Zugegeben: Das Thema „Datenschutz“ erzeugt nicht selten ein Augenrollen oder Stöhnen, wenn man darauf zu sprechen kommt. Manche Regelungen sind schwer nachvollziehbar und erscheinen nicht „praktikabel“. Aber daran vorbei kommt leider niemand, wenn man als Organisation personenbezogene Daten verarbeitet. Es gibt eine Menge zu beachten, wenn Sie DSGVO-konform agieren wollen.
Wer braucht eigentlich „Datenschutz“?
Muss ich einen Datenschutzbeauftragten bestellen?
Interner oder externer Datenschutzbeauftragter (DSB)? Was ist eigentlich besser?
Was sind meine Pflichten als Unternehmer?
Und wer kontrolliert die Einhaltung der Vorgaben?
Und welcher Schaden kann mir durch Unterlassung oder unzureichende Maßnahmen/Regelungen entstehen?
Wer braucht eigentlich „Datenschutz“?
Sowohl öffentliche (Behörden, Gerichte und andere öffentliche Stellen ungeachtet ihrer Rechtsform) als auch nicht-öffentliche (natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des Privatrechts) Stellen haben die Anforderungen der DSGVO zu beachten, wenn sie Informationen (personenbezogene Daten z. B. Name, Vorname, Anschrift, Telefonnr., E-Mail-Adresse etc., z. B. erfassen, speichern, übermitteln, auslesen, verändern etc. von Daten) über eine identifizierte oder identifizierbare natürliche Person verarbeiten.
D. h., dass alle Unternehmen ihre Datenverarbeitungsvorgänge nach den Vorgaben den gesetzlichen Vorgaben ausrichten müssen. Dies gilt nicht nur für große, sondern auch für kleine Unternehmen. Kleine Unternehmen sind lediglich von einzelnen wenigen Pflichten ausgenommen; dies betrifft unter Umständen die Pflicht zur Bestellung eines Datenschutzbeauftragten.
Ansonsten müssen sämtliche Vorgaben umgesetzt werden, denn unter die DSGVO fällt jede Stelle (also auch jedes Unternehmen unabhängig von der Mitarbeiterzahl oder Branche).
Muss ich einen Datenschutzbeauftragten bestellen?
Sind in Ihrem Unternehmen mindestens 20 Mitarbeiter regelmäßig mit der automatisierten Datenverarbeitung (Erhebung und Nutzung) beschäftigt, muss Ihr Unternehmen laut DSGVO einen Datenschutzbeauftragten (intern oder extern) benennen.
Unabhägig von der Mitarbeiterzahl gilt diese Pflicht auch dann,
- wenn besondere Arten von personenbezogenen Daten (z. B. über politische/religiöse Überzeugungen, Ethnie/Rasse, Gesundheit und Sexualität) verarbeitet werden
oder - wenn die Kerntätigkeit des Unternehmens in der Erhebung, Verarbeitung, Nutzung oder Übermittlung von personenbezogenen Daten liegt.
Aber auch wenn Sie keinen Datenschutzbeauftragten benennen müssen, sind Sie verpflichtet, gesetzliche Anforderungen umzusetzen.
Interner oder externer Datenschutzbeauftragter (DSB)? Was ist eigentlich besser?
Wie so oft heißt die Antwort: Es kommt darauf an …! Beide Optionen bieten Vor- und Nachteile.
Vorteile eines externen DSB sind u.a.
- Risikominimierung für Ihr Unternehmen
- Wissenstransfer aus anderen Unternehmen
- fachliche Ergänzung zum internen DSB
- transparente Kosten durch vertraglich geregelte Preisstruktur
- kein Kündigungsschutz
- keine Bindung des eigenen Fachpersonals
Ein interner DSB arbeitet im Unternehmen und hat damit Einblick und Zugriff auf Ihre Struktur. Er wird durch die Unternehmensleitung oft zusätzlich zu seinen eigentlichen Aufgaben bestellt. Sie binden damit wertvolle Ressourcen, denn in der Regel wird mit dieser verantwortungsvollen Tätigkeit des internen DSB ein Mitarbeiter betraut, der wichtige Schlüsselpossitionen im Unternehmen besetzt. Meistens sind das dann auch gut ausgebildete Fachkräfte, die im Geschäftsalltag wirklich fehlen. Und erfahrungsgemäß geht das Tagesgeschäft vor, denn bei aller Motivation, die eigenen Datenschutzkonzepte umzusetzen und zu leben: Der Laden muss erst mal laufen. Die Konsequenz ist, dass entweder das Thema Datenschutz auf der Strecke bleibt oder wichtige andere Dinge nicht zeitnah erledigt werden. Zudem muss der interne Teilzeit-DSB sich immer wieder neu in das Thema einarbeiten und das sorgt schnell für Frust.
Aber: Datenschutz erledigt sich leider nicht nebenbei. Wenn ein Datenschutzmanagementsystem wirklich wirksam und DSGVO-konform in Ihrem Unternehmen umgesetzt werden soll, muss es von Ihnen und Ihren Mitarbeitern auch „gelebt“ werden … und unterliegt einem ständigen Verbesserungsprozess. Denn die DSGVO schreibt auch vor, dass Sie die Wirksamkeit der Maßnahmen regelmäßig überprüfen müssen.
Was sind meine Pflichten als Unternehmer?
Je nach Größe des Unternehmens und der Art der verarbeiteten personenbezogenen Daten können unterschiedliche Anforderungen enstehen. Als wesentliche Aufgaben bzw. Pflichten bei der Datenverarbeitung sind zu nennen:
- Gewährleistung geeigneter technischer und organisatorischer Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit
- Erfüllung der Anforderungen an die Auftragsverarbeitung
- Führen eines Verzeichnisses von Verarbeitungstätigkeiten
- Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und Benachrichtigung der betroffenen Personen
- ggf. Durchführung einer Datenschutz-Folgenabschätzung
- ggf. Benennung eines Datenschutzbeauftragten
- Erstellung von Konzepten (z.B. Löschkonzept, Umgang mit Betroffenenanfragen, Umgang mit Datenpannen ect.)
Und wer kontrolliert die Einhaltung der Vorgaben?
Die Landesdatenschutzbeauftragten haben vielfältige Möglichkeiten, die Datenverarbeitung eines Unternehmens zu überprüfen. So kann die Aufsicht aus einem bestimmten Anlass – z. B. wegen einer Beschwerde eines Kunden, die Vorlage des Verarbeitungsverzeichnisses verlangen und dadurch die einzelnen Verfahren in dem Unternehmen überprüfen. Dazu kann die Aufsicht das Unternehmen aufsuchen oder sich die Unterlagen übersenden lassen. Nach der Prüfung erhält das Unternehmen Gelegenheit zur Stellungnahme, wenn es Beanstandungen gibt. Die Aufsichtsbehörde prüft dann, welche Maßnahmen sie ergreift. Diese Maßnahmen können bis zur Verhängung von Bußgeldern oder bis zur Aufforderung, die Verarbeitung einzustellen, gehen.
Ein Unternehmen muss also in der Lage sein, gegenüber Aufsichtsbehörden nachzuweisen, dass sie alle Vorgaben des Datenschutzes einhalten. Hierzu gehören auch die Datenschutzgrundsätze.
Bei Verstößen gegen Datenschutzbestimmungen sieht die DSGVO empfindliche Geldstrafen vor. Die Höhe dieser Strafen kann bei besonders schlimmen Vergehen bis zu 20 Millionen Euro oder vier Prozent des letzten Jahresumsatzes betragen.
Und welcher Schaden kann mir durch Unterlassung oder unzureichende Maßnahmen/Regelungen entstehen?
Geldbußen allein sind schon sehr schmerzhaft und können die Existenz Ihres Unternehmens gefährden. Darüber hinaus gibt es jedoch auch zahlreiche weitere Schäden, die Ihr Unternehmen treffen kann. Hierzu zählen z.B. Imageverlust, Reputationsschäden oder auch Schadenersatzansprüche.
Sicher haben Sie jetzt noch mehr Fragen. Rufen Sie uns einfach unter 039771/812350 oder 0152/01 70 69 90 an oder nehmen Sie Kontakt mit uns auf, wir beantworten Ihre Fragen gerne und unterstützen Sie bei der Umsetzung der Anforderungen datenschutzrechtlicher Vorschriften.