DSKC
Datenschutz-Arbeitssicherheit-Kompetenz-Center GmbH
DSKC
Datenschutz-Arbeitssicherheit-Kompetenz-Center GmbH
Jeder von Ihnen hat mit der neuen DSGVO neue Rechte und Privilegien erhalten, die Sie nutzen bzw. als Unternehmen damit konfrontiert werden können. Die Wichtigsten dieser Rechte sind:
verträgen (AVV)
Mit sog. Auftragsverarbeitern müssen Unternehmen zwingend Auftragsdatenverarbeitungsverträge schließen. Ein „Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Beispiele:
- Druckereien, wenn personenbezogene Drucksachen erstellt werden
- Lohnbuchhaltung, wenn diese als externer Dienstleister erfüllt wird
- IT-Dienstleister, wenn diese als externe Dienstleister Zugriff auf Ihre Daten erhalten
- Marketingagenturen
- Cloud- Systeme
- Vernichtung von Datenträgern etc.
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten Ihrer Firma ausschließlich nach Ihren Vorgaben. Sie sind diesbezüglich weisungsbefugt. Deshalb ist die vertragliche Regelung über die Verpflichtung des anderen auf den Datenschutz und auch die Verteilung der Haftungsrisiken zwingend erforderlich und gesetzlich vorgeschrieben.
Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Das Verzeichnis muss z.B. Angaben wie den Namen und die Kontaktdaten des Verantwortlichen enthalten, die Zwecke der Verarbeitung beschreiben, die Kategorien der personenbezogenen Daten, Löschfristen und vieles weiteres.
Deshalb muss jedes Unternehmen seine eigenen Verfahren der Verarbeitungen erfassen und benennen.
Klassische Beispiele aus einem Verfahrensverzeichnis wären:
Je nach Größe und Tätigkeitsumfeld des Unternehmens, können zwischen 15 und 100 Verfahren in Nutzung sein.
Eine Website kann hübsch aussehen, aber wenn diese datenschutzrechtliche Fehler enthält, kann dies auch Folgen haben.
Deshalb ist nicht nur das Layout wichtig, sondern auch eine korrekte Datenschutzerklärung, die auf die einzelnen Verarbeitungen von Daten bei Nutzung der Website eingeht. So muss der Betroffene (Besucher) über die Verarbeitung seiner Daten informiert werden. Dies beginnt mit den Cookies beim Start einer Homepage und endet mit dem Verlassen der Website. Dazwischen können viele Aktionen eingebettet sein, wie z.B. Kontaktformulare, Blogs, Chats, Shops, Maps, Landing Page... usw.
Auch auf Social Media Accounts sind datenschutzrechtliche Vorgaben zu beachten und einzuhalten. Diesen Part sollte man nicht dem freien Lauf überlassen, um keine bösen Überraschungen zu erleben.
Viele Prozesse, mit der Verarbeitung von personenbezogenen Daten, die im Unternehmen sich etabliert haben, wurden heute festgelegt und schon immer soooo gemacht. Jedoch wird während des Prozesses nicht mehr darauf geachtet, ob die Vorgaben des Prozesses so eingehalten werden oder ob sich Abschweifungen ergeben haben.
Damit alle Mitarbeiter in der Verarbeitung von personenbezogene Daten die gleiche "Marschrichtung" einschlagen, bedarf es einer sogenannten Prozessbeschreibung, an die sich jeder Mitarbeiter halten muss.
Aus dieser Prozessbeschreibung lassen sich viele relevanten Eckpunkte ableiten, um bei Auskunftsanfragen, Löschungsgesuchen oder Datenpannen schnell reagieren zu können.
Um sich neben dem Stand der Technik sich einen Überblick über die technisch organisatorischen Maßnahmen zu verschaffen, werden mit dem Verantwortlichen oder dem Ansprechpartner der IT die Schutz- und Abwehrmaßnahmen für die eingesetzte IT Hard- und Software besprochen und erfasst.
Schnell kann man feststellen, ob das Unternehmen noch Nachholbedarf hat oder ein solide Grundlage für den Schutz personenbezogener Daten vorliegt.
In die Rubrik der TOM fällt auch, die Vorabkontrolle bzw. die Prüfung von genutzter und implementierter Software. Schnell kann aus einer vermeintlich "kostenlosen" Software eine Datenkrake oder ein unberücksichtigtes Datengrab werden.
Auch bei Datenpannen müssen diese Dokumentationen vorliegen, um entsprechende Maßnahmen einleiten zu können und rechenschaftspflichtig agieren zu können.
Im Datenschutz gibt es sicher ein paar Formulare, die für viele Unternehmen anwendbar und online verfügbar sind, aber leider sind viele davon eins zu eins nicht in jedem Unternehmen anwendbar . Dies hat zur Folge, dass man ggf. unwirksame Einwilligungen vorliegen hat oder Nutzungsvereinbarung unzureichend erstellt wurden.
Jedes Thema und jedes Unternehmen hat spezifische Vorgaben bzw. Formulare. Deshalb sollte die Nutzung stets mit dem Datenschutzbeauftragten besprochen werden.
Damit Ihre Kunden, Ihre Mitarbeiter oder im allgemeinen Betroffene über die Verarbeitung Ihrer Daten in Ihrem Unternehmen informiert werden, müssen dazu aufklärende Datenschutzinformationen vorgelegt werden. Diese Datenverarbeitung findet zum Beispiel beim Besuch einer Website oder einem Social Media Account, im Unternehmen selbst oder im öffentlichen Bereich, bei Werbe- und Messeauftritten und natürlich in Bereichen jeglicher digitaler Handlungen statt.
Deshalb zählt die Datenschutzinformation zu den wichtigen Grundlagen im Datenschutz.
Nicht nur bei einer Datenpanne muss gewissenhaft mit der zuständigen Aufsichtsbehörde zusammengearbeitet werden, sondern auch bei Anfragen und Prüfungen der Aufsichtsbehörde. Dazu zählen anlasslose Prüfungen zu relevanten Datenschutzthematiken oder bei Eingang von Beschwerden Betroffener zu Ihrem Unternehmen.
Zu den weitreichende Befugnissen der Aufsichtsbehörde (Art. 58 DSGVO) zählen:
• das Informationsrecht
• das Auskunftsrecht
• das Untersuchungsrecht
• das Hinweisrecht
• Zugangsrechte
• Abhilfebefugnisse (Verwarnung, Auflagenerteilung, Benachrichtigung der Betroffenen, Beschränkung oder Verbot, Berichtigung oder Löschung, Zertifikatswiderrufe etc.)
• aber auch Genehmigungs- und Beratungsbefugnisse
Um stets Ihre laufenden Unternehmensprozesse in der Verarbeitung von personenbezogenen Daten im Auge zu behalten und die Einführung von neue Projekten oder Prozessen bewerten zu können, müssen fortlaufende Audits durchgeführt werden. Sollen zum Beispiel Prozesse verändert oder erweitert werden, die datenschutzrechtliche Konsequenzen mit sich bringen, bedarf dies im Vorfeld einer datenschutzrechtlichen Prüfung.
Manchmal sind Strukturen im Unternehmen einfach eingefahren, es werden Prozesse durchgeführt ohne Hintergrund und Wissen und der Satz "...das haben wir schon immer so gemacht..." findet immer wieder erfolgreich Anwendung.
Doch leider können so eingefahrene Prozesse schnell in einer unübersichtlichen Dokumentation erstarren., nicht datenschutzkonform abgehandelt werden oder gar zu gravierenden Fehlern in seiner Ausführung führen.
Offenheit und Anpassung gehört auch zum Datenschutz, um Verständnis zum Datenschutz in den Mittelpunkt zu rücken.
Zu den Aufgaben eines Datenschutzbeauftragten gehört auch die Schulung der Mitarbeiter. Diese sollte regelmäßig zu den relevanten Punkten des Datenschutzes im Unternehmen durchgeführt werden. In diesen Schulungen lassen sich auch Fragen zum Datenschutz für alle Mitarbeiter beantworten.
Neben der Schulung des Mitarbeiters spielt auch die Verpflichtungserklärung und die Verpflichtung zur Geheimhaltung eine wichtige Rolle. Diese bekennt die Einhaltung des Datenschutz im Unternehmen von jedem Mitarbeiter, Auszubildenden, Praktikanten, Zivildienstleistenden bzw. ehrenamtlichen Mitarbeiter.
DSKC
Datenschutz-Arbeitssicherheit-Kompetenz-Center GmbH
Geschäftsführerin: Anja Schwager
Telefon: 0355 / 48 67 94 10
E-Mail: info@dskc.de
Sielower Landstr. 68
03044 Cottbus
Öffnungszeiten:
Montag - Freitag:
8.30 - 16.30 Uhr
©DSKC Datenschutz-Arbeitssicherheit-Kompetenz-Center GmbH