Aufgaben im Datenschutz

• Einhaltung und Umsetzung der Betroffenenrechte

Jeder von Ihnen hat mit der neuen DSGVO neue Rechte und Privilegien erhalten, die Sie nutzen bzw. als Unternehmen damit konfrontiert werden können. Die Wichtigsten dieser Rechte sind:

• Art. 15 DSGVO das Recht auf Auskunft
• Art. 16 DSGVO das Recht auf Berichtigung
• Art. 17 DSGVO  das Recht auf Löschung  („Recht auf Vergessenwerden“)
• Art. 18 DSGVO das Recht auf Einschränkung der Verarbeitung
• Art. 20 DSGVO das Recht auf Datenübertragbarkeit
• Art. 21 DSGVO das Widerspruchsrecht
• Art. 22 DSGVO das Schutzrecht vor Profilbildung
• Art. 77 DSGVO das Recht auf Beschwerde bei der Aufsichtsbehörde
• Art. 82 DSGVO das Recht auf Schadensersatz

• Erstellen von Auftragsdatenverarbeitungs-

        verträgen (AVV)

Mit sog. Auftragsverarbeitern müssen Unternehmen zwingend Auftragsdatenverarbeitungsverträge schließen. Ein „Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. 

Beispiele:

- Druckereien, wenn personenbezogene Drucksachen erstellt werden

- Lohnbuchhaltung,  wenn diese als externer Dienstleister erfüllt wird

- IT-Dienstleister, wenn diese als externe Dienstleister Zugriff auf Ihre Daten erhalten

- Marketingagenturen

- Cloud- Systeme

- Vernichtung von Datenträgern etc.

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten Ihrer Firma ausschließlich nach Ihren Vorgaben. Sie sind diesbezüglich weisungsbefugt. Deshalb ist die vertragliche Regelung über die Verpflichtung des anderen auf den Datenschutz und auch die Verteilung der Haftungsrisiken zwingend erforderlich und gesetzlich vorgeschrieben.

• Führen von Verzeichnissen der Verarbeitungstätigkeiten (VVZ)

Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Das Verzeichnis muss z.B. Angaben wie den Namen und die Kontaktdaten des Verantwortlichen enthalten, die Zwecke der Verarbeitung beschreiben, die Kategorien der personenbezogenen Daten, Löschfristen und vieles weiteres. 

Deshalb muss jedes Unternehmen seine eigenen Verfahren der Verarbeitungen erfassen und benennen. 

Klassische Beispiele aus einem Verfahrensverzeichnis wären:

• Personalabteilung = das Verfahren Personalakte, Bewerbung, Arbeitszeiterfassung, Dienstplanung....
• IT = das Verfahren EDV, Firewall, IT-Support, Datenmanagement, Video.....
• Verwaltung = das Verfahren Buchhaltung, Rechtsstreitigkeiten , Rapports, Datenschutz.....
• Leistungserbringung = das Verfahren Verkauf, Einkauf, Reklamation Bonitätsprüfung.....
• Marketing = das Verfahren Messen, Akquise, Newsletter

Je nach Größe und Tätigkeitsumfeld des Unternehmens, können zwischen 15 und 100 Verfahren in Nutzung sein.

• Überprüfung der Website  und Social Media Accounts auf  Datenschutzvorgaben

Eine Website kann hübsch aussehen, aber wenn diese datenschutzrechtliche Fehler enthält, kann dies auch Folgen haben.

Deshalb ist nicht nur das Layout wichtig, sondern auch eine korrekte Datenschutzerklärung, die auf die einzelnen Verarbeitungen von Daten bei Nutzung der Website eingeht. So muss der Betroffene (Besucher) über die Verarbeitung seiner Daten informiert werden. Dies beginnt mit den Cookies beim Start einer Homepage und endet mit dem Verlassen der Website. Dazwischen können viele Aktionen eingebettet sein, wie z.B. Kontaktformulare, Blogs, Chats, Shops, Maps, Landing Page... usw.

Auch auf Social Media Accounts sind datenschutzrechtliche Vorgaben zu beachten und einzuhalten. Diesen Part sollte man nicht dem freien Lauf überlassen, um keine bösen Überraschungen zu erleben.

• Dokumentation von Prozessen im Unternehmen

Viele Prozesse, mit der Verarbeitung von personenbezogenen Daten, die im Unternehmen sich etabliert haben, wurden heute festgelegt und schon immer soooo gemacht. Jedoch wird während des Prozesses nicht mehr darauf geachtet, ob die Vorgaben des Prozesses so eingehalten werden oder ob sich Abschweifungen ergeben haben.

Damit alle Mitarbeiter in der Verarbeitung von personenbezogene Daten die gleiche "Marschrichtung" einschlagen, bedarf es einer sogenannten Prozessbeschreibung, an die sich jeder Mitarbeiter halten muss.

Aus dieser Prozessbeschreibung lassen sich viele relevanten Eckpunkte ableiten, um bei Auskunftsanfragen, Löschungsgesuchen oder Datenpannen schnell reagieren zu können.

• Erfassung der technisch organisatorischen Maßnahmen (TOM) und der IT-Strukturen

Um sich neben dem Stand der Technik sich einen Überblick über die technisch organisatorischen Maßnahmen zu verschaffen, werden mit dem Verantwortlichen oder dem Ansprechpartner der IT die Schutz- und Abwehrmaßnahmen für die eingesetzte IT Hard- und Software besprochen und erfasst.

Schnell kann man feststellen, ob das Unternehmen noch Nachholbedarf hat oder ein solide Grundlage für den Schutz personenbezogener Daten vorliegt.

In die Rubrik der TOM fällt auch, die Vorabkontrolle bzw. die Prüfung von genutzter und implementierter Software. Schnell kann aus einer vermeintlich "kostenlosen" Software eine Datenkrake oder ein unberücksichtigtes Datengrab werden.

Auch bei Datenpannen müssen diese Dokumentationen vorliegen, um entsprechende Maßnahmen einleiten zu können und rechenschaftspflichtig agieren zu können.

• Bereitstellung von Formularen

Im Datenschutz gibt es sicher ein paar Formulare, die für viele Unternehmen anwendbar und online verfügbar sind, aber leider sind viele davon eins zu eins nicht in  jedem Unternehmen anwendbar . Dies hat zur Folge, dass man ggf. unwirksame Einwilligungen vorliegen hat oder Nutzungsvereinbarung unzureichend  erstellt wurden.

Jedes Thema und jedes Unternehmen hat spezifische Vorgaben bzw. Formulare. Deshalb sollte die Nutzung stets mit dem Datenschutzbeauftragten besprochen werden.

• Erstellen von Datenschutzinformationen

Damit Ihre Kunden, Ihre Mitarbeiter oder im allgemeinen Betroffene über die Verarbeitung Ihrer Daten in Ihrem Unternehmen informiert werden, müssen dazu aufklärende Datenschutzinformationen vorgelegt werden. Diese Datenverarbeitung findet zum Beispiel beim Besuch einer Website oder einem Social Media Account,  im Unternehmen selbst oder im öffentlichen Bereich, bei Werbe- und Messeauftritten und natürlich in Bereichen jeglicher digitaler Handlungen statt.

Deshalb zählt die Datenschutzinformation zu den wichtigen Grundlagen im Datenschutz.

• Unterstützung gegenüber der Aufsichtsbehörde

Nicht nur bei einer Datenpanne muss gewissenhaft mit der zuständigen Aufsichtsbehörde zusammengearbeitet werden, sondern auch bei Anfragen und Prüfungen der Aufsichtsbehörde. Dazu zählen anlasslose Prüfungen zu relevanten Datenschutzthematiken oder bei Eingang von Beschwerden Betroffener zu Ihrem Unternehmen.

Zu den weitreichende Befugnissen der Aufsichtsbehörde (Art. 58 DSGVO) zählen:

    • das Informationsrecht

    • das Auskunftsrecht

    • das Untersuchungsrecht

    • das Hinweisrecht

    • Zugangsrechte

    • Abhilfebefugnisse (Verwarnung, Auflagenerteilung, Benachrichtigung der Betroffenen, Beschränkung oder Verbot, Berichtigung oder Löschung, Zertifikatswiderrufe etc.)

    • aber auch Genehmigungs- und  Beratungsbefugnisse

• Durchführung fortlaufender Datenschutzaudits

Um stets Ihre laufenden Unternehmensprozesse in der Verarbeitung von personenbezogenen Daten im Auge zu behalten und die Einführung von neue Projekten oder Prozessen bewerten zu können, müssen fortlaufende Audits durchgeführt werden. Sollen zum Beispiel Prozesse verändert oder erweitert werden, die datenschutzrechtliche Konsequenzen mit sich bringen, bedarf dies im Vorfeld einer datenschutzrechtlichen Prüfung.

• Optimierungsvorschläge zur DSGVO- konformen Gestaltung

Manchmal sind Strukturen im Unternehmen einfach eingefahren, es werden Prozesse durchgeführt ohne Hintergrund und Wissen und der Satz "...das haben wir schon immer so gemacht..." findet immer wieder erfolgreich Anwendung.

Doch leider können so eingefahrene Prozesse schnell in einer unübersichtlichen Dokumentation erstarren., nicht datenschutzkonform abgehandelt werden oder gar zu gravierenden Fehlern in seiner Ausführung führen.

Offenheit und Anpassung gehört auch zum Datenschutz, um Verständnis zum Datenschutz in den Mittelpunkt zu rücken.

• Mitarbeiterschulung zum Datenschutz und Verpflichtungserklärungen

Zu den Aufgaben eines Datenschutzbeauftragten gehört auch die Schulung der Mitarbeiter. Diese sollte regelmäßig zu den relevanten Punkten des Datenschutzes im Unternehmen durchgeführt werden. In diesen Schulungen lassen sich auch Fragen zum Datenschutz für alle Mitarbeiter beantworten.

Neben der Schulung des Mitarbeiters spielt auch die Verpflichtungserklärung und die Verpflichtung zur Geheimhaltung eine wichtige Rolle. Diese bekennt die Einhaltung des Datenschutz im Unternehmen von jedem Mitarbeiter, Auszubildenden, Praktikanten, Zivildienstleistenden bzw. ehrenamtlichen Mitarbeiter.