• Datenschutz

Datenschutz gemäß der EU-Datenschutzverordnung (DSGVO)

Am 25. Mai 2018 ist die Europäische Datenschutzverordnung unter dem sperrigen Kürzel „DSGVO“ in Kraft getreten. Noch längst nicht alle Betriebe haben ihren Datenschutz so organisiert, dass er der Verordnung entspricht. Hier erfahren Sie, was wie genau geregelt werden muss, um die Anforderungen zu erfüllen und wie wir Sie dabei unterstützen können.

Für die Analyse, Beratung und Organisation Ihres Datenschutzes sind wir Ihr qualifizierter Ansprechpartner!

DSGVO: das Wichtigste im Überblick

Personenbezogene Daten

Die EU-Datenschutzverordnung verlangt von jedem Unternehmen künftig den nachweisbaren Schutz personenbezogener Daten. Aus Sicht des Gesetzgebers sind personenbezogene Daten Eigentum der jeweiligen Person und werden Unternehmen nur geliehen, um z.B. einen Mitarbeiter zu beschäftigen oder eine Dienstleistung zu ermöglichen. Darum müssen Unternehmen auf einfachem Weg erklären können, welche Daten sie von welchen Personen zu welchem Zweck speichern.

Dabei geht es um Informationen über personenbezogene Merkmale, anhand derer eine Person eindeutig identifiziert werden kann. Dazu gehört zum Beispiel ein Datensatz aus Name, Vorname, Geburtsdatum. Auch die eindeutige MAC Adresse eines Smartphones ist so ein Merkmal. Sogar abstrakte Merkmale wie „Der Typ mit der schwarzen Mütze und der rosa Brille“ zählen dazu, sofern sich dadurch eine Person identifizieren lässt, z.B. weil es davon nur eine im Unternehmen gibt.

Datenschutzorganisation

Den Datenschutz zu organisieren, heißt den Lebenszyklus einer Information nachweislich geregelt zu haben. Gemeint ist z.B. der Lebenszyklus von Mitarbeiterdaten, von Kundendaten, der Lebenszyklus einer Bewerbung, etc. Für eine Aufsichtsbehörde muss schnell und transparent ersichtlich sein, welche Daten zu welchem Zweck wie erhoben werden, welchen Weg sie im Unternehmen nehmen, also wie sie weiterverarbeitet werden, und wann sie wieder gelöscht werden.

Personenbezogene Daten dürfen nur gespeichert werden, wenn eine Einwilligung der jeweiligen Person vorliegt oder es eine Rechtsgrundlage zur Speicherung gibt. Fehlt beides, müssen die Daten gelöscht werden. Ist die Löschung nicht organisiert, ist der Datenschutz nicht geregelt.

Bußgelder

Die Bußgeldnormen unterscheiden leichte Datenpannen von schweren. Leichte Datenpannen sind z.B. die nicht organisierte Form des Datenschutzes: fehlende Verfahrensverzeichnisse, fehlende Verträge, fehlende Verfahrensdokumentationen. Eine schwere Datenpanne liegt vor, wenn Sie einen Datenbestand komplett verloren haben. Also z.B. alle Mitarbeiterdaten, oder alle Kundendaten, etwa durch Fremdzugriff im eigenen Unternehmen oder bei einem Dienstleister. Das Bußgeld wird in jedem Fall an die verantwortliche Stelle ausgesprochen und das ist der Geschäftsführer des Unternehmens, welches die Daten erfasst hat, die verlorengegangen sind. Dieser haftet mit seinem Privatvermögen, da es sich um ein Bußgeld handelt, ähnlich wie bei einem Knöllchen. Nur dass das Bußgeld für eine Datenpanne von der EU-Kommission bewusst so empfindlich hoch angesetzt wurde, dass man durchaus mit dem gesamten Privatvermögen und darüber hinaus betroffen sein könnte.

Datenschutzbeauftragter

Unternehmen, bei denen mehr als neun Mitarbeiter personenbezogene Daten verarbeiten, müssen einen Datenschutzbeauftragten bestellen, der zusätzlich testiert, dass der Datenschutz verordnungskonform organisiert ist.

Aufsichtsbehörde, Prüfungen

Im Falle von Unternehmen ist der Landesdatenschutzbeauftragte des jeweiligen Bundeslandes die zuständige Aufsichtsbehörde. Eine Prüfung kann entweder anlasslos oder anlassbedingt stattfinden. Anlasslos bedeutet raster- oder stichprobenartig. Anlassbedingt wird geprüft, wenn es einen konkreten Vorfall gab, der gemeldet wurde. Dafür kommen unzählige verschiedenste Szenarien in Betracht. Ein Kunde, der sicherstellen will oder muss, dass Sie den Datenschutz organisiert haben, ein ehemaliger Mitarbeiter, der einen Verstoß meldet usw. Inwieweit der Landesdatenschutzbeauftragte im abgeschlossenen Geschäftsjahr geprüft hat, lässt sich im Lagebericht auf der Webseite nachlesen.

Fazit

  • Datenschutz ist Chefsache!
  • Führungskräfte sind bei Verletzung des Datenschutzgesetzes von hohen Haftungsansprüchen bedroht, die ihr gesamtes Vermögen umfassen können.
  • In einem modernen Unternehmen ist Datenschutz Bestandteil der Corporate Identity und wird zur Schaffung einer vertrauensvollen Geschäftsbeziehung mit Kunden und Partnern genutzt.

Datenschutz-Überprüfung

Wie ist es um die DSGVO-Konformität Ihrer Unternehmensdaten bestellt? Sind Sie sicher, alles im Sinne der Verordnung geregelt zu haben? Oder sind Sie, wie viele Betriebe, auf halbem Wege steckengeblieben – mangels Überblick, aus Arbeitsüberlastung, was auch immer?

Zögern Sie nicht, uns schleunigst zu kontaktieren, wir helfen Ihnen, Ihren Basisdatenschutz DSGVO-konform zu organisieren. Zuerst erfolgt ein Datenschutz-Audit, also eine Ist-Analyse. Sie kann bis zu drei Arbeitstage in Anspruch nehmen. Als Ergebnis erhalten Sie eine Unternehmenskennzahl, die den Stand der Organisation des Datenschutzes in Ihrem Betrieb klar abbildet. Darüber hinaus erhalten Sie ein konkretes Arbeitsverzeichnis, das Sie einerseits befähigt, anfallende Aufgaben an die entsprechenden Abteilungen oder Personen zu delegieren und andererseits direkt in eine Projektgestaltung überführt werden kann.

Danach können Sie entscheiden, ob Sie uns mit der Organisation des Datenschutzes beauftragen. Den Umfang dafür werden wir dann grob abschätzen können, um Ihnen mitzuteilen, wieviele Tage zusätzlich freigegeben werden müssen. Übrigens: mit der Beauftragung der IST-Analyse hat Ihr Unternehmen bereits begonnen, seinen Datenschutz zu organisieren. Bei einer Prüfung durch die Aufsicht wäre ein Verstoß gegen die EU-Datenschutzverordnung somit nicht mehr als grob fahrlässig einzustufen.