1. Was versteht man unter Datenschutz?
Kern des Datenschutzes ist der Schutz personenbezogener Daten. Das sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (sogenannte „betroffene Person“) beziehen. Das heißt, alle Informationen, die sich direkt oder indirekt auf einen Menschen beziehen lassen.
Geschützt wird der Bürger vor Beeinträchtigungen seiner Privatsphäre durch unbefugte Erhebung, Speicherung und Weitergabe von Daten, die seine Person betreffen.
Art. 4 Nr. 2 DSGVO umfasst grundsätzlich jeden Verarbeitungsvorgang im Zusammenhang mit personenbezogenen Daten einschließlich deren Erhebung. Darunter fallen z.B. Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung, Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verarbeitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung das Löschen sowie die Vernichtung von personenbezogenen Daten.
2. Was versteht man unter Datenschutz Compliance?
Unter Datenschutz Compliance versteht man ein an den gesetzlichen Vorgaben des Datenschutzes orientiertes Verhalten des Unternehmens.
Dies wird erreicht, indem eine Orientierung an den Zielen der DSGVO stattfindet: Diese sind die Schaffung von Transparenz für die Betroffenen und die Sicherung der Rechte der Betroffenen.
Um diese Ziele im Unternehmen umzusetzen, wird ein zweistufiger Ansatz verfolgt:
Das Unternehmen muss zum einen die Datenschutzvorschriften einhalten und zum anderen Datenschutzverstöße vermeiden.
3. Der Verantwortliche für den Datenschutz
3.1 Wer ist verantwortlich für den Datenschutz im Unternehmen?
Handelt es sich bei einem Unternehmen um eine juristische Person, zum Beispiel um eine GmbH, ist diese GmbH primär die Verantwortliche für den Datenschutz. Faktisch ist der Verantwortliche eines Unternehmens damit stets die Geschäftsführung, die für das Unternehmen handelt.
Bei einem Kaufmann oder einem Selbstständigen, ist dieser selbst der Verantwortliche.
Die externe Verantwortung für die Einhaltung der Datenschutzvorschriften liegt allein beim Unternehmen als Verantwortlichem und damit bei der Geschäftsleitung. Intern kann und muss die Verantwortung für eine effektive Umsetzung des Datenschutzes auf verschiedene Ressourcen verteilt werden. Hierzu sollte ein Datenschutzteam gebildet werden, das alle Abteilungen des Unternehmens einbindet und einen Verantwortlichen für die Umsetzung des Datenschutzes umfasst, der von der Geschäftsleitung ermächtigt ist, zentrale Entscheidungen zu treffen.
3.2 Welche Maßnahmen müssen zur Umsetzung des Datenschutzes in einem Unternehmen getroffen werden?
Der Verantwortliche hat eine kontinuierliche Verpflichtung zur Überwachung der Einhaltung und der Verbesserung der Maßnahmen zum Datenschutz.
Welche Maßnahmen im Einzelnen getroffen werden müssen, richtet sich individuell nach der Menge der verarbeiteten Daten und dem Umfang der Verarbeitung. Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss sicher stellen, dass die Daten nach den Vorgaben des Datenschutzes erhoben werden, dass sie vor unbefugtem Zugriff oder unbefugter Weitergabe oder vor Verlust oder Vernichtung geschützt sind.
Neben den Datenschutzprozesses, die die Abläufe regeln, bedarf es bestimmter organisatorischer Strukturen, um die Einhaltung der Datenschutzanforderungen sicherzustellen.
3.3 Wie erfülle ich meine Rechenschaftspflicht?
Zentrales Element des Datenschutzes ist die Rechenschaftspflicht. Der Verantwortliche muss den Nachweis erbringen können, dass die Anforderungen umgesetzt werden. Dies erfordert eine Dokumentation aller technischen und organisatorischen Maßnahmen, die in einem Unternehmen getroffen werden, um die Rechte der Betroffenen zu schützen.
Diese Maßnahmen sollten am besten schriftlich, ob digital oder elektronisch, festgehalten werden, damit sie bei Anfrage der Datenschutzbehörde an diese übermittelt werden können.
Hierzu zählt bereits die Aufstellung der TOMs und das Auftragsverarbeitungsverzeichnis, aber auch sämtliche internen Richtlinien und Vorgaben, Verträge mit Mitarbeitern und Externen sowie Aufzeichnungen darüber, wann die Maßnahmen zum Datenschutz vom Datenschutzbeauftragten überprüft werden und was getan wird, um nach einer Prüfung die Maßnahmen zum Datenschutz zu verbessern.
Für sämtliche dieser Dokumente sollte es außerdem eine Änderungshistorie geben.
4. Der Datenschutzbeauftragte
4.1 Was macht ein Datenschutzbeauftragter?
Der Datenschutzbeauftragte ist das interne Kontrollorgan des Unternehmens. Er prüft und überwacht im Unternehmen die Einhaltung der Vorgaben des Datenschutzes (Überwachung, Kontrolle, Audits, Überprüfung).
4.2 Ab wann benötige ich einen Datenschutzbeauftragten?
Ein Datenschutzbeauftragter muss bestellt werden, wenn in einem Unternehmen mindestens 10 Personen ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. Personenbezogene Daten werden bereits dann verarbeitet, wenn die Mitarbeiter ein Textverarbeitungsprogramm wie Word oder das E-Mail-Programm mit gespeicherten Adressen ständig verwenden.
Bei der 10-Personen-Regel ist zu beachten, dass es allein um die Anzahl der Personen geht, die mit Datenverarbeitung ständig befasst sind. Ob es sich um Partner oder Studenten, Buchhalter oder freie Mitarbeiter, Vollzeit- oder Teilzeitkräfte handelt, spielt keine Rolle. Es kommt allein auf die Kopfzahl an.
Abgesehen davon muss ein Datenschutzbeauftragter bestellt werden, wenn besondere Daten gemäß Art. 9 DSGVO als Kerntätigkeit verarbeitet werden. Hierunter fallen zum Beispiel Gesundheitsdaten. Eine Kerntätigkeit der Verarbeitung liegt jedoch regelmäßig nur bei den Krankenkassen vor.
4.3 Wie bestelle ich einen Datenschutzbeauftragten?
Die Bestellung eines Datenschutzbeauftragten muss nicht mehr schriftlich erfolgen. Aufgrund der Dokumentationspflicht empfiehlt es sich jedoch schriftliche Muster zu verwenden.
4.4 Muss ich den Datenschutzbeauftragten melden?
Alle Unternehmen, die verpflichtet sind einen Datenschutzbeauftragten zu bestellen, müssen dessen Kontaktdaten an die zuständige Aufsichtsbehörde melden. Dies kann online vorgenommen werden.
4.5 Wer kann Datenschutzbeauftragter werden?
Der Datenschutzbeauftragte muss aufgrund seiner beruflichen Qualifikation und seines Fachwissens auf dem Gebiet des Datenschutzes benannt werden.
Bei einem internen Datenschutzbeauftragten darf kein Interessenkonflikt entstehen. Dies schließt Mitarbeiter der IT-Abteilung, Personalabteilung und der Geschäftsführung sowie einen Justiziar von einer Bestellung aus. Diese sind maßgeblich an der Einhaltung und Umsetzung der Datenschutzvorschriften im Unternehmen beteiligt. Würde man eine dieser Personen zum Datenschutzbeauftragten bestellen, müsste er sich als Kontrollorgan gewissermaßen selbst kontrollieren.
4.6 Ist es besser einen internen oder einen externen Datenschutzbeauftragten zu haben?
Ob es besser ist, einen externen oder einen internen Datenschutzbeauftragten zu ernennen, hängt vom jeweiligen Unternehmen ab. Wenn es nicht möglich ist, Interessenskonflikte zu vermeiden, bleibt meist nur die externe Bestellung eines Datenschutzbeauftragten. Ansonsten sind die Kosten für einen externen Datenschutzbeauftragten mit der Arbeitszeit eines internen Datenschutzbeauftragten abzuwägen. Weitere Kriterien sind die erforderliche Qualifikation eines internen Datenschutzbeauftragten, die Kosten für Schulungen sowie der besondere Kündigungsschutz nach § 6 Abs.4 BDSG, der für Deutschland gilt.
5. Verzeichnis der Verarbeitungstätigkeit
5.1 Brauche ich ein Verzeichnis der Verarbeitungstätigkeit? (Verarbeitungsverzeichnis)
Das Verzeichnis der Verarbeitungstätigkeit oder Verarbeitungsverzeichnis ist von jedem Verantwortlichen, der personenbezogene Daten verarbeitet, zu führen. Zwar gibt es in der DSGVO Ausnahmen in Art. 30 DSGVO, diese greifen jedoch beinahe nie, da personenbezogene Daten in einem Unternehmen in der Regel permanent und nicht "nur gelegentlich" verarbeitet werden.
5.2 Was steht im Verarbeitungsverzeichnis?
Das Verarbeitungsverzeichnis muss folgende Informationen enthalten: Den Zweck der Verarbeitung, die Kategorien der betroffenen Personen und die Kategorien der personenbezogenen Daten, die Kategorien von Empfängern, gegebenenfalls die Übermittlung von personenbezogenen Daten an ein Drittland, die vorgesehene Speicherdauer sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung.
Es ist nicht erforderlich, dass tatsächlich jeder einzelne Datensatz in das Verarbeitungsverzeichnis eingetragen wird. Es soll keine Datenbank mit allen im Unternehmen vorhandenen Daten darstellen. Das Verarbeitungsverzeichnis dient lediglich als Überblick über die im Unternehmen vorhandenen Datenverarbeitungen.
Aus diesem Grund enthält das Verfahrensverzeichnis auch nur die Kategorien der personenbezogenen Daten, das heißt, nicht „Max Mustermann, Musterstraße 3" sondern „Name, Adresse".
Am besten eignet sich hierzu eine Excel Tabelle, in der sämtliche Daten erfasst werden. Zur Erstellung kann es helfen, sich aufzuzeichnen, welche Abteilungen es im Unternehmen gibt und welche Prozesse innerhalb dieser Abteilungen Daten verarbeiten. Diese Verarbeitungen werden dann in das Verzeichnis eingetragen.
Sollte sich in der Datenverarbeitung im Unternehmen nichts ändern – das heißt keine neuen Datenverarbeitungen, Datenkategorien oder Empfänger hinzukommen - so muss das Verarbeitungsverzeichnis nur einmal erstellt werden. Um Änderungen der Eintragungen im Verzeichnis nachvollziehen zu können, sollte eine Dokumentation der Änderungen erfolgen.
5.3 Wer hat Zugriff auf das Verarbeitungsverzeichnis?
Einzig die zuständige Aufsichtsbehörde kann die Vorlage des Verarbeitungsverzeichnisses verlangen.
6. Auftragsverarbeitung
6.1 Wer ist Auftragsverarbeiter?
Auftragsverarbeiter ist jeder, der auf Weisung eines anderen für diesen personenbezogene Daten verarbeitet. Der Auftraggeber weist und kontrolliert somit jeden Schritt der Datenverarbeitung und bleibt der „Herr der Daten“. Eine Verarbeitung ist, wie oben erwähnt, zum Beispiel das Erfassen, die Speicherung, das Abfragen sowie das Löschen oder die Vernichtung von personenbezogenen Daten. Typische Auftragsverarbeiter sind zum Beispiel die externe Lohnbuchhaltung (Verarbeitung von Mitarbeiterdaten), Google Analytics auf der Webseite (Erhebung von Kundendaten und Übertragung an Google) oder ein Datenträgervernichter.
Es wird vertreten, dass Auftragsverarbeiter auch derjenige ist, bei dem im Rahmen seiner Tätigkeit die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten besteht. Hierunter fallen zum Beispiel externe IT-Dienstleister.
Keine Auftragsverarbeitung liegt vor, wenn der Verarbeiter überwiegend eigene Geschäftszwecke verfolgt. Das trifft beispielsweise für die Finanzbuchführung oder Gehaltsabrechnung durch einen Steuerberater zu. Ebenfalls keine Auftragsverarbeiter sind Rechtsanwälte oder Wirtschaftsprüfer.
Kein Auftragsverarbeiter ist außerdem ein Transportdienstleister wie die Deutsche Post oder ein beauftragtes Reinigungsunternehmen.
6.2 Mit wem muss ich einen Auftragsverarbeitungsvertrag schließen?
Mit sämtlichen Auftragsverarbeitern muss ein Auftragsverarbeitungsvertrag geschlossen werden. Dieser Vertrag verpflichtet den Auftragsverarbeiter neben dem Hauptvertrag der Tätigkeit zum Datenschutz und zu einer Verarbeitung der Daten nach Weisung des Auftraggebers. Außerdem enthält ein Auftragsverarbeitungsvertrag eine Aufstellung der technischen und organisatorischen Maßnahmen, die der Auftragsverarbeiter ergreift, um die Daten, die er für den Auftraggeber verarbeitet, zu schützen.
Sämtliche Auftragsverarbeitungen müssen als Prozesse in das Verarbeitungsverzeichnis aufgenommen werden. Außerdem muss dokumentiert werden, dass bei der Auswahl des Auftragsverarbeiters überprüft wurde, dass er Daten im Einklang mit den Datenschutzvorschriften verarbeitet.
6.3 Was muss ich als Auftragsverarbeiter tun?
Wer selbst für einen anderen Daten verarbeitet und damit Auftragsverarbeiter ist, muss selbst ein separates Verzeichnis der Verarbeitungstätigkeit über die Daten, die er im Auftrag verarbeitet, führen. Außerdem muss jeder, der im Auftrag für einen anderen Daten verarbeitet, einen Datenschutzbeauftragten bestellen.
7. Technische und Organisatorische Maßnahmen
7.1 Was sind technische und organisatorische Maßnahmen? (TOMs)
Technische Maßnahmen sind alle IT-Maßnahmen, die getroffen werden, um sicherzustellen, dass personenbezogene Daten angemessen geschützt werden.
Organisatorische Maßnahmen sind die Ausarbeitung und Verwendung von Verfahrensanweisungen für Prozesse, die Daten verarbeiten.
7.2 Welche TOMs muss ich ergreifen?
Welche Maßnahmen ein Unternehmen ergreifen muss, um dem Datenschutz gerecht zu werden, bestimmt sich immer individuell nach dem jeweiligen Unternehmen.
Die Datenschutzgrundverordnung macht hierzu insbesondere bei den technischen Vorkehrungen keine starren Vorgaben. Die Maßnahmen müssen angemessen für die Größe des Unternehmens und die verarbeiteten Daten sein. Werden besondere Kategorien von Daten verarbeitet, dann sind besondere Vorsichtsmaßnahmen zu treffen, um diese sensiblen Daten zu schützen.
Technische Maßnahmen sind zum Beispiel regelmäßige Backups auf externe Datenträgern, Passwortschutz (z.B. Windows-Kennwort beim PC, Smartphone-PIN), Festplattenverschlüsselung bei mobilen Geräten, Einrichtung von Benutzerrechten, Virenscanner, Einspielung von Updates auf das Betriebssystem oder auch Zutrittskontrollen zum Gebäude.
8. Mitarbeiter und Datenschutz
8.1 Wie sensibilisiere ich meine Mitarbeiter für den Datenschutz?
Die Sicherstellung der Datenschutzvorschriften hängt in hohem Maße von einem angemessenen Umgang mit personenbezogenen Daten ab. Die einfachste und daher eine sehr sinnvolle Maßnahme zur Reduzierung von Datenschutzrisiken im Unternehmen ist die Datenschutzsensibilisierung der Mitarbeiter.
Jeder einzelne muss seine eigene Rolle und seinen Beitrag zum Schutz von Daten verstehen und über die Folgen und Konsequenzen bei Nichteinhaltungen wissen. Dies wird erreicht durch Schulungen sowie durch die Bereitstellung eines Datenschutzhandbuches.
Eine Sensibilisierung der Mitarbeiter wird durch Schulungen erreicht. Diese schaffen das nötige Bewusstsein für den Datenschutz und erklären den Mitarbeitern, wie sie im Einklang mit der Datenschutzgrundverordnung Daten verarbeiten.
Es kann hilfreich sein, eine interne Datenschutzrichtlinie zu erstellen oder einzelne Verfahrensanweisungen zu Prozessen im Unternehmen in einem Datenschutzhandbuch zusammen zu fassen. Dokumente dieser Art halten fest, wie Daten im Unternehmen verarbeitet werden sollen, um die Vorgaben des Datenschutzes einzuhalten.
8.2 Wie verpflichte ich meine Mitarbeiter zum Datenschutz?
Eine Verpflichtung der Mitarbeiter zum Datenschutz sollte sich im Arbeitsvertrag befinden. Für die Zukunft sollten daher alle Arbeitsverträge entsprechend angepasst werden. Für bestehende Arbeitsverhältnisse können Zusatzvereinbarungen zum Datenschutz geschlossen werden.
8.3 Wie schütze ich die Daten meiner Mitarbeiter?
Auch die Daten der Mitarbeiter sind personenbezogene Daten im Sinne der Datenschutzgrundverordnung und unterliegen dem Datenschutz.
Soll es an einem Aushang oder im Intranet zum Beispiel eine Geburtstagsliste geben, die alle Mitarbeiter einsehen können, dann sollte hierzu die Einwilligung aller Mitarbeiter eingeholt werden.
Auch für Fotos, die zum Beispiel bei einem Firmenfest gemacht werden und die auf der Webseite des Unternehmens veröffentlicht werden sollen, muss eine Einwilligung der Mitarbeiter eingeholt werden.
Bei Eintragungen im Kalender nach Krankmeldungen sollte außerdem nur die Tatsache eingetragen werden, dass der betreffende Mitarbeiter krank ist, nicht aber der Krankheitsgrund.
9. Rechte der Betroffenen
9.1 Welche Rechte haben Betroffene?
Gem. Art. 13 ff DSGVO hat jeder Betroffene das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch, Widerruf und auf eine nicht automatisierte Entscheidung. Ferner haben die Betroffenen das Recht, sich gemäß Art. 77 DSGVO bei der zuständigen Aufsichtsbehörde zu beschweren.
9.2 Wie gehe ich mit Betroffenenanfragen um?
Die Rechte der Betroffenen gewähren diesen einen Anspruch gegen den Verantwortlichen. Dieser ist verpflichtet, der betroffenen Person die Ausübung ihrer Rechte zu erleichtern. Hierfür ist erforderlich, dass Prozesse im Unternehmen implementiert werden, die eine fristgerechte und korrekte Bearbeitung der Anträge der betroffenen Person gewährleistet.
Bei einer Auskunftsanfrage eines Betroffenen ist im Vorfeld klarzustellen, wer die Anfrage bearbeitet und wie diese bearbeitet und dokumentiert wird. Wichtig ist in jedem Fall, genau zu prüfen, ob der Anfragende ein Recht auf Auskunft hat und keine Auskünfte vorschnell zu erteilten. Gegebenenfalls muss zuerst geklärt werden, ob sich der Betroffene ausreichend identifiziert hat.
10. Kundenkontakt und Marketing
10.1 Muss ich immer eine Einwilligung einholen?
Eine Einwilligung zur Speicherung und Verwendung von personenbezogenen Daten brauche ich nur einzuholen, wenn ich die Daten nicht bereits auf einer gesetzlichen Grundlage erheben darf. Die DSGVO erlaubt es unter anderem, Daten zu erheben zur Vertragserfüllung oder zur Anbahnung eines Vertrages (Art. 6 Abs. 1 Buchst. b DSGVO), zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 Buchst. c DSGVO), beispielsweise wenn ein anderes Gesetz vorschreibt, dass Daten an eine Behörde übertragen werden müssen oder aufgrund eines berechtigten Interesses (Art. 6 Abs. 1 Buchst. f DSGVO).
Nur wenn ich nicht bereits damit die Erlaubnis habe, Daten zu speichern, brauche ich eine Einwilligung.
10.2 Wie muss eine Einwilligung aussehen?
Eine Einwilligung muss nach Art. 7 DSGVO so ausgelegt sein, dass der Betroffene erkennen kann, worin genau er einwilligt, was mit seinen Daten passieren wird, wie lange sie gespeichert bleiben, welche Auswirkungen seine Einwilligung hat und dass er die Einwilligung widerrufen kann.
Außerdem muss eine Einwilligung ausdrücklich erklärt werden. Das heißt, der Betroffene muss zum Beispiel auf der Webseite aktiv ein Kreuzchen setzen oder einen Button betätigen. Ein vorgehaktes Kästchen reicht nicht.
10.3 Welche Hinweise muss ich meinen Kunden bei Vertragsschluss geben?
Auch bei einem Vertragsschluss muss der Kunde darauf hingewiesen werden, was mit seinen Daten passieren wird, wer Zugriff darauf bekommt, ob die Daten weitergegeben werden und wie lange sie gespeichert bleiben. Hierzu kann ich dem Kunden ein Dokument aushändigen, einen Aushang im Geschäft machen oder auf der Webseite die nötigen Informationen bereit halten und auf diese Seite verweisen.
10.4 Was mache ich mit Altbeständen von Daten?
Altbestände von Daten sollten darauf überprüft werden, ob die Speicherfristen bereits abgelaufen sind. Ist das der Fall, müssen die Daten gelöscht werden.
10.5 Wie lange darf ich Daten speichern?
Wie lange ich Daten speichern darf, richtet sich regelmäßig nach gesetzlichen Vorgaben. Rechnungen (ob digital oder gedruckt) und Buchungsbelege, die Daten enthalten, müssen zum Beispiel aus steuerrechtlichen Gründen 10 Jahre aufbewahrt werden.
Gibt es keine gesetzliche Regelung, dürfen Daten so lange aufgehoben werden, wie sie nach dem Zweck ihrer Erhebung benötigt werden. Möchte ich Daten darüber hinaus aufheben, brauche ich hierzu eine Einwilligung des Betroffenen.
11. Bewerbungen
11.1 Wie gehe ich mit elektronischen Bewerbungen/Bewerbungen um?
Viele Unternehmen bieten die Möglichkeit, sich auf der Webseite online auf eine Stelle zu bewerben. Wird dies angeboten, ist der Bewerber vor einer Abgabe seiner Daten darauf hinzuweisen, in welchem Umfang und wie lange seine Daten gespeichert werden, wozu sie verwendet werden und wer Zugriff auf die Daten hat. Das ist in der Regel die Personalabteilung, die das Bewerbungsverfahren durchführt. Diese Hinweise müssen sich bereits auf der Webseite finden.
Für die Speicherung der Daten muss eine ausdrückliche Einwilligung des Bewerbers eingeholt werden.
Bei einer Bewerbung per E-Mail ist dies dem Bewerber ebenfalls mitzuteilen.
11.2 Wie lange darf ich Bewerberdaten speichern?
Die mitgeteilten Daten darf ich so lange speichern wie das Bewerbungsverfahren läuft. Danach sind die Daten zu löschen, wenn nicht der Betroffene seine Einwilligung dazu erteilt hat, dass die Daten auch für einen späteren Bewerbungsprozess berücksichtigt werden sollen.
12. Webseite
12.1 Was muss ich datenschutzrechtlich auf der Webseite beachten?
Nahezu jede Webseite erhebt und speichert Daten, sei es durch Server-Log-Dateien, Nutzer-Tracking oder Cookies, die im Hintergrund einer Webseite aktiv sind oder durch bewusste Übertragung von Daten mittels Kontaktformularen. Über alle diese Daten muss der Betreiber der Webseite den Nutzer in seiner Datenschutzerklärung informieren.
Diese Datenschutzerklärung muss auf der Webseite leicht gefunden werden können und sollte daher mit einem Klick in der Menüleiste oder der Fußzeile erreichbar sein.
12.2 Braucht mein Kontaktformular eine Einwilligung?
Eine Einwilligung für ein Kontaktformular ist regelmäßig nicht erforderlich. Der Kunde übermittelt Daten über das Formular, um mit dem Webseitenbetreiber in Kontakt zu treten, meist zur Anbahnung eines Vertrages. Damit greift der Erlaubnistatbestand des Art. 6 Abs. 1 Buchst. b DSGVO. Ich muss den Kunden nur vor Absenden das Formulars darauf hinweisen, wozu seine Daten erhoben werden, wer Zugriff auf diese bekommt und wann sie wieder gelöscht werden.
12.3 Muss ich meine Webseite verschlüsseln?
Wenn über die Webseite personenbezogene Daten übertragen werden, zum Beispiel durch ein Kontaktformular oder die Anmeldung zu einem Newsletter, dann muss die Webseite nach dem Stand der Technik mittels eines SSL- oder TLS-Protokolls verschlüsselt werden, um die Vertraulichkeit der Kommunikation zu gewährleisten.
12.4 Welche Analyse Tools darf ich auf der Webseite verwenden?
Da beinahe alle Analyse Tools auf Webseiten Daten speichern und an Dritte übertragen, wie beispielsweise Google Analytics oder Matomo (früher Piwik), darf ich diese nur verwenden, wenn es eine Rechtsgrundlage zur Verarbeitung dieser Daten gibt.
In Betracht kommt das berechtigte Interesse des Webseitenbetreibers nach Art. 6 Abs. 1 Buchst. f DSGVO. Es wird vertreten, dass der Webseitenbetreiber ein berechtigtes Interesse an der Auswertung des Nutzerverhaltens auf seiner Webseite hat, um diese Erkenntnisse zur Optimierung der Webseite zu nutzen.
In jedem Fall muss ich den Betroffenen in der Datenschutzerklärung darauf hinweisen, welche Daten gespeichert und übertragen werden.
13. Was tue ich bei Datenschutzverletzungen?
Eine Verletzung besteht, wenn es zum Verlust, der Vernichtung, der Veränderung, der unbefugten Offenlegung oder dem unbefugten Zugang zu Daten im Unternehmen kommt.
Die Sicherheit der Verarbeitung personenbezogener Daten soll durch die Auswahl, Umsetzung und Überprüfung geeigneter technischer und organisatorischer Maßnahmen sichergestellt werden.
Sollte es trotz dieser Maßnahmen zu Verletzungen des Schutzes personenbezogener Daten kommen, hat der Verantwortliche auf diese Verletzungen vorbereitet zu sein. Hierzu braucht es eine Verfahrensanweisung, an wen Verletzungen gemeldet werden (regelmäßig an den Datenschutzbeauftragten) und wie diese bearbeitet und dokumentiert werden.
14. Risikomanagement
Um als Verantwortlicher datenschutzkonform zu handeln, ist eine angemessene Berücksichtigung der Risiken von zentraler Bedeutung. Datenschutz-Risikomanagement sollte als Teil des unternehmensweiten Risikomanagements verstanden werden. Der Verantwortliche muss daher bei jeder Verarbeitung von personenbezogenen Daten die Risiken für die Rechte und Freiheiten der natürlichen Person berücksichtigen. Für die Handhabung von Datenschutzverletzungen spielt der Risikobegriff eine große Rolle. Denn von der Einstufung des Risikos hängt es ab, welche Schritte unternommen werden müssen.
Im Rahmen des Risikomanagements wird das aktuell bestehende System überwacht und überprüft, um Schwachstellen zu finden und zu definieren, wie wahrscheinlich eine Verletzung ist. Anschließend erfolgt eine kontinuierliche Verbesserung durch Abstellen technischer und menschlicher Fehlerquellen durch Information der Mitarbeiter, Anpassung der Handlungsanweisungen und technische Updates.
15. Kontrolle und Überwachung
Audits überprüfen den Prozess der Datenverarbeitung. Hierfür ist ein eigener Auditprozess erforderlich, der im Vorfeld ausgearbeitet werden muss. Die Überwachung, Kontrolle der Vorgaben zum Datenschutz sowie deren Umsetzung sind die Kerntätigkeit des Datenschutzbeauftragten als Kontrollorgan.
Der Verantwortliche hat eine kontinuierliche Verpflichtung zur Überwachung der Einhaltung und der Verbesserung der Maßnahmen zum Datenschutz.
16. Hilfe bei Fragen rund um den Datenschutz
Bei Fragen zum Datenschutz und dessen Umsetzung im Unternehmen sollte man sich an qualifizierte Anwälte wenden. Anwälte aus dem Bereich des IT-Rechts und des gewerblichen Rechtsschutzes sind auf dieses Thema spezialisiert.