Skip to main content
Offenen Buch der DSGVO mit 7 Siegeln

Datenschutz und Datensicherheit

Wir sind zertifiziert – sind Sie konform?

Die wichtigsten Schritte zur DSGVO

Die Vorgaben der Europäischen Datenschutzgrundverordnung (DSGVO, engl.: General Data Protection Regulation; GDPR) müssen von Unternehmen, Institutionen und Vereinen zwingend eingehalten werden, ob mit oder ohne Datenschutzbeauftragten.

Bei Datenschutzverletzungen drohen hohe Sanktionen. Die Kontrolllisten der Datenschutz-Aufsichtsbehörden sind bereits bekannt geworden.

Ein kleines Video wird uns dankenswerterweise durch meinen Freund und Kollegen Stephan Hansen-Oest (Datenschutz-Guru) zur Verfügung gestellt.

Datenschutzanforderungen

Eine rechtlich bindende Verpflichtung

Ohne eine Rechtsgrundlage dürfen Organisationen keine Personendaten verarbeiten. Dieses grundlegende Verbot mit Erlaubnisvorbehalt (vgl. Art. 5 DSGVO) entspricht der grundlegenden Firewall-Regel, wonach zunächst alle Ports zu schließen sind (deny-all); anschließend werden nur die unverzichtbaren Ports für Kommunikationsverbindungen bzw. die notwendigen Datenverarbeitung geöffnet. Deshalb beginnt jede Datenschutzprüfung personenbezogener Verfahren mit der Prüfung der Rechtsgrundlagen, die eine zweckdefinierte Verarbeitung legitimieren. (Auszug aus Wikipedia, Standard-Datenschutzmodell).

Seit dem 25. Mai 2018 ist die neue EU Datenschutz-Grundverordnung (EU-DSGVO) für uns alle bindend. Seitdem haben viele Unternehmen sich diesem Theme intensiv zugewandt (durchaus auch mit unserer Hilfe), aber dennoch gibt es Unternehmen, die die neue DSGVO noch nicht verinnerlicht haben. An dieser Stelle möchten wir gerne helfen auch Ihr Unternehmen auf die neue Rechtsgrundlage umzustellen, auch um zu verhindern, dass Ihnen über die Datenschutzaufsichtsbehörden unnötige Sanktionen verhängt werden. 

Wir sind EU-Zertifizierte Datenschutzbeauftragte mit einer langjährigen Erfahrung im Umgang mit kleineren und größeren Unternehmen, also bestens geeignet auch Sie zu unterstützen.

Datenschutz zum Vorteil nutzen

Nur die richtigen Argumente zählen …

  • Ist der Datenschutz wirklich notwendig?
  • Datenschutz kostet doch nur Zeit und Geld!
  • Wieso sollten meine Daten sicher sein?
  • Wer sollte sich für unser Unternehmen interessieren?
  • Bei uns ist doch noch nie etwas passiert!
  • Über den Datenschutz hat noch keiner etwas wissen wollen!

So oder so ähnlich argumentiert immer noch ca. ein Drittel der Unternehmen (Tendenz jedoch fallend). Die Wahrnehmung von Datenschutzpannen und die hierauf folgenden Strafen werden aber zunehmen, denn Sie haben als Unternehmen (verantwortliche Stelle der Datenverarbeitung) die Pflicht, Aufsichtsbehörde und betroffene Personen innerhalb von 72 Stunden über Pannen zu informieren. Die bisherige Meldepflicht nach § 42a BDSG alt wurde abgelöst und ist in der DSGVO gegenüber den Aufsichtsbehörden in Art. 33 und gegenüber den Betroffenen in Art. 34 vergleichsweise streng geregelt.

Lassen Sie es daher gar nicht erst soweit kommen! Wesentlich sinnvoller als Pannenbehebung ist die Nutzung des Datenschutzes zu Ihrem Vorteil. Schützen Sie Ihr Unternehmen vor

  • behördlichen Konsequenzen,
  • Verletzungen der Privatsphäre und der Persönlichkeitsrechte,
  • unnötigen Abmahnungs- und Rechtsstreitigkeiten,
  • drohenden Gefahren bei Rechtsunsicherheiten
  • eigenem Datenverlust und Datenklau

durch die Etablierung eines ausgewogenen Sicherheitsniveaus. Mit einem internen oder einen externen Datenschutzbeauftragten oder auch einem Datenschutzberater kann ein angemessener Datenschutz in Ihrem Unternehmen erreicht werden .

Der Datenschutzbeauftragte (DSB)

Der notwendigerweise einzusetzende Datenschutzbeauftragte ist eine Vertrauensperson, die der Geschäftsleitung unterstellt, jedoch nicht weisungsgebunden ist. Er repräsentiert gegenüber dem Gesetzgeber und der Öffentlichkeit das Unternehmen hinsichtlich des Datenschutzes. In Art. 39 DSGVO steht zu Beginn:

Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin.

Hieraus ergaben sich auch die Aufgaben des DSB (Art. 37 / 39, DSGVO), die in diesen Gesetzesteilen ausführlicher formuliert sind. Die Aufgaben sind Teil des Leistungsangebotes für die Umsetzung der DSGVO und einer weiteren kontinuierlichen Betreuung zur Erhaltung des Regelbetriebes.

Anforderungen an einen DSB

Die Anforderungen an die Person des DSB sind sehr umfangreich und im § 4f, 2 BDSG geregelt. Hierin ist die Rede von Fachkunde, Zuverlässigkeit und Verschwiegenheit. Auch werden Sie hierin über die EU-Zertifizierung nach der entspr. gültigen EU-Norm informiert. Er arbeitet nach dem Grundsatz, dass die Voraussetzung für einen effektiven Datenschutz, ein sicheres Gesamtsystem ist. Aus diesem Grund muss die IT-Sicherheit einen sehr hohen Stellenwert einnehmen, der mit den IT-Grundschutz-Standards in Einklang gebracht werden sollte.

Der 10-Punkte-Check

DSGVO

1. Muss die DSGVO Beachtung finden?

Die Datenschutzgrundverordnung gilt für alle Unternehmen, die in der EU ansässig sind. Aber auch außereuropäische Unternehmen müssen sich an die neuen Regelungen halten, wenn Sie eine Niederlassung in der EU haben oder personenbezogene Daten von EU-Bürgern verarbeiten.
Datenschutzbeauftragter

2. Ist ein Datenschutzbeauftragter notwendig?

Die Vorgaben zur Benennung eines Datenschutzbeauftragten sind und bleiben im Gesetz definiert: In Artikel 37 der DSGVO wird die Bestellpflicht an inhaltlichen Kriterien festgemacht. Der deutsche Gesetzgeber hat an dieser Stelle aber die Öffnungsklausel genutzt, um ergänzend eine personengebundene Regelung zu schaffen, welche die Schwellenwertvorgabe des alten BDSG übernimmt. Der § 38 BDSG sieht also ebenfalls vor, dass ab 20 Personen (nach der Anpassung des Gesetzes, 2. DSAnpUG-EU), die ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind oder Zugriff auf diese Daten haben, eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht. Auch müssen Unternehmen einen Datenschutzbeauftragten benennen, wenn sie eine Datenschutzfolgenabschätzung vornehmen müssen oder wenn besonders schützenswerte Daten verarbeitet werden. Dies betrifft z.B. Ärzte und Anwälte.
Verantwortlicher

3. Wer ist der Verantwortliche und was ist die Aufgabe des Datenschützers?

Der Verantwortliche ist die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung entscheidet (Artikel 4, Nr. 7). Er ist für die Einhaltung der DSGVO verantwortlich und muss diesen Umstand gegenüber der Aufsichtsbehörde nachweisen können (Artikel 5, Absatz 2). Verantwortlich ist folglich das Unternehmen, welches die Entscheidungsgewalt über die Erhebung und Verwendung personenbezogener Daten hat und deren rechtliche/r Vertreter. Der benannte (interne oder externe) Datenschutzbeauftragte hat die Aufgabe, die Vorschriften des Datenschutzes im Unternehmen fachkundig beratend zu unterstützen und ihre Einhaltung zu überwachen. Er soll auf die Wahrung der Rechte der Betroffenen bei der Verarbeitung ihrer personenbezogenen Daten achten..
Datensicherheit

4. Wieviel Datensicherheit braucht Datenschutz?

In der DSGVO wird erstmalig das Thema Datensicherheit im Zusammenhang mit Datenschutz explizit eingefordert. Das Gesetz schreibt vor, dass Datenverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und -art, des Umfangs, der Risikoanalysen sowie der Abwägung weiterer Umstände geeignete technische und organisatorische Maßnahmen (TOMs) treffen müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Artikel 32 DSGVO).
Vergessenwerden

5. Ist das Recht auf Vergessenwerden (Recht auf Löschung) neu?

In der DSGVO gibt es jetzt erstmalig eine eigenständige Regelung zum Recht auf Vergessenwerden (Artikel 17). Das gilt vor allem für Fälle wie den Wegfall des Zwecks der Datenverarbeitung und den Widerruf der Einwilligung.
Datenübertragbarkeit

6. Was bedeutet das Recht auf Datenübertragbarkeit (Datenportabilität)?

Ebenfalls neu ist das Recht auf Datenübertragbarkeit, das jetzt in Artikel 20 der DSGVO geregelt ist. Das neue Recht gibt Betroffenen die Möglichkeit, ihre Daten zu einem anderen Anbieter „mitzunehmen“. Die Anbieter müssen Datensätze deswegen portabel gestalten (können).
Rechenschaftspflicht

7. Die Rechenschaftspflicht, die Pflicht Rechenschaft abzugeben?

Die DSGVO hält jetzt auch eine Rechenschaftspflicht vor (Artikel 5, Absatz 2). Auf Aufforderung müssen Datenverantwortliche deswegen die Einhaltung aller Datenschutzprinzipien gegenüber der zuständigen Aufsichtsbehörde nachweisen können.
Nachweispflicht

8. Ist ein Nachweis über die Einwilligung notwendig?

Entsprachen die Einwilligungen der Kunden (z.B. zum Newsletterversand) den bisherigen gesetzlichen Bestimmungen, so gelten diese fort. Anders als bisher haben Verantwortliche gemäß Artikel 5 Absatz 2 der DSGVO die Einhaltung der Rechtmäßigkeitsvoraussetzungen der Datenverarbeitung nachzuweisen (Rechenschaftspflicht, siehe Punkt 7).
Datenschutzerklärung

9. Ist eine Anpassung der Datenschutzerklärung notwendig?

Die Anforderungen an die Information und Belehrung der betroffenen Personen steigen durch die DSGVO. Die Datenschutzbestimmungen mit allen notwendigen Informationen müssen deswegen zukünftig präzise, transparent, verständlich, leicht zugänglich, in klarer und einfacher Sprache gehalten sein.
Datenschutzmanagement

10. Ein Datenschutzmanagement, ist das nicht zu mächtig?

Der Begriff „Datenschutzmanagement“ klingt kompliziert, letztlich beinhaltet er aber „nur“ ein systematisches, strukturiertes und geplantes Vorgehen, um die gesetzlichen und betrieblichen Vorgaben zum Datenschutz zu planen, zu organisieren, zu steuern und zu überprüfen. Dies wird durch die DSGVO inhaltlich ausdrücklich gefordert, wobei sie sich am etablierten PDCA-Zyklus (plan, do, check, act), z.B. analog zur IT-Sicherheit, orientiert.