Seit einigen Wochen sind Unternehmen dazu verpflichtet, die Europäische Datenschutz-Grundverordnung (DSGVO) anzuwenden. Die zweijährige Übergangsfrist ist endgültig vorbei. Zentral dreht sich im neuen Gesetz bekanntermaßen alles um die Transparenz der Verarbeitung. In diesem Sinne müssen Unternehmen ihre Rechtskonformität („Compliance“) nachweisen. Unerlässlich ist es daher, ein sogenanntes Datenschutzkonzept umzusetzen und zu dokumentieren.
Finden Sie Ihre Schwachstellen und Sie profitieren nicht nur im Datenschutz!
Viele Unternehmen in Deutschland und Europa haben viel Zeit und Kosten investiert, um ein solches Konzept nach den neuen gesetzlichen Regelungen zu erschaffen. In den meisten Unternehmen ist diese Transformation unserer Erfahrung nach längst nicht abgeschlossen.
Unternehmer fragen sich oft, wie detailliert ein Datenschutzkonzept sein muss und wie wahrscheinlich es überhaupt ist, dass ein solches Konzept von der zuständigen Aufsichtsbehörde geprüft wird. Wir möchten Ihnen, ungeachtet dieser Fragen, die Vorteile näherbringen, die eine Neuevaluierung der Datenschutzorganisation Ihres Unternehmens bringt. Die Vorteile gehen weit über den bloßen Schutz personenbezogener Daten hinaus.
Compliance
Das größte Argument dürfte für viele Unternehmen in der Vermeidung des Haftungsrisikos liegen. Die Haftungsgrenze wurde gegenüber dem alten Bundesdatenschutzgesetz von 300.000 Euro auf 20.000.000 Euro beziehungsweise 4% des Jahresumsatzes einer Unternehmensgruppe heraufgesetzt. Die Aufsichtsbehörden können ungeachtet dessen aber auch Kontrollen durchführen oder operativ benötigte IT-Systeme abschalten lassen, soweit Verstöße bekannt werden.
Weiteres Ungemach droht auch seitens Wettbewerbern und den berüchtigten „Abmahnanwälten“, denn als Verletzung von Marktverhaltensregeln können auch Datenschutzverstöße grundsätzlich kostenpflichtig abgemahnt werden.
Wettbewerbsvorteil
Das Thema Datenschutz ist populär, Kunden und Geschäftspartner, aber auch potentielle Bewerber und Beschäftigte sind sensibilisiert. Ist Ihr Unternehmen und sind Ihre Produkte und Dienstleistungen datenschutzrechtlich sicher aufgestellt, können Sie mit dieser Tatsache werben – um Aufträge, um Bewerber, aber auch um das Vertrauen Ihrer Kundschaft und Ihrer Beschäftigten.
IT-Sicherheit
Der Datenschutz ist eine Schnittmenge aus rechtlichen, organisatorischen und nicht zuletzt technischen Umsetzungen. Der technische Schutz personenbezogener Daten – die Gewährleistung der „Sicherheit der Verarbeitung“ – erfordert Maßnahmen der IT-Sicherheit bis hin zu Lösch-, Berechtigungs- und Datentrennungskonzepten. Durch diese Maßnahmen profitiert Ihre IT-Infrastruktur und schützt Ihr Unternehmen vor Datenverlusten und Infiltration Ihrer IT-Systeme.
Schutz von Know-how und Geschäftsgeheimnissen
Durch die technischen und organisatorischen Maßnahmen werden im besten Fall nicht bloß personenbezogene Daten geschützt. Denn ein wirksames Schutzkonzept kann auf beliebige Informationen ausgeweitet werden, die Ihnen schützenswert sind. Das können sensible wirtschaftliche Informationen sein, aber auch geistiges Eigentum, Schutzrechte und Ideen. Auch die Europäische Know-how-Richtlinie, die bis Mitte 2018 in nationales Recht umzusetzen ist, erfordert technische und organisatorische Maßnahmen zum Informationsschutz – hier sind die Parallelen zum Datenschutz offensichtlich.
Unternehmensorganisation
Allgemein profitiert ein Unternehmen durch eine datenschutzrechtliche Schwachstellenanalyse, denn der Datenschutz muss heutzutage in jeder Abteilung berücksichtigt werden. Durch den Blick hinter jeden Vorhang erhalten Sie einen neuen Blick auf Prozesse, Arbeitsabläufe und die (Infra-)Struktur in Ihrem Unternehmen. So lassen sich die Organisation und die Verantwortlichkeiten effizienter regeln.
Fokus auf Ihr Kerngeschäft
Und zu guter Letzt: Das erfolgreich umgesetzte Datenschutzkonzept verschafft Ihrem Unternehmen nach der turbulenten Diskussion um die DSGVO Ruhe. Ruhe die Sie brauchen, um sich wieder um das Wesentliche zu kümmern: Ihr Kerngeschäft.
Gern berät Sie WINHELLER, das für Ihr Unternehmen passende Datenschutzkonzept zu finden und umzusetzen.
Weiterlesen:
Datenschutz im Unternehmen nicht vernachlässigen!
Erstellung eines rechtssicheren Datenschutzkonzepts für Ihr Unternehmen
Tags: DSGVO
Sehr geehrter Herr Stöcker,
sie hatten während des Seminars, die Rolle eines Datenschutzsbeauftragten betont. Die DSGVO scheint hier allerdings ziemlich unkonkret. Wie lässt sich das „regelmäßig“ genauer definieren, wenn es heißt, dass ein DSB nötig ist, sobald „regelmäßig mehr als 10 Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind“? Genügt es schon, wenn jeder Mitarbeiter eine eigene Mailadresse hat?
Vielen Dank für das hilfreiche Webinar!
Hallo Frau Fuchs,
in der Tat ist die Regelung des § 38 BDSG-neu, welche die DSGVO für Deutschland an dieser Stelle konkretisiert, recht schwammig. Hiernach ist ein betrieblicher Datenschutzbeauftragter zu bestellen, wenn mindestens zehn Personen ständig und automatisiert Daten verarbeiten. Was „ständig“ in diesem Sinne bedeutet, ist aber nicht definiert. Einigkeit in der Literatur herrscht dahingehend, dass es nicht darauf ankommt, ob die automatisierte Datenverarbeitung zur Kerntätigkeit gehört. Dennoch muss schon eine Abgrenzung zur bloß gelegentlichen Datenverarbeitung erfolgen, diese also in gewisser Regelmäßigkeit betrieben werden. Allein die Tatsache, dass zehn oder mehr Mitarbeiter eine „eigene“ E-Mail-Adresse aufweisen, würde mir nicht genügen. Gehört es aber (auch) zur Aufgabenwahrnehmung, regelmäßig E-Mails zu lesen, zu beantworten und gegebenenfalls auch zu sortieren und zu speichern, sehe ich die Bestellungspflicht eines Datenschutzbeauftragten bereits erfüllt. Im Zweifelsfall können wir Sie gerne unterstützen und die Sachlage einer gemeinsamen Bewertung unterziehen.
Beste Grüße
Per Kristian Stöcker
a) Kann ein Leistungsträger seine Einwilligung zur Datenverarbeitung widerrufen? Z.B. Gruppenführer der auf einer Alarmierungsliste steht mit Name und Telefonnummer. Zur internen Weiterleitung für z.B. eine Alarmierung.
b) Bildrechte vs. DS-GVO. Darf ich bei einer „öffentlichen“ Veranstaltung (Karneval, Evakuierungen) Bilder machen und diese Veröffentlichen (unter Vorbehalt der Unkenntlichmachung von Betroffenen)? Die Veröffltichung stellt im Sinne eine Art werbung dar; hier waren wir aktiv!
Hallo Herr Müller,
zu a): Die Frage ist, ob hier eine Einwilligung eingeholt werden muss. Falls ja, muss ihm auch der Widerruf zustehen. Gibt es für diese Leistung aber eine vertragliche Grundlage, dürfen die Daten auch weiterhin verarbeitet werden, bis der Vertrag wirksam gekündigt wurde.
zu b): Hier gilt nach herrschender Meinung noch das alte Kunsturhebergesetz. Danach dürfen auf öffentlichen Veranstaltungen Bilder gemacht werden. Bei Unkenntlichmachung ohnehin, wenn der Grad an Unkenntlichkeit so groß ist, dass niemand, also auch nicht ein Angehöriger die Person noch identifizieren kann. Dann macht auch die Werbenutzung keine Probleme. Ist die Person erkennbar, benötige ich für die werbliche Nutzung grundsätzlich eine Einwilligung (es gibt Muster im Netz, Stichwort: Model Release). Die Gesamtumstände und die weitere Verwendung müssen aber im Einzelfall betrachtet werden und sollte rechtlich geprüft werden. Gern sind wir Ihnen dabei behilflich.
Beste Grüße
Per Kristian Stöcker
Welche datenenschutzrechtlichen Erfordernisse muss man beachten, wenn man Bewerbungen online erhält und zwar sowohl aufgrund einer Stellenausschreibung als auch initiativ. Gibt es im Nachgang Hindernisse interessante Bewerbungen intern an Mitarbeiter aus der Personalabteilung weiter zu mailen.
Vielen Dank.
Zuvorderst einmal mehr die Informationspflichten. Dann die Speicherdauer, wonach entweder die Bewerbung zwei bis drei Monate nach Absage (abgeleitet aus § 15 Abs. 4 AGG) an den Bewerber zu löschen ist oder dieser um Einwilligung gebeten werden muss, sollte man die Bewerbung für den nächsten Bewerbungslauf vorhalten wollen.
Im Unternehmen darf grundsätzlich jeder die Bewerbung einsehen, den sie angeht (need to know-Prinzip). Hier ist aber sicherzustellen, dass auch Kopien wieder zu löschen sind.
Gern sind wir Ihnen dabei behilflich, ein passendes Konzept zu entwickeln und Ihren Bewerbunsglauf rechtssicher aufzustellen.
Beste Grüße
Per Kristian Stöcker
Gibt es für den Datenschutzbeauftragten eine Fachkundeprüfung, mit der die Fachkunde nachgewiesen wird/nachgewiesen werden kann? Muss eine Fachkundeprüfung bei Bedarf vorgelegt werden bzw. wie kann die Fachkunde nachgewiesen werden?
Hallo Herr Fischer,
Es gibt zahlreiche Möglichkeiten, Zertifikate zu erwerben. Diese haben aber (noch) keine verbindliche Wirkung. Einen Fachkundenachweis verlangt das Gesetz nicht, es dürfte auf Sicht aber darauf hinauslaufen, dass die Aufsichtsbehörden autorisierte Zertifizierungsstellen schaffen. Das bleibt aber abzuwarten.
Die DSGVO verlangt nur, dass die Fachkunde im Verhältnis zum Risiko der Privatsphäre der Betroffenen der in der Organisation betriebenen Verarbeitungsvorgänge steht, das heißt je sensibler die Informationen oder aufwendiger die Technik zur Verarbeitung, desto höher muss der Grad an Fachkunde sein.
Der Nachweis über einen besuchten Lehrgang kann hier zumindest nicht schaden, auch wenn dieser nicht ausdrücklich verlangt wird.
Beste Grüße
Per Kristian Stöcker
Sehr geehrter Herr Stöcker,
vielen Dank für das interessante Webinar und die Möglichkeit, anschließend noch Fragen zu klären. Tolle Aktion!
Sehr gern! Beste Grüße aus Frankfurt!
Kann der Betriebsrat beim Datenschutz bzw. der Umsetzung mitbestimmen?
Im Rahmen der allgemeinen Überwachungsfunktion hat der Betriebsrat erst mal einen Informationsanspruch hinsichtlich des Datenschutzes im Unternehmen.
Soweit neue IT-Systeme eingeführt werden, Zeiterfassung oder dergleichen, muss der Betriebsrat sogar mitbestimmen nach § 87 Abs. 1 Nr. 6 BetrVG.
Umstritten ist die Frage, ob er darüber hinaus auch bei der Bestellung des Datenschutzbeauftragten ein Mitspracherecht hat – im Ergebnis ist das aber ehr abzulehnen.
Nicht außer Acht lassen, sollte man die Möglichkeit, den Betriebsrat freiwillig miteinzubeziehen, da die Verarbeitung von Beschäftigtendaten auch auf einer entsprechenden Betriebsvereinbarung beruhen kann, beispielsweise eine Rahmenbetriebsvereinbarung zum Datenschutz. Dadurch spart man sich ein Bündel von Einzelfallregelungen und individuellen Einwilligungen/Widerrufen.
Gern sind wir Ihnen dabei behilflich, so etwas auf die Beine zu stellen – sei es arbeitsrechtlich oder datenschutzrechtlich.
Beste Grüße
Per Kristian Stöcker