Datenschutz

Einen Kernpunkt der DSGVO bildet das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO. In diesem müssen Unternehmen den Datenverarbeitungsprozess von personenbezogenen Daten dokumentieren.

Nach Art. 30 Abs. 5 DSGVO sind Unternehmen unter 250 Mitarbeitern davon befreit, allerdings wird nach unserer Auffassung durch die enthaltene Formulierung "[...]es sei denn,[...] die Verarbeitung erfolgt nicht nur gelegentlich [...]" der Absatz ad absurdum geführt.

Unser Tipp: Erstellen Sie ein Verzeichnis für Ihr Unternehmen und halten Sie dieses in gedruckter Form bereit. Ein Muster eines solchen Verzeichnises können Sie beispielsweise beim Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) herunterladen.

Die technischen und organisatorischen Maßnahmen sind nichts Neues! Diese sind bereits in §9 Satz 1 des Bundesdatenschutzgesetz (BDSG) definiert und in Anlage 1 konkretisiert, um Sicherheits- und Schutzanforderungen personenbezogener Daten zu gewährleisten.

Neu ist, dass nach Artikel 32 Abs. 1 der DSGVO diese Maßnahmen "unter Berücksichtigung des Stands der Technik" bewertet werden müssen und nach Artikel 32 Abs. 1 Lit. d eine "regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung" zu erfolgen hat.

Unsere Empfehlung: Etablieren Sie ein Datenschutzmanagementsystem in Ihrem Unternehmen und unterziehen Sie Ihre TOMs einem jährlichen Audit.

Eine explizite Unterweisungspflicht ist in der DSGVO nicht definiert. Dennoch sollte jedes Unternehmen aufgrund des Art. 5 der DSGVO seine Mitarbeiter im Hinblick auf eine Datenerarbeitung gemäß "rechtmäßiger Weise, nach Treu und Glauben" schulen und eine dokumentierende Verpflichtungserklärung einfordern.

Spätestens wenn Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, müssen die Mitarbeiter geschult werden. Grundlage bildet der Artikel 39 Abs. 1 DSGVO, welcher dem Datenschutzbeauftragten die "Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten" vorschreibt.

Wichtig: Eine Verpflichtungserklärung Ihres Mitarbeiters sollte neben der Geheimhaltung auch den Umgang mit PC und betrieblichen Kommunikationsmitteln wie E-Mail beinhalten. Neben DSGVO und BDSG-neu muss auch die GoBD des Bundesministeriums der Finanzen beachtet werden!

Die DSGVO selbst definiert nicht, ab welcher Unternehmensgröße ein Datenschutzbeauftragter zu stellen ist.
In Art. 37 wird ein Datenschutzbeauftragter lediglich für Behörden oder öffentliche Stellen gefordert sowie für Unternehmen, deren Kerntätigkeit in der Verarbeitung personenbezogener Daten besteht.

§ 38 BDSG-neu konkretisiert diesen Artikel jedoch in dem Sinne, dass "[...] der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten [zu benennen hat], soweit sich in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen."

Zur Orientierung: Sobald Sie mehr als neun Mitarbeiter haben, die hauptsächlich am Computer arbeiten, sollten Sie ernsthaft darüber nachdenken, ob Sie einen Datenschutzbeauftragten brauchen. Auch können Sie als Indikator die E-Mail-Adressen in Ihrem Unternehmen zählen! Mitarbeiter mit E-Mail-Postfach haben i. d. R. auch Zugang zu persönlichen Daten.

Jetzt denken Sie sich: Das kostet mich doch ein Vermögen!

Wir können Sie an dieser Stelle beruhigen. Ja, die Umsetzung der DSGVO in Ihrem Unternehmen ist mit Aufwand verbunden. Wir garantieren Ihnen aber schon heute: Die Umsetzung birgt mehr Chancen denn Risiken!

Unser Versprechen: Mehr Sicherheit. Weniger Aufwand. Geringe Kosten.