsatz: Es ist grundsätzlich verboten, was nicht ausdrücklich erlaubt ist. Das bedeutet, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten verboten ist, es sei denn,

  • • dies ist durch eine Rechtsvorschrift ausdrücklich erlaubt oder angeordnet oder
  • • der Betroffene hat seine Einwilligung dazu erklärt.

Soll eine Einwilligung des Betroffenen Grundlage für eine Erhebung, Verarbeitung oder Nutzung sein, so

  • • muss sie freiwillig erfolgen,
  • • muss der Betroffene vorher über die Tragweite seiner Einwilligung aufgeklärt werden und
  • • ist der Betroffene auch darüber zu informieren, was geschieht, wenn er nicht einwilligt.

Ausdrücklich auf diese Daten beziehen muss sich die Einwilligung bei der Verarbeitung besonderer Arten personenbezogener Daten. Darunter fallen Angaben über ethnische Herkunft, politische Meinungen, religiöse oder politische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

 
2 Ihre ersten Schritte zur Umsetzung der DSGVO
2.1 Schritt 1: Brauchen Sie einen Datenschutzbeauftragten?

Hier hat sich nichts verändert. Es gilt wie bislang auch schon, dass Unternehmen nur dann einen DSB benötigen, wenn mehr als neun Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind („Zehn-Personen-Regel“). Die entscheidende Neuerung
ist jedoch, dass nun erhebliche Sanktionen drohen.

 

Hinweis:
Bei der Zählweise für die Zehn-Personen-Regel ist zu beachten, dass allein die Anzahl der Personen, die sich mit Datenverarbeitung befassen, gilt. Es kommt nicht darauf an, ob es Mitarbeiter, Studenten, freie Mitarbeiter, Voll- oder Teilzeitkräfte usw. sind.

 

Falls Sie noch keinen DSB bestellt haben sollten, ist das Ihr erster Schritt, denn die Aufsichtsbehörden können nichts leichter überprüfen. Der DSB ist in allen Datenschutzinformationen zu nennen. Darüber hinaus müssen Verantwortliche und Auftragsverarbeiter die Kontaktdaten des DSB veröffentlichen und den Aufsichtsbehörden mitteilen. Sollten Sie also einen DSB benötigen, so sollten Sie den Posten spätestens am 25.05.2018 besetzt haben.

 

Hinweis:
Auskunfteien, Adresshändler sowie Markt- und Meinungsforschungsinstitute müssen in jedem Fall einen DSB bestellen.

 

Stellung des DSB
Der DSB ist unmittelbar dem Geschäftsführer unterstellt und in der Ausübung seiner Aufgaben weisungsfrei. Zudem genießt er einen besonderen Kündigungsschutz: Während seiner Bestellung bzw. bis ein Jahr nach seiner Abberufung darf ihm nur aus wichtigem Grund (z.B. Arbeitsverweigerung) gekündigt werden. Dieser Kündigungsschutz gilt jedoch nicht für freiwillig bestellte DSB. Die Unternehmensleitung ist nicht an das Votum des DSB gebunden. Die Letztverantwortung für die Datenverarbeitung verbleibt damit bei ihr.
Der DSB muss die erforderliche „Fachkunde und Zuverlässigkeit“ besitzen. Der Verantwortliche ist verpflichtet, dem DSB zum Erhalt seiner Fachkunde die Teilnahme an Schulungs- und Fortbildungsveranstaltungen zu ermöglichen und hierfür die Kosten zu übernehmen.

 

Hinweis:
Um Interessenkonflikte zu vermeiden, sollten IT- und Personalverantwortliche sowie Systemadministratoren nicht als DSB bestellt werden. Wie bisher haben Sie die Möglichkeit, einen externen DSB zu bestellen. Es steht Ihnen frei zu entscheiden, ob ein unternehmenseigener Mitarbeiter oder ein externer Dienstleister zum DSB bestellt wird. Natürlich müssen die Verträge mit einem externen DSB an die neue Rechtslage angepasst werden.

 

Aufgaben des DSB
Die Aufgaben des DSB umfassen

  • • die Durchführung der Vorabkontrolle (die verantwortliche Stelle für die Datenverarbeitung muss ihm dafür Informationen zur Verfügung stellen),
  • • auf Anfrage die Beratung hinsichtlich der Datenschutzfolgenabschätzung und die Überwachung ihrer Durchführung,
  • • die datenschutzrechtliche Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten,
  • • die Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters zum Schutz personenbezogener Daten,
  • • die Zusammenarbeit mit der Aufsichtsbehörde,
  • • Tätigkeiten als Anlaufstelle für die Aufsichtsbehörde in Fragen der Datenverarbeitung und gegebenenfalls Beratung zu allen sonstigen Fragen. 

Betroffene können den DSB bei allen Fragen bezüglich der Verarbeitung ihrer personenbezogenen Daten und der Wahrnehmung ihrer Rechte zu Rate ziehen. Dabei ist der DSB an die Wahrung der Geheimhaltung oder Vertraulichkeit gebunden.

 
2.2 Schritt 2: Bestandsaufnahme

Mandantenbrief DSGVOAn zweiter Stelle sollten Sie sich einen Überblick darüber verschaffen, ob bzw. wie der Datenschutz in Ihrem Unternehmen organisiert ist. Dazu sollten Sie sich unter anderem folgende Fragen stellen:

  • • Welche Daten verarbeiten wir?
  • • Wer sind die von der Datenverarbeitung Betroffenen?
  • • Wie und in welchen Prozessen werden die Daten verarbeitet?
  • • Wie wird der Datenschutz momentan umgesetzt?
  • • Werden Auftragsverarbeiter eingesetzt bzw. wohin werden die Daten übermittelt?

 

2.3 Schritt 3: Verzeichnisse erstellen

Als weiteren wichtigen Bestandteil schreibt die DSGVO vor, dass sowohl jeder Verantwortliche als auch jeder Auftragsverarbeiter ein Verzeichnis aller Verarbeitungstätigkeiten zu erstellen und zu führen hat - elektronisch oder schriftlich. Auf Anfrage ist es einer Aufsichtsbehörde bereitzustellen. Als Verarbeitungstätigkeiten gelten zum Beispiel:

  • • Aktenführung,
  • • Buchhaltungssoftware,
  • • elektronische Zeiterfassung,
  • • Führung von Adressdatenbanken,
  • • Personalakten,
  • • Profile in sozialen Netzwerken (z.B. Twitter, Xing),
  • • Rückrufservice,
  • • Software zur Verarbeitung und Verwaltung von E-Mails,
  • • Urlaubslisten,
  • • Websites sowie
  • • Webtracking.

 

Verzeichnis des Verantwortlichen
Das von Verantwortlichen zu erstellende Verzeichnis muss folgende Angaben enthalten:  .....

Lesen Sie hier weiter (Download PDF). 

 

Foto: Credits @ Dmytro Yarmolin | istockphoto.com