Nicht nur nach außen, also etwa in der Datenschutzerklärung, muss datenschutzrechtlich alles korrekt abgebildet sein. Selbstverständlich müssen Sie die Datenschutzprozesse, die die DSGVO vorschreibt, auch im Unternehmen umsetzen. Wichtige Themen sind hier vor allem der Datenschutzbeauftragte, die Auftragsverarbeitung und das Verfahrensverzeichnis.
Brauche ich nach der DSGVO einen Datenschutzbeauftragten?
Sie sind als Unternehmer in drei Fällen verpflichtet, einen Datenschutzbeauftragten zu bestellen.
- Sensible Daten
Sie verarbeiten besondere Kategorien von Daten gemäß Artikel 9 DSGVO
Beispiele: Gesundheitsdaten, Daten zur rassischen und ethnischen Herkunft, genetische Daten, Daten zur sexuellen Orientierung - Überwachung von betroffenen Personen Kerntätigkeit
Ihre Kerntätigkeit macht eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich.
Beispiele: Verarbeitung von Gesundheitsdaten für ein Krankenhaus, Verarbeitung von Adressdaten für Auskunfteien - Mindestens 20 Mitarbeiter
Sie beschäftigen in der Regel mindestens 20 Personen (als Angestellte oder auch freie Mitarbeiter) ständig mit der automatisierten Verarbeitung personenbezogener Daten. - Datenschutz-Folgenabschätzung
Ihr Unternehmen ist verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen (Artikel 35 DSGVO). - Markt- oder Meinungsforschung
Sie verarbeiten personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung.
Sie können aber auch immer freiwillig einen Datenschutzbeauftragten bestellen. Sinnvoll ist das, wenn Sie Ihre internen Prozesse besser im Blick haben wollen. Und auch nach außen hin macht es einen guten Eindruck, weil es zeigt, dass Ihnen der Datenschutz Ihrer Kunden wichtig ist.
Sie sind sich nicht sicher, ob Sie einen Datenschutzbeauftragten brauchen? Nutzen Sie unseren DSGVO Check.
Was mache ich, wenn ich einen Datenschutzbeauftragten haben will?
Wenn Sie einen Datenschutzbeauftragten benennen wollen oder müssen, ist noch folgendes wichtig zu wissen:
- Form:
Sie müssen den Datenschutzbeauftragten schriftlich benennen. - Aufgaben:
Der Datenschutzbeauftragte:- überwacht die Einhaltung der Datenschutzgrundsätze im Unternehmen
- führt das Verarbeitungsverzeichnis
- unterstützt bei der Datenschutz-Folgenabschätzung
- ist innerhalb und außerhalb des Unternehmens (Behörden) für den Datenschutz.
- Ausbildung:
Er muss keine besondere Qualifikation nachweisen. Sinnvoll ist aber eine juristische Ausbildung oder eine Zertifikat vom TÜV oder der IHK. - Intern oder extern:
Der Datenschutzbeauftragte kann aus Ihrem Unternehmen kommen oder ein Externer sein. Beides hat Vor- und Nachteile: Interne Datenschutzbeauftragte kennen das Unternehmen und die Prozesse gut, es besteht aber die Gefahr, dass er nicht weisungsfrei arbeitet.
Wichtig: Sobald Sie den Datenschutzbeauftragten benannt haben, müssen Sie seine Kontaktdaten auf Ihrer Website veröffentlichen.
Wenn Sie eRecht24 Premium nutzen, ist Ihre Datenschutzerklärung immer vollständig.
Wann muss ich einen Vertrag zur Auftragsverarbeitung abschließen?
Viel häufiger als Sie wahrscheinlich denken. Eine Auftragsverarbeitung liegt vor, wenn ein anderes Unternehmen in Ihrem Auftrag personenbezogene Daten Ihrer Nutzer und Kunden erhebt, verarbeitet oder nutzt.
Beispiele:
- Einsatz eines externen Kundencenters (z.B. Callcenter)
- externer Newsletter-Anbieter
- Cloud Computing
- Einsatz externer Unternehmen beim Marketing
- Externes Rechenzentrum
In diesen Fällen müssen Sie einen Vertrag mit Ihrem Dienstleister schließen. Diese "Auftragsverarbeitung" regelt genau, wie er nach Ihren Weisungen die personenbezogenen Daten Ihrer Kunden verarbeitet. Dazu gehören auch eigene Pflichten des Dienstleisters. Er muss zum Beispiel mit Ihnen gemeinsam:
- mit der Aufsichtsbehörde zusammenarbeiten
- technische und organisatorische Maßnahmen ergreifen, damit die Daten hinreichend geschützt werden
Darüber hinaus muss der Dienstleister ein Verarbeitungsverzeichnis führen, Art. 30 Abs. 2 DSGVO
Wichtig: Sie bleiben weiterhin selbst für den Datenschutz verantwortlich.
Mehr zum Thema lesen Sie hier: https://www.e-recht24.de/artikel/datenschutz/10580-auftragsdatenverarbeitung-adv-datenschutz.html
Muss ich als Unternehmer ein Verfahrensverzeichnis führen?
Ja. Sie müssen ein Verzeichnis mit allen Daten-Verarbeitungstätigkeiten des Unternehmens anlegen und führen. Die Inhalte sind ähnlich wie die, die in Ihre Datenschutzerklärung gehören. Das sind:
- Name und Kontaktdaten des Unternehmens, Vertreters und Datenschutzbeauftragten
- der Zwecke der Datenverarbeitung
- die Kategorien betroffener Personen
- die Kategorien personenbezogener Daten
- die Kategorien von Empfängern der Daten
- die Übermittlungen personenbezogener Daten in ein Drittland
- Fristen für die Löschung der verschiedenen Datenkategorien
- Eine Beschreibung der technischen und organisatorischen Maßnahmen einen angemessenen Datenschutz
Achtung: Führt Ihr Dienstleister als Auftragsverarbeiter ein solches Verzeichnis, muss er nur eine "abgespeckte" Variante führen:
- Name und Kontaktdaten des Auftragsverarbeiters, seiner Vertreter und seines Datenschutzbeauftragten
- die Kategorien der Verarbeitungen, die er im Auftrag durchführt
- die Übermittlungen personenbezogener Daten in ein Drittland
- Eine Beschreibung der technischen und organisatorischen Maßnahmen einen angemessenen Datenschutz
Was muss ich noch zum Verarbeitungsverzeichnis wissen?
Wichtig zu wissen ist noch folgendes. Das Verarbeitungsverzeichnis:
- Müssen Sie nur intern führen. Auf Verlangen müssen Sie es aber der Datenschutzbehörde zeigen.
- Können Sie schriftlich und elektronisch anlegen.
- Sollten Sie auch dann führen, wenn Sie nur ein kleines Unternehmen mit regelmäßigem Kundenkontakt oder einen Onlineshop haben. Dann sind Sie auf der sicheren Seite.
Welche Rechte haben Personen, die sich auf eine Datenschutzverletzung nach DSGVO berufen?
Es ist sicher schon einmal vorgekommen, dass sich bei Ihnen jemand gemeldet hat, der wollte, dass Sie seine Daten löschen oder gefragt hat, was Sie über ihn gespeichert haben. Eine ganz schlechte Idee ist es, solche Schreiben oder Mails einfach zu ignorieren. Denn es ist das gute Recht Ihrer Nutzer, Kunden und Besucher, Sie darum zu bitten. Sofern Sie Ihre personenbezogenen Daten nämlich in irgendeiner Weise verarbeiten, haben die Betroffenen folgende Rechte:
Auskunft nach DSGVO
Sie müssen Ihren Kunden auf Verlangen Informationen über die bei Ihnen gespeicherten personenbezogenen Daten zusenden. Dazu gehören insbesondere folgende Informationen:
- Zweck der Datenverarbeitung: Wozu nutzen Sie die Daten?
- Kategorien personenbezogener Daten: Ist es der Name, die Adresse oder das Alter?
- Empfänger oder Kategorien von Empfängern der Daten: Wer bekommt die Daten? Oder: Bekommt eine bestimmte Gruppe die Daten, z.B. „Krankenkassen“?
- Übermittlungen personenbezogener Daten in ein Drittland
- geplante Speicherdauer oder Kriterien für die Festlegung: Wie lange speichern Sie die Daten? Wenn Sie das nicht genau sagen können: Woran machen Sie das fest?
- Beschwerde: die Betroffenen können sich bei einer Aufsichtsbehörde beschweren
- Betroffenenrechte: die Betroffenen haben weitergehende Rechte (siehe gleich)
Berichtigung nach DSGVO
Wenn die Daten unrichtig sind, dürfen Ihre Nutzer verlangen, dass Sie diese vervollständigen oder berichtigen.
Löschung nach DSGVO
Ihre Nutzer dürfen in bestimmten Fällen von Ihnen verlangen, dass Sie die Daten löschen. Die wichtigsten Fälle sind:
- Sie brauchen die Daten nicht mehr für den Zweck, für den Sie sie erhoben haben
- Der Nutzer widerruft seine Einwilligung
- Sie durften die Daten nicht verarbeiten
In bestimmte Fällen können Sie allerdings unter Umstände das Recht haben, die Löschung zu verweigern. Beispiele:
- Sie sind rechtlich dazu verpflichtet, die Daten aufzubewahren
- Die Öffentlichkeit hat ein Interesse daran, dass Sie die Daten aufbewahren, und dieses ist berechtigt
- Sie möchten eigene Rechte geltend machen oder Rechtsansprüche verteidigen
Einschränkung der Verarbeitung
In bestimmten Fällen dürfen die Nutzer auch verlangen, dass Sie die Verarbeitung einschränken:
- Der Nutzer bestreitet, dass die Daten richtig sind und Sie überprüfen dies. So lange ist die Verarbeitung eingeschränkt.
- Sie durften die Daten nicht verarbeiten und der Nutzer verlangt diese einzuschränken, statt sie zu löschen.
- Sie brauchen die Daten für die Zwecke nicht mehr, der Nutzer möchte aber damit Rechtsansprüche geltend machen.
- Der Nutzer hat Widerspruch gegen die Verarbeitung eingelegt und es ist noch ungeklärt, ob Ihr Interesse an der Aufbewahrung überwiegt.
Recht auf Datenherausgabe und Übertragbarkeit
Nutzer dürfen ihre Daten zu einem anderen Anbieter "mitnehmen". Die Nutzer können danach von dem Datenverantwortlichen verlangen, ihre personenbezogenen Daten in einem „gängigen Format“ an einen anderen Verantwortlichen weiterzugeben.
Also: Ignorieren Sie also solche Schreiben auf keinen Fall und prüfen Sie das Anliegen. Am besten mit Ihrem Datenschutzbeauftragten gemeinsam.
DSGVO Checkliste: Das muss ich intern nach der DSGVO regeln
Zusammenfassend noch einmal unsere Checkliste:
- Prüfen Sie, ob Sie einen Datenschutzbeauftragten brauchen
- Schließen Sie Auftragsdatenverarbeitungen mit Dienstleistern.
- Führen Sie ein Verfahrensverzeichnis (Verzeichnis der Verarbeitungstätigkeiten) nach DSGVO.
- Denken Sie an Betroffenenrechte und reagieren Sie auf Mails und Schreiben von Nutzern.
