Datenschutzberatung
Die Verarbeitung von personenbezogenen Daten muss in jedem Unternehmen so organisiert sein, dass sie den Anforderungen des Datenschutzrechts entspricht.
Zur Umsetzung der Anforderungen sind die Datenschutz-Grundsätze verbindlich!
Die Nichtbeachtung dieser Grundsätze ist gem. Art. 83 DSGVO mit Bußgeld bedroht.
 |
 |
| >> weitere Infos zu den Datenschutzgrundsätzen << | >> weitere Infos zu den Anforderungen << |
Seit Wirksamkeit der DSGVO gilt als zusätzliche Anforderung die „Rechenschaftspflicht“. Es genügt nicht mehr, den Datenschutz so zu betreiben, dass keine Verstöße erfolgen. Stattdessen muss jetzt nachweisbar sein, dass ein geregelter und erfolgreicher Datenschutzprozess betrieben wird. Somit kommen Unternehmen - unabhängig ihrer Branche und Größe - nicht mehr drumherum, ein sogenanntes Datenschutzmanagementsystem aufzubauen und zu betreiben.
|
1.a. |
Rechtmäßigkeit |
Rechtsgrundlage oder Einwilligung |
|
Verarbeitung nach Treu und Glauben |
Betroffene Personen müssen in der Lage sein, über eine Verarbeitung ihrer personenbezogenen Daten zu erfahren, und müssen ordnungsgemäß und umfassend über die Bedingungen der Erhebung informiert werden. |
|
|
Transparenz |
Die Informationen über die Datenerhebung für den Betroffenen müssen in präziser, verständlicher und leicht zugänglicher Form sein. |
|
|
1.b. |
Zweckbindung |
Eine Datenerhebung für eindeutig festgelegte Zwecke dürfen nicht für andere Zwecke weiterverarbeitet werden. |
|
1.c. |
Datenminimierung |
Art und Umfang der Daten müssen auf das notwendige Maß begrenzt sein. |
|
1.d. |
Richtigkeit |
Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein (sonst berichtigen oder unverzüglich löschen). |
|
1.e. |
Speicherbegrenzung |
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie erhoben worden sind, erforderlich ist. hilfreich: Löschkonzepte (enthält u. A. Löschfristen) |
|
1.f. |
Integrität und Vertraulichkeit |
Gewährleistung eines angemessenen Schutzes vor: - unbefugter oder unrechtmäßiger Verarbeitung - unbeabsichtigtem Verlust, Zerstörung und Schädigung Umsetzung durch: geeignete Technische und Organisatorische Maßnahmen (TOMs) Pflicht! |
|
2. |
Rechenschaftspflicht |
Nachweisbarkeit der Einhaltung der o. g. Datenschutzgrundsätze (Dokumentationspflicht!) z. B. durch ein Datenschutzmanagementsystem |
(an kleine und mittlere Unternehmen, Vereinen, etc.)
Eine kleine Checkliste zur Selbstüberprüfung
Thema |
|
|---|---|
|
Datenschutzbeauftragter |
Muss ein DSB benannt werden? |
| Verzeichnis von Verarbeitungstätigkeiten | Ist ein solches Verzeichnis erforderlich? |
|
Sicherheit (setzt eine Erfassung der IT-Infrastruktur voraus) |
Müssen die Daten besonders gesichert werden oder reichen etablierte Standartmaßnahmen aus? |
| Auftragsverarbeitung | Ist ein Vertrag zur Auftragsverarbeitung notwendig? |
| Informations- und Auskunftspflicht | Bestehen irgendwelche Informationspflichten? |
| Speicherung und Löschung von Daten | Gibt es besondere Anforderung zur Datenlöschung? |
| Melde- und Benachrichtigungspflicht | Müssen bestimmte Vorfälle gemeldet werden? |
| Risikoanalyse / -bewertung / Folgenabschätzung | Muss eine DSFA durchgeführt werden? |
| Homeoffice / Telearbeitsplätze | Gibt es Mitarbeiter die im Homeoffice arbeiten? |
| Regelungen zum Umgang mit mobilen Endgeräten | Sind Nutzungsvereinbarungen vorhanden? |
| Videoüberwachung (VÜ) | Praktizieren Sie in Ihrem Unternehmen Videoüberwachungen? |
|
Einwilligungspflicht (z.B. für Bilder / Videos, Weitergabe von personenbezogenen Daten über die eigene Website) |
Sind Einwilligungen notwendig? |
| Website und Social-Media | Sind Websites und Social-Media-Kanäle vorhanden? |
| Sicherer E-Mail-Versand | Ist der sichere Versand mit personenbezogenen Daten geregelt? |
| Datenschutz-Verpflichtung von Beschäftigten | Ist eine solche Verpflichtung durchzuführen? |
|
Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses (von der Bewerbung bis zum Austritt des Beschäftigten) |
Gibt es Regelungen im Umgang mit Bewerber- und Mitarbeiterdaten? |
|
Sonstiges: Es gibt evtl. noch viele weitere Themen zu berücksichtigen. Jedes Unternehmen sollte daher ganz individuell geprüft und beraten werden. |
z.B. Datenschutz in der Werbung, IT-Sicherheitskonzept |
Erläuterungen zu den Anforderungen
1. Datenschutzbeauftragter (DSB)
In aller Regel ist nur dann ein DSB zu benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
„Ständig beschäftigt“ ist, wer z. B. permanent Kunden- oder Personalverwaltung macht. „Nicht“ dagegen, wer z. B. als Handwerker oder Produktionsmitarbeiter nur mit Namen und Adressen von Kunden umgeht.
Der Verantwortliche und der Auftragsverarbeiter haben sicherzustellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
2. Verzeichnis von Verarbeitungstätigkeiten (VV)
Kleine Unternehmen gehen regelmäßig mit Kunden- und Mitarbeiterdaten um und müssen ein – vom Umfang her überschaubares – Verzeichnis ihrer Verarbeitungstätigkeiten führen.
(Dem Verzeichnis von Verarbeitungstätigkeiten sind die Technischen und Organisatorischen Maßnahmen beizufügen.)
3. Sicherheit
Um die personenbezogenen Daten bei der Verarbeitung zu schützen, sind Standardmaßnahmen im Regelfall ausreichend. Dazu gehören u.a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte. Soweit private PCs genutzt werden, ist sicherzustellen, dass nur berechtigte Personen auf die Daten zugreifen können.
Hinweis: Eine gute Sicherheit setzt eine Erfassung der IT-Infrastruktur voraus und ist ebenfalls der Grundstein für die Technischen und Organisatorischen Maßnahmen.
4. Auftragsverarbeitung
Sobald Verantwortliche Dienstleistungen in Anspruch nehmen, um personenbezogene Daten in ihrem Auftrag durch andere Unternehmen verarbeiten zu lassen, ist ein schriftlicher Vertrag zur Auftragsverarbeitung erforderlich.
(z. B. externes Lohnbüro, ext. IT-Support, ext. Rechenzentren, evtl. Hosting-Anbieter)
Hinweis: Erstellen Sie eine Liste externer Dienstleister und eingesetzter Software (auch Apps).
5. Informations- und Auskunftspflichten (Transparenzpflicht des Unternehmens)
Jedes Unternehmen hat die betroffenen Personen (d.h. insbesondere Kunden und Mitarbeiter) schon bei der ersten Datenerhebung über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Die betroffenen Personen haben auch das Recht, Auskunft über die Verarbeitung ihrer Daten zu erhalten.
Benachrichtigungspflicht des Unternehmens:
Wenn Daten über die betroffenen Personen von Dritten oder aus öffentlichen Quellen erhoben worden sind, ist die betroffene Person auf den gleichen Informationsstand zu bringen, als wenn Daten bei ihr erhoben worden sind.
(Zu beachten ist die hier auch die Erhebung von p. b. Daten über Websites, Apps usw.)
6. Speicherung und Löschen von Daten
Sobald keine gesetzliche Grundlage (z.B. steuerliche oder handelsrechtliche Aufbewahrungspflicht) für die Speicherung von personenbezogenen Daten mehr besteht, sind diese zu löschen. Dies ist z.B. der Fall, wenn ein Kunde mehrere Jahre lang keine neuen Aufträge mehr erteilt hat. Hinweis: Erstellung eines Löschkonzeptes!
7. Melde und Benachrichtigungspflicht (Datenschutzverletzungen)
Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z. B. Diebstahl, Hacking, Fehlversendung, Verlust von Geräten mit unverschlüsselten Vereinsdaten), so bestehen gesetzliche Meldepflichten: Die Aufsichtsbehörde ist im Regelfall - innerhalb von 72 Stunden - darüber in Kenntnis zu setzen, betroffene Personen dagegen nur bei hohem Risiko.
8. Datenschutz-Folgeabschätzung (DSFA)
Hat eine Verarbeitung personenbezogener Daten ein hohes Risiko für die betroffenen Personen, so muss das spezielle Instrument der Datenschutz-Folgenabschätzung durchgeführt werden. Ein solch hohes Risiko ist jedoch der Ausnahmefall und nicht die Regel.
9. Homeoffice / Telearbeit
Auch im Homeoffice oder bei der Telearbeit muss ein hinreichender Schutz von personenbezogenen Daten gewährleistet sein, sofern der Mitarbeiter mit diesen im Rahmen seiner Tätigkeit zu tun hat.
Hinweis: Es gelten die gleichen Datenschutzregelungen wie im Unternehmen selbst.
10. Regelung zum Umgang mit mobilen Endgeräten
Erstellen Sie eine Nutzungs- /oder Dienstanweisung, in der der Umgang mit den mobilen Endgeräten Ihres Unternehmens geregelt ist ( Notebooks, Tablets, Smartphones).
Hinweis: Nutzungsanweisungen sind sehr hilfreich, um meldepflichtige Datenschutzvorfälle zu vermeiden!
11. Videoüberwachung
Führt ein Verantwortlicher eine Videoüberwachung durch, ist im Normalfall eine entsprechende Hinweisbeschilderung erforderlich, um die betroffenen Personen über die Videoaufnahmen zu informieren.
Hinweis! Zu beachten sind die Regelungen des Art. 6 Abs. 1 lit. f DSGVO zum berechtigten Interesse des Verantwortlichen in Abwägung gegen die Rechte und Freiheiten der betroffenen Personen.
12. Einwilligungspflicht
Personenbezogene Daten dürfen nur unter dem Vorbehalt einer Rechtsgrundlage oder einer Einwilligung verarbeitet werden.
Das heißt: Das Vorliegen einer Rechtsgrundlage prüfen! Wenn keine Rechtsgrundlage vorliegt, muss eine Einwilligung des Betroffenen eingeholt werden.
13. Website, Social Media (z.B. Facebook, Twitter usw.) sowie Mail-Versand
Sobald Verantwortliche eine Website oder Social-Media-Kanäle betreiben, ist der Datenschutz zu berücksichtigen.
14. Mail-Versand
Personenbezogene Daten (insbesondere besonders schützenswerte Daten) niemals unverschlüsselt versenden!
15. Datenschutz-Verpflichtung von Beschäftigten
Bei der Aufnahme der Tätigkeit sind Beschäftigte, die mit personenbezogenen Daten umgehen, zu informieren und dahingehend zu verpflichten, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der DSGVO erfolgt.
Hinweise:
- Vertraulichkeitsverpflichtung für Mitarbeiter
- regelmäßige Schulungen der Mitarbeiter
16. Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
Zu berücksichtigen sind unter anderem:
- Erhebung und Speicherung von Bewerberdaten
- Erhebung, Verarbeitung und Nutzung von Mitarbeiterdaten (Personaldaten – z.B. Personalfragebogen)
- Die Grundsätze zum Führen der Personalakte (Vertraulichkeit, Richtigkeit und Vollständigkeit, Zulässigkeit und Zweckbindung, Transparenz, BEM)
- Beendigung des Beschäftigungsverhältnisses
- Datenschutz und Betriebsrat
- u. s. w.
Achtung: Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses ist ein sehr umfangreicher Prozess.
Die hier aufgeführten Punkte geben nur ein paar wenige Einblicke, worauf unbedingt zu achten ist!
|
pro.DAT-Leistungen |
 |
DSGVO Grundschutz
|
Artikel 91 DSGVO räumt Kirchen, religiösen Vereinigungen und Gemeinden eigene Datenschutzregelungen ein, sofern diese zum Zeitpunkt des Inkrafttretens der DSGVO bereits angewendet wurden und im Einklang mit der DSGVO gebracht werden.
Daraus resultieren in der Evangelischen Kirche in Deutschland das DSG-EKD und in der Katholischen Kirche die Anordnung über den kirchlichen Datenschutz (KDO) mit jeweils eigenständigen Aufsichtsbehörden.
IT-Sicherheitsverordnung der Evangelischen Kirche (ITSVO-EKD)
Gemäß IT-Sicherheitsverordnung - ITSVO-EKD vom 29. Mai 2015 haben die Evangelische Kirche in Deutschland, ihre Gliedkirchen und ihre gliedkirchlichen Zusammenschlüsse sowie die ihnen zugeordneten kirchlichen und diakonischen Werke und Einrichtungen sicherzustellen, dass ein IT-Sicherheitskonzept erstellt und kontinuierlich fortgeschrieben wird. Der für die Umsetzung des IT-Sicherheitskonzeptes erforderliche Sicherheitsstandard soll sich an den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Informationssicherheit und zum IT-Grundschutz orientieren.