Datenschutz FAQ

Sind Unternehmen zum Datenschutz überhaupt verpflichtet?

Ja, jede Organisation ist verpflichtet dem Recht auf informationelle Selbstbestimmung des Menschen nachzukommen und den Datenschutz zu gewährleisten. Mit den zur Verfügung gestellten Daten von Personen ist im Rahmen der gültigen Gesetze und Verordnungen umzugehen. Die Einhaltung muss auch nach Artikel 5 Abs. 2 der EU DSGVO im Rahmen einer Rechenschaftspflicht nachvollziehbar und nachprüfbar gewährleistet werden.

Was sind personenbezogene Daten?

Laut Artikel 4 der EU DSGVO sind dies alle Informationen, die sich auf eine „identifizierte oder identifizierbare natürliche Person“ beziehen. Dies können zum Beispiel Login-Daten, Social-Media-Daten, Cookie-Kennzeichen, IP-Adressen, Anschriften, Namen, Kürzel/Pseudonyme, Login-Daten, E-Mail-Adressen, Konto- und Kreditkarten sein. Lange war umstritten, ob auch Daten die mittelbar zur Identifizierung einer Person dienen auch hierzu zählen (z.B. IP-Adressen), dies beantwortet die EU DSGVO nun eindeutig mit Ja. So ist zu Sicherheitszwecken die kurzfristige Sicherung von IP-Adressen gestattet. Langfristige Aufbewahrung zur Analyse von Nutzerverhalten jedoch nicht.

Wird der Datenschutz überhaupt kontrolliert, hat sich bislang doch auch niemand drum gekümmert?

Durch die fortschreitende Digitalisierung und im Kontext der Anwendung der EU DSGVO zum 25.05.2018 hin, werden die Aufsichtsbehörden von Bund und Ländern auch stärker private Unternehmen auf die Einhaltung des Datenschutzes hin überprüfen. Insbesondere auch deshalb, weil der bislang „zahnlose Tiger“ Bundesdatenschutzgesetz, nun durch die EU DSGVO mit wirksamen Sanktionen ausgestattet wurde. Bei schweren Datenschutzverstößen drohen nun Bußgelder in Höhe von bis zu 4 % des Jahresumsatzes – und das je Verstoß! Sicherlich am gefährlichsten und vermutlich zu Beginn am meisten verbreitet sein werden Abmahnungen gegen Betreiber von Webseiten mit unzureichenden Datenschutzerklärungen.

Wozu sollte mein Unternehmen überhaupt Datenschutz betreiben?

Blicken wir zunächst auf das Innere eines Unternehmens: Hier werden Gefahren durch Datenverluste, Spionage, Datenmissbrauch, etc. aktiv bekämpft. Zertifizierungen wie die die ISO 9001 werden zukünftig ohne gutes Datenschutzkonzept und die praktische Umsetzung nicht mehr vergeben bzw. führen dazu, dass eine Re-Akkreditierung nicht mehr stattfinden kann. Im Verhältnis nach außen verlangen heute immer wieder nicht nur Kunden, sondern auch Versicherer oder öffentliche Auftraggeber im Rahmen von Ausschreibungen den Nachweis, dass Daten gesetzeskonform behandelt werden. Negative Schlagzeilen im Kontext mit dem Umgang von Daten können sich gerade für kleine und mittelständische Unternehmen zu existenzbedrohlichen Krisen ausweiten. Guter Datenschutz schafft also auch Sicherheit für Ihr Unternehmen, da auch die nicht-personenbezogenen Daten von den getroffenen Maßnahmen profitieren und Ihre Unternehmensgehemnisse so optimal geschützt werden.

Was genau ist das Verarbeitungsverzeichnis?

Das Verarbeitungsverzeichnis ist sicherlich eine der undankbarsten Aufgaben, die Unternehmen zu bewältigen haben. Alle Geschäftsabläufe in denen personenbezogene Daten verarbeitet werden müssen in jenes Verzeichnis aufgenommen werden. Dies gilt sowohl für Kundendaten als auch für Daten der Mitarbeitenden. Aufgenommen werden Informationen über den Zweck der Datenaufnahme, deren Verarbeitung, Löschfristen und deren Rechtsgrundlage. Regelmäßige Überprüfungen und Aktualisierungen sind hier natürlich vorzunehmen.

Wie schütze ich personenbezogene Daten richtig?

Die EU DSGVO gibt vor Daten nach aktuellem Stand der Technik zu schützen. Das bedeutet, dass Hard- und Software dem praxisaktuellen Stand entsprechen müssen. Technische, organisatorische und bauliche Maßnahmen sind so zu koordinieren, dass Daten sicher sind. Je nach Sensibilität der Daten kann das Schutzniveau dabei unterschiedlich hoch sein.

Personenbezogene Daten werden nicht durch mich, sondern einen Dienstleister bearbeitet. Muss ich mich noch um etwas kümmern?

Auf jeden Fall! Sie müssen mit dem Dienstleister einen Vertrag über die sog. Auftragsdatenverarbeitung schließen. Solche Verträge zur Auftragsdatenverarbeitung sind auch mit Firmen zu schließen, die z.B. IT-Fernwartungen oder Wartungen vor Ort vornehmen und Daten von Kunden oder Mitarbeitenden einsehen können. Diese Verträge sollten Mindestpunkte enthalten wie:

  • Gegenstand und Dauer des Auftrags
  • Art und Zweck der Verarbeitung
  • Art der Daten
  • Kategorien betroffener Personen
  • Technische/Organisatorische Maßnahmen zum Schutz der Daten
  • Gewährleistung von betroffenen Rechten
  • Pflichten und Rechte des Verantwortlichen
  • Pflichten des Auftragsverarbeiters
  • Umfang von Weisungsbefugnissen
  • Regelungen von Untervertragsverhältnissen
  • Meldepflichten bei Datenschutzverstößen
  • Rückgabe/Löschung von Daten bei Vertragsbeendigung

Gibt es überhaupt die Bewandtnis einen Datenschutzbeauftragten zu stellen?

Ja, auch dies ist klar geregelt. Hier sind drei Bereiche entscheident:

  • Größe des Unternehmens: Haben Sie 10 Personen oder mehr die automatisiert personenbezogene Daten verarbeiten (ein E-Mail-Konto genügt hier) oder mehr als 20 Personen die nicht-automatisiert jene Daten verarbeiten besteht die Pflicht einen solchen Datenschutzbeauftragten (DSB) zu stellen.
  • Art der Daten: Verarbeiten Sie primär Daten die den Kategorien Rasse, ethnische Herkunft, politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben angehören sind Sie unabhängig von der Anzahl Ihrer Mitarbeiter verpflichtet einen DSB zu bestellen.
  • Geschäftsfeld: Ihr Unternehmen handelt gewerbsmäßig mit Personendaten, auch hier müssen Sie einen DSB unabhängig der Mitarbeiteranzahl definieren.

Welche Aufgaben hat ein DSB?

Die Rolle des Datenschutzbeauftragten (egal ob intern oder extern) ändert sich durch die DSGVO. Die DSGVO überträgt viele Aufgaben des Datenschutzbeauftragten an die Unternehmensführung. Datenschutz ist nach der neuen Gesetzeslage eindeutig Aufgabe des Managements. Ein delegieren von Aufgaben an den DSB verhindert das Gesetz, indem es die Pflichten des Datenschutzbeauftragten neu definiert:  Beratung, Unterrichtung und Überwachung sind die Stichworte. Damit soll die eigentliche Aufgabe des DSB gestärkt werden: Eine beratende und überwachende Ausrichtung zur Einhaltung der Regeln zum Datenschutz. Die strategischen und operativen Aufgaben zur Umsetzung des Gesetzes gehören nicht dazu, denn sie blockieren die eigentlichen Aufgaben des Datenschutzbeauftragten.

Welche Pflichten hat der DSB?

Neben den Pflichten die sich aus der EU DSGVO für das Unternehmen ergeben, hat natürlich auch der DSB seine Pflichten zu erfüllen. Kurz umrissen sind dies folgende Punkte:

  • Unterrichtung hinsichtlich der Pflichten,
  • Beratung hinsichtlich der Pflichten,
  • Überwachung der Pflichten und Strategien,
  • Anlaufstelle für Aufsichtsbehörde,
  • Anlaufstelle für betroffene Personen und
  • als optionale Pflicht des Datenschutzbeauftragten z.B. das Führen des Verarbeitungsverzeichnisses, Schulung der Mitarbeiter, etc. je nach vertraglicher Vereinbarung.

Unsere IT ist doch schon sicher, da braucht es keinen Datenschutzbeauftragten.

IT-Sicherheit ist wichtig und eine zentrale Säule im Kontext des Datenschutzes. Allerdings ist IT-Sicherheit nicht alles. Zum Bereich Datenschutz gehören auch Aspekte der Organisation und der baulichen Gegebenheiten, die im Rahmen der IT-Sicherheit oftmals eine eher untergeordnete Rolle spielen.

Rechnet sich für mich die Bestellung eines ext. DSB?

Wir sind der Meinung: Ja. Warum ist dies so? Personal welches Sie intern zum DSB berufen benötigt eine umfangreiche Sachkenntnis, die auch regelmäßig aufgefrischt werden muss. Dies fordert auch der Gesetzgeber. Regelmäßige, jährliche Schulungen von 3 – 5 Tage sind daher Pflicht und ein ggf. entsprechend hoher Kostenblock. Neben diesen Schulungen stellen Sie den DSB intern für seine Tätigkeiten von seiner regulären Arbeit frei. Hinzu kommt, dass eigenes Personal ggf. auch durch Krankheit, Urlaub, Elternzeit o. ä. als DSB nicht zur Verfügung steht oder ggf. das Unternehmen ganz verlassen kann. Sie beginnen erneut einen DSB aufzubauen und die Kompetenzen neu zu beschaffen. Letztlich befinden sich interne Personen auch immer in einem Konfliktfeld – sie müssen Weisungen entgegennehmen und umsetzen, gleichzeitig sind sie in Ihrer Rolle als DSB aber nicht weisungsgebunden.

Als Dienstleister fangen wir die oben genannten Nachteile auf. Wir halten für Sie stets qualifiziertes Personal bereit, ohne das Risiko von dauerhaften Ausfällen oder Know-how immer wieder neu aufbauen zu müssen. Wir beraten Sie stets zielführend, qualitativ hochwertig und neutral. Wenn Sie mehr über unsere Leistung “Externer Datenschutzbeauftragter” erfahren möchten sprechen Sie uns bitte an.


Nehmen Sie Kontakt auf!

Sie sind interessiert? Haben Fragen? Sprechen Sie uns an! Wir freuen uns auf Ihre Anfrage zu unseren Leistungen.