Klicken Sie hier um zur Suchseite zu gelangen
Klicken Sie hier um zum Warenkorb zu gelangen
Datenschutzmanagement - Wie organisiere ich den Datenschutz im eigenen Unternehmen?
Wie organisiere ich den Datenschutz im eigenen Unternehmen?
24.04.2024Wie organisiere ich den Datenschutz im eigenen Unternehmen und stelle dabei sicher, dass alle Vorgaben der DSGVO eingehalten werden?
Um den Datenschutz im eigenen Unternehmen richtig organisieren und überwachen zu können, ist es wichtig, zumindest die Grundlagen des Datenschutzes selbst zu verstehen. Die nachfolgenden dargestellten Grundsätze sollen Ihnen als Leitfaden dienen, um grundlegende Aufgaben zu erkennen und adäquate Strukturen zur Umsetzung des Datenschutzes etablieren zu können.
1. Verschaffen Sie sich einen Überblick über sämtliche Prozesse, in denen personenbezogene Daten verarbeitet werden.
Prüfen Sie, anlässlich welcher Arbeitsprozesse und zu jeweils welchem Zweck personenbezogene Daten von betroffenen Personen verarbeitet werden (z.B. Datenverarbeitung zum Zweck der Mieterauswahl, -zum Zweck der Vertragsdurchführung, -zum Zweck der Werbung usw.)?
2. Stellen Sie sich die Frage, ob für jeden der Verarbeitungszwecke eine Rechtsgrundlage vorhanden ist.
Prüfen Sie hierfür den Katalog von Art. 6 Abs. 1 DSGVO. Die häufigsten Rechtsgrundlagen sind eine vom Betroffenen (nachweislich) erteilte Einwilligung, die Verarbeitung zum Zweck der Vertragsdurchführung mit dem Betroffenen oder die Verarbeitung zu einem (konkret zu dokumentierenden) berechtigten Interesse an der Datenverarbeitung.
3. Prüfen Sie, ob für jeden der Verarbeitungsprozesse transparente Informationen für den Betroffenen zugänglich sind.
Es ist erforderlich, dass der Betroffene über den Zweck, die Rechtsgrundlage und die näheren Umstände der Datenverarbeitung informiert ist. Die dem Betroffenen zugänglich zu machenden Informationen sind in den Art. 13 und - für den Fall, dass die personenbezogenen Daten nicht beim Betroffenen selbst erhoben wurden - in 14 DSGVO (z.B. bei Bonitätsauskünften über Auskunfteien) geregelt. Die Information kann z.B. durch die Aushändigung von Datenschutzhinweisen anlässlich der Datenerhebung bzw. durch die Beifügung von Datenschutzhinweisen im abzuschließenden Vertrag geschehen oder im Fall elektronischer Korrespondenz durch den Hinweis auf einen Link, über den die Datenschutzhinweise zum jeweiligen Verarbeitungszweck erreichbar sind.
4. Stellen Sie sicher, dass alle Verarbeitungsprozesse in einem Verfahrensverzeichnis nach Art. 30 Abs. 1 DSGVO gelistet sind.
Stellen Sie sicher, dass sie über eine schriftliche Dokumentation verfügen, mit der insbesondere dargelegt werden kann, welche personenbezogenen Daten von welchen betroffenen Personen zu welchem Zweck, auf welcher Rechtsgrundlage und für welche Dauer verarbeitet werden. Ggf. ergänzen und/oder aktualisieren Sie Ihr Verfahrensverzeichnis nach Art. 30 DSGVO. Das Verfahrensverzeichnis muss mit den Informationen, die der betroffenen Person erteilt werden, übereinstimmen (s. Ziff. 3.).
5. Prüfen Sie, für die personenbezogenen Daten aller Verarbeitungsprozesse eine Speicherdauer festgelegt haben und ob die Daten tatsächlich nach der festgelegten Frist gelöscht werden.
Daten, die für ihren Verarbeitungszweck nicht mehr benötigt werden und für die keine sonstige Aufbewahrungsvorschrift besteht, müssen gelöscht oder anonymisiert werden.
Erstellen Sie ggf. eine separate Übersicht bzw. eine interne Richtlinie, in der die Löschfristen aus Ihrem Verfahrensverzeichnis (s. Ziff. 4.), in der die Aufbewahrungsfristen für personenbezogene Daten bezogen auf die jeweiligen Verarbeitungszwecke geregelt sind und legen Sie fest, auf welche Weise die Datenlöschung erfolgt (z.B. manuell oder automatisiert).
6. Gewährleisten Sie, dass Sie mit sämtlichen Vertragspartnern, die Zugriff auf personenbezogene Daten nehmen können, ggf. erforderliche flankierende datenschutzrechtliche Verträge geschlossen haben.
Hierbei ist zu prüfen, ob Vertragspartner sog. Auftragsverarbeiter sind, die schwerpunktmäßig damit befasst sind, personenbezogene Daten in Ihrem Auftrag zu verarbeiten (z.B. Lohnbüro, Cloud-Service, IT-Dienstleister). Mit solchen Vertragspartnern muss ein sog. Auftragsverarbeitungsvertrag abgeschlossen werden, der den Voraussetzungen des Art. 28 DSGVO entspricht.
Gibt es Vertragspartner, mit denen Sie gemeinsam den Zweck und die Mittel der Datenverarbeitung festlegen oder gibt es Prozesse, bei denen Sie gemeinsam mit anderen Verantwortlichen einen bestimmenden tatsächlichen Einfluss auf die Datenverarbeitung nehmen (z.B. im Verhältnis zwischen der Gemeinschaft der Wohnungseigentümer und dem WEG-Verwalter), dann besteht in der Regel gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO und es ist in einer Vereinbarung u.a. zu regeln, welcher Verantwortliche welche Pflichten gegenüber Betroffenen erfüllt.
Auch wenn Zweck und Mittel der Datenverarbeitung nicht gemeinsam festgelegt- aber personenbezogene Daten zwischen separat Verantwortlichen übermittelt werden, kann es sinnvoll sein, den Umstand der separaten Verantwortlichkeit nebst der insoweit für jeden Verantwortlichen bestehenden Pflichten (DSGVO, Vertraulichkeit) in einer Vereinbarung klarzustellen.
7. Arbeiten Sie mit Ihrem Datenschutzbeauftragten zusammen
Für Fragestellungen, die über die in diesem Leitfaden gelisteten Punkte hinausgehen, konsultieren Sie Ihren Datenschutzbeauftragten. Ein Datenschutzbeauftragter verfügt über vertiefte Fachkenntnisse und kann Sie z.B. beraten bei der Beurteilung der zutreffenden Rollenverteilung zwischen den Beteiligten an einer Datenverarbeitung (s. Ziff. 6.), im Fall von internationale Datentransfers, d.h., wenn personenbezogene Daten in Ländern außerhalb der EU verarbeitet werden oder auch zu Fragen der Datensicherheit, d.h. insbesondere zu Maßnahmen zur Vermeidung von Cyberangriffen und zu Maßnahmen, die gewährleisten, dass personenbezogene Daten nicht versehentlich verloren gehen, zerstört- oder verändert werden.
8. Stellen Sie sicher, dass Sie Betroffenenrechten fristgerecht erfüllen können.
Betroffenenrechte müssen unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags erfüllt werden (Art. 12 Abs. 3 DSGVO). Regeln Sie deswegen Zuständigkeiten zur Beantwortung von Auskunftsersuchen, zur Löschung von Daten und zur Umsetzung der Betroffenenrechte Berichtigung, Sperrung und Übertragung von Daten sowie zur Bearbeitung von Widersprüchen (Art. 15-18, 20, 21 DSGVO).
Halten Sie entsprechendes Regelwerk zur Erfüllung der Betroffenenrechte (z.B. Identitätsfeststellung, Interessenabwägung bei Widersprüchen) und/oder Muster für die Beantwortung vor und regeln Sie auch, wann und ggf. von wem der Datenschutzbeauftragte einzubeziehen ist.
9. Prüfen Sie, ob Ihr Unternehmen über eine datenschutzkonforme Webseite verfügt.
Ihre Webseite sollte jedenfalls über eine Datenschutzerklärung verfügen, die alle Ihre Verarbeitungsprozesse so abbildet, wie sie in Ihrem Verfahrensverzeichnis dokumentiert sind. Diese Datenschutzerklärung muss von jeder Unterseite Ihrer Homepage aus erreichbar sein.
Wenn auf Ihrer Webseite sog. Cookies oder Analysetools verwendet werden, dann ist in der Regel ein Cookies-Banner erforderlich, über den (vor der Verwendung des Cookies!) Einwilligungen von Betroffenen zu den unterschiedlichen Arten von Cookies eingeholt werden müssen.
10. Regeln Sie ein Verfahren für die Meldung von Datenschutzvorfällen.
Im Fall von Datenschutzverletzungen, die voraussichtlich zu einem Risiko für Betroffene führen (z.B. durch einen Phishing-Angriff oder durch die Versendung von E-Mails an falsche Empfänger), muss innerhalb von 72 Stunden eine Meldung an die zuständige Aufsichtsbehörde erfolgen. Insofern ist sicherzustellen, dass Datenpannen betriebsintern erkannt werden und geregelt ist, an wen etwaige Vorfälle intern zu melden sind. Festgelegt werden sollte auch, wer mit der Aufsichtsbehörde kommuniziert.
11. Schulen Sie Ihre Mitarbeiter und verpflichten Sie Ihre Mitarbeiter zur Vertraulichkeit.
Ihre Mitarbeiter müssen mit den Grundlagen der DSGVO vertraut sein, um deren Anforderungen erfüllen zu können. Deswegen sorgen Sie für regelmäßige Schulungen ggf. auch zu Spezialthemen, die in Fachabteilungen relevant sind (z.B. Videoüberwachung anlässlich der Objektverwaltung oder Mitarbeiterdatenschutz im Personalverwaltungskontext). Stellen Sie auch sicher, dass es ein Informationsangebot zum Datenschutz gibt, dass den Mitarbeitern jederzeit zur Verfügung steht (z.B. Datenschutzhandbuch, FAQ´s).
Lassen Sie Ihre Mitarbeiter eine formularmäßige Vertraulichkeitsverpflichtung unterzeichnen.
12. Treffen Sie geeignete technische und organisatorische Maßnahmen (Art. 25, 32 DSGVO).
Sensibilisieren Sie sich grundsätzlich dafür, dass die Verarbeitung von personenbezogenen Daten auf sichere Weise erfolgt.
Stellen Sie dazu sicher, dass insbesondere beim Einkauf oder bei der Installation von Programmen auf eine datenschutzfreundliche Konzeption der Produkte geachtet wird.
Sorgen Sie dafür, dass standardmäßig datenschutzfreundliche Voreinstellungen getroffen werden, z.B. dadurch, dass durch technische Einstellungen von vornherein nur möglichst wenige personenbezogene Daten erhoben, gespeichert oder bereitgestellt werden (z.B. sind Fristen für die Löschung vorgesehen, erfolgt der Löschvorgang ggf. vollautomatisch)?
Treffen Sie organisatorische Maßnahmen, die gewährleisten, dass ein unbefugter Zutritt zu Datenverarbeitungsanlagen vermieden wird (z.B. Magnet- oder Chipkarten, Schlüssel, Alarmanlage) und schaffen Sie Maßnahmen, die eine unbefugte Systembenutzung verhindern (z.B. sichere Kennwörter, Berechtigungskonzepte, Protokollierung von Zugriffen).
Achten Sie darauf, dass bei elektronischer Übertragung ein unbefugtes Lesen oder Verändern von Daten verhindert wird (z.B. Transportverschlüsselung bei E-Mail-Nachrichten, Zugriff auf das eigene Netz von außen über VPN) und sorgen Sie für einen ausreichenden Schutz gegen zufällige oder mutwillige Zerstörung (z.B. Backup-Strategien, unterbrechungsfreie Stromversorgung, Virenschutz, Firewall).
Kontrollieren und bewerten Sie regelmäßig die Wirksamkeit Ihrer technischen und organisatorischen Maßnahmen (z.B. durch Audits zur Datensicherheit).
13. Sorgen Sie dafür, dass Sie die Einhaltung der Datenschutzgrundsätze nachweisen können.
Sofern Sie Daten auf der Rechtsgrundlage einer Einwilligung verarbeiten, stellen Sie sicher, dass Sie nachweisen können, dass eine wirksame Einwilligung erteilt (vollständig informiert, freiwillig und unter Hinweis darauf, dass die Einwilligung jederzeit widerrufen werden kann).
Dokumentieren Sie bei Datenverarbeitungen, die auf der Rechtsgrundlage Ihres berechtigten Interesses erfolgen.
Autorin: Tanja Zerull, GROSS Rechtsanwaltsgesellschaft mbH
Bildnachweis: Pixabay