Datenschutz-Beratung

Der Schutz der personenbezogenen Daten stellt auch einen Wirtschaftsfaktor für Unternehmen dar und ist aus diesem Grund von großer Bedeutung. Denn ein Missbrauch der Daten kann nicht nur einen wirtschaftlichen Schaden für ein Unternehmen nach sich ziehen, sondern auch das Ansehen eines Unternehmens erheblich schädigen.

Durch die eingeführte Rechenschaftspflicht in der Datenschutzgrundverordnung (DSGVO) wird zudem die Beweislast umgekehrt. Ein Unternehmen muss also in der Lage sein, die Einhaltung der Vorschriften und Grundsätze der Datenschutzgrundverordnung nachweisen zu können.

Warum sollte ich mich mit dem Datenschutz auseinandersetzen?

Die Europäische Datenschutz Grundverordnung (EU-DSGVO) ist als EU-Verordnung in jedem EU-Mitgliedsland direkt anwendbares Recht, mit dem Ziel die EU-Bürger vor dem Missbrauch ihrer personenbezogenen Daten zu schützen.

In den letzten Jahren ist das Interesse am Schutz der eigenen personenbezogenen Daten für die Betroffenen immer stärker in den Fokus gerückt. Auch in der Öffentlichkeit wird dieses Thema immer bedeutsamer. Erkennbar ist dies auch an der stark gestiegenen Anzahl von Beschwerden bei den Aufsichtsbehörden und die zunehmend ausgesprochenen Sanktionen durch die Aufsichtsbehörden

Wann gilt die EU-DSGVO für mich als Unternehmen?

Die DSGVO gilt immer dann, wenn personenbezogene Daten erhoben und verarbeitet werden. Und zwar unabhängig von der Größe eines Unternehmens.

In diesem Zusammenhang stellt sich auch die Frage benötige ich einen Datenschutzbeauftragten?

Dazu sieht das Bundesdatenschutzgesetz (BDSG) vor, dass Unternehmen (Verantwortliche) ab einer Anzahl von 20 Personen, die ständig (regelmäßig) mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, verpflichtet sind, einen Datenschutzbeauftragen zu benennen.

Was regelt die Datenschutz Grundverordnung?

In der DSGVO werden die Bedingungen festgelegt unter denen eine Verarbeitung zulässig ist. Dazu werden im Art. 5 DSGVO die Grundsätze der Verarbeitung personenbezogener Daten festgelegt. In den weiteren Artikeln werden diese Grundsätze weiter spezifiziert.

Wie kann ich die Datenschutz-Anforderungen umsetzen?

Um die Anforderungen umzusetzen und zu erfüllen sind bestimmte Maßnahmen erforderlich wie zum Beispiel:

• Eine Übersicht der Tätigkeiten, in denen personenbezogene Datem verarbeitet werden
  (Verzeichnis der Verarbeitungstätigkeiten VVT)
  
• Die Erfüllung der Informationspflichten für die Verarbeitungen
  (z.B. bei Einstellung von Beschäftigten, für Besucher der Website)
  
• Umsetzung von Maßnahmen zur Sicherheit bei der Verarbeitung
  (Technische und organisatorische Maßnahmen TOM)
  
• Regeln zur Einhaltung der Betroffenenrechte und Datenpannen
  (Arbeits-Anweisungen, Richtlinien)
  

Datenschutz-Management-System (DSMS)

Warum sollte ein Datenschutzmanagement eingeführt werden?

Die wichtigste Begründung findet sich in den folgenden Artikeln der DSGVO:

Artikel 5 Abs.2 DSGVO

Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). 

Artikel 24 Abs.1 DSGVO

Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.

Daraus lässt sich nun ableiten, dass der Verantwortliche jederzeit (auch ohne konkreten Verdacht) nachweisen können muss, dass die Verarbeitung personenbezogener Daten in den Unternehmens-Prozessen DSGVO-konform erfolgt.

Für den Fall, dass der Nachweis nicht erbracht werden kann, besteht für den Verantwortlichen und dessen rechtliche Vertreter ein Haftungs- und Sanktionsrisiko.

Wie kann nun der Nachweis erfolgen?

1. Der Verantwortliche und die handelnden Personen im Unternehmen müssen proaktiv tätig werden und dafür sorgen, eine Aufbau- und Ablauforganisation existiert mit der entsprechenden Leitlinie, Richtlinien und Arbeitsanweisungen.
2. Dies erfordert weiter die Umsetzung entsprechender Dokumentationspflichten mit den dazu gehörenden Nachweisdokumenten.

Weitere sinnvolle Gründe für ein DSMS sind:

1. Verbesserung der Datenschutzorganisation
2. Bessere Übersicht der DS-Prozesse
3. Definierte Abläufe durch die Prozesse
4. Überprüfbarkeit der Prozesse
5. Geplante Verbesserung der Prozesse (Evaluierung)
6. Entscheidender Faktor in einem Bußgeldverfahren (Haftung minimieren)
7. Auch zivilrechtliche Haftung minimieren (Schadenersatzansprüche)

Der Aufbau eines DSMS gestaltet sich ähnlich wie andere Managementsysteme z.B. dem Qualitätsmanagement nach ISO 9001 oder dem Informationsmanagement nach ISO 27001.
So ist es auch nicht verwunderlich, dass hier Gemeinsamkeiten entstehen und somit auch Synergien genutzt werden können.

audatis® MANAGER

Durch den Einsatz eines entsprechenden Software-Tools wie dem audatis® Manager wird der Aufbau eines DSMS effektiv und zeitsparend unterstützt.

audatis® MANAGER ist ein Produkt der audatis Services GmbH.

Hier gelangen Sie zu meinen Datenschutzhinweisen