PRIMA // BLOG

Was Sie schon immer mal über Datenschutz wissen wollten

Dr. Bernd Schmidt

Was du bei Auswahl und Bestellung deines Datenschutzbeauftragten beachten solltest

Datenschutz Datenschutzdokumentation Datenschutzbeauftragter

Der oder die Datenschutzbeauftragte spielen eine entscheidende Rolle in deiner Datenschutz-Organisation und arbeiten meist sehr lange mit dir zusammen. Mit einer guten Entscheidung kannst du die Weichen für erfolgreiches Datenschutz-Management stellen aber auch einiges falsch machen. Hier erfährst du, worauf du bei der Auswahl und Bestellung eines Datenschutzbeauftragten achten solltest.

Wichtige Kriterien bei der Auswahl eines Datenschutzbeauftragten

Die Auswahl des richtigen Datenschutzbeauftragten für dein Unternehmen kann entscheidend für den Erfolg deines Datenschutz-Managements sein. Dabei gibt es verschiedene Kriterien, die du kennen und beachten solltest.

Erfahrung und Fachkenntnisse

Ein Datenschutzbeauftragter sollte über fundierte Erfahrungen und Fachkenntnisse im Bereich Datenschutzrecht- und Technik verfügen. Es ist wichtig, dass die Person mit den relevanten Datenschutzgesetzen und -bestimmungen vertraut ist und in der Lage ist, diese effektiv umzusetzen.

Branchenspezifisches Wissen

Deine Datenschutzbeauftragte sollte dein Business kennen. Datenschutz-Anforderungen können sich je nach Branche und Kunden stark unterscheiden.

Kommunikationsfähigkeiten

Ein Datenschutzbeauftragter sollte über gute Kommunikationsfähigkeiten verfügen, um die Kollegen mitzunehmen und das Bewusstsein für den Datenschutz in dein Unternehmen zu Tragen. Die Person sollte in der Lage sein, Datenschutzthemen so verständlich zu erklären und Schulungen durchzuführen, dass Mitarbeiter Datenschutzanforderungen einhalten und umsetzen können.

Unabhängigkeit und Neutralität

Es ist wichtig sicherzustellen, dass der Datenschutzbeauftragte unabhängig und neutral agiert. Die Person sollte nicht in Konflikte mit anderen Unternehmensinteressen geraten und in der Lage sein, unvoreingenommene Entscheidungen zu treffen. Personen in Leitungsfunktionen oder mit Verantwortung für Datenschutz-kritische Bereiche sind als Kandidaten nicht geeignet.

Kontinuierliche Weiterbildung

Der Datenschutz und entwickelt sich ständig weiter. Das betrifft die Technik aber auch die Regulierung. Daher ist es wichtig sicherzustellen, dass dein Datenschutzbeauftragter bereit ist, sich laufend über aktuelle Entwicklungen im Datenschutz zu informieren und auf dem aktuellen Stand hält. Du musst bereit sein, das mit entsprechenden Ressourcen zu unterstützen.

Interne oder Externe Bestellung?

Es ist möglich, einen Datenschutzbeauftragten aus der eigenen Belegschaft zu rekrutieren, einen neuen Kandidaten zu suchen und einzustellen oder die Bestellung an eine Kanzlei oder Beratungsgesellschaft auszulagern. Alle Varianten haben vor und Nachteile.

Interne Kandidaten kennen ihr Unternehmen und haben in der Regel den besseren Draht in die Organisation. Sie bekommen mit was passiert und wissen im Idealfall, was zu tun ist, um den Datenschutz zu verbessern. Er kann aber vor der Herausforderung des Propheten im eigenen Land stehen, auf den man nicht oder nicht so hört, wie auf den externen Berater. Der externe hat in der Regel mehr Erfahrung und kann Wissen aus anderen Mandaten nutzen. Die interne Datenschutzbeauftragte führt in der Regel nur einmal ein neues HR-System ein. Der externe Berater hat das in der Regel schon häufiger getan. Er braucht aber den guten Draht in das Unternehmen, damit er seine PS auch auf die Straße bringen kann.

Für welche Variante du dich entscheidest sollte im Ergebnis davon abhängen, wie du möglichst große Expertise mit dem Draht in die Organisation verbindest. Dabei kann man eine gute oder eine schlechte Wahl treffen, Lösungen, die immer passen gibt es aber nicht.

Die Bestellung eines Datenschutzbeauftragten

Wenn du die richtige Wahl getroffen hast, ist die Bestellung das kleinere Hindernis.Der Datenschutzbeauftragte wird dann durch die Bestellungsurkunde ernannt, der zuständigen Datenschutzbehörde über deren Online-Formular gemeldet undder Belegschaft bekanntgegeben.

Fazit

Bei der Auswahl und Bestellung deines Datenschutzbeauftragten solltest du sorgfältig vorgehen, um sicherzustellen, dass die Person die erforderlichen Qualifikationen besitzt und für die Aufgabe geeignet ist. Die richtige Wahl eines Datenschutzbeauftragten ist ein entscheidender Baustein für ein gutes Datenschutz-Management.

PLANIT//LEGAL

Umsetzung von Löschpflichten mit Muster Löschkonzept

Datenschutzdokumentation Datenschutz

Personenbezogene Daten dürfen nur verarbeitet werden, wenn dafür eine gesetzliche Rechtfertigung besteht und nur solange, wie die Verarbeitung für diesen Zweck erforderlich ist. Danach müssen personenbezogene Daten gelöscht werden. Lesen Sie hier, welche Maßnahmen Sie treffen sollten, um diese Pflicht zu erfüllen.

So lange darf man personenbezogene Daten speichern

Personenbezogene Daten dürfen nur verarbeitet werden, wenn man dafür eine Rechtfertigung hat. Rechtfertigungstatbestände ergeben sich vor allem aus der DSGVO und dem BDSG, können sich aber auch aus anderen Rechtsnormen wie Betriebsvereinbarungen oder Tarifverträgen ergeben.

Bevor man personenbezogene Daten erhebt, muss man sicherstellen, dass eine Rechtfertigung vorliegt, z.B. weil die Betroffenen eine Einwilligung erklärt haben oder die Verarbeitung für die Erfüllung gesetzlicher oder vertraglicher Pflichten erforderlich ist. Man darf personenbezogenen Daten dann verarbeiten, bis dieser Zweck erreicht ist. Wenn etwa Adressdaten verarbeitet werden, um eine Bestellung auszuliefern, wäre dieser Zweck erfüllt, wenn die Bestellung ausgeliefert ist.

Wann muss man personenbezogene Daten Löschen?

Wenn der Zweck einer Datenverarbeitung erreicht ist, müssen personenbezogene Daten eigentlich gelöscht werden. Es gibt aber oft Gründe, das nicht direkt zu tun. Es kann nämlich sein, dass neue Rechtfertigungstatbestände eingreifen und sich aus einem geänderten Zweck eine neue Rechtfertigung ergibt. Wenn man etwa Adressdaten für eine Bestellung erhoben hat und die Empfänger sich bei der Bestellung für Infopost des Unternehmens angemeldet haben, darf das Unternehmen nach der Auslieferung Adressdaten auch zur Versendung der Infopost verwenden.

Wenn es keinen Zweck mehr zur Verarbeitung personenbezogener Daten gibt, sollte man vor der Löschung immer prüfen, ob es Pflichten oder Rechte zur Aufbewahrung gibt. Das ist sehr häufig der Fall. Dann kann eine Aufbewahrung vor der Löschung gerechtfertigt oder sogar erforderlich sein. Typische Aufbewahrungsfristen ergeben sich aus gesetzlichen Verjährungsfristen oder den steuer- und handelsrechtlichen Aufbewahrungspflichten.

Für das Beispiel der Verarbeitung personenbezogener Daten zur Auslieferung einer Bestellung ist es zulässig, diese bis zum Ablauf der gesetzlichen Verjährungsfrist von drei Jahren ab dem Ende des Kalenderjahres aufzubewahren, nämlich für den Fall, dass es im Zusammenhang mit der Bestellung zu einer rechtlichen Auseinandersetzung kommt. Wenn im Zusammenhang mit der Bestellung Handels- oder Geschäftsbriefe versendet wurden, müssen diese 6 Jahre aufbewahrt werden.

Wenn keine Rechtfertigung mehr besteht und Aufbewahrungsfristen abgelaufen sind, müssen personenbezogene gelöscht werden.

Hier gibt es eine Übersicht der Löschfristen für HR Daten.

Pflicht zur Erstellung eines Löschkonzepts

Aus Art. 5 Abs. 2 DSGVO ergibt sich faktisch eine Pflicht zur Erstellung eines Löschkonzepts.

Die Pflicht zu Löschung von personenbezogenen Daten ergibt sich aus dem Betroffenenrecht in Art. 17 DSGVO und aus dem Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 lit. e DSGVO. Die Einhaltung der Grundsätze zur Verarbeitung personenbezogener Daten müssen wegen der Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO nachgewiesen werden können. Das erfordert praktisch, dass Verantwortliche eine Dokumentation vorhalten, aus der sich IT-Systeme, enthaltene personenbezogene Daten, Verarbeitungszwecke, Aufbewahrungs- und Löschfristen und einen Nachweis der Löschung ergeben. In anderen Worten: ein Löschkonzept.

Wie erstellt man ein Löschkonzept?

Für die Erstellung des Löschkonzepts erstellt man eine Übersicht der IT-Systeme und Prozesse zur Verarbeitung personenbezogener Daten. Diese Übersicht ergänzt man um die konkret betroffenen personenbezogenen Daten bzw. die Kategorien personenbezogenen Daten in diesen IT-Systemen und Prozessen. Für die personenbezogenen Daten bzw. die Kategorien personenbezogenen Daten legt man dann möglichst konkret fest, wie lange es Zwecke gibt, diese Daten zu verarbeiten (Vorhaltefrist) und wie lange die personenbezogenen Daten nach der Zweckerfüllung aufbewahrt werden dürfen oder müssen (Aufbewahrungspflicht).

Hier geht es zum Download von unserem Muster.

Was passiert, wenn man personenbezogene Daten zu spät oder gar nicht löscht?  

Der Verstoß gegen Art. 17 DSGVO oder den Grundsatz der Speicherbegrenzung ist bußgeldbewehrt und kann zu Bußgeldern in Höhe von bis zu 20 Millionen EUR oder 4% des Unternehmensumsatzes führen. Für den Verstoß gegen Löschpflichten wurde 2019 von der Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die die „Deutsche Wohnen“ das bisher höchste Datenschutz-Bußgeld in Deutschland in Höhe von 14 Millionen EUR verhängt. Der Bußgeldbescheid ist nicht rechtskräftig. Die Rechtmäßigkeit wird noch gerichtliche geklärt.

PLANIT//LEGAL

Dienstleister datenschutzkonform einbinden: so geht’s

Legal Tech

IT-Dienste werden heute nur noch selten in eigener Regie und mit eigener IT-Infrastruktur im eigenen Serverraum betrieben. Die Realität für das Hosting von Daten und den Betrieb von Anwendungen ist heute die Einschaltung von Dienstleistern und die Nutzung von Diensten in der Cloud. Das bringt viele Vorteile, wie die Einsparung von internen Ressourcen für Wartung und Betrieb und kann mit den richtigen Partnern auch die IT-Sicherheit verbessern. Es gibt aber Anforderungen zur datenschutzkonformen Beauftragung, Überwachung und Einbindung der Dienstleister. Lesen Sie hier, was es zu beachten gilt.

Klassifizierung des Dienstleisters

Wenn Sie Dienstleister bei der Verarbeitung personenbezogener Daten einsetzen, kann es sich dabei grundsätzlich um eine Auftragsverarbeitung, eine Übermittlung oder eine gemeinsame Verantwortlichkeit handeln. Um die richtigen Maßnahmen zu treffen, sollten Sie sich zuerst über die Rolle Ihres Dienstleisters bewusst werden.

  • Auftragsverarbeitung: Eine Auftragsverarbeitung ist der häufigste Fall, wenn Sie Dritte bei der Verarbeitung personenbezogener Daten einsetzen. Sie liegt vor, wenn ein Dritter in Ihrem Auftrag personenbezogene Daten nach Ihren Weisungen verarbeitet, sie also bestimmen wie die Verarbeitung erfolgt. Klassische Anwendungsfälle sind das Hosting von Daten und Anwendungen, aber auch die Bereitstellung von SaaS oder Cloud-Software. Diesen Fall gucken wir uns gleich genauer an.
  • Übermittlung: Eine Übermittlung personenbezogener Daten liegt vor, wenn Sie personenbezogene Daten selbst verarbeiten und an einen Dritten weitergeben, der selbst bestimmt wie er diese verarbeitet. Für die Einbindung von Dienstleistern, ist eine Übermittlung insbesondere für die Beauftragung von Beratern relevant, die mit eigener Expertise und Entscheidungsfreiräumen tätig werden, wie Rechtsanwälte, Steuerberater oder Wirtschaftsprüfer. Für diesen Fall müssen Sie sicherstellen, dass Sie eine Rechtfertigung haben, diesen Dienstleistern personenbezogene Daten zu übermittelt. Dieser Spezialfall wir hier nicht vertieft.
  • Gemeinsame Verantwortlichkeit: Wenn Sie und ein weiterer Verantwortlicher gemeinsam die Zwecke und Umstände der Verarbeitung festlegen, handelt es sich um eine gemeinsame Verantwortlichkeit. Ein häufiger Fall ist die Bereitstellung von eigenen Inhalten in einem Portal das von einem Dritten betrieben wird, wie z.B. der Betrieb einer Fanpage bei Facebook oder Tätigkeiten in einem Netzwerk von Unternehmen in dem z.B. eine Vertriebsdatenbank gemeinsam genutzt wird. Wenn eine gemeinsame Verantwortlichkeit vorliegt, muss dafür eine Vereinbarung dazu gemäß Art. 26 DSGVO geschlossen werden. Dieser Spezialfall wir hier nicht vertieft.

Rechtliche Anforderungen an die Einbindung von Dienstleistern

Die Anforderungen an die datenschutzkonforme Einbindung eines Dienstleisters als Auftragsverarbeiter ergeben sich aus Art. 28 DSGVO. Dafür ist die sorgfältige Auswahl des Dienstleisters und die Kontrolle der technisch-organisatorischen Maßnahmen, der Abschluss einer Vereinbarung über die Auftragsverarbeitung und die regelmäßige Kontrolle dies Dienstleisters wichtig. Wenn der Dienstleister aus einem Drittstaat außerhalb des EWR kommt, ergeben sich zusätzliche Anforderungen.

Sorgfältige Auswahl des Dienstleisters

Die Beauftragung von Auftragsverarbeitern ist nur zulässig, wenn der Dienstleister zuverlässig ist, weil er hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen bestehen und die Verarbeitung datenschutzkonform erfolgt. Mit anderen Worten, muss die Datenverarbeitung bei dem Dienstleister genauso sorgfältig erfolgen, wie bei dem Verantwortlichen selbst. Diese Prüfung erfolgt praktisch durch die Kontrolle des Konzepts zum technisch-organisatorischen Datenschutz.

Diese Kontrolle muss erstmalig vor der Beauftragung eines Dienstleisters erfolgen und muss dann regelmäßig wiederholt werden. Dir Frequenz und Intensität der Kontrolle richtet sich dabei insbesondere nach der Sensitivität der verarbeiteten Daten. Üblich sind jährliche Kontrollen des Konzepts zum technischen und organisatorischen Datenschutz, die bei weniger kritischen Anwendungen bedeuten können, das aktualisierte Konzept anzufordern und zu prüfen, während für kritische Anwendungen auch vor Ort Kontrollen erforderlich sein können.

Technische und organisatorische Maßnahmen (TOMs)

Das Konzept zum technisch-organisatorischen Datenschutz ist das zentrale Dokument, in dem Dienstleister dokumentieren, welche Maßnahmen sie treffen, um die Einhaltung datenschutzrechtlicher Pflichten und den Schutz der personenbezogenen Daten sicherzustellen. Als Auftraggeber sollten Sie sich dieses Dokument immer ansehen und nur dann eine Beauftragung vornehmen, wenn davon überzeugt sind, dass die dokumentierten Maßnahmen angemessen sind und tatsächlich umgesetzt werden. Die Bewertung wird klassischer Weise durch einen oder mehrerer der nachfolgenden Personen bzw. Abteilungen vorgenommen.

  • Datenschutzbeauftragte,
  • IT,    
  • IT-Sicherheit
  • Informationssicherheit

Inhalte, die ein TOM-Konzept abbilden sollte ergeben sich aus Art. 32 DSGVO. Es handelt sich insbesondere um

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten,
  • Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste,
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.

Abschluss eines Auftragsverarbeitungsvertrags (AVV)

Wenn der Dienstleister auf Grundlage der Kontrolle des Konzepts zum technisch-organisatorischen Datenschutz sorgfältig erscheint, muss er vertraglich zur Einhaltung des Datenschutzrechts auf der Grundlage von Art. 28 DSGVO verpflichtet werden. Es muss also ein Vertrag über die Auftragsverarbeitung abgeschlossen werden, in dem unter anderem vereinbart wird,

  • personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden,
  • welche technischen und organisatorischen Maßnahmen der Dienstleister treffen muss,
  • dass der verantwortliche den Dienstleister kontrollieren darf,
  • welche Sub-Dienstleister eingeschaltet sind und
  • unter welchen Voraussetzungen weitere Sub-Dienstleister eingebunden werden dürfen.

Dienstleister in Drittstaaten

In der Praxis kommt es regelmäßig vor, dass Dienstleister in Drittstaaten außerhalb des EWR beauftragt werden, etwa AWS oder Microsoft für Hosting und Applikation Services. Für diesen Normalfall in der IT-technischen Realität bestehen zusätzliche Herausforderungen nach dem Datenschutzrecht. Der Verantwortliche muss dann nämlich zusätzlich zu den beschriebenen Anforderungen sicherstellen, dass angemessene Garantien für den Schutz der betroffenen Daten für die Verarbeitung im Drittstaat bestehen. Dafür werden häufig die Standardvertragsklauseln der EU-Kommission, Binding Corporate Rules oder Angemessenheitsbeschlüsse der EU Kommission genutzt. Es kann zusätzlich aber erforderlich sein weitere technische Maßnahmen zu treffen oder eine Datentransferfolgenabschätzung zu machen.

PLANIT//LEGAL

Data Breaches richtig managen

Betroffenenrechte Datensicherheit Datenschutz

Die Gefahr von Cyberrisiken nimmt ständig zu. Neben der Gefahr für die IT-Sicherheit haben IT-Sicherheitsvorfälle auch immer eine datenschutzrechtliche Relevanz. Lesen Sie hier, wie Sie richtig reagieren und welche Vorbereitungen Sie für den Ernstfall treffen können.

Was ist ein Data Breach?

Ein Data Breach - auf Deutsch: Datenschutzvorfall oder Datenpanne ist gemäß Art. 33 Abs. 1 DSGVO „eine Verletzung des Schutzes personenbezogener Daten“, also ein Vorfall der die Sicherheit personenbezogener Daten verletzt, so dass unberechtigte Personen darauf zugreifen können. Klassische Fälle sind

  • Versehentliche Falschversendung von E-Mails oder zu große offene Verteiler
  • Zugriff auf IT-Systeme als Folge von Hacking oder Phishing-Attacken
  • Diebstahl oder Verlust von Datenträgern, Laptops o.ä.
  • Sicherheitslücken in IT-Systemen
  • Ausgeblendete aber nicht gelöschte Informationen in Excel-Dokumenten

Was gilt es bei Data Breaches zu beachten?

Oberstes Gebot bei Data Breaches ist es, die Ursache schnell zu identifizieren und zu beseitigen, um die Folgen für Betroffene so gering wie möglich zu halten oder zu beseitigen und die Ausweitung des Data Breaches zu verhindern.

Wenn sich aus dem Data Breach Risiken für die Rechte und Freiheiten der Betroffenen ergeben oder das nicht ausgeschlossen werden kann, muss der Data Breach unverzüglich und möglichst binnen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Das passiert relativ häufig.

Hat der Data Breach darüber hinaus voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge, müssen auch die Betroffenen unverzüglich informiert werden. Das kommt vor, ist im Vergleich zur Meldung bei der zuständigen Aufsichtsbehörde aber seltener der Fall.

Maßnahmen zur internen Erkennung und Meldung

Um angemessen auf einen Data Breach reagieren zu können, ist es besonders wichtig, dass Data Breaches intern schnell erkannt und sofort intern gemeldet werden. Das setzt voraus, dass alle Beschäftigten wissen, was ein Data Breach ist, an wen dieser intern gemeldet werden muss und wie zu melden ist. Es mach Sinn, dafür eine Anweisung, Richtlinie oder ein ähnliches Dokument zu erstellen, das den Prozess beschreibt. Dieser Prozess muss dann den Beschäftigten aber auch so kommuniziert werden, dass sie ihn kennen und befolgen können. Die Devise dafür lautet: schulen, schulen, schulen.

Interne Behandlung – Gegenmaßnahmen und Entscheidung über die Meldung

Nach der internen Meldung sollten sich unverzüglich Personen zusammenfinden und aktiv werden, die technische Gegenmaßnahmen treffen können, den Vorgang bewerten und über weitere (rechtliche) Schritte entscheiden können. So ergibt sich die Zusammensetzung des Data Breach Teams aus mehreren oder der folgenden Stakeholder:

  • IT-Abteilung
  • IT-Sicherheit
  • Informationssicherheit
  • Cyber-Versicherung
  • Datenschutzbeauftragter
  • Rechtsabteilung
  • externe Rechts- und IT- und IT-Sicherheits-Berater
  • Geschäftsleitung

Erste Priorität des Data Breach Teams sollte es immer sein, Gegenmaßnahmen zu treffen, dann das Ausmaß des Vorfalls aufzuklären und dann über die weiteren Schritte zu entscheiden. Weitere Schritte sind in der Regel

  • Entscheidung über die Meldung bei der zuständigen Datenschutzbehörde (für alle Unternehmen Pflicht, wenn die Voraussetzungen vorliegen)
  • Entscheidung über eine Meldung beim BSI (für KRITIS Unternehmen eine Pflicht für andere Unternehmen freiwillig möglich)
  • Entscheidung über eine Strafanzeige bei der Stelle für Cyberkriminalität des zuständigen Landeskriminalamtes (keine Pflicht)
  • Entscheidung über die Information der Betroffenen
  • Umsetzung der Maßnahmen

Meldung von Data Breaches and Datenschutzbehörden

Wenn eine Pflicht zur Meldung nach Art. 33 DSGVO besteht, sollte die Meldung innerhalb von 72 Stunden nach der Entdeckung des Vorfalls gemeldet werden. Zur Sicherheit sollte für die Berechnung der Frist auf die erste interne Kenntnis abgestellt werden. Eine spätere Meldung ist möglich und im Zweifel auch nach 72 Stunden noch sinnvoll; dann muss aber in aller Regel begründet werden, warum die 72 Stunden Frist nicht eingehalten worden ist.

Art. 33 DSGVO sieht keine besondere Form der Meldung vor. Die Aufsichtsbehörden haben dafür aber Online-Meldeformulare und es empfiehlt sich, diese zu nutzen, weil die Aufsichtsbehörden die Meldung so in einer Form bekommen, die eine schnelle Bearbeitung und im Idealfall Erledigung ermöglichen. Genau das muss das Ziel der Meldung sein.

Hier geht es zu den Meldeformularen der 17 deutschen Datenschutzbehörden:

Information von Betroffenen

Die Information der Betroffenen hat gemäß Art. 34 Abs. 1 DSGVO zu erfolgen, wenn ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Dann sind die Betroffenen in klarer, einfacher Sprache über den Vorfall zu informieren. Die Information sollte wenigstens diese Informationen enthalten:

  • Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten
  • soweit möglich Kategorien und der ungefähren Zahl der betroffenen Personen und Daten
  • Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
  • Beschreibung der wahrscheinlichen Folgen
  • Beschreibung der ergriffenen oder vorgeschlagenen Gegenmaßnahmen

Es gibt Ausnahmen, in denen eine persönliche Information nicht erfolgen muss. Diese sind aber mit Vorsicht zu genießen.

  • Sie haben geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen, durch die der Zugang zu den Daten verhindert wird, insbesondere durch Verschlüsselung.
  • Sie haben Maßnahmen getroffen, die dazu führen, dass die Gefahr für Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht.
  • Die Benachrichtigung wäre mit einem unverhältnismäßigen Aufwand verbunden. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die Betroffene vergleichbar wirksam informiert werden.

Macht melden frei und was sind die Folgen bei unterlassener Meldung?

Die Frage, ob ein Vorfall gemeldet wird oft intensiv im Data Breach Team diskutiert. Die Sorge, die insbesondere Geschäftsleitung, Rechtabteilung und IT-Verantwortliche oft haben ist es, sich die Datenschutzaufsicht und damit viele Probleme ins Haus zu holen oder womöglich Auflagen und Sanktionen zu provozieren. Es wird dann häufig versucht, den Vorfall oder die Folgen kleinzureden, um eine Meldung vermeiden zu können.

Diese Sorgen sind in aller Regel unbegründet. § 43 Abs. 4 BDSG enthält ein Beweisverwertungsverbot für Inhalte der Meldung, das trotz europarechtlicher Kritik an der Vorschrift nach unserem Eindruck von den Datenschutzbehörden beachtet wird. Insofern gilt: Was gemeldet wird, kann nicht gegen den Verantwortlichen verwendet werden.

Zudem sind die Reaktionen der Datenschutzbehörden auf Meldungen in der Regel deutlich harmloser als oft befürchtet wird. Häufig erhält man eine Eingangsbestätigung, gelegentlich Rückfragen, ebenfalls gelegentlich die Mitteilung, dass der Vorgang geprüft und beendet wurde. Es ist möglich, dass sich an eine Meldung ein aufsichtsbehördliches Verfahren anschließt, das ist im Verhältnis zu den abgesetzten Meldungen aber eher selten der Fall.

PLANIT//LEGAL

Auskunftsbegehren in der Unternehmenspraxis

Betroffenenrechte Datenschutz Datensicherheit

Betroffene haben eine Reihe von Rechten, die sie gegenüber Verantwortlichen geltend machen können. Wenn Sie Betroffenenanfragen erhalten ist es wichtig, damit richtig umzugehen, damit daraus kein größeres Problem für Ihr Unternehmen und Ihre Datenschutz-Organisation wird. Lesen Sie hier, was es zu beachten gilt.

Wie muss das Auskunftsbegehren gestellt sein?

Es gibt praktisch keine formalen Anforderungen an Betroffenenanfragen. Betroffene können diese schriftlich, elektronisch oder mündlich stellen. Wichtig für die Bearbeitung ist es, zu verstehen, worum es den Betroffenen geht. Das klingt logisch, kann in der Praxis aber bereits die erste Herausforderung sein. Stellen Sie sich daher die Frage, was die Betroffenen wirklich wollen. Wenn Betroffenenanfragen nicht klar sind, müssen Sie diese auslegen. In Betracht kommen dafür insbesondere Anfragen zu den Betroffenenrechten

  • Auskunft gemäß Art. 15 Abs. 1 DSVO
  • Herausgabe einer Datenkopie gemäß Art. 15 Abs. 3 DSGVO
  • Berichtigung Art. 16 DSGVO
  • Löschung Art. 17 DSGVO
  • Einschränkung der Verarbeitung bzw. Sperrung ihrer personenbezogenen Daten (Art. 18 DSGVO) oder
  • Datenübertragung (Art. 20 DSGVO)

Denkbar und in der Praxis ein häufiger fall ist auch, dass Betroffene die Sperrung ihrer E-Mail oder Telefonnummer für Webemailings oder -anrufe wünschen.

Die richtige Auslegung des Begehrens der Betroffenen ist der erste Schritt zur richtigen Beantwortung. Um Missverständnissen vorzubeugen, macht es für die Beantwortung oft Sinn, das Ergebnis der Auslegung den Betroffenen bei der Beantwortung mitzuteilen. Eine Formulierung dafür kann sein:

Vielen Dank für Ihre E-Mail. Wir verstehen Ihr Anliegen als Auskunftsbegehren gemäß Art. 15 Abs. 1 DSGVO.“

Wir sehen uns hier die besonders relevanten Fälle der Auskunft gemäß Art. 15 Abs. 1 DSVO und Herausgabe einer Datenkopie gemäß Art. 15 Abs. 3 DSGVO genauer an.

Identitätsprüfung

Damit die Beantwortung des Auskunftsbegehrens nicht selbst zum Compliance-Bumerang wird, ist es wichtig, die Auskunft nur an den Betroffenen zu erteilen. Das fordert auch Art. 12 Abs. 6 DSGVO. In der Praxis kommt es immer wieder vor, dass geschiedene Ehepartner, der/die Ex, andere Familienangehöre oder völlig fremde Auskunftsbegehren stellen. Diese ohne Identitätsprüfung zu beantworten kann leicht zum Supergau führen.

Prüfen Sie daher, mit wem Sie es auf der anderen Seite zu tun haben. Bei Anfragen der eigenen Beschäftigten, Kunden, die Sie persönlich kennen oder anderen persönlich bekannten Personen ist das kein Problem. Kennen Sie die Anfragenden nicht persönlich, müssen Sie sich fragen, ob es begründete Zweifel an der Identität gibt. Das kann etwa der Fall sein, wenn eine Anfrage von einem anderen als dem bei Ihnen bekannten E-Mail-Account versendet wird oder eine E-Mail nahe legt, dass es sich um eine andere Person handelt weil z.B. von dem E-Mail-Account petra.maier@ eine Betroffenenanfrage für den Betroffenen Björn Müller gestellt wird.

Bestehen begründete Zweifel, muss die Identität verifiziert werden. Dabei gilt der Grundsatz, je sensibler die zu beauskunftende Information, desto höher die Anforderungen an die Identifizierung. In Betracht kommen dafür insbesondere

  • Abfrage von zusätzlichen Informationen (Frage nach Geburtstag, bitte eine E-Mail von einem bekannten E-Mail-Account zu schicken,
  • Anmeldung und Bestätigung über verifizierten Account oder
  • Post-/Video-Ident und die Übersendung von Ausweisdokumenten bei besonders sensiblen Auskünften.

Prüfung der Vollmacht bei Auskunftsbegehren von Anwälten

In der Praxis kommt es relativ häufig vor, dass Auskunftsansprüche durch Anwälte gestellt werden. Das ist zulässig. Der Verantwortlicher sollte dann sicherstellen, dass eine Vollmacht für das Stellen der Auskunftsanfrage und für den Empfang der Auskunft vorliegt. Wird keine Originalvollmacht vorgelegt, sondern nur ein Fax o.ä., kann man die Auskunft gem. § 174 BGB „unverzüglich“ zurückweisen (siehe dazu OLG Stuttgart Urteil vom 31.03.2021 - Az.: 9 U 34/21). Die Auskunftsfrist (siehe unten) beginnt dann erst mit Übermittlung einer Originalvollmacht.

Enthält die Vollmacht keinen klaren Hinweis, dass auch die Auskunft an den Anwalt erteilt werden darf, sollte man im Zweifel die Auskunft nicht an den Anwalt schicken, sondern direkt an die Betroffenen.

Was ist zu beauskunften?

Bei Auskunftsanfragen ist zuerst immer die Frage zu beantworten, ob personenbezogene Daten des Betroffenen verarbeitet werden. Das ist entweder zu bestätigen oder zu verneinen.

Werden personenbezogenen Daten verarbeitet, kommt es für den Inhalt der Auskunft darauf an, was Betroffene verlangen. Auskunft nach Art. 15 Abs. 1 DSGVO, Herausgabe von Datenkopien nach Art. 15 Abs. 3 DSGVO oder eine besonders spezifizierte Auskunft. Verantwortliche können Betroffene auffordern/bitten zu spezifizieren, welche Informationen beauskunftet werden sollen oder auf welche Verarbeitungen sich das Begehren bezieht. Das kann helfen, eine schnelle und den Wünschen der Betroffenen entsprechende Auskunft sicherzustellen. Es führt aber nicht dazu, dass Betroffene Anspruch auf weniger als die ursprüngliche begehrte Informationen haben.

Wird Auskunft nach Art. 15 Abs. 1 DSGVO verlangt, muss Information gemäß dem Katalog von Art. 15 Abs. 1 DSGVO bereitgestellt werden, über

  • Verarbeitungszwecke,
  • Kategorien personenbezogener Daten, die verarbeitet werden,
  • Empfängern oder Kategorien von Empfängern der personenbezogenen Daten (im Zweifel nach Wahl der Betroffenen),
  • die geplante Dauer, für die die personenbezogenen Daten gespeichert werden oder die Kriterien für die Festlegung dieser Dauer,
  • das Bestehen von Betroffenenrechten und das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
  • Herkunft der Daten,
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.

Wird Herausgabe von Datenkopien nach Art. 15 Abs. 3 DSGVO verlangt, müssen Kopien der Daten herausgegeben werden. Bezieht sich die Anfrage auf Dokumente, muss nach der Rechtsprechung des EuGH auch eine Kopie des Dokuments selbst bereitgestellt werden, soweit das für die Kontrolle der Datenverarbeitung notwendig ist.

Wird weniger als der Inhalt von Art. 15 Abs. 1 DSGVO oder Art. 15 Abs. 3 DSGVO begehrt, muss entsprechend weniger beauskunftet werden.

Frist und Form der Beauskunftung

Für die Auskunft besteht gemäß Art. 12 Abs. 3 DSGVO eine Frist von einem Monat ab Eingang des Auskunftsbegehrens. Die Frist kann bei einer besonderen Komplexität oder hohen Anzahl von Anfragen auf bis zu drei Monate verlängert werden. In der Praxis bietet es sich an, direkt nach Erhalt eines Begehrens eine Eingangsbestätigung zu schicken und anzukündigen, sich innerhalb eines Monats zu melden, um die Erwartungen zu managen und Beschwerden bei Datenschutzbehörden zu vermeiden. Das gilt natürlich besonders, wenn Betroffene selbst kürzere Fristen setzen.

Für die Übermittlung der Auskunft ist es wichtig, einen sicheren Kanal zu wählen, damit die Inhalte der Auskunft geschützt sind. Je sensibler die Inhalte, desto höher sind die Anforderungen. Bei dem häufigen Fall der Übermittlung per E-Mail sollte man im Zweifel eine angemessene Verschlüsselung vorsehen.

Die Auskunft ist abhängig von der Art der Kommunikation mit den Betroffenen schriftlich, elektronisch oder mündlich zu erteilen. Im Zweifel sollte der von Betroffenen gewählte oder soweit erkennbar gewünschte Kanal genutzt werden. Datenkopien sind in der Regel in einem gängigen elektronischen Format zu übermitteln.

Wann kann man die Auskunft verweigern?

Es gibt Fälle, in denen die Auskunft verweigert oder ein Entgelt dafür verlangt werden kann. Das sind

  • offensichtlich unbegründete Begehren und
  • exzessive Anträgen.

Diese Ausnahmen liegen selten vor und werden in der Rechtsprechung sehr zurückhalten angewendet. Es ist also ein sehr stumpfes Schwert, um sich gegen Auskunftsbegehren zu wehren.

Was passiert, wenn man nicht beauskunftet?

Nicht beantwortete Auskunftsbegehren sind die Sollbruchstelle jeder Datenschutz-Organisation und sollten vermieden werden. Insbesondere wenn es bereits einen Konflikt mit Betroffenen gibt, landen nicht beantwortetet Auskunftsbegehren häufig bei den Datenschutzbehörden. Dann sollte man eine gute Begründung – oder Ausrede parat haben, sonst drohen Bußgelder bis zu EUR 20 Millionen oder 4% des Unternehmensumsatzes. Zusätzlich können Betroffene materiellen und immateriellen Schadensersatz geltend machen. Es gibt erste Urteile, in denen Schadensersatzansprüche wegen verspäteter Auskunft zugesprochen wurden, z.B. EUR 10.000 durch das Arbeitsgericht Oldenburg Urteil vom 9. Februar 2023 – Az. 3 Ca 150/21.

PLANIT//LEGAL

Verfahrensverzeichnis mit Muster

Datenschutzdokumentation

Verzeichnis von Verarbeitungstätigkeiten, Art. 30 Abs. 1

Das Verzeichnis von Verarbeitungstätigkeiten ist die datenschutzrechtliche Prozessdokumentation des Verantwortlichen. Es macht Sinn, sich bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten etwas Zeit zu nehmen und ein intelligentes System zu schaffen, das die Unternehmensprozesse in angemessener Detailtiefe abbildet, um über die Erfüllung von Dokumentationspflichten hinaus eine sinnvolle Grundlage für die weitere Datenschutz-Organisation und -Dokumentation zu schaffen. Ein gutes Verzeichnis von Verarbeitungstätigkeiten erfasst wie ein Netz alle Unternehmensprozesse und enthält Informationen, die so komprimiert sind, dass sich das Verzeichnis von Verarbeitungstätigkeiten mit vertretbarem Aufwand aktuell halten lässt.

Was ist eine Verarbeitungstätigkeit? Beispiele inklusive

Die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten ist eine gesetzliche Pflicht, die sich aus Art. 30 Abs. 1 DSGVO ergibt. Das Verzeichnis von Verarbeitungstätigkeiten besteht aus der Dokumentation einzelner Verarbeitungstätigkeiten. Verarbeitungstätigkeiten sind Prozesse, also eine Abfolge von einzelnen Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden. Wie viele Einzeltätigkeiten in einer Verarbeitungstätigkeit zusammengefasst werden, kann relativ frei definiert werden. Es ist also möglich, Prozesse zu einer großen Verarbeitungstätigkeit zusammen zu fassen oder getrennt abzubilden. Das klassische Beispiel einer Verarbeitungstätigkeit ist die Personaldatenverarbeitung – aber dazu unten mehr.

Wer braucht ein Verfahrensverzeichnis?

Grundsätzlich muss jeder Verantwortliche ein Verzeichnis der Verarbeitungstätigkeiten führen, also jedes Unternehmen und jede Behörde. Es gibt Ausnahmen von der Dokumentationspflicht für kleine Unternehmen mit weniger als 250 Beschäftigten, die aber mit Vorsicht zu genießen sind und im Ergebnis nur selten relevant werden. Denn es gibt Rückausnahmen, also Fälle, in denen auch diese kleinen Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten führen müssen, nämlich wenn kleine Unternehmen

  • regelmäßige Verarbeitungen durchführen, die ein Risiko für Rechte und Freiheiten der Betroffenen bedeuten (das ist öfter der Fall, als man es vermuten könnte);
  • Verarbeitungen besonderer Datenkategorien (z.B. von Gesundheitsdaten) durchführen (auch das ist in den meisten Unternehmen der Fall);
  • Verarbeitungen über strafrechtliche Verurteilungen und Straftaten durchführen (das dürfte selten der Fall sein).

Im Ergebnis sind also praktisch alle Unternehmen und Behörden verpflichtet ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Selbst wenn das einmal nicht der Fall sein sollte, sind sie zur Einhaltung des Datenschutzrechts verpflichtet und müssen das wegen der Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO auch dokumentieren. Jedenfalls dafür macht es Sinn, ein Verzeichnis der Verarbeitungstätigkeiten zu führen, weil es die übliche Dokumentation ist, die eine Datenschutzbehörde kennt und erwartet.

Wer erstellt das Verfahrensverzeichnis?

Die Pflicht zur Erstellung des Verzeichnisses der Verarbeitungstätigkeiten liegt bei dem Verantwortlichen, also der natürlichen oder juristischen Person, die ein Unternehmen führt bzw. bei einer Behörde. Nach der internen Organisation muss das Management oder die Behördenleitung sicherstellen, dass ein Verzeichnis von Verarbeitungstätigkeiten erstellt wird. Diese Personen dürfen die Erstellung natürlich delegieren. Das macht Sinn und ist gängige Praxis. Management bzw. Behördenleitung müssen dann nur noch kontrollieren bzw. sich berichten lassen, dass ein Verzeichnis der Verarbeitungstätigkeiten erstellt ist und regelmäßig gepflegt wird.

In der Praxis wird die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten häufig an Datenschutzbeauftragte oder eine Datenschutzabteilung delegiert. Diese koordinieren die Erstellung, indem sie das entsprechende Dokument anlegen und die Informationsbeschaffung durch die Fachabteilungen anstoßen, indem diese zu Interviews eingeladen werden, in Fragebögen Informationen zuliefern oder direkt in das Dokument einpflegen. Für diesen Prozess macht Softwareunterstützung natürlich Sinn, um Informationen effizient zusammen zu tragen und zu konsolidieren.

Was gehört in ein Verfahrensverzeichnis?

Die Inhalte des Verzeichnisses der Verarbeitungstätigkeiten ergeben sich aus Art. 30 Abs. 1 DSGVO. Es sind:

  • Name und die Kontaktdaten des Verantwortlichen;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation;
  • Fristen für die Löschung;
  • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Je nachdem, wie man das Verzeichnis der Verarbeitungstätigkeiten für die Datenschutz-Organisation und -Dokumentation nutzt, ist es zweckmäßig, weitere Informationen dort zu sammeln, wie

  • eingesetzte IT-Infrastruktur
  • eingesetzte Software
  • Ergebnis der Prüfung, ob eine Datenschutzfolgenabschätzung erfolgen muss
  • etc.

Gibt es Standardverfahren?

Es gibt „Standardverfahren“, die für alle oder die meisten Verantwortlichen eine Rolle spielen. Das sind z.B. Verfahren zur Verarbeitung von Kundendaten, zur Buchhaltung oder zum Betrieb einer Webseite. DER Klassiker der Verarbeitungstätigkeiten ist natürlich die Personaldatenverarbeitung. Sie ist in praktisch jedem Unternehmen und in jeder Behörde zu finden. In kleineren Unternehmen mit wenig Personal und wenig Aktivität und Komplexität, kann es sinnvoll sein, eine Verarbeitungstätigkeit „Personaldatenverarbeitung“ zu definieren und im Verzeichnis der Verarbeitungstätigkeiten abzubilden. In größeren Unternehmen mit komplexeren Personalprozessen hingegen ist es sinnvoll, das Thema zu splitten und getrennt abzubilden, etwa in Verarbeitungstätigkeiten für „Recruiting“, „Payroll“, „Personalentwicklung“, etc.

In vielen Fällen lässt sich eine sinnvolle Dokumentation mit ca. 15 Verarbeitungstätigkeiten abbilden. Deutlich mehr oder deutlich weniger Verarbeitungstätigkeiten können ein Indiz für eine zu komplexe bzw. zu wenig detaillierte Dokumentation sein.

Sinnvolle Standardverfahren für euer Verzeichnis der Verarbeitungstätigkeiten findet ihr in unserer kostenlosen Vorlage.

Wie sieht ein Muster eines Verfahrensverzeichnisses aus?

Muster für die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten enthalten die Pflichtangaben gemäß Art. 30 Abs. 1 DSGVO (siehe oben). Gute Muster enthalten darüber hinaus weitere Angaben, die für eine sinnvolle Datenschutz-Organisation und -Dokumentation benötigt werden.

Hier geht’s zum Download von unserem Muster.


PLANIT//LEGAL

Kurz erklärt: Technisch organisatorische Maßnahmen – TOMs

Datenschutzdokumentation

Die DSGVO schreibt vor, dass bei der Verarbeitung von personenbezogenen Daten bestimmte Maßnahmen zu deren Schutz getroffen werden - auch technisch organisatorische Maßnahmen (TOM) genannt. Diese Maßnahmen sollen sicherstellen, dass insbesondere die Integrität und Vertraulichkeit von personenbezogenen Daten gewahrt werden und die Verarbeitung sicher ist.

Welche Bedeutung haben TOMs?

Unternehmen, die personenbezogene Daten verarbeiten, sind verpflichtet, technische und organisatorischer Maßnahmen zum Schutz der Daten und zur Einhaltung des Datenschutzrechts zu implementieren. Dazu gehören Maßnahmen wie:

  • Anonymisierung und Verschlüsselung von Daten.
  • Sicherstellung der Integrität und Verfügbarkeit von Daten und zugehörigen Systemen.
  • Kontinuierliche Überwachung und Bewertung der implementierten Maßnahmen.


Ziele der TOMs im Datenschutz

Ziel der TOMs ist es, nach den aktuellen technologischen Entwicklungen einen angemessenen Datenschutz zu gewährleisten. Bei der Umsetzung der TOM sollte daher eine gründliche Risikobewertung erfolgen, damit dem Risiko angemessene Maßnahmen getroffen werden können. Wenn etwa ein Server oder Netzwerklaufwerk ausfällt muss es möglich sein, die Daten aus Back-ups wieder herstellen zu können.


TOMs im Unternehmenskontext

Mit der DSGVO steigen die Anforderungen an Unternehmen im Bereich des Datenschutzes. Es besteht die Pflicht, alle umgesetzten Schutzmaßnahmen ordnungsgemäß zu dokumentieren. Bei Nichteinhaltung können Unternehmen mit empfindlichen Geldstrafen rechnen.


Jetzt PRIMA entdecken

Wie lässt sich der Datenschutz durch TOMs verbessern?

  • Zutrittskontrolle: Verhindern den unkontrollierten Zugang zu Orten, in denen sich IT-Systemen befinden.
  • Zugangskontrolle: Stellt sicher, dass nachvollzogen werden kann, wer Zugang zu IT-Systemen hatte.
  • Zugriffskontrolle: Beschränkter stellt sicher, dass nur für autorisierte Personen auf personenbezogene Daten zugreifen können.
  • Weitergabekontrolle: Schutz der Daten während der Übertragung.
  • Eingabekontrolle: Stellt sicher, dass jeder Dateneingabe nachvollzogen werden kann.
  • Auftragskontrolle: Stellt sicher, dass Auftragnehmer nur in kontrollierter Weise mit personenbezogenen Daten umgehen.
  • Verfügbarkeitskontrolle: Stellt sicher, dass personenbezogene Daten verfügbar sind und nicht bei IT-Fehlern nicht dauerhaft verloren gehen.
  • Trennungsgebot: Stellt sicher, dass personenbezogenen Daten für verschiedene Zwecke getrennt verarbeitet werden.


Welche konkreten Maßnahmen für Ihr Unternehmen erforderlich sind, sollte unbedingt anhand einer individuellen Risikoanalyse bestimmt werden.


PLANIT//LEGAL

Datenschutz-Folgenabschätzung (DSFA) nach der EU-Datenschutz-Grundverordnung

Datenschutzdokumentation

Die Datenschutz-Folgenabschätzung (DSFA) ist das zentrale und verpflichtende Instrument zur Risikobewertung von Datenverarbeitungsvorgängen. Mit der DSFA sollen datenschutzrechtliche Gefahren frühzeitig zu erkennen und angemessene Maßnahmen zu ihrer Verringerung getroffen werden.


Was ist eine Datenschutz-Folgenabschätzung?

Die DSFA ist die zentrale Maßnahme des risikobasierten Ansatzes der DSGVO. Unternehmen müssen für jede Verarbeitung personenbezogener Daten prüfen, ob diese hohe Risiken für die Rechte und Freiheiten der Betroffenen hat. Für Verfahren, bei denen das der Fall ist, wird dann die eigentliche DSFA durchgeführt; eine detaillierte Beschreibung und Bewertung der datenschutzrechtlichen Risiken. Das Hauptziel der DSFA ist es, besondere Risiken für die Rechte und Freiheiten von Betroffenen zu bewerten und angemessene Schutzmaßnahmen zu treffen.


Wann ist eine DSFA durchzuführen?

Die DSGVO sieht vor, dass eine DSFA immer dann durchgeführt werden muss, wenn Datenverarbeitungsprozesse, insbesondere unter Einsatz neuer Technologien, ein hohes Risiko für die Rechte und Freiheiten von Personen bedeuten. Artikel 35 DSGVO enthält zudem Regelbeispiele, die die Durchführung einer DSFA verpflichtend machen, wie zum Beispiel die systematische und umfassende Bewertung persönlicher Aspekte oder die Verarbeitung besonderer Datenkategorien. Zudem haben Aufsichtsbehörden sogenannte Positivlisten veröffentlicht, die Verarbeitungsvorgänge enthalten, für die eine DSFA zwingend erforderlich ist.


Wie führt man eine DSFA durch?

Für die richtige Umsetzung gesetzlicher Anforderungen zur Durchführung einer DSFA ist es von entscheidender Bedeutung, Datenverarbeitungsvorgänge, die potenzielle Gefahren bergen, zu identifizieren und dann gründlich zu prüfen. Die DSGVO legt Mindestanforderungen für den Inhalt einer DSFA fest. Dazu gehören eine systematische Beschreibung der Verarbeitungsvorgänge, eine Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit sowie eine Risikobewertung für die betroffenen Personen. Darüber hinaus müssen Unternehmen Maßnahmen zur Risikominderung und zur Gewährleistung des Datenschutzes festlegen und den Rat des Datenschutzbeauftragten einholen. Wenn nach der DSFA immer noch ein hohes Risiko besteht, muss sogar eine Konsultation der Datenschutzbehörde erfolgen.


Fazit

Die DSFA ist ein gesetzliche Pflicht und ein essenzielles Instrument, um datenschutzrechtliche Risiken bei der Einführung neuer Prozesse oder Technologien in Unternehmen zu bewerten und zu mindern. Das dient zum einen dem Schutz der Betroffenen, aber auch dem Schutz Ihres Unternehmens. Insbesondere in Zeiten der Digitalisierung und der Einführung neuer Technologien ist es für Unternehmen unerlässlich, sich mit den potenziellen Risiken und den notwendigen Schutzmaßnahmen auseinanderzusetzen.

PLANIT//LEGAL

12 typische Fehler im Datenschutz

Datensicherheit

»Wir verarbeiten ja selbst keine personenbezogenen Daten« oder »unsere Kunden wissen ja, was wir mit ihren Daten machen - bei uns gibt es daher keine besonderen Datenschutzanforderungen« Kommen Ihnen solche Aussagen bekannt vor? Dann ist höchste Vorsicht geboten. Das Datenschutzrecht gilt für jedes Unternehmen – auch für Sie. Es reicht, dass Sie Kontakten von Kunden haben, Beschäftigte oder eine Webseite und sie müssen die strengen Vorgaben der Datenschutzgrundverordnung beachten. Das sind 12 typische Fehler, die Sie bei Ihrem Datenschutz vermeiden sollten.

  1. Unklare Datenschutz Information auf der Online-Präsenz: Ein Website- ohne umfassende und verständliche Datenschutzerklärung ist ein Datenschutzverstoß. Ist Ihre Datenschutzerklärung sicher und enthält etwa Information über Analyse-Tools? Stellen Sie sicher, dass Sie transparent informieren und einen Ansprechpartner für datenschutzrelevante Fragen haben.
  2. Achtlosigkeit bei Dokumenten: Oft enden Unterlagen oder Notizen im Müll, ohne deren Inhalt zu prüfen. Personenbezogene Daten gehören aber nicht einfach in den Papierkorb, sondern müssen datenschutzkonform vernichtet werden.
  3. Fehler in der Cloud: SaaS Dienste wie Google Drive sind praktisch und können richtig eingesetzt sogar ein Mehr an Sicherheit gewährleistet. Eine nicht gemanagter Cloud Dienst kann aber auch ein Einfallstor für Datenschutzverletzungen sein.
  4. Mangelhafte Kommunikation: Eine unbeabsichtigte Preisgabe personenbezogener Daten, sei es am Telefon oder in einer E-Mail passiert schnell, darf es aber nicht. Hier ist Sensibilität der Beschäftigten gefragt. Datenschutzschulungen schaffen hier Abhilfe.
  5. Sorglosigkeit am Arbeitsplatz: Ein unverschlossenes Büro oder ein Computer ohne Bildschirmsperre können zum Datenverlust und zu Datenpannen führen. Das gilt besonders für Bereiche, in denen auch Besucher Zutritt haben.
  6. Laxe Passwort-Praktiken: Das Verwenden zu einfacher oder identischer Passwörter für verschiedene Plattformen und Anwendungen hinweg kann ein Einfallstor für Cyberangriffe sein. Ein gutes Passwortmanagement ist daher Pflicht.
  7. Kapazitätsprobleme: Datenschutzthemen sind komplex und ständig im Wandel. Ein reaktiver Ansatz reicht nicht aus. Unternehmen müssen proaktiv sein und sich ständig anpassen. Das setzt voraus, dass es Personen gibt, die genug Ressourcen und passendes Know-how haben.
  8. Unwissenheit über die Anforderungen der DSGVO: Vertrauen Sie nicht darauf, dass die DSGVO für Sie nicht gilt. Das ist sicher falsch.  Verschaffen Sie sich einen Überblick der rechtlichen Anforderungen und machen Sie einen Plan, wie Sie mit diesen Risiken umgehen wollen.
  9. Risiken in der Kommunikation: E-Mail-Adressen sind personenbezogene Daten. Verwenden Sie beim Versenden von E-Mails an große Verteiler die „BCC“-Funktion, damit Ihr Mailing nicht zur Datenpanne wird.
  10. Videoüberwachung ohne Kennzeichnung: Falls Sie eine Videoüberwachung einsetzen, gelten strenge Anforderungen. In jedem Fall muss die Videoüberwachung klar gekennzeichnet sein und Sie müssen detaillierte Informationen dazu bereitstellen. Einfache Schilder mit Piktogrammen reichen dafür nicht.
  11. Fehlende Mitarbeiter Schulungen: Auch im Datenschutz ist der Mensch oft der größte Risikofaktor. Schulungen sind essenziell, um Beschäftigte über Datenschutzrisiken und richtiges Verhalten aufzuklären. Dies kann unter anderem helfen, versehentliche Datenlecks oder Phishing-Attacken zu vermeiden.
  12. Mischung von Privatem und Geschäftlichem: Die Verwendung von Apps wie WhatsApp auf Firmengeräten ist problematisch. Das gilt insbesondere, wenn solche Apps Zugriff auf das Adressbuch haben.

Es liegt in Ihrer Verantwortung, die notwendigen Schritte zu unternehmen, um sicherzustellen, dass Sie den Datenschutz In Ihrem Unternehmen einhalten und umsetzen. Die gute Nachricht: effizienter Datenschutz ist einfacher als Sie denken: PLANIT // PRIMA ist eine Datenschutz-Software, die nicht nur durch ihre browserbasierte und intuitive Benutzeroberfläche überzeugt, sondern auch alle essenziellen Bausteine für eine lückenlose Datenschutzorganisation vereint.

Rüsten Sie Ihr Unternehmen für die Datenschutzherausforderungen! Buchen Sie jetzt Ihre kostenlose, persönliche Tour durchs Tool.