Wie Datenschutz zum Erfolg beiträgt

Kleines 1 x 1 des Datenschutzes

von - 05.05.2021
Was Unternehmen an der DSGVO stört
Welchen der genannten Nachteile der DSGVO stimmen Sie voll und ganz beziehungsweise eher zu? Die Datenschutz-Grundverordnung ...
(Quelle: Statista/Bitkom Research (September 2020), n = 504 )
Bei aller Diskussion um rechtliche Unsicherheit und den Sinn und Unsinn der DSGVO-Bestimmungen müssen Unternehmen grundlegende Anforderungen auf jeden Fall umsetzen. Sebastian Kraska nennt dies das „kleine 1 x 1 des Datenschutzes“. „Unternehmen können nicht auf das Verständnis der Aufsichtsbehörden hoffen, wenn sie nicht zumindest diese Basisthemen abdecken“, warnt der Datenschutzexperte.
Folgende zehn Punkte sollten Unternehmen laut Kraska auf jeden Fall sofort umsetzen, wenn sie es nicht schon längst getan haben:
  1. Datenschutzrichtlinie oder Datenschutzhandbuch erstellen: Unternehmen sind laut Artikel 5 Absatz 2 EU-Datenschutz-Grundverordnung verpflichtet, die datenschutzrechtlichen Anforderungen dauerhaft zu erfüllen. „Durch die DSGVO hat sich die Rechtslage verändert“, sagt der Experte. „Man muss jederzeit nachweisen können, dass die notwendigen Maßnahmen implementiert sind. Dieser Nachweis lässt sich am besten über eine Datenschutzrichtlinie oder ein Datenschutzhandbuch führen.“

  2. Verzeichnis von Verarbeitungstätigkeiten anlegen: Gemäß Artikel 30 der DSGVO müssen Unternehmen alle Tätigkeiten, bei denen eine Datenverarbeitung stattfindet, in einem schriftlichen Verzeichnis dokumentieren und dieses auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung stellen. Unter bestimmten Voraussetzungen, etwa wenn nur gelegentlich eine Datenverarbeitung erfolgt, können Unternehmen mit weniger als 250 Mitarbeitern auf die Führung eines solchen Verzeichnisses verzichten.

  3. Verträge mit Auftragsverarbeitern abschließen: Die Datenverarbeitung durch Dritte (Auftragsverarbeiter) ist in Artikel 28 der DSGVO geregelt. Auftraggeber haben demnach durch den Abschluss einer sogenannten Auftragsverarbeitungs-Vereinbarung sicherzustellen, dass auch der Dienstleister die gesetzlichen Anforderungen erfüllt. Eine solche Vereinbarung ist nach überwiegender Auffassung der Aufsichtsbehörden beispielsweise erforderlich, wenn externe IT-Dienstleister beauftragt werden, beim Einsatz von Werbe- oder Marketingagenturen, bei der Nutzung von Webhosting- und E-Mail-Diensten oder der Datensicherung durch Backup-Dienstleister.

  4. Angemessenes Schutzniveau sicherstellen: Im Einklang mit Artikel 32 DSGVO müssen Unternehmen ein angemessenes Schutzniveau für personenbezogene Daten sicherstellen und dazu geeignete technische und organisatorische Maßnahmen ergreifen. Welche das genau sind, ist nicht definiert. Im Bereich der Informationssicherheit können sich Unternehmen aber an den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie an Zertifizierungen wie der ISO 27001 orientieren.

  5. Informationspflicht erfüllen: Bei der Erhebung personenbezogener Daten sind nach Artikel 13 ff. DSGVO die Betroffenen unter anderem über den Verantwortlichen der Datenerhebung, Art, Umfang und Dauer sowie Zweck der Verarbeitung und gegebenenfalls Weitergabe der Daten zu informieren. Dies gilt auch für die Erhebung der Daten auf einer Webseite. Kraska empfiehlt kleineren Unternehmen, die Betroffeneninformationen und die Webseiten-Datenschutzerklärung zu kombinieren, und so den Informationsverpflichtungen zu entsprechen.

  6. Datenschutzbeauftragten der Aufsichtsbehörde melden: Die Benennung eines Datenschutzbeauftragten ist in Artikel 37 DSGVO geregelt und wird für nichtöffentliche Stellen durch §38 des Bundesdatenschutzgesetzes (BDSG) präzisiert. Demnach müssen Unternehmen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benennen, soweit sie in der Regel mindestens 20 Personen beschäftigen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind.


    Eine automatisierte Verarbeitung liegt in der Regel bereits dann vor, wenn Daten per Computer erfasst oder weiterverarbeitet werden. In bestimmten Bereichen, etwa in der Markt- und Meinungsforschung, ist auf jeden Fall ein Datenschutzbeauftragter zu benennen, unabhängig von der Beschäftigtenzahl. Der Datenschutzbeauftragte ist bei der Aufsichtsbehörde zu melden. Das lässt sich meist recht einfach über das Meldeportal der zuständigen Datenschutz Aufsichtsbehörde erledigen.


  7. Mitarbeitern schulen und zum Datenschutz verpflichten: Die in Artikel 5, Absatz 2 DSGVO formulierte Rechenschaftspflicht wird meist dahingehend ausgelegt, dass Mitarbeiter vertraglich zur Einhaltung des Datenschutzes verpflichtet und regelmäßig geschult werden müssen. Verpflichtungen und Schulungsmaßnahmen sind zu dokumentieren.

  8. Datenschutzfolgen abschätzen: Sind mit der Datenverarbeitung hohe Risiken für die Betroffenen verbunden, ist nach Artikel 35 DSGVO eine Datenschutz-Folgeabschätzung durchzuführen. Dazu gehören beispielsweise Fälle systematischer Überwachung und automatisierter Entscheidungsfindung oder Bewertung (Scoring), sofern hierfür biometrische oder genetische Daten eingesetzt werden, sowie Daten, die einem Amts- oder Berufsgeheimnis unterliegen. Die Ergebnisse der Folgenabschätzung sind zu dokumentieren.

  9. Datenverlust zügig melden: Gehen personenbezogene Daten verloren oder werden sie gestohlen, ist dies gemäß Artikel 33 DSGVO in der Regel innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Entsteht für die Betroffenen durch den Verlust ihrer Daten ein hohes Risiko, sind diese nach Artikel 34 DSGVO ebenfalls unverzüglich zu informieren.

  10. Betroffenenrechte beachten:Die DSGVO räumt den von einer Datenverarbeitung Betroffenen umfangreiche Rechte etwa auf Auskunft, Löschung, Bereinigung oder Sperrung ein. Unternehmen müssen die notwendigen organisatorischen Voraussetzungen schaffen, um entsprechende Verlangen zeitnah umsetzen und dies auch dokumentieren zu können.
Seite
  1. Teil: Wie Datenschutz zum Erfolg beiträgt
  2. Teil: Kleines 1 x 1 des Datenschutzes
  3. Teil: Auch Schadenersatzforderungen
  4. Teil: Corona: Krise für Datenschutz?
  5. Teil: Im Gespräch mit Dr. Johannes Caspar, HmbBfDI
Verwandte Themen

Mehr zum Thema