english

Datenschutzgrundverordnung (DSGVO)

Datenschutzgrundverordnung (DSGVO)
© Dekanaryas - Fotolia.com

Ansprechpartner

Sebastian Greif
Sebastian Greif

Telefon: +49 2161 241-148
Telefax: +49 2151 635-44148
E-Mail:
V-Card: Kontaktdaten speichern

Bismarckstraße 109
41061 Mönchengladbach

Zum 25. Mai 2018 entfaltet die DSGVO ihre Wirkung und ist unmittelbar anwendbar. Jedes Unternehmen sollte daher vorbereitet und überprüfen, welche Auswirkungen die DSGVO für das eigene Unternehmen hat. Dabei geht es um alle personenbezogenen Daten, also um alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Wichtig dabei ist: Sie müssen künftig nachweisen können, dass Sie sich rechtskonform verhalten!

Die wichtigsten Grundsätze der neuen DSGVO finden Sie hier.

Zulässigkeit der Datenverarbeitung

Die DSGVO besagt nicht, dass eine Verarbeitung personenbezogener Daten gänzlich unzulässig ist. Das sogenannte Verbot mit Erlaubnisvorbehalt bedeutet: Jegliche Verarbeitung personenbezogener Daten ist unzulässig, es sei denn, sie ist aufgrund eines Gesetzes oder einer Einwilligung des Betroffenen erlaubt. Gesetzliche Grundlage können daher beispielsweise auch steuerliche Aufbewahrungspflichten sein.

Nähere Informationen zur Zulässigkeit der Datenverarbeitung finden Sie hier. 

Datenschutzmanagement

Die Risiken, die sich aus der Datenverarbeitung im Unternehmen ergeben, müssen hinsichtlich Art, Umfang, Zweck der Verarbeitung sowie der Eintrittswahrscheinlichkeit von Verletzungen und deren Auswirkungen beachtet werden. Dazu ist ein Datenschutzmanagement notwendig, natürlich abhängig von der Größe des Unternehmens und den personenbezogenen Daten, die verarbeitet werden. Aber auch in kleineren Unternehmen muss ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können.

Weitere Details zum Datenschutzmanagement erfahren Sie hier. 

Die Einwilligung des Betroffenen

Wie bereits dargestellt, benötigen Sie für die Verarbeitung von personenbezogenen Daten eine rechtliche Grundlage. Die Einwilligung des Betroffenen spielt damit eine wichtige Rolle. Einwilligungserklärungen sollten überprüft werden, ob sie den Anforderungen der DSGVO entsprechen.

Einzelheiten zu den Anforderungen einer wirksamen Einwilligung finden Sie hier. 

Datenschutz und Datensicherheit

Die DSGVO verknüpft den Datenschutz und Datensicherheit eng miteinander. Es wird verlangt, dass unter Berücksichtigung des Standes der Technik alle notwendigen organisatorischen Maßnahmen getroffen werden, um die persönlichen Daten so gut wie möglich zu schützen.

Weitere Einzelheiten zum Datenschutz und Datensicherheit lesen Sie hier. 

Betrieblicher Datenschutzbeauftragter

Beim Betrieblichen Datenschutzbeauftragten bleibt es bei der bislang in Deutschland geltenden Regelung: Ein (interner oder externer) Datenschutzbeauftragter muss bestellt, wenn mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Näheres zu den Anforderungen an die Bestellung, Stellung und Aufgaben des betrieblichen Datenschutzbeauftragten sowie ein Muster für die interne Bestellung finden Sie hier.

Der betriebliche Datenschutzbeauftrage muss mit Inkrafttreten der DSGVO zum 25.05.2018 dem Landesdatenschutzbeauftragen gemeldet werden. Der Landesdatenschutzbeauftragte NRW wird hierzu die Möglichkeit zur Online-Meldung schaffen.

Checkliste zur Umsetzung der DSGVO

Die Umsetzung der DSGVO stellt alle Unternehmen vor große Herausforderungen. Zahlreiche Berater wie externe Datenschutzbeauftragte, Softwareanbieter oder Rechtsanwälte bieten Ihnen ihre Unterstützung an. Das Bayerische Landesamt für Datenschutzaufsicht bietet eine kostenlose Checkliste für Unternehmen an, um sich auf die DSGVO vorzubereiten. Die für Ihr Unternehmen gefundenen Ergebnisse sollten Sie dokumentieren, um bei Bedarf dem Landesdatenschutzbeauftragten belegen zu können, dass Sie sich datenschutzkonform verhalten.

Die Checkliste zur Umsetzung der DSGVO finden Sie hier.

Alternativ stellt auch der Landesdatenschutzbeauftragte NRW einen Fragebogen zur Verfügung. 

Betroffenenrechte

Die DSGVO stärkt spürbar die Rechte der Personen, deren Daten verarbeitet werden. Es bestehen umfangreiche Informationspflichten bei der Datenerhebung, Auskunftsrechte, Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit, Widerrufsrechte sowie das Recht, nicht einer automatisierten Einzelentscheidung unterworfen zu sein.

Einzelheiten zu den Betroffenenrechten können Sie hier erfahren.

Dokumentationspflichten

Eine wesentliche Änderung durch die DSGVO ergibt sich daraus, dass Sie künftig nachweisen können müssen, dass ihre Datenverarbeitung datenschutzkonform ist. Sie trifft eine Rechenschaftspflicht. Diese können Sie nur mit einer ausreichenden Dokumentation sicherstellen. Die Dokumentation erfolgt in der Praxis durch ein Verzeichnis für Verarbeitungstätigkeiten.

Details zu den Dokumentationspflichten finden Sie hier.

Der Landesdatenschutzbeauftragen NRW stellte zudem ein Muster mit weiteren Hinweisen für das Verzeichnis der Verarbeitungstätigkeiten zur Verfügung.

Das Bayerische Landesamt für Datenschutzaufsicht hält zudem ein Muster für einen Vertrag zur Auftragsdatenverarbeitung bereit.

Privacy by design / privacy by default

Durch die fortschreitende Digitalisierung steigt Menge erfasster personenbezogener Daten ständig. Die DSGVO fordert deshalb bei der Entwicklung und Implementierung von Produkten zur Verarbeitung personenbezogener Daten das Prinzip der Datenvermeidung und Datensparsamkeit zu berücksichtigen. Damit wird der Ansatz Datenschutz durch Technik („privacy by design“) und datenschutzfreundliche Voreinstellungen („privacy by default“) zur Pflicht.

Mit welchen Strategien diese Ziele umgesetzt werden können, lesen Sie hier. 

Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen

Nach der DSGVO müssen Unternehmen im Falle einer Verletzung des Schutzes personenbezogener Daten grundsätzlich die Aufsichtsbehörde und den Betroffenen informieren. Die Meldung hat unverzüglich und möglichst innerhalb von 72 Stunden vorzunehmen.

Nähere Informationen zu den Meldepflichten und den Ausnahmen finden Sie hier

Datenschutz für kleine Unternehmen – ein Beispiel

Das betrifft doch noch große Unternehmen! Weit gefehlt, Datenschutz und die Umsetzung der DSGVO betrifft alle Unternehmen, auch die kleinen. Warum das so ist und welche Maßnahmen zu treffen ist, stellen wir Ihnen anhand eines kleinen Musterbeispiels dar. 

Datenschutz für Existenzgründer

Sie wollen ein Unternehmen gründen? Dann sollten Sie sich unter dem Gesichtspunkt des Datenschutzes folgende Checkliste beachten.

Datenschutz-Folgeabschätzung

Die DSGVO führt für die Verarbeitung personenbezogener Daten einen risikobasierten Ansatz ein: Je risikoreicher und schadensgeneigter die Verarbeitung der Daten für die Betroffenen sein kann, um so höhere Anforderungen stellt die DSGVO an die Anwendung. Immer dann, wenn eine Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder ein sehr hohes Risiko zur Folge hat, ist eine Datenschutz-Folgeabschätzung vorzunehmen.

Welche Schritte für eine Datenschutz-Folgeeinschätzung vorzunehmen sind, erfahren Sie hier. 

Verpflichtungserklärung für Mitarbeiter

Beschäftigte von Unternehmen, in denen personenbezogene Daten verarbeitet werden, müssen auf ihre Vertraulichkeit verpflichtet werden. Ein Muster für die Verpflichtungserklärung finden Sie hier. 

Beschäftigtendatenschutz

Die DSGVO trifft inhaltlich keine Regelungen zum Datenschutz im Beschäftigungsverhältnis, sondern überlässt dies dem nationalen Gesetzgeber. Der deutsche Gesetzgeber hat dies im Bundesdatenschutzgesetz getan.

Nähere Informationen zum Beschäftigungsdatenschutz lesen Sie hier.

Datenschutzerklärung im Internet

Auch auf die Datenschutzerklärung im Internet hat die DSGVO Auswirkungen. Nähere Informationen hierzu finden Sie in unserem Merkblatt.

Seminar

Mönchengladbach, 03.+04.05.2018:
Die EU-Datenschutzgrundverordnung - was ist zu tun?