Aufgaben im Datenschutz

Aufgaben im Datenschutz

Die Aufgaben im Datenschutz umfassen die Implementierung und Überwachung von Maßnahmen zum Schutz personenbezogener Daten sowie die Sicherstellung der Einhaltung gesetzlicher Vorgaben, wie der DSGVO. Dazu gehören die Erstellung von Datenschutzerklärungen, die Schulung von Mitarbeitern und die Durchführung regelmäßiger Audits.

Einhaltung und Umsetzung der Betroffenenrechte

Einhaltung und Umsetzung der Betroffenenrechte

Jeder von Ihnen hat mit der neuen DSGVO neue Rechte und Privilegien erhalten, die Sie nutzen bzw. als Unternehmen damit konfrontiert werden können. Die Wichtigsten dieser Rechte sind:

Art. 15 DSGVO das Recht auf Auskunft 

Art. 16 DSGVO das Recht auf Berichtigung 

Art. 17 DSGVO das Recht auf Löschung („Recht auf Vergessenwerden“)

Art. 18 DSGVO das Recht auf Einschränkung der Verarbeitung 

Art. 20 DSGVO das Recht auf Datenübertragbarkeit 

Art. 21 DSGVO das Widerspruchsrecht 

Art. 22 DSGVO das Schutzrecht vor Profilbildung 

Art. 77 DSGVO das Recht auf Beschwerde bei der Aufsichtsbehörde 

Art. 82 DSGVO das Recht auf Schadensersatz

Erstellen von Auftragsdatenverarbeitungsverträgen (AVV)

Erstellen von Auftragsdaten-verarbeitungsverträgen (AVV)

Mit sog. Auftragsverarbeitern müssen Unternehmen zwingend Auftragsdatenverarbeitungsverträge schließen. Ein „Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. 

Beispiele:

  • Druckereien, wenn personenbezogene Drucksachen erstellt werden
  • Lohnbuchhaltung, wenn diese als externer Dienstleister erfüllt wird
  • IT-Dienstleister, wenn diese als externe Dienstleister Zugriff auf Ihre Daten erhalten
  • Marketingagenturen
  • Cloud- Systeme
  • Vernichtung von Datenträgern etc.

 

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten Ihrer Firma ausschließlich nach Ihren Vorgaben. Sie sind diesbezüglich weisungsbefugt. Deshalb ist die vertragliche Regelung über die Verpflichtung des anderen auf den Datenschutz und auch die Verteilung der Haftungsrisiken zwingend erforderlich und gesetzlich vorgeschrieben.

Führen von Verzeichnissen der Verarbeitungstätigkeiten (VVZ)

Führen von Verzeichnissen der Verarbeitungstätigkeiten (VVZ)

Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Das Verzeichnis muss z.B. Angaben wie den Namen und die Kontaktdaten des Verantwortlichen enthalten, die Zwecke der Verarbeitung beschreiben, die Kategorien der personenbezogenen Daten, Löschfristen und vieles weiteres. Deshalb muss jedes Unternehmen seine eigenen Verfahren der Verarbeitungen erfassen und benennen. 

Klassische Beispiele aus einem Verfahrensverzeichnis wären:

  • Personalabteilung = das Verfahren Personalakte, Bewerbung, Arbeitszeiterfassung, Dienstplanung…
  • IT = das Verfahren EDV, Firewall, IT-Support, Datenmanagement, Video…..
  • Verwaltung = das Verfahren Buchhaltung, Rechtsstreitigkeiten , Rapports, Datenschutz…
  • Leistungserbringung = das Verfahren Verkauf, Einkauf, Reklamation Bonitätsprüfung…
  • Marketing = das Verfahren Messen, Akquise, Newsletter

 

Je nach Größe und Tätigkeitsumfeld des Unternehmens, können zwischen 15 und 100 Verfahren in Nutzung sein.

Überprüfung der Website und Social Media Accounts auf Datenschutzvorgaben

Überprüfung der Website und Social Media Accounts auf Datenschutzvorgaben

Eine Website kann hübsch aussehen, aber wenn diese datenschutzrechtliche Fehler enthält, kann dies auch Folgen haben. Deshalb ist nicht nur das Layout wichtig, sondern auch eine korrekte Datenschutzerklärung, die auf die einzelnen Verarbeitungen von Daten bei Nutzung der Website eingeht. So muss der Betroffene (Besucher) über die Verarbeitung seiner Daten informiert werden. Dies beginnt mit den Cookies beim Start einer Homepage und endet mit dem Verlassen der Website. Dazwischen können viele Aktionen eingebettet sein, wie z.B. Kontaktformulare, Blogs, Chats, Shops, Maps, Landing Page… usw. 

Auch auf Social Media Accounts sind datenschutzrechtliche Vorgaben zu beachten und einzuhalten. Diesen Part sollte man nicht dem freien Lauf überlassen, um keine bösen Überraschungen zu erleben.

Dokumentation von Prozessen im Unternehmen

Dokumentation von Prozessen im Unternehmen

Viele Prozesse, mit der Verarbeitung von personenbezogenen Daten, die im Unternehmen sich etabliert haben, wurden heute festgelegt und schon immer soooo gemacht. Jedoch wird während des Prozesses nicht mehr darauf geachtet, ob die Vorgaben des Prozesses so eingehalten werden oder ob sich Abschweifungen ergeben haben. 

Damit alle Mitarbeiter in der Verarbeitung von personenbezogene Daten die gleiche „Marschrichtung“ einschlagen, bedarf es einer sogenannten Prozessbeschreibung, an die sich jeder Mitarbeiter halten muss. 

Aus dieser Prozessbeschreibung lassen sich viele relevanten Eckpunkte ableiten, um bei Auskunftsanfragen, Löschungsgesuchen oder Datenpannen schnell reagieren zu können.

Erfassung der technisch organisatorischen Maßnahmen (TOM) und der IT-Strukturen

Erfassung der technisch organisatorischen Maßnahmen (TOM) und der IT-Strukturen

Um sich neben dem Stand der Technik sich einen Überblick über die technisch organisatorischen Maßnahmen zu verschaffen, werden mit dem Verantwortlichen oder dem Ansprechpartner der IT die Schutz- und Abwehrmaßnahmen für die eingesetzte IT Hard- und Software besprochen und erfasst. Schnell kann man feststellen, ob das Unternehmen noch Nachholbedarf hat oder ein solide Grundlage für den Schutz personenbezogener Daten vorliegt. In die Rubrik der TOM fällt auch, die Vorabkontrolle bzw. die Prüfung von genutzter und implementierter Software. Schnell kann aus einer vermeintlich „kostenlosen“ Software eine Datenkrake oder ein unberücksichtigtes Datengrab werden. 

Auch bei Datenpannen müssen diese Dokumentationen vorliegen, um entsprechende Maßnahmen einleiten zu können und rechenschaftspflichtig agieren zu können.

Bereitstellung von Formularen

Bereitstellung von Formularen

Im Datenschutz gibt es sicher ein paar Formulare, die für viele Unternehmen anwendbar und online verfügbar sind, aber leider sind viele davon eins zu eins nicht in jedem Unternehmen anwendbar . Dies hat zur Folge, dass man ggf. unwirksame Einwilligungen vorliegen hat oder Nutzungsvereinbarung unzureichend erstellt wurden. 

Jedes Thema und jedes Unternehmen hat spezifische Vorgaben bzw. Formulare. Deshalb sollte die Nutzung stets mit dem Datenschutzbeauftragten besprochen werden.

Erstellen von Datenschutzinformationen

Erstellen von Datenschutz
Informationen

Damit Ihre Kunden, Ihre Mitarbeiter oder im allgemeinen Betroffene über die Verarbeitung Ihrer Daten in Ihrem Unternehmen informiert werden, müssen dazu aufklärende Datenschutzinformationen vorgelegt werden. Diese Datenverarbeitung findet zum Beispiel beim Besuch einer Website oder einem Social Media Account, im Unternehmen selbst oder im öffentlichen Bereich, bei Werbe- und Messeauftritten und natürlich in Bereichen jeglicher digitaler Handlungen statt. 

Deshalb zählt die Datenschutzinformation zu den wichtigen Grundlagen im Datenschutz.

Unterstützung gegenüber der Aufsichtsbehörde

Unterstützung gegenüber der Aufsichtsbehörde

Nicht nur bei einer Datenpanne muss gewissenhaft mit der zuständigen Aufsichtsbehörde zusammengearbeitet werden, sondern auch bei Anfragen und Prüfungen der Aufsichtsbehörde. Dazu zählen anlasslose Prüfungen zu relevanten Datenschutzthematiken oder bei Eingang von Beschwerden Betroffener zu Ihrem Unternehmen. 

Zu den weitreichende Befugnissen der Aufsichtsbehörde (Art. 58 DSGVO) zählen:

  • das Informationsrecht
  • das Auskunftsrecht
  • das Untersuchungsrecht
  • das Hinweisrecht
  • Zugangsrechte
  • Abhilfebefugnisse (Verwarnung, Auflagenerteilung, Benachrichtigung der Betroffenen, Beschränkung oder Verbot, Berichtigung oder Löschung, Zertifikatswiderrufe etc.)
  • aber auch Genehmigungs- und Beratungsbefugnisse

Durchführung fortlaufender Datenschutzaudits

Durchführung fortlaufender Datenschutzaudits

Um stets Ihre laufenden Unternehmensprozesse in der Verarbeitung von personenbezogenen Daten im Auge zu behalten und die Einführung von neue Projekten oder Prozessen bewerten zu können, müssen fortlaufende Audits durchgeführt werden. Sollen zum Beispiel Prozesse verändert oder erweitert werden, die datenschutzrechtliche Konsequenzen mit sich bringen, bedarf dies im Vorfeld einer datenschutzrechtlichen Prüfung.

Optimierungsvorschläge zur DSGVO- konformen Gestaltung

Optimierungsvorschläge zur DSGVO- konformen Gestaltung

Manchmal sind Strukturen im Unternehmen einfach eingefahren, es werden Prozesse durchgeführt ohne Hintergrund und Wissen und der Satz „…das haben wir schon immer so gemacht…“ findet immer wieder erfolgreich Anwendung. 

Doch leider können so eingefahrene Prozesse schnell in einer unübersichtlichen Dokumentation erstarren., nicht datenschutzkonform abgehandelt werden oder gar zu gravierenden Fehlern in seiner Ausführung führen. 

Offenheit und Anpassung gehört auch zum Datenschutz, um Verständnis zum Datenschutz in den Mittelpunkt zu rücken.

Mitarbeiterschulung zum Datenschutz und Verpflichtungserklärungen

Mitarbeiterschulung zum Datenschutz und Verpflichtungs-erklärungen

Zu den Aufgaben eines Datenschutzbeauftragten gehört auch die Schulung der Mitarbeiter. Diese sollte regelmäßig zu den relevanten Punkten des Datenschutzes im Unternehmen durchgeführt werden. In diesen Schulungen lassen sich auch Fragen zum Datenschutz für alle Mitarbeiter beantworten. 

Neben der Schulung des Mitarbeiters spielt auch die Verpflichtungserklärung und die Verpflichtung zur Geheimhaltung eine wichtige Rolle. Diese bekennt die Einhaltung des Datenschutz im Unternehmen von jedem Mitarbeiter, Auszubildenden, Praktikanten, Zivildienstleistenden bzw. ehrenamtlichen Mitarbeiter.

Überzeugt? Dann melden Sie sich bei uns...

Weitere Themen

Entdecken Sie weitere wichtige Themen rund um den Datenschutz, die für Ihr Unternehmen relevant sind. Von den Grundlagen des Datenschutzrechts bis hin zu den Aufgaben eines Datenschutzbeauftragten – hier finden Sie weiterführende Artikel, die Ihnen helfen, den Datenschutz umfassend zu verstehen und anzuwenden.

Datenschutz
Recht

Erfahren Sie, welche gesetzlichen Grundlagen das Datenschutzrecht bestimmen und wie es Ihr Unternehmen betrifft. Wir erklären die wichtigsten Vorschriften und geben Ihnen einen Überblick über Ihre Rechte und Pflichten.

Datenschutz- Beauftragter

Wer benötigt einen Datenschutzbeauftragten und welche Aufgaben übernimmt er? In diesem Artikel beleuchten wir die gesetzlichen Anforderungen und die zentrale Bedeutung dieser Position im Unternehmen.

Verstöße & Bußgelder

Was passiert, wenn gegen die DSGVO verstoßen wird? Wir klären über mögliche Bußgelder und rechtliche Konsequenzen auf und zeigen, wie Sie Ihr Unternehmen davor schützen können.