Blog

Datenschutz - Die 9 wichtigsten Punkte für Geschäftsführer | Teil 2

Im zweiten Teil unseres Beitrags zu den wichtigsten Themen im Datenschutz für Unternehmen sehen wir uns die Bereiche Datenschutzerklärungen, Einwilligungen, Auftragsverarbeitung, Datenschutzfolgenabschätzung und das Verzeichnis von Verarbeitungstätigkeiten genauer an.

Zu jedem dieser hochkomplexen Themengebiete geben wir eine kurze, übersichtliche und verständliche Einführung!

5. Datenschutzerklärungen

Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss verschiedene Datenschutzerklärungen vorhalten und an die von der Datenverarbeitung betroffenen Personen aushändigen bzw. ihnen zugänglich machen.

Wer also einen Mitarbeiter oder einen Privatkunden oder eine Website hat, muss entsprechende Datenschutzerklärungen vorhalten.

In der Datenschutzerklärung wird erläutert, welche Daten wie und zu welchem Zweck verarbeitet werden. Außerdem wird dargelegt, welche Schutzmaßnahmen das Unternehmen trifft, um die Rechte der betroffenen Person nach der DSGVO zu wahren.

Wichtig zu wissen ist, dass die Datenschutzerklärung lediglich der Information dient und keine rechtliche Grundlage oder Erlaubnis bildet, Daten überhaupt verarbeiten zu dürfen. Insoweit ist die Datenschutzerklärung von der „datenschutzrechtlichen Einwilligung“ zu unterscheiden (sieht Punkt 6)!

Vorsicht ist bei Vorlagen aus dem Internet und generierten Datenschutzerklärungen geboten. Diese sind oft sehr allgemein, unvollständig oder fehlerhaft. Insbesondere auf der Hompage ist auf Vollständigkeit und Korrektheit der Datenschutzerklärung (und des Cookiebanners) zu achten, da diese sowohl von der Aufsichtsbehörde als auch von Konkurrenzunternehmen eingesehen und entsprechend abgemahnt werden kann.

6. Einwilligung- Welche personenbezogenen Daten darf ich überhaupt verarbeiten?

Als Geschäftsführer sollten Sie sich immer fragen, welche personenbezogenen Daten auf welcher Grundlage im Unternehmen verarbeitet werden. Die DSGVO sieht insoweit ein „Verbot mit Erlaubnisvorbehalt“ vor, d.h. die Datenverarbeitung ist nur unter den in Art. 6 I DSGVO festgelegten Bedingungen erlaubt.

Schließen Sie z.B. mit einem Kunden einen Vertrag über die Lieferung einer Ware, brauchen Sie naturgemäß dessen Adresse, um den Vertrag erfüllen zu können. Die Verarbeitung des Namens und der Adresse des Kunden ist also nach Absatz 1 b DSGVO erlaubt!

Nicht erlaubt ist jedoch das Zuschicken von Werbung, es sei denn, der Kunde hat zuvor diesbezüglich eingewilligt. Gleiches gilt für Mitarbeiter. Sie benötigen dessen Kontonummer, um das Gehalt zu überweisen und den Arbeitsvertrag erfüllen zu können. Wollen Sie jedoch ein Bild des Mitarbeiters auf der Unternehmenshomepage veröffentlichen, brauchen Sie die Einwilligung des Mitarbeiters.

Dabei sind die Vorgaben der DSGVO an eine wirksame Einwilligung zu beachten. So muss über die Freiwilligkeit, Zweckgebundenheit und Widerrufbarkeit der Einwilligung aufgeklärt werden. Pauschale Einwilligungen sind nicht zulässig.

7. Auftragsverarbeitung

Unter einer Auftragsverarbeitung versteht man die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter. Klassische Auftragsverarbeiter sind z.B. externe Dienstleister wie z.B. ein Lohnbuchbüro oder eine IT-Firma aber unter Umständen auch Cloud-Anbieter oder Unternehmen, die Akten oder Datenträger vernichten.

Bevor Ihr Unternehmen mit einem solchen Auftragsverarbeiter zusammenarbeitet, sollten Sie sich davon überzeugen, dass dieser auch datenschutzkonform arbeitet. Dies im Detail zu prüfen ist schlicht nicht möglich, dennoch obliegen Ihnen gewisse Auswahl- und Überwachungspflichten. Abhängig von Umfang und Sensibilität der verarbeiteten Daten kommen die Einholung eines Datenschutz- bzw. eines IT-Sicherheitskonzeptes, die Vorlage einer Datenschutzzertifizierung oder die Auskunft des Unternehmens zu wichtigen Datenschutzfragen in Betracht.

In jedem Fall müssen Sie einen sogenannten Auftragsverarbeitungsvertrag (AVV) schließen. Allgemein regelt dieser die datenschutzrechtlichen Rechte und Pflichten im Rahmen der Datenverarbeitung. Dabei müssen verschiedene Punkte klar definiert werden, insbesondere der Vertragsgegenstand, Art und Zweck der Datenverarbeitung sowie die dem Auftragsverarbeiter obliegenden technischen und Organisatorischen Maßnahmen (TOMs) zur Sicherheit der Verarbeitung.

Durch die gewissenhafte Auswahl des Auftragsverarbeiters und den Auftragsverarbeitungsvertrag stellen Sie sicher, dass weder Ihr Unternehmen noch Sie persönlich Haftungsrisiken ausgesetzt sind, falls der Auftragsverarbeiter gegen die DSGVO verstößt. Es empfiehlt sich, eigene Vertragsentwürfe zu verwenden, da Verträge von Auftragsverarbeitern oftmals nachteilige Haftungsregelungen beinhalten. Zumindest sollten Verträge von Auftragsverarbeitern vor Vertragsschluss diesbezüglich aufmerksam geprüft werden!

8. Datenschutzfolgenabschätzung- was ist das und wann brauche ich sie?

Eine Datenschutzfolgenabschätzung (DSFA) ist erforderlich, wenn ein Verfahren aufgrund der Art oder des Umfangs der Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Da der Gesetzestext sehr allgemein ist, haben die Datenschutzaufsichtsbehörden „blacklists“ veröffentlicht, in welchen Fällen eine DSFA erstellt werden muss (z.B. bei GPS-Tracking von Fahrzeugen, Verarbeitung medizinischer Daten, Profiling, Überwachung öffentlicher Bereiche). In Schleswig-Holstein stellt die Datenschutz-Aufsichtsbehörde beispielsweise diese Muss-Liste zur Verfügung (externer Link).

Inhalt der DSFA ist eine strukturierte Risikoanalyse zur Identifizierung und Bewertung von Risiken für die betroffene Person, die Prüfung der Zulässigkeit der Datenverarbeitung sowie die Festlegung von Schutzmaßnahmen mit dem Ziel, das Eintrittsrisiko und die Folgen möglichst gering zu halten. Mit Methoden aus dem Bereich Risikomanagement (PHA, FMEA und FTA) kommt man hier schon ziemlich weit.
Eine ordentliche DSFA zu erstellen ist allerdings sehr aufwendig, daher gehen wir hier nicht weiter auf sie ein.

9. Verzeichnis von Verarbeitungstätigkeiten

Das Verzeichnis von Verarbeitungstätigkeiten ist von zentraler Bedeutung für den Datenschutz im Unternehmen! Es gibt Auskunft über die Rechtmäßigkeit der Datenverarbeitung und kann bei behördlichen Kontrollen von der Aufsichtsbehörde eingesehen werden.

In dem Verzeichnis werden die einzelnen Unternehmensprozesse in sogenannte „Verfahren“ aufgegliedert und beschrieben. Auch welche personenbezogenen Daten auf welche Art und Weise, auf welcher Rechtsgrundlage und zu welchem Zweck verarbeitet werden, wird dort dokumentiert.

In dem Zusammenhang werden in einem erweiterten Verzeichnis von Verarbeitungstätigkeiten die getroffenen Datenschutz- und IT-Sicherheitsmaßnahmen nach Maßgabe der DSGVO und des BDSG dargelegt. Darüber werden insbesondere die Datenübermittlung an externe Dienstleister, die Durchführung der gesetzlich vorgeschriebenen Datenschutz-Revisionen, die Löschung personenbezogener Daten sowie die Betroffenenrechte (z.B. Auskunftsansprüche von Mitarbeitern und Kunden gegenüber dem Unternehmen) erläutert.

Insoweit ist das Verzeichnis von Verarbeitungstätigkeiten eine umfassende Dokumentation, die vor allem den Vorgaben der DSGVO Rechnung trägt, aber auch hilfreich ist, betriebliche Prozesse detailliert zu analysieren und effizient zu gestalten.

Aus dem Verzeichnis leiten die meisten größeren Unternehmen ein verkürztes Datenschutzkonzept ab, welches sie für vertriebliche Maßnahmen nach außen hin bereitstellen können.

(Artikel von A. Bilzhause)

Empfohlene Beiträge

Datenschutz – Die 9 wichtigsten Punkte für Geschäftsführer | Teil 1

Sichere Videokonferenzen mit BigBlueButton

Firewall für Anfänger – pf vs. pfSense vs OPNsense