Datenschutz – Ihre Pflichten als Unternehmen

Die Einführung der EU-Datenschutzgrundverordnung hat zu einer größeren Verantwortung für Unternehmen bei der Verarbeitung personenbezogener Daten geführt. Hier ein kurzer Überblick:

 

Datenschutzbeauftragter

Unter bestimmten Voraussetzungen sind Sie verpflichtet einen Datenschutzbeauftragten zu bestellen und diesen bei Ihrer Aufsichtsbehörde zu melden. Das ist oft bereits bei mehr als zehn Mitarbeitern der Fall. Die Aufsichtsbehörden können durch die neu eingeführte Meldepflicht genau nachvollziehen, welche Unternehmen verpflichtet sind, einen Datenschutzbeauftragten zu bestellen und ob ein Datenschutzbeauftragter bestellt worden ist. Bei Nichtbestellung, trotz vorhandener Pflicht, drohen Geldbußen.

 

Verbot mit Erlaubnisvorbehalt

Personenbezogene Daten dürfen von Ihnen nur verarbeitet werden, wenn Sie sich dabei auf eine gesetzliche Grundlage stützen können. Neben dem grundlegenden Artikel 6 der EU-Datenschutzgrundverordnung, gibt es eine Vielzahl von weiteren Vorschriften in Ihrer nationalen Gesetzgebung, die Sie im Datenschutz berücksichtigen müssen. Eine Datenverarbeitung ohne konkrete gesetzliche Erlaubnis ist verboten. Ein Verstoß kann zu hohen Geldbußen führen.

 

Betroffenenrechte

Ihre Mitarbeiter, Kunden, Dienstleister, kurz: Alle Menschen, deren Daten Sie verarbeiten haben ein

  • Auskunftsrecht
  • ein Recht auf Datenberichtigung
  • ein Recht auf Datenübertragung und Datensperrung.

Es kann Widerspruch gegen bestimmte Verarbeitungen eingelegt, und von Ihnen unter gewissen Voraussetzungen, auch die Löschung von Daten verlangt werden. Sie müssen sicherstellen, dass Sie diesen Rechten innerhalb der vorgeschriebenen Fristen nachkommen können.

 

Datenschutzmanagement

Um die Anforderungen der EU-Datenschutzgrundverordnung einhalten zu können, benötigen Sie ein System, das in er Lage ist, alle Wechselwirkungen im Datenschutz zu managen. Ohne langjährige Erfahrung und entsprechende Expertise, ist das ein zeitraubendes und kostspieliges Unterfangen. Seit dem Inkrafttreten der EU-Datenschutzgrundverordnung, wissen immer mehr Betroffene um ihre Rechte, und sind erfahrungsgemäß schnell dabei, sich an die Aufsichtsbehörden zu wenden. Auf diesem Weg können Sie schnell in den Focus von Aufsichtsbehörden gelangen, die verpflichtet sind die Einhaltung der Datenschutzgrundverordnung konsequent zu verfolgen.

 

Übersicht über Verarbeitungstätigkeiten

Im Normalfall sind Sie verpflichtet eine Übersicht gemäß Art. 30 EU-Datenschutzgrundverordnung über Ihre Verarbeitungen personenbezogener Daten zu führen und der Aufsichtsbehörde auf Verlangen nachzuweisen. Das ist leichter gesagt als getan. Ohne eine Analyse sämtlicher Unternehmensprozesse, ist die Anfertigung des Verzeichnisses nicht möglich. Auch die Organisation der Führung dieser Übersicht bringt Herausforderungen mit sich. Wo oft nur die gesetzlichen Anforderungen abgearbeitet werden, wird schnell übersehen, dass die Übersicht über die Verarbeitungstätigkeiten das zentrale Werkzeug zur Einhaltung des Datenschutzes ist. Ein interaktives Verzeichnis macht Ihnen das Leben leichter. Die träge Ablage von Informationen in toten Dateien ist lediglich Balast.

 

Technische und organisatorische Maßnahmen

Wenn Sie personenbezogene Daten verarbeiten, sind Sie verpflichtet deren Sicherheit zu gewährleisten. Das geschieht über sogenannte technische und organisatorische Maßnahmen. Welche Maßnahmen Sie ergreifen müssen hängt davon ab, welche Risiken Ihre Datenverarbeitungen für Ihre Betroffenen mit sich bringen. Die dazu nötige Durchführung von Risikoanalysen und Datenschutzfolgenabschätzungen, sollten von fachkundiger Seite und vor allem unabhängiger Seite vorgenommen werden, wollen Sie nicht unnötig in Kostenfallen tappen.

 

Grundprinzipien

Bei allen Verarbeitungen personenbezogener Daten, müssen Sie immer sicherstellen, dass Sie die Grundprinzipien der EU-Datenschutzgrundverordnung einhalten. Dabei handelt es sich um die Grundsätze der

  • Rechtmäßigkeit
  • Verarbeitung nach Treu und Glauben
  • Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht

Bei jeder Verarbeitung, die Sie in Ihrer Übersicht über die Verarbeitungstätigkeiten führen, müssen Sie jedem einzelnen Grundsatz Rechnung getragen haben. Andernfalls riskieren Sie hohe Bußgelder durch Ihre Aufsichtsbehörde.

 

Einbindung von Dienstleistern

Je nachdem in welchem Umfang Sie Dienstleister einsetzen, müssen Sie bestimmte Anforderungen beachten. Es kann sein, dass Sie Auftragsverarbeitungsverträge (AVV) abschließen müssen, oder Verträge über eine gemeinsame Verantwortlichkeit. Besondere Vorsicht müssen Sie walten lassen, wenn es um die Beauftragung von Unternehmen geht, die nicht in der Europäischen Union niedergelassen sind. Ohne rechtliche Expertise kann das teuer werden. Bereits in der Vergangenheit haben die Aufsichtsbehörden vertragliche Mängel bei der Beauftragung von Dienstleistern oder Subunternehmern hart sanktioniert.

 

Rechenschaftspflicht

Das Aufwendigste ist aber, dass Sie alles, aber auch wirklich alles im Datenschutz nun dokumentieren müssen. Nicht Ihre Betroffenen müssen beweisen, dass Sie gegen den Datenschutz verstoßen haben, nein, Sie sind es, der beweisen muss, dass Sie alle Datenschutzvorgaben einhalten (Beweislastumkehr). Das gilt übrigens nicht nur gegenüber Betroffenen, sondern auch gegenüber Aufsichtsbehörden. Ohne ein geordnetes Dokumentationsmanagement wird es daher schwierig.

 

Wir von THALES stehen Ihnen bei der Bewältigung all dieser Pflichten mit inzwischen über zehnjähriger Expertise zur Verfügung als

  • Berater
  • Projektmanager
  • Externe Datenschutzbeauftragte

Und wenn es einmal darauf ankommt, ganz einfach als Ihr

  • Rechtsanwalt