Anlässlich des Europäischen Datenschutztages fassen wir sieben wichtige Punkte zusammen, auf es in der Praxis für DSGVO-konformes Handeln besonders ankommt.
Bei der Datenschutz-Grundverordnung (kurz DSGVO) handelt es sich um eine Verordnung der Europäischen Union, mit deren Regeln zur Verarbeitung personenbezogener Daten EU-weit vereinheitlicht werden. Durch diese Vereinheitlichung der Regeln soll nicht nur der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, sondern auch der unkomplizierte Datenverkehr innerhalb des Europäischen Binnenmarktes weiterhin ermöglicht werden.
Was macht eigentlich datenschutzkonformes Verhalten aus?
Einwilligungen im Sinne der DSGVO
Die DSGVO zielt auf den Schutz personenbezogener Daten ab und die Frage der Einwilligung spielt bei gerichtlichen Auseinandersetzungen eine immer größere Rolle. Sofern sich die Verarbeitung der erhobenen Daten nicht bereits durch das Geschäftsverhältnis regelt, bedürfen die Erhebung und die Verarbeitung einer Einwilligung. Das hat unter anderem besondere Relevanz für den Versand von Newslettern und die Verwendung von Cookies auf den Webseiten.
Auftragsverarbeitung nach DSGVO
Unternehmen verarbeiten personenbezogene Daten inzwischen oft nicht mehr nur intern, sondern lagert die Datenverarbeitung häufig aus. Wenn beispielsweise einzelne Aufgaben auf Dritte übertragen werden, ist damit meistens auch die Übermittlung personenbezogener Daten der Kunden oder Mitarbeiter verbunden. Darum sollte man den Umgang mit diesen Daten auf eine rechtssichere vertragliche Grundlage stellen. Mit den Auftragsverarbeitern sollten aber nicht nur entsprechende Verträge über die Auftragsverarbeitung geschlossen, sondern in der Datenschutzerklärung (z.B. auf der Webseite) darauf hingewiesen werden.
Technische und organisatorische Maßnahmen im Sinne der DSGVO
In der DSGVO ist das Etablieren von technischen und organisatorischen Maßnahmen (sog. TOMs) vorgeschrieben. Anhand der getroffenen TOMs wird im Falle eines Datenlecks oder eines Datenschutzverstoßes die Höhe eines möglichen Bußgeldes bemessen. Je besser die etablierten TOMs sind, desto geringer wird seitens Datenschutzbehörden bzw. des Schadensersatzes gem. Art 82 DSGVO das Verschulden eines Unternehmens eingestuft.
Umgang mit Datenpannen
Bei Datenpannen ist korrektes Handeln das wichtigste. Laut DSGVO müssen Datenpannen innerhalb von 72 Stunden bei der Datenschutzbehörde angezeigt werden. Zusätzlich müssen häufig auch die Betroffenen der entsprechenden Datenpanne informiert werden. Kommt ein Unternehmen diesen Verpflichtungen nicht nach, muss er mit empfindlichen Sanktionen durch die Datenschutzbehörden rechnen. Außerdem müssen Datenpannen ausführlich, detailliert dokumentieret werden. Idealerweise definiert das Unternehmen einen geeigneten Prozess für den Ernstfall, um das schnelle und richtige Handeln zu sichern.
Auskunftspflicht nach DSGVO
Betroffenenanfragen sind stets ernst zu nehmen. Wenn eine Betroffenenanfrage nicht oder nicht hinreichend beantwortet wird, kann dies bei der zuständigen Datenschutzbehörde angezeigt werden oder sogar eine Klage nach sich ziehen. Um für den Ernstfall vorbereitet zu sein, ist es für Unternehmen ratsam, sich ein umfassendes Bild über die verarbeiteten personenbezogenen Daten zu verschaffen (Umfang, Verarbeitungswege, dritte Auftragnehmer). So können Betroffenenanfragen fristgerecht und umfassend beantwortet werden.
Fehler im Verarbeitungsverzeichnis vermeiden
Unternehmen, die personenbezogene Daten verarbeiten, müssen ein Verarbeitungsverzeichnis führen, in dem sämtliche Verarbeitungsvorgänge aufgeführt sind. Dieses Verzeichnis ist auf Aufforderung durch die Datenschutzbehörde vorzulegen. Die Dokumentation in entsprechenden Verzeichnissen beinhaltet Rechtsgrundlage, Verarbeitungszweck, Kategorien der betroffenen Personen und Speicherdauer. Bei unvollständigen oder fehlerhaften Verzeichnissen können empfindliche Strafen drohen. Unternehmen sollten daher Prozesse etablieren, die die bestmögliche Dokumentation der Daten gewährleistet. Diese Prozesse werden im Idealfall regelmäßig überprüft und optimiert.
Keine Fehler beim Beschäftigtendatenschutz
Datenschutz ist auch im Arbeitsverhältnis wichtig – ab dem Bewerbungsprozess, während des Arbeitsverhältnisses und auch nach Beendigung des Arbeitsverhältnisses. Das betrifft unter anderem die Erstellung von Fotos von Teammitgliedern, die Bekanntgabe von Geburtstagen, das Kontaktieren von Bewerbern über soziale Netzwerke und viele andere kritische Punkte.
___________________
Datenschutzkonformes Verhalten betrifft alle Teammitglieder und muss seitens Arbeitgeber auch geschult werden. Über unseren Schulungsanbieter pegasus IQ können Sie entsprechende Unterweisungen buchen. Hier geht es zum Kurskatalog.
