Datenschutz

Unternehmen mit mehr als 19 Mitarbeitern, die personenbezogene Daten im Sinne der EU Datenschutz-Grundverordnung – VO (EU) 2016/679 (DSGVO) erheben, verarbeiten und nutzen, sind dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen. Der Datenschutzbeauftragte soll auf die Einhaltung des Datenschutzes hinarbeiten und diese regelmäßig überwachen. Er unterstützt bei der Erstellung aller gesetzlich vorgeschriebenen Unterlagen, die bereitzuhalten sind, wie Verfahrensverzeichnisse und Datenschutzkonzepten, sowie bei der Sensibilisierung der Mitarbeiter.
Bei Nichteinhaltung der gesetzlichen Bestimmungen drohen hohe Geldstrafen.

Betrieblicher Datenschutz

Das Datenschutzrecht umfasst ein Regelungswerk zum Umgang mit personenbezogenen Daten, um die Persönlichkeitsrechte der von der Datenverarbeitung betroffenen Personen zu schützen.

Wer muss einen Datenschutzbeauftragten bestellen?
  • Öffentliche Stellen grundsätzlich - das gilt auch für öffentliche Stellen, die am Wettbewerb teilnehmen
  • Nichtöffentliche Stellen:
    • Bei automatisierter Datenverarbeitung und mindestens 20 Personen
    • Bei Pflicht zur Datenschutz-Folgenabschätzung Bestellpflicht unabhängig von der Mitarbeiterzahl
    • Bei der geschäftsmäßigen Verarbeitung von personenbezogenen Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung unabhängig von der Mitarbeiterzahl
Beispiele:
  • Natürliche Personen (Ärzte, Rechtsanwälte, Steuerberater etc.)
  • Juristische Personen (z.B. GmbH, AG, OHG, KG, GmbH & Co.KG, eingetragene Vereine, Ltd, SE etc.)
  • Personengesellschaften (z.B. GbR)
  • Nichtrechtsfähige Vereine (z.B. Gewerkschaften und Berufsverbände)
Wie und wann muss bestellt werden?
  • Die Bestellung muss schriftlich erfolgen
  • Spätestens innerhalb von 4 Wochen nach Aufnahme der Geschäftstätigkeit
  • Die Bestellung unterliegt keinem speziellen Beteiligungsrecht des Betriebsrats, außer wenn die Bestellung mit der Einstellung oder einer Versetzung verbunden ist
  • Ein Datenschutzbeauftragter (DSB), der nicht die erforderliche Fachkunde und Zuverlässigkeit besitzt oder nicht genug Zeit für seine Tätigkeit bekommt, gilt als nicht bestellt
  • Die Kontaktdaten des Datenschutzbeauftragten sind z.B. auf der Homepage zu veröffentlichen und der Aufsichtsbehörde mitzuteilen.

Genügt Ihr Unternehmen den Verpflichtungen der Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes?

⇒ Datenschutz als Unternehmensziel
Proaktiver Datenschutz ist ein Unterscheidungsmerkmal am Markt. Die Erfüllung der Mindeststandards nach den gesetzlichen Pflichten ist nicht ausreichend, somit werden höhere Anforderungen und praxisgerechte Lösungen ein elementarer Bestandteil für wirtschaftlichen Erfolg.

⇒ Folgen von Datenschutzverletzungen
Bei unrechtmäßigem Umgang mit personenbezogenen Daten drohen neben hohen Geldbußßen auch hohe Vertragsstrafen sowie Schadensersatzforderungen und der Verlust der Aufträge durch die Auftraggeber und ein erheblicher Image-Schaden.


Sie benötigen dazu:
  • Eine Dokumentation der technisch und organisatorischen Maßnahmen nach Art. 24 Abs. 1 DSGVO
  • Ein Datenschutzkonzept mit der Beschreibung einer datenschutzrechtlichen Beurteilung notwendiger Informationen zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten einschließlich
    • Dokumentation von Art und Umfang der erhobenen, verarbeiteten oder genutzten personenbezogenen Daten
    • Notwendiger Verfahrensanweisungen
    • Notwendiger Formulare
  • Ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO
  • Ein Löschkonzept
  • (Pflicht-)Information bei der Erhebung personenbezogener Daten bei dem Betroffenen (Art. 13 DSGVO), oder wenn die Erhebung nicht direkt bei dem Betroffenen erfolgt (Art. 14 DSGVO)
  • Verpflichtung der Mitarbeiter auf das Datengeheimnis bzw. auf die Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO
  • Datenschutz-Folgenabschätzung von IT-Anwendungen gemäß Art. 35 DSGVO insbesondere bei der Verarbeitung von besonderen Arten personenbezogener Daten
  • Einen schriftlich bestellten Datenschutzbeauftragten, der die erforderliche Fachkunde und Zuverlässigkeit besitzt
Der Besuch von Schulungen oder der Erwerb allgemeiner Unterlagen führt nur in die Problematik des Datenschutzes ein, genügt Ihnen aber nicht zur Erfüllung aller Auflagen der DSGVO und des BDSG (neu)!
Nur ein individuelles Datenschutzkonzept kann Sie schrittweise zur Erfüllung aller Auflagen der DSGVO und des BDSG (neu) begleiten. Zentrales Element ist dabei eine betriebswirtschaftliche und organisatorische Beratung zur Einhaltung des Datenschutzes und der Datensicherheit gemäß Datenschutzgrundverordnung und Bundesdatenschutzgesetz (neu) und aller weiteren relevanten Gesetze zum Datenschutz.
Wir verfügen über umfangreiche Erfahrungen im Datenschutz durch die langjährige Tätigkeit als betrieblicher Datenschutzbeauftragter und externer Datenschutzbeauftragter mit folgenden Schwerpunkten:
  • DSGVO, BDSG, Landesdatenschutzgesetze, TKG, TTDSG, TMG, PostG
  • Auftragsverarbeitung, gemeinsame Verantwortlichkeit
  • Erstellung von Verfahrensdokumentationen
  • Risiko-Analyse, Datenschutzfolgenabschätzung (DSFA), Transfer Impact Assessment (TIA)
  • Konzerndatenschutz (Datenschutzmanagement/Datenschutzbeauftragte in Firmenverbünden)
  • Datenschutz und IT-Sicherheit in Call Centern
  • Datenschutz und IT-Sicherheit bei Telekommunikationsdienstleistern (§5 TKG)
  • Datenschutz und IT-Sicherheit bei Versorgungsunternehmen (IT-Sicherheitskatalog gem. §11 Ia EnWG und §8 BSIG)

Sind Sie an der Erarbeitung oder Überarbeitung eines individuelles Datenschutzkonzeptes oder der Bestellung eines externen Datenschutzbeauftragten interessiert?

Wir bieten Ihnen:

  • Allgemeine betriebswirtschaftliche und organisatorische Beratung zum Datenschutz
  • Beratung in allen datenschutzrechtlichen Fragestellungen
  • Erstellung eines individuelles Datenschutzkonzeptes
  • Erstellung eines Grundgerüstes der Dokumentation der technisch-organisatorischen Maßnahmen (Art. 32 DSGVO – Sicherheit der Verarbeitung) und der daraus abgeleiteten Datenschutzrichtlinien
  • Erstellung der nach Art. 30 DSGVO geforderten Verfahrensverzeichnisse
  • Information und Schulung der Mitarbeiter
  • Bestellung zum externen Datenschutzbeauftragten