Arbeitsmedizin
Arbeitssicherheit
Brandschutz
Datenschutz
Gefahrgut
Gefahrstoffe
Zertifizierung
Partner
Path 9Path 9

Datenschutz in Ihrem Unternehmen – Ein wichtiges Thema für Selbstständige, KMU’s und Konzerne

Nach langer, fast vierjähriger Verhandlung haben sich der Europäische Rat, das Europäische Parlament und die Europäische Kommission am 15.12.20015 über den Inhalt der EU-Datenschutzgrundverordnung (EU-DSGVO) geeinigt. Auf Basis des Art. 99 DSGVO - Inkrafttreten und Anwendung – gilt die EU-DSGVO nun bereits seit dem 25. Mai 2018.

Mit Inkrafttreten der EU-DSGVO wurden so die Prinzipien des grundrechtsorientierten Datenschutzrechts fortgeschrieben und das Recht auf informationelle Selbstbestimmung gestärkt. Jede Form der personenbezogenen Datenverarbeitung bedarf nun einer Einwilligung oder einer gesetzlichen Erlaubnis. Der Gesetzgeber spricht hier von „Privacy-by-Design“ und gibt über das neue Recht neue Datenschutzkonzepte und Verantwortlichkeiten mit sich, die den Umgang und die Verarbeitung von Daten in kleinen, mittelständischen und Großkonzernen maßgeblich prägt. Der Schutz personenbezogener Daten, deren rechtmäßige Verarbeitung und das Einführen und Etablieren eines effektiven Datenschutzmanagement-System muss nun in jedem Unternehmen – egal ob solo-selbständig oder mittelständisches Unternehmen – ein elementares Thema sein, dass die Risiken und Gefahren bei der Verarbeitung von Daten, deren Speicherung und Sicherung vor unberechtigten Zugriff frühzeitig identifiziert und soweit als möglich reduziert. opticert hilft Ihnen dabei, den passenden Dienstleister im Bereich Datenschutz zu finden.
Dienstleister für Datenschutz, IT-Sicherheit & Systemprüfungen

Daten sind im Informationszeitalter die Handelsware und die Währung in einer verbindenden Instanz. Daten werden erhoben, gesammelt, verarbeitet, ausgewertet, in Zusammenhang gebracht und genutzt. Doch es ist nicht immer leicht, auf Anhieb Experten zu finden, die sich mit dem Thema Datenschutz, den gesetzgeberischen Auflagen der Verarbeitung von Daten, technisch-organisatorischen Maßnahmen, Compliance Regelungen oder den Rechten der Betroffenen auskennen - doch mit OPTICERT gelingt Ihnen dies mit nur wenigen Klicks.

Ausbildung & Qualifizierung
Beauftragte PersonenCombined Shape
Datenschutz in der PraxisCombined Shape
Datenschutzrecht & IT-RechtCombined Shape

Falls Sie sich in Bezug auf die Datenschutz-Grundverordnung (DSGVO) in Ihrem Betrieb weiterbilden möchten, finden Sie bei uns Spezialisten für Ausbildung und Qualifikation. Schulungen werden unter anderem in den Bereichen Interner Datenschutzbeauftragter, IT-Editor & Systemprüfer, Praxiswissen Datenschutz und Datenschutzrecht angeboten.

Beratung
Beauftragung externer SachverständigerCombined Shape
Datenschutz im UnternehmenCombined Shape
Informationssicherheit im UnternehmenCombined Shape
Technisch-Organisatorischer DatenschutzCombined Shape

Falls Sie zunächst eine Beratung zu den verschiedenen Anforderungen der Datenschutz-Grundverordnung wünschen, oder auf der Suche nach einem externen Datenschutzbeauftragten sind, finden Sie auch dafür bei Opticert einen geeigneten Anbieter auf unserer Webseite. Unabhängig davon, ob es ganz grundsätzlich um Datenschutz in Ihrem Unternehmen geht, oder sie konkrete Fragestellungen im Bereich IT-Sicherheit, technisch-organisatorischem Datenschutz, Grundprinzipien des Datenschutzrechts oder zum Thema Videoüberwachung und Datenschutzfolgeabschätzung haben, wir vermitteln Ihnen stets die entsprechenden Experten, der Ihnen mit seiner fachlichen Expertise zur Verfügung steht.

Prüfung & Bewertung
Datenschutz im UnternehmenCombined Shape
IT-Sicherheit & SystemprüfungCombined Shape
Webseiten & Onlineshop-AnalyseCombined Shape
ERP-Compliance-PrüfungCombined Shape

Sie möchte Ihre IT-Systeme, Websites, Online-Shops oder sonstige datenverarbeitende Bestandteile in Ihrem Unternehmen auf Herz und Nieren prüfen lassen, um der DSGVO gerecht zu werden und vor Datenverlust geschützt zu sein? Dann sind Sie hier genau richtig.

Wir vermitteln Ihnen den passenden Experten der Sie zum Thema Datenschutz und Informationssicherheit berät.

Häufig gestellte Fragen

Path

Ich habe nur Firmenkunden. Muss ich den Datenschutz trotzdem beachten?

Datenschutz gilt grundsätzlich auch im Geschäftsverkehr mit anderen Unternehmen. In der Regel haben Sie bei Geschäfts- und Unternehmenskunden einen Ansprechpartner und erheben für die diverse Prozesse (z.B. Angebotserstellung, Rechnungstellung, Rückfragen, etc.) z. B. Name, personalisierte E-Mail-Adresse, Telefonnummer, usw. Hierbei handelt es sich um personenbezogene Daten, da eine natürliche Person identifizierbar ist. Datenschutz gilt zudem auch im Innenverhältnis. In der Regel werden z.B. Daten ihrer Mitarbeiterinnen und Mitarbeiter für diverse interne Zwecke verarbeitet und in vielen Fällen auch an externe Instanzen (z.B. Steuerberater) weitergegeben.
Path

Müssen auch Solo-Selbständige und Kleingewerbetreibende die Auflagen der DSGVO erfüllen?

Ja, alle Unternehmen müssen ihre Datenverarbeitungsvorgänge an die neuen Vorgaben der DSGVO anpassen. Häufig existiert noch der Irrglaube, dass die Pflichten der DSGVO erst ab einer Mitarbeiterzahl von 10, bzw. 20 greifen. Die betrifft meist aber nur die Pflicht zur Bestellung eines Datenschutzbeauftragten. Heißt, die DSGVO gilt nicht nur für große, sondern auch für kleine Unternehmen. Kleine Unternehmen sind lediglich von einzelnen wenigen Pflichten ausgenommen; dies betrifft etwa unter Umständen die Pflicht zur Bestellung eines Datenschutzbeauftragten. Ansonsten müssen sämtliche Vorgaben umgesetzt werden, denn unter die DSGVO fällt jede Stelle, die personenbezogene Daten innerhalb der EU verarbeitet.
Path

Wer muss einen Datenschutzbeauftragten benennen?

Die DSGVO sieht die Benennung von Datenschutzbeauftragten weiterhin vor. Die Regelungen hierzu sind in Abschnitt 4, Artikel 37, 38 und 39 DSGVO zu finden. Die DSGVO erlaubt den Mitgliedstaaten weitergehende Vorschriften zur Benennung (Artikel 37 Abs. 4 DS-GVO). Der Bundesgesetzgeber hat diesen Regelungsspielraum genutzt, um die Pflicht zur Benennung von betrieblichen Datenschutzbeauftragten weitergehend zu regeln und den vorherigen deutschen Regelungsansatz zu übertragen (§ 38 BDSG, vgl. § 4f BDSG-alt). Demnach ist eine Benennung von Datenschutzbeauftragten auch in folgenden Fällen erforderlich:

  1. es werden in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Absatz 1 Satz 1 BDSG) oder
  2. es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen oder
  3. es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

In den beiden letztgenannten Fällen müssen unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen Datenschutzbeauftragte benannt werden (§ 38 Absatz 1 Satz 2 BDSG).

Path

Muss der Datenschutzbeauftragte extern sein, oder kann ein Mitarbeiter des Unternehmens Datenschutzbeauftragter werden?

Datenschutzbeauftragter darf nur sein, wer sowohl in rechtlicher als auch in technischer Hinsicht über die erforderlichen Kenntnisse verfügt, sich regelmäßig sachkundig informiert und über Neuerungen fortbildet. Der Datenschutzbeauftragte darf zudem nicht Gefahr laufen, kraft seiner Position in dem Unternehmen einer Interessenkollision ausgesetzt zu sein. Führungskräfte mit Personalverantwortung noch solche aus dem IT-Bereich (intern/extern) kommen dementsprechend nicht infrage. Der Datenschutzbeauftragte kann sowohl ein Mitarbeiter des Unternehmens als auch eine externe Person sein.
Path

Was ist ein Verzeichnis von Verarbeitungstätigkeiten?

Das Verzeichnis der Verantwortlichen muss nach Art. 30 Abs. 1 DSGVO wesentliche Angaben zur Verarbeitung beinhalten wie z.B. die Zwecke der Verarbeitung und eine Beschreibung der Kategorien der personenbezogenen Daten, der betroffenen Personen und der Empfänger. Ein Verzeichnis beim Auftragsverarbeiter zu allen Kategorien der von ihm im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung war vom BDSG bislang nicht vorgeschrieben. Nach Art. 30 Abs. 2 DSGVO ist ein solches Verzeichnis jedoch künftig zu erstellen.
Path

Was bedeutet Auftragsverarbeitung?

Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Die zentrale Vorschrift für Auftragsverarbeiter in der DS-GVO ist Art. 28, wonach dem Verantwortlichen gemäß Absatz 1 vor Auftragsvergabe zunächst eine Prüfung der Geeignetheit des Auftragsverarbeiters auferlegt wird. Der Verantwortliche darf sich danach nur solcher Auftragsverarbeiter bedienen, die die hinreichenden Garantien dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen für einen ausreichenden Datenschutz anwenden, so dass die Verarbeitung im Einklang mit der DSGVO erfolgt und den Schutz der Rechte der betroffenen Personengewährleistet. Wie nach der bisherigen Rechtslage muss der Verantwortliche mit dem Auftragsverarbeiter einen Vertrag über die weisungsgebundene Tätigkeit schließen, der schriftlich oder in einem elektronischen Format abgefasst sein kann.

Die Datenschutz-Grundverordnung – Was bedeutet das eigentlich für mein Unternehmen?

Am 25. Mai 2018 ist, die seit dem 24. Mai 2016 geltende Übergangsfrist, abgelaufen. Die im Jahr 2016 bereits in Kraft getretene Datenschutz-Grundverordnung gilt nun verbindlich für alle Unternehmen, die innerhalb des europäischen Binnenmarkts tätig sind. Die neuen Regeln sind nicht nur für die gesamte Europäischen Union vereinheitlich worden, sondern sind auch deutlich strenger als vorherige Datenschutzrichtlinien wie die EU-Datenschutzrichtlinie (95/46/EG) aus dem Jahr 1995. Mit der Datenschutz-Grundverordnung (DSGVO) wird die Erhebung, Bearbeitung und Speicherung personenbezogener Daten innerhalb des europäischen Binnenmarktes eindeutigen Regeln unterworfen.

Solo-Selbständige, Kleinst- und Kleinunternehmen, mittelständische Betriebe und Konzerne, die die Vorgaben der DSVGO missachten, müssen mit empfindlichen Geldstrafen rechnen. Wer die gesetzlichen Vorgaben ignoriert, nicht einhält oder grob fahrlässig bei der Be- und Verarbeitung personenbezogenen Daten handelt, kann kräftig zur Kasse gebeten werden: Die Datenschutz-Grundverordnung sieht in solchen und anderen Fällen Bußgelder bis zu 20 Millionen Euro vor. Bei besonders schweren Vergehen werden sogar bis zu 4 % des gesamten weltweiten Umsatzes im letzten Geschäftsjahr fällig. Datenschutzkonformes Arbeiten, das Implementieren eines funktionierenden Datenschutzmanagementsystems und stetige Auseinandersetzung mit Fragen des innerbetrieblichen und außerbetrieblichen Datenschutzes ist mit Inkrafttreten der Regeln, schon seit Mai 2018, endgültig ein essenzieller Bestandteil der betrieblichen Organisation.

Beispielhaft beinhaltet Art. 5 der DSGVO die Grundsätze, die bei einer Verarbeitung personenbezogener Daten zu beachten sind:

  1. Personenbezogene Daten müssen
    1. auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
    2. für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
    3. dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
    4. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
    5. in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
    6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
  2. Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Rechtmäßigkeit der Verarbeitung – Was heißt das für uns als Unternehmen?

Die Datenschutz-Grundverordnung setzt feste Rahmenbedingungen und Pflichten für die Verarbeitung personenbezogener Daten. Diese werden in Art. 5 DSGVO als Grundsätze verankert. Der erste Absatz dieser Grundsätze besagt, dass personenbezogene Daten nur „auf rechtmäßige Weise“ verarbeitet werden dürfen. Doch welche Konsequenzen hat das für die praktische Umsetzung im Unternehmen?

Der Grundsatz der Rechtmäßigkeit besagt, dass personenbezogene Daten grundsätzlich nicht verarbeitet werden dürfen, es sei denn, es liegt eine Rechtsgrundlage vor, welche die Verarbeitung ausnahmsweise erlaubt. Diese Prämisse wird als Verbot mit Erlaubnisvorbehalt bezeichnet. Ausnahmen zur Verarbeitung personenbezogener Daten werden in Art. 6 der DSGVO geregelt; für personenbezogene Daten besonderer Kategorien in Art. 9 DSGVO.

Absatz 1: Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

  1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
  2. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
  3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
  4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  5. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1: Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Technisch-Organisatorische Maßnahmen – das Fundament der Datensicherheit

Gemäß Art. 24 Abs. 1 der DSGVO setzt der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.

Weiterhin soll, gem. Art. 32 DSGVO, mit der Durchführung geeigneter technisch-organisatorischer Maßnahmen die Sicherheit der Verarbeitung gewährleistet werden. Art. 32 DSGVO gibt dabei erste Hinweise darauf, was für Maßnahmen man sich darunter vorstellen kann. So werden grob, und nicht abschließend, acht Teilbereiche festgehalten, welche dem Verantwortlichen einen gewissen Spielraum zuschreiben.

  1. Zutrittskontrolle
  2. Zugangskontrolle
  3. Zugriffskontrolle
  4. Weitergabekontrolle
  5. Eingabekontrolle
  6. Auftragskontrolle
  7. Verfügbarkeitskontrolle
  8. Datentrennung

Auf Basis der Art der personenbezogenen Daten und Ihrer jeweiligen Verarbeitung muss jedoch kritisch abgewogen werden welche Maßnahmen zu welchem Zweck eingesetzt werden sollen. Dahingehend wird empfohlen, dass Unternehmen ihre technischen und organisatorischen Maßnahmen durch datenschutzrechtliches Audit aufnehmen und das Sicherheitsniveau bewerten lassen.

Um die Datenschutz-Grundverordnung umzusetzen, führt zudem kein Weg daran vorbei, diverse Sicherheitsrichtlinien zu erarbeiten und umzusetzen. Denn nur verbindliche, dokumentierte, und an die jeweiligen Mitarbeiter und Mitarbeiterinnen kommunizierte, Vorgaben gewährleisten eine sichere Verarbeitung, und weisen diese, im Sinne einer Dokumentationspflicht, auch nach. Beispielhaft kann das sein:

  1. Leitlinie Informationssicherheit & Datenschutz
  2. IT-Richtlinie für Nutzer
  3. Richtlinie Regelungen für Lieferanten und sonstige Auftragnehmer
  4. Richtlinien Mobile IT-Systeme
  5. Richtlinien Mobile IT-Datenträger
  6. Richtlinien Speicherorte
  7. Richtlinien Störungen und Ausfälle
  8. Richtlinien Sicherheitsausfälle
  9. Risiko- und Schwachstellenanalyse
  10. Notfallplan
Path 7 Copy
Illustration
Kennen Sie Ihre Grundpflichten als Unternehmer?
Machen Sie den kostenlosen OPTICERT Unternehmenscheck und überprüfen Sie einfach und schnell Ihr Unternehmen auf die Erfüllung von gesetzlichen und normativen Anforderungen.
Rectangle
Fill 3 CopyFolgt uns auf Facebook
ShapeFolgt uns auf LinkedIn
Kontaktieren Sie uns
Bei Fragen helfen wir Ihnen gerne weiter
Mail[email protected]
Telefon02571 999 752
Fill 3 CopyFolgt uns auf Facebook
ShapeFolgt uns auf LinkedIn