Mitarbeiter müssen über die Vorgaben der DS-GVO informiert werden
Der Datenschutz und die Einhaltung der gesetzlichen Vorgaben stellen so manches Unternehmen vor eine Herausforderung. Für jene, die sich nicht täglich mit dem Thema Datenschutz befassen, scheint die Umsetzung manchmal recht unübersichtlich zu sein.
Vor allem aber die Mitarbeiter, die ja im Alltag mit den personenbezogenen Daten der Betroffenen arbeiten, müssen nachvollziehen können, worauf es im Umgang mit der DS-GVO ankommt. Daher hat das Team von Datenschutzberater.NRW in diesem Blog noch einmal die wichtigsten Dokumentationen zusammengefasst, die Erfüllt werden müssen und gibt erste Tipps, wie der Datenschutz im Unternehmen etabliert werden kann.
DS-GVO welche Daten dürfen verarbeitet werden?
Grundsätzlich dürfen die sogenannten personenbezogenen Daten von Betroffenen nicht verarbeitet werden. (Was sind personenbezogene Daten? – lesen Sie unseren Blog zum Thema). Das bereits viel zitierte Verbot mit Erlaubnisvorbehalt gibt aber die Möglichkeiten vor, wann Unternehmen, Vermieter, Vereine, Schulen und andere personenbezogene Daten verarbeiten dürfen:
- Es liegt eine gesetzliche Grundlage vor oder
- der Betroffene hat sein Einverständnis für die Verarbeitung gegeben.
Dabei sollten Datensparsamkeit, Betroffenenrechte und Zweckbindung der Verarbeitung geprüft werden. Daraus ergeben sich dann die personenbezogenen Daten, die Sie als Unternehmen verarbeiten dürfen.
Wer ist für den Datenschutz verantwortlich?
Für alle Unternehmen, egal ob in Köln, Düsseldorf, Siegen, Bonn oder auch im Allgäu ansässig, gilt, dass der Verantwortliche des Unternehmens für die Einhaltung des Datenschutzes verantwortlich ist. Gerade bei Unternehmen, die aufgrund der gesetzlichen Vorgaben einen Datenschutzbeauftragten berufen müssen, ist dieser dazu verpflichtet auf die Einhaltung der DS-GVO hinzuweisen.
Was bedeutet das im Alltag eines Unternehmens? Der Datenschutzbeauftragte (extern oder betrieblich) prüft den Umgang mit dem Datenschutz und weist den Verantwortlichen auf mögliche Missstände hin. Bei der Umsetzung der Datenschutzgrundverordnung (DS-GVO) kann er unterstützen.
Oft werden die Aufgaben aufgrund der Menge der zu erstellenden Dokumentationen auf mehrere verantwortliche Personen verteilt. Für die Einhaltung ist aber immer der Verantwortliche (Geschäftsführer o.ä.) zuständig. Da die im Datenschutz vorgegebenen Regelungen aber im Alltag in den verschiedenen Abteilungen umgesetzt werden müssen, sollten die Mitarbeiter beim Datenschutz mit ins Boot geholt werden.
Dokumente im Datenschutz – Ein Überblick
Um den Datenschutz zu gewährleisten, gilt es gewisse gesetzliche Vorgaben einzuhalten und diese auch zu dokumentieren. Bei Bedarf werden diese von den Aufsichtsbehörden angefordert.
Zu den vorgegebenen Dokumenten gehören unter anderem
- Verzeichnis von Verarbeitungstätigkeiten (VVT),
- Technische und organisatorische Maßnahmen (TOMs),
- ADV-Verträge zur Auftragsdatenverarbeitung,
- Datenschutzfolgenabschätzung
welche in einem Datenschutzmanagementsystem münden.
Datenschutzkonzept und Datenschutzhandbuch für Unternehmen
Darüber hinaus sollte jedes Unternehmen ein Datenschutzkonzept erstellen, um die Vorgehensweisen beim Datenschutz sicher zu stellen. Erarbeiten Sie ein Konzept, anhand dessen Sie den Datenschutz definieren und die Eckpunkte dazu festlegen.
Ein Konzept steht am Anfang der Umsetzung der DS-GVO. Es definiert die gesetzlichen Vorgaben und die Ziele, die sich jedes Unternehmen darüber hinaus für den Datenschutz steckt. Es definiert in aller erster Linie die rechtliche Grundlage für die Datenverarbeitung
Anhand des Datenschutzkonzeptes und den daraus resultierenden Vorgehensweisen und Dokumenten sollte am Ende ein Datenschutzhandbuch entstehen. Das Datenschutzhandbuch gibt die Umsetzung des Datenschutzes im Unternehmen mehr oder weniger vor. Machen Sie es daher, zumindest in Teilen den Mitarbeitern zugänglich.
Im Datenschutzhandbuch können die Mitarbeiter Vorgehensweisen, Leitfäden und Ziele nachlesen.
Betriebsvereinbarungen, Verpflichtungserklärung und Arbeitsanweisungen
Die Einhaltung des Datenschutzes durch die beteiligten Mitarbeiter ist das A und O. Daher steht am Beginn jedes Arbeitsvertrages auch eine Betriebsvereinbarung. In dieser wird vor allem die Mitarbeiterseite des Datenschutzes betrachtet. Dadurch wird sichergestellt, dass die personenbezogenen Daten, die verarbeitet werden, auch dem Datenschutz unterliegen und für den genutzten Zweck verarbeitet werden dürfen.
Vor allem Mitarbeiter, die personenbezogene Daten verarbeiten, müssen eine Verpflichtungserklärung zur Einhaltung des Datenschutzes unterschreiben. Mit dieser Verpflichtung stellen Sie sicher, dass der Datenschutz im Unternehmen vom Mitarbeiter eingehalten wird.
Darüber hinaus macht es Sinn gerade beim Datenschutz auf Arbeitsanweisungen zu setzen. Formulieren Sie aus den Grundlagen von Datenschutzhandbuch und Datenschutzkonzept Arbeitsanweisungen für Ihre Mitarbeiter. Es gibt den Mitarbeitern die Möglichkeit gesetzessicher mit personenbezogenen Daten umzugehen und sich an festen Vorgaben zu orientieren.
Kennwortrichtlinien, Home-Office-Vereinbarung und Notfallplan
Der Datenschutz im Unternehmen wird nicht zuletzt auch durch die technischen und organisatorischen Maßnahmen gesichert. Dazu gehören natürlich die Kennwörter, die den Datenzugriff durch einen Unbefugten verhindern sollen. Stellen Sie sicher, dass diese Kennwörter die nötige Sicherheit mitbringen und stellen Sie daher eine Kennwortrichtlinie auf.
Das gleiche gilt für die Arbeit im Homeoffice: Wenn der Mitarbeiter personenbezogene Daten mit in die eigenen vier Wände nimmt, muss besonders auf deren Sicherheit geachtet werden. Treffen Sie daher auch den Datenschutz betreffend eine Home-Office-Vereinbarung. Damit wird sichergestellt, dass der Datenschutz auch außerhalb des Unternehmensgebäudes eingehalten werden kann.
Aber was passiert, wenn doch etwas schief geht? Auch darauf müssen Sie vorbereitet sein. Stellen Sie bereits zu Beginn einen Plan auf, wie sichergestellt wird, dass eine Datenpanne erkannt und DS-GVO-konform gemeldet wird. Informieren Sie Ihre Mitarbeiter über diesen Notfallplan. Wenn jeder Mitarbeiter weiß, was im Fall der Fälle zu tun ist, dann ist auch eine Datenpanne gemeinsam zu bewältigen.
Datenschutz mit dem Datenschutzbeauftragten in NRW bietet ein regelmäßiges Update
Um den Datenschutz im Unternehmen umzusetzen, müssen alle in der DS-GVO definierten Vorgaben umgesetzt werden. Darüber hinaus sollten die Parameter in regelmäßigen Abständen geprüft und angepasst werden. Der externe Datenschutzbeauftragte ist dabei der richtige Ansprechpartner, der den Datenschutz im Unternehmen regelmäßig prüft und bei der Aktualisierung unterstützt.
Ziehen Sie den (externen) Datenschutzbeauftragten daher bei der Einführung jeder Verarbeitung von personenbezogenen Daten hinzu. Lassen Sie Ihn aber auch die bestehenden Vorgänge im Unternehmen regelmäßig prüfen.
Datenschutzberater.NRW hilft Ihnen gerne bei der Umsetzung des Datenschutzes in Ihrem Unternehmen. Unser Team besteht aus Fachleuten aus Datenschutz, IT und Steuerrecht und betreut Mandanten in Köln, Siegen, Bonn, Düsseldorf und ganz NRW.
Wir bieten Ihnen u.a. folgende Leistungen an:
- Laufende Betreuung im Datenschutz durch unseren externen Datenschutzbeauftragten (TÜV) unterstützt durch eine Datenschutzfachkraft (TÜV)
- Datenschutz-Erstberatung
- Datenschutz-Audit
- IT-Audit
- Datenschutzscan Ihrer Homepage
- GoBD-Beratung
Nehmen Sie hier Kontakt mit uns auf.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie die Vorgaben der DS-GVO für NRW eingehalten haben, dann lassen Sie sich von uns professionell beraten. Weitere Handlungsempfehlungen für KMU in NRW finden Sie hier.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.