Schön, dass Sie uns online besuchen. Beratung steht bei uns im Vordergrund. Aufgrund dessen möchten wir Ihnen auf dieser Seite eine kurze Übersicht geben, welche Anforderungen die DSGVO an Ihr Unternehmen stellt und was Sie tun müssen um diese Vorgaben einfach, rechtskonform und dauerhaft wirkungsvoll umzusetzen.
Seit dem 25.05.2018 gilt für ganz Europa die Datenschutzgrundverordnung (DSGVO). Deutschland hat diese im Rahmen des Bundesdatenschutzgesetz NEU umgesetzt. Die DSGVO stellt verschiedenste Anforderungen an Unternehmen, welche personenbezogene Daten in Europa verarbeiten. Die Datenverarbeitung in jedem europäischen Unternehmen muss demnach den folgenden Grundsätzen entsprechen:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
Der Verantwortliche muss die Einhaltung all dieser Grundsätze nachweisen. Die Nichteinhaltung dieser Grundsätze und der Rechenschaftspflicht kann mit einem angemessenen Bußgeld in Höhe von bis zu 20 Millionen EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes geahndet werden (Art. 83 Abs. 5 lit. a DSGVO).
Stichpunktartiger Leitfaden (vereinfachtes) Vorgehen in Ihrem Unternehmen
1) Prüfen ob Sie einen internen oder externen Datenschutzbeauftragten benennen müssen? (PS: auch ohne Datenschutzbeauftragten müssen Sie das Gesetz einhalten und gelten auch die oben aufgeführten Repressalien)
Hier lässt sich zusammengefasst folgendes sagen:
Beschäftigen Sie mindestens 20 Mitarbeiter die regelmäßig mit der automatisierten Datenverarbeitung (Erhebung und Nutzung. Arbeiten an einem PC) betraut sind, müssen Sie einen Datenschutzbeauftragten benennen. https://dsgvo-gesetz.de/bdsg/38-bdsg/
Unabhängig von der Mitarbeiterzahl gilt diese Pflicht auch dann,
wenn besondere Arten von personenbezogenen Daten (z. B. über politische/religiöse Überzeugungen, Ethnie/Rasse, Gesundheit und Sexualleben) verarbeitet werden oder wenn die Kerntätigkeit des Unternehmens in der Erhebung, Verarbeitung, Nutzung oder Übermittlung von personenbezogenen Daten liegt.
2) Überblick verschaffen - "Dateninventur" und Erstellung des Verzeichnis für Verarbeitungstätigkeiten
Prüfen Sie die aktuellen Datenverarbeitungsprozesse in Ihrem Unternehmen und erstellen Sie sich hierfür eine Übersicht. Wo werden personenbezogene Daten zu welchem Zweck wie verarbeitet?
Ganz wichtig ! --> Grundsätzlich gilt ein präventives Datenverarbeitungsverbot. Eine Verarbeitung von personenbezogenen Daten ist nur erlaubt, wenn einer der gesetzlichen Erlaubnistatbestände greift. (Einwilligung, Erfüllung eines Vertrags, berechtigte Interessen etc.) https://dejure.org/gesetze/DSGVO/6.html
Im Rahmen dieser "Dateninventur" ist es hilfreich gleich ein Verzeichnis über die sogenannten Verarbeitungstätigkeiten zu erstellen. Dieses Verzeichnis können Sie schriftlich in Excel oder Word führen. (Wir empfehlen sich vorab eine saubere Excel Vorlage zu erstellen.) Diese stellt sicher, dass Sie bei der Prüfung Ihrer Prozesse keine relevanten Prüfpunkte vergessen welche durch das Gesetz vorgegeben werden. Gerne stellen wir Ihnen unsere Vorlage gegen eine kleine Gebühr zur Verfügung.
Kostenlose Vorlagen und weitere Informationen zum Verzeichnis der Verarbeitungstätigkeiten finden Sie hier:
www.lda.bayern.de/de/muster.htm
www.bfdi.bund.de/DE/Datenschutz
3) Schulung Sie Ihre Mitarbeiter (gerne auch durch uns) und lassen Sie diese danach auf den Datenschutz verpflichten
Die DSGVO schreibt - auch in kleinen Betrieben - eine Schulung der Mitarbeiter zum sensiblen Umgang mit Daten vor. Sie sollten Ihre Mitarbeiter, die mit personenbezogenen Daten umgehen, neben der Schulung auch auf den Datenschutz verpflichten lassen.
Weitere Informationen dazu finden Sie hier:
www.frankfurt-main.ihk.de/recht
4) Informations- und Auskunftspflichten gegenüber Mitarbeitern und Kunden
Gemäß "Artikel 13 EU-DSGVO: Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person" müssen Sie eine sogenannte Datenschutzerklärung für Ihre Mitarbeiter oder andere Betroffene erstellen. (Zum Beispiel Besucher Ihrer Website) Im wesentlichen muss die Datenschutzerklärung folgende Daten erhalten:
1. Für welche Zwecke Sie die Daten verwenden
2. Kontaktdaten des Verantwortlichen
3. Die Rechtsgrundlage
4. Ob Sie die Daten auch an Dritte übermitteln
5. Ob Sie die Daten an Empfänger außerhalb der EU übermitteln und mit welchen Garantien die Sicherheit der Daten gewährleistet ist
Zudem oben genannten Informationspflichten gibt es auch noch ein Auskunftsrecht für Kunden und Mitarbeiter. Macht ein Kunde oder Mitarbeiter gegenüber einem Unternehmen von seinem Auskunftsrecht nach Art. 15 DSGVO gebrauch, sind die erforderlichen Informationen innerhalb eines Monats dem Anfragenden zur Verfügung zu stellen. Das heißt Sie müssen sich hier bereits im Vorfeld um einen funktionierenden, internen Prozess Gedanken machen.
Die folgende Tabelle gibt Ihnen eine Übersicht aus Sicht des Anfragenden, auf welche Informationen er ein Anrecht hat.
(Quelle: BFDI file:///C:/Users/User/Downloads/Datenschutz_MeineRechte.pdf)
Weitere Informationen und eine Hilfestellung zur Erstellung der Datenschutzerklärung sowie zu den rechtlichen Vorgaben für das Auskunftsrecht, erhalten Sie direkt bei uns oder auf folgender Seite der IHK Frankfurt:
www.frankfurt-main.ihk.de/recht/themen/datenschutzrecht
www.lda.bayern.de/media/dsk_kpnr_6_auskunftsrecht.pdf
www.lda.bayern.de/media/dsk_kpnr_10_informationspflichten.pdf
5) Löschfristen, Integrität und Vertraulichkeit (angemessene Datensicherheit - TOM´s)
Im Rahmen der unter 2) beschriebenen Dateninventur müssen auch Löschfristen und insbesondere die angemessene Sicherheit bei der Speicherung der Daten berücksichtigt werden. (TOM´s = Technisch organisatorische Maßnahmen) Das Sicherheitsniveau muss sich an der Kategorie der gespeicherten Daten orientieren. Das heißt personenbezogene Kontodaten müssen besser geschützt werden als zum Beispiel die Schuhgröße bei der Bestellung von Arbeitsbekleidung.
Um die personenbezogenen Daten bei der Verarbeitung zu schützen, sind Maßnahmen wie aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups sowie Virenscanner, Berechtigungskonzepte, Benutzerrechte sowie Schlüssellisten in der Regel ausreichend. (Je nach Datenkategorie können aber auch weitreichendere Maßnahmen notwendig sein.) Sobald keine gesetzliche Grundlage (z. B. steuerliche oder handelsrechtliche Aufbewahrungspflicht) mehr für die Speicherung von personenbezogenen Daten besteht, sind diese zu löschen.
Weiterführende Informationen finden Sie hier:
www.lda.bayern.de/media/dsk_kpnr_11_vergessenwerden.pdf
www.lda.bayern.de/media/baylda_ds-gvo_1_security.pdf
6) Auftragsverarbeitung und der Transfer von Daten in das Ausland
Wenn Sie Daten von einem externen Dienstleister (zum Beispiel die Lohnbuchhaltung durch Ihren externen Steuerberater) aufbereiten lassen, liegt eine sogenannte Auftragsdatenverarbeitung vor. Hierzu ist es notwendig, dass Sie mit Ihrem Dienstleister einen Vertrag über diese Auftragsdatenverarbeitung abschließen. Unter Anderem muss dieser Vertrag Regelungen zu folgenden Punkten enthalten:
Auftragsgegenstand und Dauer des Auftragsverhältnisses
Umfang, Art und Zweck der Datenverarbeitung
Technische und organisatorische Maßnahmen des Auftragnehmers
Löschung, Berechtigung und Sperrung von personenbezogenen Daten
Sofern Sie Daten in Drittländer (nicht EU) übertragen möchten, müssen Sie auch hier genauere Prüfungen vornehmen und bestimmte Voraussetzungen dafür schaffen. Vereinfacht müssen Sie folgende Prüfung vornehmen: Hat die EU-Kommission für das Drittlandland in welches Sie Daten übertragen möchten einen sogenannten Angemessenheitsbeschluss gefasst? (Wie zum Beispiel für Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel (eingeschränkt), Japan, Jersey, Kanada (eingeschränkt), Neuseeland, Schweiz und Uruguay.)
Wenn nicht, müssen Sie über einen geeignete Vertragsklauseln ein angemessenes Sicherheitsniveau schaffen:
Zum Beispiel über die Standarddatenschutzklauseln der EU-Kommission (EU-Standardvertragsklauseln) (Art. 46 Abs. 2 lit. c DS-GVO) Die Europäische Kommission stellt weiterhin insgesamt drei Musterverträge zur Verfügung, die – durch Kommissionsentscheidungen bestätigt – ausreichende Garantien für die Persönlichkeitsrechte gewährleisten. Allgemein werden diese Verträge als EU-Standardvertragsklauseln bezeichnet. Einer der Verträge ist speziell für die Übermittlung an Auftragsverarbeiter im Drittland vorgesehen, die anderen beiden können für die Datenübermittlung zwischen zwei selbstständigen verantwortlichen Stellen eingesetzt werden.
Weitere Informationen sowie Links zu den Vertragsmustern finden Sie auf der Seite des Landesbeauftragten für Datenschutz Nordrheinwestfalen:
www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht
7) Auftragsverarbeitung und der Transfer von Daten in das Ausland
Die Meldung von Verletzungen des Schutzes personenbezogener Daten (= Datenpannen) an die Aufsichtsbehörde ist in Art. 33 DSGVO geregelt. Im Falle einer Verletzung des Schutzes personenbezogener Daten müssen Sie als Verantwortlicher unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Um dies zu gewährleisten und die rechtlichen Voraussetzungen zu kennen, sollten Sie einen internen Prozess aufsetzen welcher bei Datenpannen greift.
Nähere Informationen finden Sie hier bei der IHK Rhein-Neckar:
https://www.rhein-neckar.ihk24.de/recht/betrieb-daten
8) Zusammenfassung
Einen guten Überblick über die umzusetzenden Maßnahmen für kleine Unternehmen gibt die Handwerkskammer in München.
https://www.hwk-muenchen.de/artikel/datenschutz-grundverordnung-dsgvo-74,0,8811.html
Gerne helfen wir Ihnen bei der einfachen Umsetzung aller notwendigen Maßnahmen oder setzen diese für Sie in Ihrem Unternehmen um. Wir freuen uns auf Ihren Anruf oder Ihre E-Mail.
service@karlmons.com 24 Std Hotline: 0162/4913378