Anforderungen der DSGVO
Die Einführung der EU-Datenschutzgrundverordnung hat zu einer größeren Verantwortung für Unternehmen bei der Verarbeitung personenbezogener Daten geführt. Hier ein kurzer Überblick:
Datenschutzbeauftragter
Unter bestimmten Voraussetzungen sind Sie verpflichtet einen Datenschutzbeauftragten zu bestellen und diesen bei Ihrer Aufsichtsbehörde zu melden. Das ist oft bereits bei mehr als zehn Mitarbeitern der Fall. Die Aufsichtsbehörden können durch die neu eingeführte Meldepflicht genau nachvollziehen, welche Unternehmen verpflichtet sind, einen Datenschutzbeauftragten zu bestellen und ob ein Datenschutzbeauftragter bestellt worden ist. Bei Nichtbestellung, trotz vorhandener Pflicht, drohen Geldbußen.
Verbot mit Erlaubnisvorbehalt
Personenbezogene Daten dürfen von Ihnen nur verarbeitet werden, wenn Sie sich dabei auf eine gesetzliche Grundlage stützen können. Neben dem grundlegenden Artikel 6 der EU-Datenschutzgrundverordnung, gibt es eine Vielzahl von weiteren Vorschriften in Ihrer nationalen Gesetzgebung, die Sie im Datenschutz berücksichtigen müssen. Eine Datenverarbeitung ohne konkrete gesetzliche Erlaubnis ist verboten. Ein Verstoß kann zu hohen Geldbußen führen.
Betroffenenrechte
Ihre Mitarbeiter, Kunden, Dienstleister, kurz: Alle Menschen, deren Daten Sie verarbeiten haben ein
- Auskunftsrecht
- ein Recht auf Datenberichtigung
- ein Recht auf Datenübertragung und Datensperrung.
Es kann Widerspruch gegen bestimmte Verarbeitungen eingelegt, und von Ihnen unter gewissen Voraussetzungen, auch die Löschung von Daten verlangt werden. Sie müssen sicherstellen, dass Sie diesen Rechten innerhalb der vorgeschriebenen Fristen nachkommen können.
Datenschutzmanagement
Um die Anforderungen der EU-Datenschutzgrundverordnung einhalten zu können, benötigen Sie ein System, das in er Lage ist, alle Wechselwirkungen im Datenschutz zu managen. Ohne langjährige Erfahrung und entsprechende Expertise, ist das ein zeitraubendes und kostspieliges Unterfangen. Seit dem Inkrafttreten der EU-Datenschutzgrundverordnung, wissen immer mehr Betroffene um ihre Rechte, und sind erfahrungsgemäß schnell dabei, sich an die Aufsichtsbehörden zu wenden. Auf diesem Weg können Sie schnell in den Focus von Aufsichtsbehörden gelangen, die verpflichtet sind die Einhaltung der Datenschutzgrundverordnung konsequent zu verfolgen.
Übersicht über Verarbeitungstätigkeiten
Im Normalfall sind Sie verpflichtet eine Übersicht gemäß Art. 30 EU-Datenschutzgrundverordnung über Ihre Verarbeitungen personenbezogener Daten zu führen und der Aufsichtsbehörde auf Verlangen nachzuweisen. Das ist leichter gesagt als getan. Ohne eine Analyse sämtlicher Unternehmensprozesse, ist die Anfertigung des Verzeichnisses nicht möglich. Auch die Organisation der Führung dieser Übersicht bringt Herausforderungen mit sich. Wo oft nur die gesetzlichen Anforderungen abgearbeitet werden, wird schnell übersehen, dass die Übersicht über die Verarbeitungstätigkeiten das zentrale Werkzeug zur Einhaltung des Datenschutzes ist. Ein interaktives Verzeichnis macht Ihnen das Leben leichter. Die träge Ablage von Informationen in toten Dateien ist lediglich Balast.
Technische und organisatorische Maßnahmen
Wenn Sie personenbezogene Daten verarbeiten, sind Sie verpflichtet deren Sicherheit zu gewährleisten. Das geschieht über sogenannte technische und organisatorische Maßnahmen. Welche Maßnahmen Sie ergreifen müssen hängt davon ab, welche Risiken Ihre Datenverarbeitungen für Ihre Betroffenen mit sich bringen. Die dazu nötige Durchführung von Risikoanalysen und Datenschutzfolgenabschätzungen, sollten von fachkundiger Seite und vor allem unabhängiger Seite vorgenommen werden, wollen Sie nicht unnötig in Kostenfallen tappen.
Grundprinzipien
Bei allen Verarbeitungen personenbezogener Daten, müssen Sie immer sicherstellen, dass Sie die Grundprinzipien der EU-Datenschutzgrundverordnung einhalten. Dabei handelt es sich um die Grundsätze der
- Rechtmäßigkeit
- Verarbeitung nach Treu und Glauben
- Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
- Rechenschaftspflicht
Bei jeder Verarbeitung, die Sie in Ihrer Übersicht über die Verarbeitungstätigkeiten führen, müssen Sie jedem einzelnen Grundsatz Rechnung getragen haben. Andernfalls riskieren Sie hohe Bußgelder durch Ihre Aufsichtsbehörde.
Einbindung von Dienstleistern
Je nachdem in welchem Umfang Sie Dienstleister einsetzen, müssen Sie bestimmte Anforderungen beachten. Es kann sein, dass Sie Auftragsverarbeitungsverträge (AVV) abschließen müssen, oder Verträge über eine gemeinsame Verantwortlichkeit. Besondere Vorsicht müssen Sie walten lassen, wenn es um die Beauftragung von Unternehmen geht, die nicht in der Europäischen Union niedergelassen sind. Ohne rechtliche Expertise kann das teuer werden. Bereits in der Vergangenheit haben die Aufsichtsbehörden vertragliche Mängel bei der Beauftragung von Dienstleistern oder Subunternehmern hart sanktioniert.
Rechenschaftspflicht
Das Aufwendigste ist aber, dass Sie alles, aber auch wirklich alles im Datenschutz nun dokumentieren müssen. Nicht Ihre Betroffenen müssen beweisen, dass Sie gegen den Datenschutz verstoßen haben, nein, Sie sind es, der beweisen muss, dass Sie alle Datenschutzvorgaben einhalten (Beweislastumkehr). Das gilt übrigens nicht nur gegenüber Betroffenen, sondern auch gegenüber Aufsichtsbehörden. Ohne ein geordnetes Dokumentationsmanagement wird es daher schwierig.
Wir von THALES stehen Ihnen bei der Bewältigung all dieser Pflichten mit inzwischen über zehnjähriger Expertise zur Verfügung als
- Berater
- Projektmanager
- Externe Datenschutzbeauftragte
Und wenn es einmal darauf ankommt, ganz einfach als Ihr
- Rechtsanwalt
Beschäftigtendatenschutz
Eines der uferlosesten Gebiete im Datenschutz ist der Beschäftigtendatenschutz. Die Datenschutzgrundverordnung sieht zwar keine einzige Vorschrift vor, die den Beschäftigtendatenschutz regelt. Dafür hat sich aber der deutsche Gesetzgeber besondere Mühe gemacht und im neuen Bundesdatenschutzgesetz Beschäftigtendaten noch einmal zusätzlich abgesichert. Das ist schon nachvollziehbar, weil Beschäftigte von ihrem Arbeitgeber abhängig sind. Aber der Wust an Vorschriften, die Sie deshalb beachten müssen, reicht vom Bundesdatenschutzgesetz, über das Telekommunikationsgesetz bis zu einzelnen arbeitsrechtlichen Vorschriften und Tarifverträgen. Themen wie
- Privatnutzung von E-Mail Accounts
- Bring Your Own Device (BYOD)
- Veröffentlichung von Mitarbeiterfotos
- Zulässige Fragen im Bewerbungsverfahren
- Besondere Speicherdauer von Teilen der Personalakte
- Rechtssicherer Umgang mit Bewerberdaten
und vieles mehr, sind für fast jedes Unternehmen datenschutzrechtlich kaum noch zu bewältigen. Um hier einen Überblick zu behalten, bietet THALES Ihnen die rechtlich nötige Expertise und über zehnjährige Erfahrung. Und wenn nötig, kümmern wir uns auch um die Umsetzung.