20 Jahre Erfahrung

Als IT-Consultant, Projektmanager und
Softwareentwickler

Datenschutzfachkraft

DEKRA zertifiziert

EDV Sachverständiger

DEKRA zertifiziert

DSGVO Audit

Beratung, Planung, Kontrolle

IT-Forensic Analyst

DEKRA zertifiziert

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden.

Die DSGVO ist ein Verbotsgesetzt. Sie enthält Öffnungsklauseln, welche die Ergänzung, bzw. Konkretisierung durch nationales Recht erlaubt.

Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

Verstöße gegen die DSGVO können mit Geldbußen bis zu 20.000.000,- Euro oder bis zu 4% des weltweiten Jahresumsatzes geahndet werden.

Ab wann gilt die DSGVO?

Die DSGVO tritt ab dem 25.05.2018 unmittelbar im gesamten Raum der Europäischen Union in Kraft. Es gibt keine Übergangsfrist!

Was sind die wichtigsten Neuerungen in der DSGVO?
Die DSGVO erweitert und konkretisiert die bereits bekannten Pflichten des Datenschutzes. Dabei werden die rechtlichen, betrieblichen und technisch-organisatorischen Anforderungen an den Datenschutz erhöht. Die wichtigsten Neuerungen der DSGVO sind dabei:
  • Erweiterte Pflichten im technischen Datenschutz
  • Festschreibung der Mitverantwortung der Auftragsverarbeiter
  • Erweiterung der Transparenz- und Informationspflichten
  • Recht auf „Vergessenwerden“
  • Mitwirkungs- und Meldepflichten bei Verstößen
  • Einführung einer Datenschutzfolgenabschätzung
  • Erweiterung für die Pflicht zur Benennung eines Datenschutzbeauftragten
Was versteht man unter Verarbeitung von Daten?
Unter der Verarbeitung von Daten versteht man jeden Vorgang, der personenbezogene Daten erhebt, erfasst, ausliest, organisiert, ordnet, speichert, anpasst, übermittelt, löscht, vernichtet. Dabei spielt es keine Rolle, ob die Verarbeitung mit technischen Hilfsmitteln oder manuell erfolgt.
Was sind personenbezogene Daten?

Laut DSGVO Art. 4 versteht man unter personenbezogene Daten, alle Informationen die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Dazu zählen z. B.:

  • Name, Alter, Familienstand, Geburtsdatum
  • Anschrift, Telefonnummer, Email-Adresse
  • Kontonummer, Kreditkartennummer
  • Kfz-Kennzeichen
  • Personalausweisnummer, Sozialversicherungsnummer
  • Krankendaten
  • Werturteile wie z. B. Zeugnisse
  • Kunden-/Lieferantendaten (z. B. Namen von Ansprechpartner, Email-Kontaktdaten)
  • Personaldaten von Beschäftigten
  • Fotos, Videoaufnahmen, Röntgenbilder oder Audioaufzeichnungen
Was sind besondere Kategorien von personenbezogenen Daten?

Laut DSGVO Art. 9 versteht man unter „besonderen Kategorien von personenbezogene Daten“ alle Informationen die Angaben zur rassischen und ethnischen Herkunft, politischen oder weltanschaulichen Meinung, genetische oder biometrische Daten, Gewerkschaftszugehörigkeit, Gesundheitsdaten sowie Angaben zur religiösen oder sexuellen Orientierung.

 Bei dieser besonderen Kategorie von Daten sind die Anforderungen an den Datenschutz extrem hoch.

Wann muss ein Datenschutzbeauftragter bestellt werden?

Eine Bestellpflicht besteht immer dann, wenn mindestend 10 Personen automatisiert personenbezogene Daten verarbeiten oder nutzen. Dabei ist es unerheblich, ob es sich bei der Anzahl der Personen um Voll- oder Teilzeitkräfte, um Leiharbeiter, Auszubildenden oder Praktikanten handelt. Auch die Geschäftsleitung wird generell mit gezählt.

Eine Bestellpflicht besteht auch dann, wenn hauptsächlich Daten gem. Art. 9 (Verarbeitung besonderer Kategorien personenbezogener Daten) verarbeitet werden.

Unternehmen, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung (Adresshandel, Auskunfteien) oder zum Zweck der anonymisierten Übermittlung (Meinungsforschung) verarbeiten, müssen ebenfalls immer einen Datenschutzbeauftragten bestellen.

Interner oder externer Datenschutzbeauftragter?

Ob ein interner oder externer Datenschutzbeauftragter für ein Unternehmen besser ist, hängt ganz von der jeweiligen Ausgangssituation ab. Faktoren wie Unternehmensgröße, Branche und Personalpolitik können die Entscheidung beeinflussen. Beide Varianten bieten Vor- und Nachteile.

Merkmale des interner Datenschutzbeauftragten

  • Gute Kenntnisse über Abläufe und Prozesse im Unternehmen. Allerdings besteht ein Risiko der Betriebsblindheit.
  • Sofern er als Datenschutzbeauftragter noch unerfahren ist, drohen Anlaufschwierigkeiten. Die Effizienz ist gering und externe Unterstützung muss oft zusätzlich eingekauft werden.
  • Haftungsrisiko bleibt im Unternehmen. Der Mitarbeiter kann für Fehlentscheidungen oft gar nicht haftbar gemacht werden, sofern er nicht nachweislich mit Vorsatz gehandelt hat.
  • Hohe Wahrscheinlichkeit, dass die Haupttätigkeit im Vordergrund bleibt und die Aufgaben eines Datenschutzbeauftragten hinten angestellt werden.
  • Mitarbeiter reagieren auf Anfragen oft nur langsam oder gar nicht.
  • Kosten für Aus- und Fortbildung einschließlich Erwerb von Literatur sind vom Unternehmen zu tragen.
  • Der interne Datenschutzbeauftragte genießt ausgeprägten Kündigungsschutz mit einem Jahr Nachwirkung. Eine Abberufung ist nur langsam und unter großem Aufwand möglich.

Merkmale des externen Datenschutzbeauftragten

  • Einnahme einer neutralen Perspektive, dadurch kein Risiko der Betriebsblindheit.
  • Erfahrung und das Arbeiten auf Basis erprobter Konzepte versprechen eine hohe Effizienz und somit ein schnelles Erreichen des erforderlichen Datenschutzniveaus zu niedrigen Kosten.
  • Der externe Datenschutzbeauftragte haftet im Rahmen der vereinbarten Summe für sein Handeln. Dadurch ist mehr Sicherheit für das Unternehmen geboten.
  • Ausschließliche Konzentration auf Aufgaben, die mit dem Datenschutz in Verbindung stehen.
  • Mitarbeiter nehmen den externen Datenschutzbeauftragten und dessen Aufgaben anders wahr. Antwortzeiten fallen erfahrungsgemäß kürzer aus.
  • Ein externer Datenschutzbeauftragter ist bereits ausgebildet, Kosten der Fortbildung werden vom Anbieter selbst getragen. Weiterhin gibt es keine Ausfallzeiten durch Aus- und Fortbildung.
  • Vereinbarung regulärer Kündigungsfristen über den Dienstvertrag ist möglich.
Was ist Auftragsdatenverarbeitung?
Man spricht von einer Auftragsdatenverarbeitung, wenn personenbezogene Daten durch eine andere verantwortliche Stelle im Auftrag verarbeitet werden. Dieses liegt dann vor, wenn Sie ein externes Unternehmen für Dienstleistungen wie Lohn-/Gehaltsabrechnung, Call-Center, Mailings, Newsletter-Versand, Lettershops, Aktenvernichtung etc. beauftragen.
Ebenso zählt das Outsourcing von IT-Ressourcen (Rechenzentrum, Cloud Computing, Online-Speicherplatz etc.) dazu.
Mit diesen externen Dienstleistern ist ein sog. Auftragsdatenverarbeiter-Vertrag schriftlich zu schließen.
Was sind technisch-organisatorische Maßnahmen?
Der Artikel 32 der EU-Datenschutz Grundverordnung fordert von den Verantwortlichen und den Auftragsverarbeitern alle erforderlichen Maßnahmen zu treffen, um ein angemessenes Schutzniveau für die personenbezogenen Daten zu erreichen. Bei der Bewertung des Schutzniveaus ist sowohl das Risiko für die personenbezogenen Daten als auch der Stand der Technik sowie die Kosten für die Umsetzung zu berücksichtigen. Die technisch-organisatorischen Maßnahmen sollen vor allem beschreiben, wie die folgenden Aspekte technisch realisiert werden.
  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Trennungsgebot
Welche Dokumentationspflichten bestehen?
Die EU-Datenschutz Grundverordnung fordert die Erstellung und Pflege einer Reihe von Dokumenten. Diese sind erforderlich, um die Einhaltung der DSGVO nachweisen zu können. Dazu gehören:
  • Liste der Verarbeitungstätigkeiten
  • Auftragsdatenverarbeitungs-Verträge
  • Nachweis der Gültigkeit von Einwilligungen
  • Liste der technisch-organisatorischen Maßnahmen

Unverbindliche Beratung unter

02251-781160

Oder schreiben Sie uns