Was müssen Unternehmen nach der DSGVO intern alles regeln?

Nicht nur nach außen, also etwa in der Datenschutzerklärung, muss datenschutzrechtlich alles korrekt abgebildet sein. Selbstverständlich müssen Sie die Datenschutzprozesse, die die DSGVO vorschreibt, auch im Unternehmen umsetzen. Wichtige Themen sind hier vor allem der Datenschutzbeauftragte, die Auftragsverarbeitung und das Verfahrensverzeichnis.

Brauche ich nach der DSGVO einen Datenschutzbeauftragten?

Sie sind als Unternehmer in drei Fällen verpflichtet, einen Datenschutzbeauftragten zu bestellen.

  1. Sensible Daten
    Sie verarbeiten besondere Kategorien von Daten gemäß Artikel 9 DSGVO
    Beispiele: Gesundheitsdaten, Daten zur rassischen und ethnischen Herkunft, genetische Daten, Daten zur sexuellen Orientierung
  2. Überwachung von betroffenen Personen Kerntätigkeit
    Ihre Kerntätigkeit macht eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich.
    Beispiele: Verarbeitung von Gesundheitsdaten für ein Krankenhaus, Verarbeitung von Adressdaten für Auskunfteien
  3. Mindestens 20 Mitarbeiter
    Sie beschäftigen in der Regel mindestens 20 Personen (als Angestellte oder auch freie Mitarbeiter) ständig mit der automatisierten Verarbeitung personenbezogener Daten.
  4. Datenschutz-Folgenabschätzung
    Ihr Unternehmen ist verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen (Artikel 35 DSGVO).
  5. Markt- oder Meinungsforschung
    Sie verarbeiten personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung.

Sie können aber auch immer freiwillig einen Datenschutzbeauftragten bestellen. Sinnvoll ist das, wenn Sie Ihre internen Prozesse besser im Blick haben wollen. Und auch nach außen hin macht es einen guten Eindruck, weil es zeigt, dass Ihnen der Datenschutz Ihrer Kunden wichtig ist.

Sie sind sich nicht sicher, ob Sie einen Datenschutzbeauftragten brauchen? Nutzen Sie unseren DSGVO Check.

Was mache ich, wenn ich einen Datenschutzbeauftragten haben will?

Wenn Sie einen Datenschutzbeauftragten benennen wollen oder müssen, ist noch folgendes wichtig zu wissen:

  • Form:
    Sie müssen den Datenschutzbeauftragten schriftlich benennen.
  • Aufgaben:
    Der Datenschutzbeauftragte:
    • überwacht die Einhaltung der Datenschutzgrundsätze im Unternehmen
    • führt das Verarbeitungsverzeichnis
    • unterstützt bei der Datenschutz-Folgenabschätzung
    • ist innerhalb und außerhalb des Unternehmens (Behörden) für den Datenschutz.
  • Ausbildung:
    Er muss keine besondere Qualifikation nachweisen. Sinnvoll ist aber eine juristische Ausbildung oder eine Zertifikat vom TÜV oder der IHK.
  • Intern oder extern:
    Der Datenschutzbeauftragte kann aus Ihrem Unternehmen kommen oder ein Externer sein. Beides hat Vor- und Nachteile: Interne Datenschutzbeauftragte kennen das Unternehmen und die Prozesse gut, es besteht aber die Gefahr, dass er nicht weisungsfrei arbeitet.

 Hier können Sie als Unternehmen und Organisationen günstig einen externen Datenschutzbeauftragten bestellen.

Wichtig: Sobald Sie den Datenschutzbeauftragten benannt haben, müssen Sie seine Kontaktdaten auf Ihrer Website veröffentlichen.

Wenn Sie eRecht24 Premium nutzen, ist Ihre Datenschutzerklärung immer vollständig.

Sören Siebert
Sören SiebertRechtsanwalt

Wann muss ich einen Vertrag zur Auftragsverarbeitung abschließen?

Viel häufiger als Sie wahrscheinlich denken. Eine Auftragsverarbeitung liegt vor, wenn ein anderes Unternehmen in Ihrem Auftrag personenbezogene Daten Ihrer Nutzer und Kunden erhebt, verarbeitet oder nutzt.

Beispiele:

  • Einsatz eines externen Kundencenters (z.B. Callcenter)
  • externer Newsletter-Anbieter
  • Cloud Computing
  • Einsatz externer Unternehmen beim Marketing
  • Externes Rechenzentrum

 In diesen Fällen müssen Sie einen Vertrag mit Ihrem Dienstleister schließen. Diese "Auftragsverarbeitung" regelt genau, wie er nach Ihren Weisungen die personenbezogenen Daten Ihrer Kunden verarbeitet. Dazu gehören auch eigene Pflichten des Dienstleisters. Er muss zum Beispiel mit Ihnen gemeinsam:

  • mit der Aufsichtsbehörde zusammenarbeiten
  • technische und organisatorische Maßnahmen ergreifen, damit die Daten hinreichend geschützt werden

 Darüber hinaus muss der Dienstleister ein Verarbeitungsverzeichnis führen, Art. 30 Abs. 2 DSGVO 

Wichtig: Sie bleiben weiterhin selbst für den Datenschutz verantwortlich.

Mehr zum Thema lesen Sie hier: https://www.e-recht24.de/artikel/datenschutz/10580-auftragsdatenverarbeitung-adv-datenschutz.html

Muss ich als Unternehmer ein Verfahrensverzeichnis führen?

Ja. Sie müssen ein Verzeichnis mit allen Daten-Verarbeitungstätigkeiten des Unternehmens anlegen und führen. Die Inhalte sind ähnlich wie die, die in Ihre Datenschutzerklärung gehören. Das sind:

  • Name und Kontaktdaten des Unternehmens, Vertreters und Datenschutzbeauftragten
  • der Zwecke der Datenverarbeitung
  • die Kategorien betroffener Personen
  • die Kategorien personenbezogener Daten
  • die Kategorien von Empfängern der Daten
  • die Übermittlungen personenbezogener Daten in ein Drittland
  • Fristen für die Löschung der verschiedenen Datenkategorien
  • Eine Beschreibung der technischen und organisatorischen Maßnahmen einen angemessenen Datenschutz

Achtung: Führt Ihr Dienstleister als Auftragsverarbeiter ein solches Verzeichnis, muss er nur eine "abgespeckte" Variante führen:

  • Name und Kontaktdaten des Auftragsverarbeiters, seiner Vertreter und seines Datenschutzbeauftragten
  • die Kategorien der Verarbeitungen, die er im Auftrag durchführt
  • die Übermittlungen personenbezogener Daten in ein Drittland
  • Eine Beschreibung der technischen und organisatorischen Maßnahmen einen angemessenen Datenschutz

Was muss ich noch zum Verarbeitungsverzeichnis wissen?

Wichtig zu wissen ist noch folgendes. Das Verarbeitungsverzeichnis:

  • Müssen Sie nur intern führen. Auf Verlangen müssen Sie es aber der Datenschutzbehörde zeigen.
  • Können Sie schriftlich und elektronisch anlegen.
  • Sollten Sie auch dann führen, wenn Sie nur ein kleines Unternehmen mit regelmäßigem Kundenkontakt oder einen Onlineshop haben. Dann sind Sie auf der sicheren Seite.

Welche Rechte haben Personen, die sich auf eine Datenschutzverletzung nach DSGVO berufen?

Es ist sicher schon einmal vorgekommen, dass sich bei Ihnen jemand gemeldet hat, der wollte, dass Sie seine Daten löschen oder gefragt hat, was Sie über ihn gespeichert haben. Eine ganz schlechte Idee ist es, solche Schreiben oder Mails einfach zu ignorieren. Denn es ist das gute Recht Ihrer Nutzer, Kunden und Besucher, Sie darum zu bitten. Sofern Sie Ihre personenbezogenen Daten nämlich in irgendeiner Weise verarbeiten, haben die Betroffenen folgende Rechte:

Auskunft nach DSGVO

Sie müssen Ihren Kunden auf Verlangen Informationen über die bei Ihnen gespeicherten personenbezogenen Daten zusenden. Dazu gehören insbesondere folgende Informationen:

  • Zweck der Datenverarbeitung: Wozu nutzen Sie die Daten?
  • Kategorien personenbezogener Daten: Ist es der Name, die Adresse oder das Alter?
  • Empfänger oder Kategorien von Empfängern der Daten: Wer bekommt die Daten? Oder: Bekommt eine bestimmte Gruppe die Daten, z.B. „Krankenkassen“?
  • Übermittlungen personenbezogener Daten in ein Drittland
  • geplante Speicherdauer oder Kriterien für die Festlegung: Wie lange speichern Sie die Daten? Wenn Sie das nicht genau sagen können: Woran machen Sie das fest?
  • Beschwerde: die Betroffenen können sich bei einer Aufsichtsbehörde beschweren
  • Betroffenenrechte: die Betroffenen haben weitergehende Rechte (siehe gleich)

 Berichtigung nach DSGVO

Wenn die Daten unrichtig sind, dürfen Ihre Nutzer verlangen, dass Sie diese vervollständigen oder berichtigen.

Löschung nach DSGVO

Ihre Nutzer dürfen in bestimmten Fällen von Ihnen verlangen, dass Sie die Daten löschen. Die wichtigsten Fälle sind:

  • Sie brauchen die Daten nicht mehr für den Zweck, für den Sie sie erhoben haben
  • Der Nutzer widerruft seine Einwilligung
  • Sie durften die Daten nicht verarbeiten

 In bestimmte Fällen können Sie allerdings unter Umstände das Recht haben, die Löschung zu verweigern. Beispiele:

  • Sie sind rechtlich dazu verpflichtet, die Daten aufzubewahren
  • Die Öffentlichkeit hat ein Interesse daran, dass Sie die Daten aufbewahren, und dieses ist berechtigt
  • Sie möchten eigene Rechte geltend machen oder Rechtsansprüche verteidigen

 Einschränkung der Verarbeitung

In bestimmten Fällen dürfen die Nutzer auch verlangen, dass Sie die Verarbeitung einschränken:

  • Der Nutzer bestreitet, dass die Daten richtig sind und Sie überprüfen dies. So lange ist die Verarbeitung eingeschränkt.
  • Sie durften die Daten nicht verarbeiten und der Nutzer verlangt diese einzuschränken, statt sie zu löschen.
  • Sie brauchen die Daten für die Zwecke nicht mehr, der Nutzer möchte aber damit Rechtsansprüche geltend machen.
  • Der Nutzer hat Widerspruch gegen die Verarbeitung eingelegt und es ist noch ungeklärt, ob Ihr Interesse an der Aufbewahrung überwiegt.

Recht auf Datenherausgabe und Übertragbarkeit

Nutzer dürfen ihre Daten zu einem anderen Anbieter "mitnehmen". Die Nutzer können danach von dem Datenverantwortlichen verlangen, ihre personenbezogenen Daten in einem „gängigen Format“ an einen anderen Verantwortlichen weiterzugeben.

Also: Ignorieren Sie also solche Schreiben auf keinen Fall und prüfen Sie das Anliegen. Am besten mit Ihrem Datenschutzbeauftragten gemeinsam.

DSGVO Checkliste: Das muss ich intern nach der DSGVO regeln

Zusammenfassend noch einmal unsere Checkliste:

  1. Prüfen Sie, ob Sie einen Datenschutzbeauftragten brauchen
  2. Schließen Sie Auftragsdatenverarbeitungen mit Dienstleistern.
  3. Führen Sie ein Verfahrensverzeichnis (Verzeichnis der Verarbeitungstätigkeiten) nach DSGVO.
  4. Denken Sie an Betroffenenrechte und reagieren Sie auf Mails und Schreiben von Nutzern.
Mehr Details zur Datenschutzgrundverordnung - DSGVO

Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Art. 7 DSGVO: Bedingungen für die Einwilligung
Weiterlesen...
Art. 57 DSGVO: Aufgaben
Weiterlesen...
Art. 21 DSGVO: Widerspruchsrecht
Weiterlesen...
Art. 55 DSGVO: Zuständigkeit
Weiterlesen...
Art. 43 DSGVO: Zertifizierungsstellen
Weiterlesen...
Art. 4 DSGVO: Begriffsbestimmungen
Weiterlesen...
Art. 23 DSGVO: Beschränkungen
Weiterlesen...
Art. 32 DSGVO: Sicherheit der Verarbeitung
Weiterlesen...
Art. 37 DSGVO: Benennung eines Datenschutzbeauftragten
Weiterlesen...
Art. 11 DSGVO: Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details