Umsetzung der DS-GVO in NRW

Die DS-GVO sicher bei der Arbeit umsetzen

Wer personenbezogene Daten verarbeitet, der muss sich an die Vorgaben der DS-GVO halten, d.h. er muss die Datenschutzgrundverordnung (DS-GVO) umsetzen. Wir möchten in diesem Blogartikel Verantwortlichen einen Überblick geben, welche ersten Schritte sie für die Einhaltungen vornehmen können.

Wer muss sich an die DS-GVO halten?

Oft stellen sich Verantwortliche die Frage, wann Sie die gesetzlichen Vorgaben der DS-GVO umsetzen müssen. Grundsätzlich gilt, dass eine Verarbeitung von personenbezogenen Daten nicht erlaubt ist. Nur wenn es beispielsweise eine gesetzliche Vorgabe oder eine Einwilligung des sogenannten Betroffenen gibt, darf dies geschehen (Verbot mit Erlaubnisvorbehalt).

Grundsätzlich gilt dabei, dass jeder, der regelmäßig personenbezogene Daten einer Person, dem Betroffenen, verarbeitet, sich an die Vorgaben des Datenschutzes halten muss. Dazu gehören beispielsweise:

  • Unternehmen
  • Vereine
  • Vermieter
  • Einzelhändler
  • Dienstleister
  • Praxen
  • Kanzleien
  • Selbstständige

aus allen Branchen.

Sicherheit im Datenschutz – das Büro

Die Verarbeitung von personenbezogenen Daten im Büro sollte durch verschiedene Handlungsweisen sichergestellt werden. Dafür sollten auch die Mitarbeiter entsprechend sensibilisiert werden.

Ein wichtiger Schritt im Datenschutz ist es, dass keine Unterlagen offen einsehbar für Unbefugte herumliegen. Der Arbeitsplatz sollte am Ende des Arbeitstages so aufgeräumt sein, dass niemand Zugriff auf mögliche personenbezogene Daten hat. Dazu gehören abschließbare Schränke oder Büros.

Nicht mehr benötigte Unterlagen und Datenträger sollten entsprechend der gesetzlichen Vorgaben vernichtet werden. Lesen Sie dazu auch unseren Blog-Artikel „Datenvernichten aber richtig“.

IT-Sicherheit und Datenschutz

Sichere Passwörter sind das A und O für den Schutz von personenbezogenen Daten. Ein sicheres Passwort besteht aus mindestens 12 Stellen, Klein- und Großbuchstaben, Ziffern und Satzzeichen. Außerdem sollten Kennwörter nie für andere sichtbar oder erreichbar am Schreibtisch aufgehoben werden oder an andere Personen weitergegeben werden. Eine Kennwortrichtlinie sollte in jedem Büro zum Standard gehören.

Im E-Mail-Anhang von nicht verifizierten Adressaten können sich schadhafte Programme befinden. Daher sollte ein guter Virenschutz immer wieder aktualisiert und geprüft werden. Unbekannte Mails die verdächtig sind, sollten nicht geöffnet und mit einem IT-Spezialisten besprochen werden. Datenschutz ist immer auch IT-Sicherheit, daher gilt es auch hier die wichtigen Punkte zu beachten.

Dazu gehören Speicherorte, in denen personenbezogene Daten abgespeichert werden, auf die nur jene Mitarbeiter Zugriff haben, die auch berechtigt sind, diese Daten zu verarbeiten.

Jede Datenschutzpanne unbedingt melden

Der Datenschutz kann unabsichtlich oder auch absichtlich umgangen werden. Damit entsprechende Vorkehrungen und Meldungen an die zuständige Aufsichtsbehörde gemacht werden können, müssen Unregelmäßigkeiten sofort nach Bekanntwerden an den zuständigen Datenschutzbeauftragten weitergegeben werden. Hierbei geht es auch um Zeit, denn eine Datenpanne muss 72 Stunden nach Bekanntwerden an die zuständige Behörde gemeldet werden (Feiertage und Wochenenden werden dabei ohne Einschränkungen mitgezählt).

Mitarbeiter sollten dafür sensibilisiert sein, solche Vorkommnisse immer an den Datenschutzbeauftragten zu melden.

Auch wer nach den gesetzlichen Vorgaben keinen Datenschutzbeauftragten berufen muss, der sollte sich überlegen für den Datenschutz im Büro einen externen Datenschutzbeauftragten zu Rate zu ziehen. Dieser kann Ihnen bei der Umsetzung des Datenschutzes beratend zur Seite stehen und den Datenschutz regelmäßig überprüfen. Außerdem hilft er Ihnen bei der Bearbeitung von Betroffenenanfragen und eben der Datenpannen.

Notwendige Schritte und Dokumentationen im Datenschutz

Die DS-GVO gibt verschiedene Pflichten für den Verantwortlichen im Datenschutz vor. Diese sollen die Umsetzung sicherstellen und vor allem auch dokumentieren. Besonders die Dokumentationen können beispielsweise im Fall einer Beschwerde bei der Aufsichtsbehörde dem Unternehmen hilfreich sein, um aufzuzeigen, welche Vorkehrungen für die Einhaltung der gesetzlichen Vorgaben gemacht wurden.

Zu den wichtigsten Vorgaben, die einzuhalten bzw. zu prüfen sind, zählen z.B.:

Der externe Datenschutzbeauftragte und das Unternehmen

Wer die unterschiedlichen Vorgaben im Datenschutz einhalten will, der sieht sich mitunter komplexen Vorgängen entgegengestellt und wer personenbezogene Daten verarbeitet, der kommt nicht um diese herum. Gerade für kleine Unternehmen und Vereine ist dies nicht selten ein erheblicher Mehraufwand. Mit einem externen Datenschutzbeauftragten können durch regelmäßige Datenschutz-Audits, eine Datenschutz-Erstberatung und laufende Betreuung die wichtigsten Felder im Datenschutz bewertet werden. Darüber hinaus erfüllen Sie mit einem externen Datenschutzbeauftragten mögliche gesetzliche Vorgaben.

Das Team von Datenschutzberater.NRW besteht aus Fachleuten des Datenschutzes, IT-Sicherheit und Steuerrecht. Wir betreuen Mandanten im Bereich Köln, Düsseldorf, Bonn, Siegen, Duisburg, Siegburg und ganz Nordrhein-Westfalen.

Gerne beraten wir Sie in Sachen Datenschutz und datenschutzkonformer Homepage, stellen für Sie den externen Datenschutzbeauftragten und führen nach Bedarf IT-Audits durch.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.

Datenschutz im Büro – Tipps und erste Schritte für Unternehmen in NRW