Datenschutzberatung

 

Die Verarbeitung von personenbezogenen Daten  muss in jedem Unternehmen so organisiert sein, dass sie den Anforderungen des Datenschutzrechts entspricht.

Zur Umsetzung der Anforderungen sind die Datenschutz-Grundsätze verbindlich!
Die Nichtbeachtung dieser Grundsätze ist gem. Art. 83 DSGVO mit Bußgeld bedroht.

 

 

>> weitere Infos zu den Datenschutzgrundsätzen <<	>> weitere Infos zu den Anforderungen <<

 

Seit Wirksamkeit der DSGVO gilt als zusätzliche Anforderung die „Rechenschaftspflicht“. Es genügt nicht mehr, den Datenschutz so zu betreiben, dass keine Verstöße erfolgen. Stattdessen muss jetzt nachweisbar sein, dass ein geregelter und erfolgreicher Datenschutzprozess betrieben wird. Somit kommen Unternehmen - unabhängig ihrer Branche und Größe - nicht mehr drumherum, ein sogenanntes Datenschutzmanagementsystem aufzubauen und zu betreiben. 

 

Aufgaben des Datenschutzbeauftragten (Art. 39 DSGVO) 1. Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten; Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen; Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35; Zusammenarbeit mit der Aufsichtsbehörde; Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen. 2. Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

 

 

 Datenschutzgrundsätze

1.a.	Rechtmäßigkeit	Rechtsgrundlage oder Einwilligung
	Verarbeitung nach Treu und Glauben	Betroffene Personen müssen in der Lage sein, über eine Verarbeitung ihrer personenbezogenen Daten zu erfahren, und müssen ordnungsgemäß und umfassend über die Bedingungen der Erhebung informiert werden.
	Transparenz	Die Informationen über die Datenerhebung für den Betroffenen müssen in präziser, verständlicher und leicht zugänglicher Form sein.
1.b.	Zweckbindung	Eine Datenerhebung für eindeutig festgelegte Zwecke dürfen nicht für andere Zwecke weiterverarbeitet werden.
1.c.	Datenminimierung	Art und Umfang der Daten müssen auf das notwendige Maß begrenzt sein.
1.d.	Richtigkeit	Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein (sonst berichtigen oder unverzüglich löschen).
1.e.	Speicherbegrenzung	Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie erhoben worden sind, erforderlich ist. hilfreich: Löschkonzepte (enthält u. A. Löschfristen)
1.f.	Integrität und Vertraulichkeit	Gewährleistung eines angemessenen Schutzes vor: - unbefugter oder unrechtmäßiger Verarbeitung - unbeabsichtigtem Verlust, Zerstörung und Schädigung Umsetzung durch: geeignete Technische und Organisatorische Maßnahmen (TOMs) Pflicht!
2.	Rechenschaftspflicht	Nachweisbarkeit der Einhaltung der o. g. Datenschutzgrundsätze (Dokumentationspflicht!) z. B. durch ein Datenschutzmanagementsystem

 

 

Anforderungen der DSGVO

(an kleine und mittlere Unternehmen, Vereinen, etc.)

 

Eine kleine Checkliste zur Selbstüberprüfung

Thema
Datenschutzbeauftragter	Muss ein DSB benannt werden?
Verzeichnis von Verarbeitungstätigkeiten	Ist ein solches Verzeichnis erforderlich?
Sicherheit (setzt eine Erfassung der IT-Infrastruktur voraus)	Müssen die Daten besonders gesichert werden oder reichen etablierte Standartmaßnahmen aus?
Auftragsverarbeitung	Ist ein Vertrag zur Auftragsverarbeitung notwendig?
Informations- und Auskunftspflicht	Bestehen irgendwelche Informationspflichten?
Speicherung und Löschung von Daten	Gibt es besondere Anforderung zur Datenlöschung?
Melde- und Benachrichtigungspflicht	Müssen bestimmte Vorfälle gemeldet werden?
Risikoanalyse / -bewertung / Folgenabschätzung	Muss eine DSFA durchgeführt werden?
Homeoffice / Telearbeitsplätze	Gibt es Mitarbeiter die im Homeoffice arbeiten?
Regelungen zum Umgang mit mobilen Endgeräten	Sind Nutzungsvereinbarungen vorhanden?
Videoüberwachung (VÜ)	Praktizieren Sie in Ihrem Unternehmen Videoüberwachungen?
Einwilligungspflicht (z.B. für Bilder / Videos, Weitergabe von personenbezogenen Daten über die eigene Website)	Sind Einwilligungen notwendig?
Website und Social-Media	Sind Websites und Social-Media-Kanäle vorhanden?
Sicherer E-Mail-Versand	Ist der sichere Versand mit personenbezogenen Daten geregelt?
Datenschutz-Verpflichtung von Beschäftigten	Ist eine solche Verpflichtung durchzuführen?
Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses (von der Bewerbung bis zum Austritt des Beschäftigten)	Gibt es Regelungen im Umgang mit Bewerber- und Mitarbeiterdaten?
Sonstiges: Es gibt evtl. noch viele weitere Themen zu berücksichtigen. Jedes Unternehmen sollte daher ganz individuell geprüft und beraten werden.	z.B. Datenschutz in der Werbung, IT-Sicherheitskonzept

 

 >> als PDF zum Download <<

 

 

 

Erläuterungen zu den Anforderungen

 

1. Datenschutzbeauftragter (DSB)

In aller Regel ist nur dann ein DSB zu benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

„Ständig beschäftigt“ ist, wer z. B. permanent Kunden- oder Personalverwaltung macht. „Nicht“ dagegen, wer z. B. als Handwerker oder Produktionsmitarbeiter nur mit Namen und Adressen von Kunden umgeht.

Der Verantwortliche und der Auftragsverarbeiter haben sicherzustellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.

 

 

2. Verzeichnis von Verarbeitungstätigkeiten (VV)

Kleine Unternehmen gehen regelmäßig mit Kunden- und Mitarbeiterdaten um und müssen ein – vom Umfang her überschaubares – Verzeichnis ihrer Verarbeitungstätigkeiten führen.

(Dem Verzeichnis von Verarbeitungstätigkeiten sind die Technischen und Organisatorischen Maßnahmen beizufügen.)

 

3. Sicherheit

Um die personenbezogenen Daten bei der Verarbeitung zu schützen, sind Standardmaßnahmen im Regelfall ausreichend. Dazu gehören u.a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte. Soweit private PCs genutzt werden, ist sicherzustellen, dass nur berechtigte Personen auf die Daten zugreifen können.

Hinweis: Eine gute Sicherheit setzt eine Erfassung der IT-Infrastruktur voraus und ist ebenfalls der Grundstein für die Technischen und Organisatorischen Maßnahmen.

 

4. Auftragsverarbeitung

Sobald Verantwortliche Dienstleistungen in Anspruch nehmen, um personenbezogene Daten in ihrem Auftrag durch andere Unternehmen verarbeiten zu lassen, ist ein schriftlicher Vertrag zur Auftragsverarbeitung erforderlich.

(z. B. externes Lohnbüro, ext. IT-Support, ext. Rechenzentren, evtl. Hosting-Anbieter)

Hinweis: Erstellen Sie eine Liste externer Dienstleister und eingesetzter Software (auch Apps).

 

5. Informations- und Auskunftspflichten (Transparenzpflicht des Unternehmens)

Jedes Unternehmen hat die betroffenen Personen (d.h. insbesondere Kunden und Mitarbeiter) schon bei der ersten Datenerhebung über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Die betroffenen Personen haben auch das Recht, Auskunft über die Verarbeitung ihrer Daten zu erhalten.

 

Benachrichtigungspflicht des Unternehmens:

Wenn Daten über die betroffenen Personen von Dritten oder aus öffentlichen Quellen erhoben worden sind, ist die betroffene Person auf den gleichen Informationsstand zu bringen, als wenn Daten bei ihr erhoben worden sind.

(Zu beachten ist die hier auch die Erhebung von p. b. Daten über Websites, Apps usw.)

 

6. Speicherung und Löschen von Daten

Sobald keine gesetzliche Grundlage (z.B. steuerliche oder handelsrechtliche Aufbewahrungspflicht) für die Speicherung von personenbezogenen Daten mehr besteht, sind diese zu löschen. Dies ist z.B. der Fall, wenn ein Kunde mehrere Jahre lang keine neuen Aufträge mehr erteilt hat. Hinweis: Erstellung eines Löschkonzeptes!

 

7. Melde und Benachrichtigungspflicht (Datenschutzverletzungen)

Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z. B. Diebstahl, Hacking, Fehlversendung, Verlust von Geräten mit unverschlüsselten Vereinsdaten), so bestehen gesetzliche Meldepflichten: Die Aufsichtsbehörde ist im Regelfall - innerhalb von 72 Stunden - darüber in Kenntnis zu setzen, betroffene Personen dagegen nur bei hohem Risiko.

 

8. Datenschutz-Folgeabschätzung (DSFA)

Hat eine Verarbeitung personenbezogener Daten ein hohes Risiko für die betroffenen Personen, so muss das spezielle Instrument der Datenschutz-Folgenabschätzung durchgeführt werden. Ein solch hohes Risiko ist jedoch der Ausnahmefall und nicht die Regel.

 

9. Homeoffice / Telearbeit

Auch im Homeoffice oder bei der Telearbeit muss ein hinreichender Schutz von personenbezogenen Daten gewährleistet sein, sofern der Mitarbeiter mit diesen im Rahmen seiner Tätigkeit zu tun hat.

Hinweis: Es gelten die gleichen Datenschutzregelungen wie im Unternehmen selbst.

 

10. Regelung zum Umgang mit mobilen Endgeräten

Erstellen Sie eine Nutzungs- /oder Dienstanweisung, in der der Umgang mit den mobilen Endgeräten Ihres Unternehmens geregelt ist ( Notebooks, Tablets, Smartphones).

Hinweis: Nutzungsanweisungen sind sehr hilfreich, um meldepflichtige Datenschutzvorfälle zu vermeiden!

 

11. Videoüberwachung

Führt ein Verantwortlicher eine Videoüberwachung durch, ist im Normalfall eine entsprechende Hinweisbeschilderung erforderlich, um die betroffenen Personen über die Videoaufnahmen zu informieren.

Hinweis! Zu beachten sind die Regelungen des Art. 6 Abs. 1 lit. f DSGVO zum berechtigten Interesse des Verantwortlichen in Abwägung gegen die Rechte und Freiheiten der betroffenen Personen.

 

12. Einwilligungspflicht

Personenbezogene Daten dürfen nur unter dem Vorbehalt einer Rechtsgrundlage oder einer Einwilligung verarbeitet werden.

Das heißt: Das Vorliegen einer Rechtsgrundlage prüfen! Wenn keine Rechtsgrundlage vorliegt, muss eine Einwilligung des Betroffenen eingeholt werden.

 

13. Website, Social Media (z.B. Facebook, Twitter usw.) sowie Mail-Versand

 Sobald Verantwortliche eine Website oder Social-Media-Kanäle betreiben, ist der Datenschutz zu berücksichtigen.

 

14. Mail-Versand

 Personenbezogene Daten (insbesondere besonders schützenswerte Daten) niemals unverschlüsselt versenden!

 

15. Datenschutz-Verpflichtung von Beschäftigten

Bei der Aufnahme der Tätigkeit sind Beschäftigte, die mit personenbezogenen Daten umgehen, zu informieren und dahingehend zu verpflichten, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der DSGVO erfolgt.

 Hinweise:

• Vertraulichkeitsverpflichtung für Mitarbeiter
• regelmäßige Schulungen der Mitarbeiter

 

16. Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses

Zu berücksichtigen sind unter anderem:

• Erhebung und Speicherung von Bewerberdaten
• Erhebung, Verarbeitung und Nutzung von Mitarbeiterdaten (Personaldaten – z.B. Personalfragebogen)
• Die Grundsätze zum Führen der Personalakte (Vertraulichkeit, Richtigkeit und Vollständigkeit, Zulässigkeit und Zweckbindung, Transparenz, BEM)
• Beendigung des Beschäftigungsverhältnisses
• Datenschutz und Betriebsrat
• u. s. w.

Achtung: Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses ist ein sehr umfangreicher Prozess.

Die hier aufgeführten Punkte geben nur ein paar wenige Einblicke, worauf unbedingt zu achten ist!

 

 

 

pro.DAT-Leistungen

 

  

DSGVO Grundschutz Ernennung zu Ihrem externen Datenschutzbeauftragten Prüfung Ihrer Kernprozesse und Handlungsempfehlung zur Umsetzung der DSGVO Prüfung der IT-Sicherheit Durchführung von Datenschutz-Folgenabschätzungen (Risikoanalyse) Websiteprüfung und Erstellung individueller Datenschutzerklärungen Erstellung und Aktualisierung von Datenschutz-Dokumenten Datenschutzkonzept (nach Gebot der Organisationskontrolle) Verzeichnis von Verarbeitungstätigkeiten Technische und organisatorische Maßnahmen Meldung von Datenschutzverstößen Einverständniserklärungen Vertraulichkeitsverpflichtungen für Mitarbeiter Aufbau eines Datenschutzmanagement-Systems (Datenschutz-Police, Datenschutzmanagement-Handbuch, Richtlinien und Arbeitsanweisungen) Beratung / Prüfung Bearbeitung der Anfragen von Behörden und Betroffenen Beratung im Zusammenhang mit Datenschutz-Folgenabschätzungen Prüfung von Dokumenten für Mitarbeiter und Kunden Prüfung der DSGVO-Konformität von Software und Hardware Auftragsverarbeitungsverträge (AV) Beratung bei der Erstellung von AV-Verträgen Prüfung der AV-Verträge Ihrer Kunden Schulungen Sensibilisierung und Schulung der Mitarbeiter individuelle Schulungen (z. B. für Geschäftsführungen und Abteilungen) Datenschutz-Audit regelmäßige Datenschutzaudits in Ihrem Unternehmen (mindestens 1 Mal im Jahr) evtl. Auditierung der Auftragsverarbeiter Zertifizierung Vorbereitung und Begleitung von Zertifizierungen gemäß Artikel 42 / 43 DSGVO

 

 

 

 

 

Artikel 91 DSGVO räumt Kirchen, religiösen Vereinigungen und Gemeinden eigene Datenschutzregelungen ein, sofern diese zum Zeitpunkt des Inkrafttretens der DSGVO bereits angewendet wurden und im Einklang mit der DSGVO gebracht werden.
Daraus resultieren in der Evangelischen Kirche in Deutschland das DSG-EKD und in der Katholischen Kirche die Anordnung über den kirchlichen Datenschutz (KDO) mit jeweils eigenständigen Aufsichtsbehörden.

 

 

IT-Sicherheitsverordnung der Evangelischen Kirche (ITSVO-EKD)

Gemäß IT-Sicherheitsverordnung - ITSVO-EKD vom 29. Mai 2015 haben die Evangelische Kirche in Deutschland, ihre Gliedkirchen und ihre gliedkirchlichen Zusammenschlüsse sowie die ihnen zugeordneten kirchlichen und diakonischen Werke und Einrichtungen sicherzustellen, dass ein IT-Sicherheitskonzept erstellt und kontinuierlich fortgeschrieben wird. Der für die Umsetzung des IT-Sicherheitskonzeptes erforderliche Sicherheitsstandard soll sich an den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Informationssicherheit und zum IT-Grundschutz orientieren.