english

Datenschutzgrundverordnung (DSGVO)

Datenschutzgrundverordnung (DSGVO)
© Dekanaryas - Fotolia.com

Ansprechpartner

Sebastian Greif
Sebastian Greif

Telefon: +49 2161 241-148
Telefax: +49 2151 635-44148
E-Mail:
V-Card: Kontaktdaten speichern

Bismarckstraße 109
41061 Mönchengladbach

Zum 25. Mai 2018 hat die DSGVO ihre Wirkung entfaltet und ist seitdem unmittelbar anwendbar. Jedes Unternehmen sollte daher vorbereitet sein und überprüfen, welche Auswirkungen die DSGVO für den eigenen Betrieb hat. Dabei geht es um alle personenbezogenen Daten, also um alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Wichtig dabei ist: Sie müssen künftig nachweisen können, dass Sie sich rechtskonform verhalten!

Die wichtigsten Grundsätze der neuen DSGVO finden Sie hier.

Zulässigkeit der Datenverarbeitung

Die DSGVO besagt nicht, dass eine Verarbeitung personenbezogener Daten gänzlich unzulässig ist. Das sogenannte Verbot mit Erlaubnisvorbehalt bedeutet: Jegliche Verarbeitung personenbezogener Daten ist unzulässig, es sei denn, sie ist aufgrund eines Gesetzes oder einer Einwilligung des Betroffenen erlaubt. Gesetzliche Grundlage können daher beispielsweise auch steuerliche Aufbewahrungspflichten sein.

Nähere Informationen zur Zulässigkeit der Datenverarbeitung finden Sie hier. 

Datenschutzmanagement

Die Risiken, die sich aus der Datenverarbeitung im Unternehmen ergeben, müssen hinsichtlich Art, Umfang, Zweck der Verarbeitung sowie der Eintrittswahrscheinlichkeit von Verletzungen und deren Auswirkungen beachtet werden. Dazu ist ein Datenschutzmanagement notwendig, natürlich abhängig von der Größe des Unternehmens und den personenbezogenen Daten, die verarbeitet werden. Aber auch in kleineren Unternehmen muss ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können.

Weitere Details zum Datenschutzmanagement erfahren Sie hier. 

Die Einwilligung des Betroffenen

Wie bereits dargestellt, benötigen Sie für die Verarbeitung von personenbezogenen Daten eine rechtliche Grundlage. Die Einwilligung des Betroffenen spielt damit eine wichtige Rolle. Einwilligungserklärungen sollten überprüft werden, ob sie den Anforderungen der DSGVO entsprechen.

Einzelheiten zu den Anforderungen einer wirksamen Einwilligung finden Sie hier. 

Datenschutz und Datensicherheit

Die DSGVO verknüpft Datenschutz und Datensicherheit eng miteinander. Es wird verlangt, dass unter Berücksichtigung des Standes der Technik alle notwendigen organisatorischen Maßnahmen getroffen werden, um die persönlichen Daten so gut wie möglich zu schützen.

Weitere Einzelheiten zu Datenschutz und Datensicherheit lesen Sie hier. 

Betrieblicher Datenschutzbeauftragter

Beim betrieblichen Datenschutzbeauftragten bleibt es bei der bislang in Deutschland geltenden Regelung: Ein (interner oder externer) Datenschutzbeauftragter muss bestellt werden, wenn mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Näheres zu den Anforderungen an die Bestellung, zur Stellung und zu den Aufgaben des betrieblichen Datenschutzbeauftragten sowie ein Muster für die interne Bestellung finden Sie hier.

Der betriebliche Datenschutzbeauftragte muss mit Inkrafttreten der DSGVO zum 25.05.2018 dem Landesdatenschutzbeauftragen gemeldet werden. Der Landesdatenschutzbeauftragte NRW wird hierzu die Möglichkeit zur Online-Meldung schaffen.

Checkliste zur Umsetzung der DSGVO

Die Umsetzung der DSGVO stellt alle Unternehmen vor große Herausforderungen. Zahlreiche Berater wie externe Datenschutzbeauftragte, Softwareanbieter oder Rechtsanwälte bieten Ihnen ihre Unterstützung an. Das Bayerische Landesamt für Datenschutzaufsicht stellt eine kostenlose Checkliste für Unternehmen bereit, um sich auf die DSGVO vorzubereiten. Die für Ihr Unternehmen gefundenen Ergebnisse sollten Sie dokumentieren, um bei Bedarf dem Landesdatenschutzbeauftragten belegen zu können, dass Sie sich datenschutzkonform verhalten.

Die Checkliste zur Umsetzung der DSGVO finden Sie hier.

Alternativ stellt auch der Landesdatenschutzbeauftragte NRW einen Fragebogen zur Verfügung. 

Betroffenenrechte

Die DSGVO stärkt spürbar die Rechte der Personen, deren Daten verarbeitet werden. Es bestehen umfangreiche Informationspflichten bei der Datenerhebung, Auskunftsrechte, Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit, Widerrufsrechte sowie das Recht, nicht einer automatisierten Einzelentscheidung unterworfen zu sein.

Einzelheiten zu den Betroffenenrechten können Sie hier erfahren.

Dokumentationspflichten

Eine wesentliche Änderung durch die DSGVO ergibt sich daraus, dass Sie künftig nachweisen können müssen, dass ihre Datenverarbeitung datenschutzkonform ist. Sie trifft eine Rechenschaftspflicht. Diese können Sie nur mit einer ausreichenden Dokumentation sicherstellen. Die Dokumentation erfolgt in der Praxis durch ein Verzeichnis für Verarbeitungstätigkeiten.

Details zu den Dokumentationspflichten finden Sie hier.

Der Landesdatenschutzbeauftrage NRW stellt zudem ein Muster mit weiteren Hinweisen für das Verzeichnis der Verarbeitungstätigkeiten zur Verfügung.

Das Bayerische Landesamt für Datenschutzaufsicht hält zudem ein Muster für einen Vertrag zur Auftragsdatenverarbeitung bereit.

Privacy by design / privacy by default

Durch die fortschreitende Digitalisierung steigt die Menge der erfassten personenbezogenen Daten ständig. Die DSGVO fordert deshalb, bei der Entwicklung und Implementierung von Produkten zur Verarbeitung personenbezogener Daten das Prinzip der Datenvermeidung und Datensparsamkeit zu berücksichtigen. Damit wird der Ansatz Datenschutz durch Technik („privacy by design“) und datenschutzfreundliche Voreinstellungen („privacy by default“) zur Pflicht.

Mit welchen Strategien diese Ziele umgesetzt werden können, lesen Sie hier. 

Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen

Nach der DSGVO müssen Unternehmen im Falle einer Verletzung des Schutzes personenbezogener Daten grundsätzlich die Aufsichtsbehörde und den Betroffenen informieren. Die Meldung ist unverzüglich und möglichst innerhalb von 72 Stunden vorzunehmen.

Nähere Informationen zu den Meldepflichten und den Ausnahmen finden Sie hier

Datenschutz für kleine Unternehmen – ein Beispiel

Das betrifft doch nur große Unternehmen! Weit gefehlt, Datenschutz und die Umsetzung der DSGVO betreffen alle Unternehmen, auch die kleinen. Warum das so ist und welche Maßnahmen zu treffen sind, stellen wir Ihnen anhand eines kleinen Musterbeispiels dar. 

Datenschutz für Existenzgründer

Sie wollen ein Unternehmen gründen? Dann sollten Sie unter dem Gesichtspunkt des Datenschutzes folgende Checkliste beachten.

Datenschutz-Folgeabschätzung

Die DSGVO führt für die Verarbeitung personenbezogener Daten einen risikobasierten Ansatz ein: Je risikoreicher und schadensgeneigter die Verarbeitung der Daten für die Betroffenen sein kann, desto höhere Anforderungen stellt die DSGVO an die Anwendung. Immer dann, wenn eine Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder ein sehr hohes Risiko zur Folge hat, ist eine Datenschutz-Folgeabschätzung vorzunehmen.

Welche Schritte für eine Datenschutz-Folgeabschätzung vorzunehmen sind, erfahren Sie hier. 

Verpflichtungserklärung für Mitarbeiter

Beschäftigte von Unternehmen, in denen personenbezogene Daten verarbeitet werden, müssen auf ihre Vertraulichkeit verpflichtet werden. Ein Muster für die Verpflichtungserklärung finden Sie hier. 

Beschäftigtendatenschutz

Die DSGVO trifft inhaltlich keine Regelungen zum Datenschutz im Beschäftigungsverhältnis, sondern überlässt dies dem nationalen Gesetzgeber. Der deutsche Gesetzgeber hat das im Bundesdatenschutzgesetz getan.

Nähere Informationen zum Beschäftigungsdatenschutz erhalten Sie hier.

Datenschutzerklärung im Internet

Auch auf die Datenschutzerklärung im Internet hat die DSGVO Auswirkungen. Nähere Informationen hierzu finden Sie in unserem Merkblatt.