Alle Kurse
Unsere Referenten
Sebastian von der Au
Datenschutz- und Informationssicherheitsberater
Thomas Floß
Datenschutz- und Informationssicherheitsberater
Häufige Fragen rund um das Thema Datenschutz
Durch die Datenschutzgesetze in Deutschland und in Europa werden nur natürliche Personen geschützt. Diese sind im Fall einer Verarbeitung ihrer
personenbezogenen Daten sogenannte „Betroffene“ dieser Datenverarbeitung. Unternehmen gelten als juristische Personen, sie können sich daher nicht als Betroffene auf den Schutz durch die EU-Datenschutzgesetze berufen.
Die DSGVO schreibt für bestimmte Fälle zwingende – und fristgebundene – Meldepflichten und ggf. Benachrichtigungspflichten bei Datenpannen (z. B. Verlust von Daten) vor. Zugleich drohen erhebliche Bußgelder, wenn diese Pflichten nicht erfüllt werden. Fällt also z. B. einem Mitarbeiter in einem Unternehmen auf, dass eine mögliche Datenpanne passiert sein könnte, rennt ab diesem Zeitpunkt die Zeit.
Daher sollte in einem Unternehmen bei allen Mitarbeitern bekannt sein, an wen man sich in diesem Fall zu wenden hat (Vorgesetzter, Leitung IT, Geschäftsführer, Datenschutzbeauftragter…). Gemeinsam muss festgestellt werden, was konkret passiert ist, und ob personenbezogene Daten betroffen sind. Nachfolgend muss bestimmt werden, ob die von der DSGVO geregelten Melde- bzw. Benachrichtigungspflichten zu erfüllen sind.
Jeder, der personenbezogene Daten erhebt oder verarbeitet, muss hierüber in einer Datenschutzerklärung aufklären. Das bedeutet zum Beispiel, dass
grundsätzlich jedes Unternehmen seine Mitarbeiter oder seine Kunden über die Verarbeitung ihrer personenbezogenen Daten aufklären muss. Zum Beispiel muss auch ein Webseitenbetreiber eine Datenschutzerklärung bereithalten, da darüber auch Daten von den Webseitenbesuchern erhoben werden.
Jede Datenschutzerklärung muss stets folgende Informationen für Betroffene der Datenverarbeitung enthalten:
• Welche personenbezogenen Daten werden erhoben?
• Was passiert mit den erhobenen Daten?
• Warum (zu welchem Zweck und auf der Basis welcher Rechtsgrundlage) werden die Daten erhoben?
• Wie lange werden diese Daten gespeichert?
• Werden die erhobenen Daten an Dritte weitergegeben?
• Werden die Daten grenzüberschreitend in Länger außerhalb der EU bzw. des EWR übermittelt?
• Was für Maßnahmen zum Schutz der Daten wurden ergriffen?
Eine Auftragsverarbeitung liegt dann vor, wenn personenbezogene Daten durch einen weisungsgebundenen Dienstleister im Auftrag des Verantwortlichen verarbeitet werden. Die Datenschutzgrundverordnung (DSGVO) verlangt, dass der Verantwortliche und der Dienstleister (als Auftragsverarbeiter) einen Vertrag schließen, um den Schutz der Daten bei Weitergabe an den Dienstleister sicherzustellen. Hierbei schreibt die DSGVO in Art. 28 auch genau vor, was in diesem Vertrag zwingend drinstehen muss.
Musterverträge erhält man an vielen Stellen, so z. B. bei den jeweiligen Aufsichtsbehörden, bei Ihrem Datenschutzbeauftragten oder aber auch im Internet. Die im Internet aufgeführten Verträge sind i.d.R. genau zu prüfen (mit Ausnahme der von den Aufsichtsbehörden bereitgestellten Verträge), da nicht davon auszugehen ist, dass diese juristisch einwandfrei sind. Jeder Mustervertrag ist jedoch an die Gegebenheiten des jeweiligen Unternehmens anzupassen.
Ein Verfahrensverzeichnis, seit der Datenschutzgrundverordnung (DSGVO) auch als Verzeichnis von Verarbeitungstätigkeiten bezeichnet, dokumentiert jede Verarbeitung von personenbezogenen Daten z. B. in einem Unternehmen oder bei einer öffentlichen Stelle. Jeder Verantwortliche und jeder Auftragsverarbeiter müssen ein solches Verfahrensverzeichnis erstellen und führen.
Das Verfahrensverzeichnis dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 Datenschutzgrundverordnung (DSGVO) nachzuweisen, dass die gesetzlichen Vorgaben eingehalten werden (Rechenschaftspflicht).
Es kann zwischen Vor-Ort-Audits, Self-Audits und schriftliche Audits unterschieden werden. Bei Vor-Ort-Audits wird der Auftragsverarbeiter besucht
und mittels einer vorher erstellten Checkliste hinsichtlich der organisatorischen und technischen ergriffenen Maßnahmen zur Einhaltung der Anforderungen der DSGVO geprüft. Bei einem Self-Audit verpflichtet sich der Auftragnehmer regelmäßig sich selbst zu prüfen und die Ergebnisberichte an den Auftraggeber zu senden. Bei einem schriftlichen Audit durch den Auftraggeber versendet dieser unter einer Fristsetzung (i.d.R. 3-4 Wochen) eine Checkliste mit expliziten Fragestellungen zu den, durch den Auftragnehmer ergriffenen technischen und organisatorischen Maßnahmen zum Schutz der
personenbezogenen Daten.
Die DSGVO schreibt zu den Aufgaben der Datenschutzbeauftragten in Art. 39 Abs. 1 lit. b DSGVO vor, dass sie für die Überwachung der Einhaltung der Verordnung bei dem Verantwortlichen und dem Auftragsverarbeiter entsprechende Überwachungsmaßnahmen durchzuführen hat.
Eine DSFA ist nach Art. 35 DSGVO dann durchzuführen, wenn die Verarbeitung, insbesondere bei der Verwendung neuer Technologien, aufgrund von Art und Umfang, der Umstände und der Zwecke der Verarbeitung zu einem voraussichtlich hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt.