Wichtige Datenschutzinformationen für Ihr Unternehmen

Technische und organisatorische Maßnahmen

Datenschutz

Die Datenschutzgrundverordnung (DSGVO) fordert im Artikel 32 von allen Verantwortlichen den Einsatz von technischen und organisatorischen Maßnahmen (TOM), mit denen ein Schutzniveau gewährleistet wird, das dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenen ist.

Diese TOM sollen zur Gewährleistung der Sicherheit insbesondere die Risiken berücksichtigen, die sich, bezogen auf beteiligte IT-Systeme, Dienste und Fachprozesse, aus einer potenziellen Verletzung der Verfügbarkeit, Vertraulichkeit und Integrität personenbezogener Daten ergeben könnten.

Da die DSGVO aber technikneutral formuliert wurde, finden sich darin leider keine konkreten Maßnahmen, mit der ein Verantwortlicher Schritt für Schritt alle Vorgaben abarbeiten könnte. Stattdessen überlässt es die DSGVO jedem selbst die richtigen Maßnahmen auszuwählen und diese umzusetzen.

Nur was sind technische und organisatorische Maßnahmen im Detail, wie sollten diese eingesetzt werden und wie kann man prüfen, ob die Sicherheit der Verarbeitung nach Artikel 32 DSGVO gewährleistet und ein angemessenes Schutzniveau erreicht ist?

Um Sie genau bei diesen Fragen zu unterstützen, habe wir mit unserer Datenschutzzeitung eine Best Practice Checkliste zusammengetragen, mit der auch Sie Ihr Schutzniveau prüfen und verbessern können. Neben den Themen Archivierung und Awareness der Mitarbeiter:innen – die wir bereits in unserem Beitrag kurz beschreiben – erhalten Sie einen umfassenden ersten Einblick zum Thema technische und organisatorische Maßnahmen.

Archivierung

Archivdaten werden zwar für die tägliche Arbeit nicht mehr benötigt, müssen aber mitunter aufgrund gesetzlicher Aufbewahrungsfristen eine bestimmte Zeit lang weiterhin aufbewahrt werden. Eine Absicherung der enthaltenen personenbezogenen Daten ist daher auch dann zu gewährleisten. Hier bietet zum Beispiel ein Dokumentenmanagement eine elegante Lösung Prozesse im Unternehmen zu optimieren und gleichzeitig die Archivierung rechtskonform zu gestalten.

Awareness der Mitarbeiter:innen

Beschäftige stehen mittlerweile verstärkt im Fokus von Cyberattacken. Zum Beispiel sollen sie mittels raffiniertem Social Engineering dazu verleitet werden, sicherheitskritische Aktionen auszuführen. Mitarbeiter:innen müssen daher gerade in Sicherheitsfragen stetig geschult und sensibilisiert werden, um solche Angriffe schon im Vorfeld zu vereiteln.

Lesen Sie hier die aktuelle Ausgabe unserer Datenschutzzeitung mit Best Practice Checklisten auf Basis des Artikel 32 DSGVO.

Sollten Sie darüber hinaus weitere Informationen benötigen oder eine ausführliche Beratung zum Thema Datenschutz im Allgemeinen wünschen, stehen wir Ihnen jederzeit sehr gerne zur Verfügung.

Informationspflichten für Unternehmen

Sei es bei der Erstellung eines Angebotes, beim Abschluss eines Vertrages oder einem simplen Besuch einer Internetseite. In unserer digitalen Welt werden immer schneller und immer mehr Daten erhoben, wobei sich Betroffene dessen oft gar nicht bewusst sind.

Um hier eine größere Transparenz zu schaffen, beziehungsweise die Datenschutzrechte von Betroffenen zu stärken, trat 2018 die Datenschutzgrundverordnung (DSGVO) in Kraft, in der unter anderem auch die Informationsrechte von Betroffenen geregelt sind und bestimmt wird, wer für die Erhebung und Verarbeitung personenbezogener Daten verantwortlich ist.

Unternehmen und deren verantwortliche Stellen sollten sich hierbei den Artikel 13 der Datenschutzgrundverordnung (DSGVO) ganz besonders gut ansehen, weil Informationsrechte für Betroffene gleichbedeutend mit Informationspflichten für Unternehmen sind.

Aber genau diese Informationspflichten für Unternehmen werfen viele Fragen auf:

Wer muss informiert werden?

Jedes Unternehmen ist laut Datenschutzgrundverordnung (DSGVO) verpflichtet, potentiell betroffenen Personen Auskunft zu erteilen:

Jeder Betroffene sollte zu jeder Zeit wissen,
ob und wenn ja, welche Daten von ihm erhoben
und gespeichert werden. Auch der Zweck der
Verarbeitung sollte dem Betroffenen bekannt sein.

Alle Unternehmen sollten somit für verschiedene Personenkreise jeweils ein spezielles Dokument erstellen, das den Anforderungen der Datenschutzgrundverordnung gerecht wird und welches bei einem Erstkontakt oder auf Nachfrage sofort an potentiell betroffene Personen ausgehändigt werden kann.

Mögliche Empfänger könnten unter anderem sein:

  • Kunden und Interessenten
  • Lieferanten
  • Mitarbeiterinnen und Mitarbeiter
  • Bewerberinnen und Bewerber
  • Besucherinnen und Besucher deren personenbezogene
  • Daten, z. B. zur Kontaktverfolgung während
  • einer Pandemie, festgehalten werden

Für die Erstellung dieser Dokumente sollte man sich Zeit nehmen. Zum einen, weil eine transparente Herangehensweise Vertrauen in der Zusammenarbeit schafft, zum anderen aber auch, weil bei Nichteinhaltung der Vorgaben schnell empfindliche Bußgelder drohen.

Welche Informationen müssen übermittelt werden?

Ein Dokument zur Erfüllung der Informationspflichten laut DSGVO sollte folgende Themenschwerpunkte berücksichtigen und ausformuliert für jeden Betroffenen transparent und verständlich darstellen:

  • Definition des potentiell betroffenen Personenkreises
  • Benennung des verantwortlichen Unternehmens
  • Benennung der zu Grunde liegenden Rechtsnormen
  • Optional der aktuelle Versionsstand (Empfehlung)
  • Eine einfache und verständliche Einleitung
  • Benennung des Verantwortlichen
    • Kontaktdaten (Firmendaten)
    • Vertreter der verantwortlichen Stelle
    • (Geschäftsführer/in, Vorstand, …)
    • Benennung des Datenschutzbeauftragten, falls vorhanden
  • Art, Zweck und Rechtsgrundlagen der Verarbeitung
  • Allgemeine Grundlagen zur Verarbeitung
  • Beschreibung der personenbezogenen Daten oder Daten-Kategorien
  • Beschreibung möglicher Datenquellen (z. B. wenn die Daten nicht direkt erhoben werden)
  • Wer Empfänger der pers. Daten sein kann?
  • Werden personenbezogene Daten ins nicht
  • europäische Ausland übermittelt?
  • Wie lange werden die Daten gespeichert, bzw. auf welcher Rechtsgrundlage müssen die Daten vorgehalten werden?
  • Benennung der Datenschutzrechte für Betroffene
  • Beschwerderecht bei der zuständigen Aufsichtsbehörde (inkl. Kontaktdaten der Behörde)
  • Müssen pers. Daten bereitgestellt werden?
  • Werden Tools zur automatischen Entscheidungsfindung eingesetzt?

Wann sollten die Daten weitergegeben werden?

Die Frist, in der potentiell Betroffene über die Erhebung und Verarbeitung von pers. Daten informiert werden müssen, beträgt maximal einen Monat.

Falls ein direkter Kontakt zum Betroffenen besteht, z. B. beim Abschluss eines Vertrages, sollte die Übermittlung der Datenschutzinformationen am besten direkt erfolgen, z. B. durch eine Erweiterung des Vertrages, bzw. der Auftragsbestätigung. Falls dies nicht möglich ist, wäre eine fristgerechte Übermittlung per E-Mail zu empfehlen. So wäre auch die Nachweispflicht der Übermittlung zu 100% gegeben.

Übermittlung der Informationen

Um den Informationspflichten nachzukommen, empfehlen wir u. a. folgende Strategien anzuwenden:

  • Erweiterung der Angebots-, Bestell-, Bestätigungs- und Vertragsunterlagen
  • Erweiterung der E-Mail Signatur
  • Herausgabe von Unterlagen für Bewerber/innen
  • Erweiterung der Arbeitsverträge
  • Direkter Aushang der Datenschutzinformationen im Verkaufsraum, in der Praxis, im Sportstudio, im Hotel, in der Gaststätte, …
  • Als Handreichung am Empfang (z. B. als Info-Flyer)
  • Auf der Internetseite, u. v. m.

Wir helfen sehr gerne!

Falls auch Sie Dokumente zur Erfüllung der DSGVO erstellen möchten, unterstützen wir Sie sehr gerne. Profitieren Sie von unserem Know-how und von vielen Checklisten und Mustervorlagen, die wir gemeinsam mit Ihnen schnell und einfach an Ihre individuellen Anforderungen anpassen können!


Ihre Ansprechpartnerin (Dasax GmbH)