Personenbezogene Daten im Unternehmen richtig verarbeiten
Wir haben uns im ersten Teil dieses zweiteiligen Blogs bereits mit den ersten Grundlagen des Datenschutzes in NRW beschäftigt. Dabei haben wir Ihnen schon einmal die ersten Schritte zur Umsetzung der Datenschutzgrundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) nähergebracht.
Dazu gehörten die Aufgaben und die Bedeutung des (externeren) Datenschutzbeauftragten, aber auch Betroffenenrechte, Verfahrensverzeichnisse und technisch-organisatorische Maßnahmen für Unternehmen und andere, die personenbezogene Daten verarbeiten. Teil 1 unseres Blogs finden Sie hier.
Im heutigen Artikel werden wir Ihnen weitere wichtige Punkte im Datenschutz erläutern und den Kreis schließen, um den Datenschutz besser zu verstehen. Datenschutzberater.NRW zeigt Ihnen, wie Sie den Datenschutz in Ihrem Unternehmen stetig weiter entwickeln können.
Wozu dienen DS-GVO und BDSG in NRW?
Zuerst einmal stellen sich viele die Frage, wozu der Datenschutz für Unternehmen und jene, die personenbezogene Daten verarbeiten, dient. Die Vorgaben scheinen sehr umfangreich. Wenn man sich jedoch anschaut, auf welchen Ebenen personenbezogene Daten von Betroffenen verarbeitet werden, geben die Vorgaben der Datenschutzgrundverordnung Sinn, denn Sie bieten auch in gewisser Weise eine Rechtssicherheit für Unternehmen.
Grundsätzlich ist das Verarbeiten von personenbezogenen Daten verboten. Eine Ausnahme bilden gesetzliche Notwendigkeiten oder Vorgänge, bei denen der Betroffene seine Einverständnis zur Verarbeitung gibt (Verbot mit Erlaubnisvorbehalt).
Der Datenschutz stellt daher sicher, dass der Verantwortliche, der diese personenbezogenen Daten verarbeitet, dies mit einem gesicherten Standard und nur in einem vorgegebenen Rahmen tut. Prüfungen und empfindliche Strafen helfen dabei, dass die Vorgaben eingehalten werden.
Damit Unternehmen nachweisen können, dass Sie verantwortungsvoll mit den personenbezogenen Daten von Betroffenen umgehen, schreiben DS-GVO und BDSG verschiedene Arten von Dokumentationen und Prüfungen der Sachlage vor. (siehe dazu auch Teil 1 des Artikels)
Datenschutzfolgenabschätzung und die Schwellwertanalyse im Datenschutz
Vor allem bei der Verarbeitung von personenbezogenen Daten besonderer Kategorien (z.B. Gesundheitsdaten – dazu gehören auch Krankmeldungen des Mitarbeiters o.ä.), muss der Verantwortliche gesondert bewerten, welchem Risiko der Betroffene und seine Daten ausgesetzt sind.
Dafür muss eine Schwellwertanalyse (Risikoanalyse) durchgeführt werden. Hierbei wird bewertet, welches Risiko grundsätzlich für den Verlust der Daten oder einem Zugriff durch Unbefugte besteht. Darauf folgt in der Regel eine Datenschutzfolgenabschätzung, bei der genauer analysiert wird, welche Risiken bestehen, wo diese entstehen können und was getan werden muss, um sie zu minimieren.
Bei der Datenschutzfolgenabschätzung wird auch festgelegt, was passiert, wenn doch einmal eine Datenpanne entsteht und wie verhindert werden kann, damit dies nicht noch einmal passiert.
Datenschutzerklärung auf der Homepage
Die Datenschutzerklärung auf einer Internetseite dient unter anderem zur Information von Besuchern der Seite. Auf einer Homepage werden immer auch personenbezogene Daten verarbeitet – dabei muss man wissen, dass auch eine IP-Adresse als personenbezogenes Datum gilt.
Sobald auf einer Homepage also in irgendeiner Form Daten analysiert werden, ob durch Cookies oder andere Analyse-Tools, verarbeitet man personenbezogene Daten. Auf diese Verarbeitung muss der Betroffene hingewiesen werden. Im Fall von Cookies beispielsweise muss er für die Verarbeitung sein Einverständnis geben. Das darf nach einem neuen Urteil des BGH nicht mehr über voreingestellte Einstellungen erfolgen. (Lesen Sie hier mehr zum Urteil)
Eine Datenschutzerklärung auf einer Homepage sollte auch über andere Datenverarbeitungen wie Newsletter o.ä. aufklären. Außerdem sollte die Datenschutzerklärung regelmäßig überprüft und angepasst werden.
ADV-Verträge für Unternehmen in NRW
Erfolgt die Datenverarbeitung der personenbezogenen Daten über einen sogenannten Auftragsdatenverarbeiter, muss ein entsprechender Vertrag mit diesem abgeschlossen werden. Dieser stellt unter anderem sicher, wie mit den Daten sicher umgegangen werden muss.
Diese sogenannten ADV-Verträge – Auftragsdatenverarbeitungs-Verträge – sichern den Datenschutz für den Betroffenen auch bei der Verarbeitung durch Dritte ab. Eine Datenverarbeitung von personenbezogenen Daten kann dabei an unterschiedlichen Stellen erfolgen. Die Datenvernichtung, Homepageanalysetools oder auch der Scan von Dokumenten kann eine Auftragsdatenverarbeitung darstellen.
Ein Unternehmen sollte daher regelmäßig die internen und externen Abläufe auf eine Auftragsdatenverarbeitung in prüfen.
Mitarbeiterschulungen als wichtige Grundlage für den Datenschutz
Jeder Verantwortliche muss sicherstellen, dass der Datenschutz im Unternehmen eingehalten wird. Dabei muss er auch gewährleisten können, dass die Mitarbeiter, die personenbezogenen Daten verarbeiten, über die entsprechenden Kenntnisse verfügen.
Eine Mitarbeiterunterweisung im Datenschutz sollte daher Pflicht in jedem Unternehmen sein, dass personenbezogene Daten verarbeitet. Darüber hinaus muss der Verantwortliche aber auch sicherstellen, dass der Datenschutz immer auf dem neusten Stand eingehalten wird.
Da der Datenschutz im Unternehmen nur so gut sein kann, wie die Mitarbeiter, die die Daten verarbeiten, sollten regelmäßige Schulungen in diesem Bereich erfolgen. Online-Seminare bieten sich für die Auffrischung und Unterweisung der Mitarbeiter besonders gut an, da Sie direkt vor Ort im Unternehmen und ohne großen Aufwand stattfinden können.
Datenschutzmanagementsystem – der Schlüssel für guten Datenschutz
Um zu überprüfen, ob der Datenschutz ausreichend eingehalten und umgesetzt wird, münden alle Maßnahmen von DS-GVO und BDSG in einem Datenschutzmanagementsystem (DSMS). In diesem Managementsystem werden – ähnlich wie bei einem QM-Handbuch – zentral alle Maßnahmen dokumentiert, die zum Datenschutz beitragen.
Hier laufen die Fäden zusammen. Egal ob Verzeichnis von Verarbeitungstätigkeiten. TOMs oder ADV-Verträge usw.: Alle zuvor genannten Maßnahmen werden im DSMS zusammengetragen und noch einmal abschließen auf Vollständigkeit hin geprüft.
Darüber hinaus entwickelt man in einem Datenschutzmanagementsystem auch Leitlinien, wie man bei möglichen Datenpannen reagieren sollte. Ein gutes DSMS und damit auch ein guter Datenschutz entwickelt stetig weiter. Unternehmen sollten daher auch verschiedene Szenarien durchtesten, um zu sehen, ob alle Systeme im Datenschutz funktionieren.
Lassen Sie das Datenschutzmanagementsystem auch in den entsprechenden Teilen zugänglich für die Mitarbeiter aufbewahren. Die Mitarbeiter können so die Vorgaben im Datenschutz nachverfolgen und ggf. nachlesen, was zu tun ist.
Und warum das alles? – Datenschutz und Dokumentation bei Datenpannen
Wer sich mit dem Datenschutz beschäftigt, der merkt sehr schnell, dass es sich bei vielen Richtlinien der DS-GVO auch um ein Werkzeug zur Dokumentation und dem Auseinandersetzen mit dem Datenschutz handelt.
Der Datenschutz soll, wie oben schon erwähnt durch seine zahlreichen Instrumente den sicheren Umgang mit personenbezogenen Daten gewährleisten. Wer die Vorgaben von DS-GVO und BDSG gewissenhaft umsetzt, kann auch davon ausgehen, dass die personenbezogenen Daten der Betroffenen sicher verarbeitet werden.
Beziehen Sie bei Entscheidungen von neuen Datenverarbeitungen immer den (externen) Datenschutzbeauftragten mit ein. Je nachdem, um welche Art von Verarbeitung es geht, sollte auch ein IT-Spezialist hinzugezogen werden.
Datenschutzberater.NRW betreut Sie gerne auf dem Weg zu einem umsetzbaren und praxisorientierten Datenschutz. Wir bieten Ihnen im Zuge unsere laufenden Betreuung oder projektbezogen unter anderem folgende Leistungen an:
- Datenschutz-Erstberatung
- Datenschutz-Audit
- IT-Erstberatung
- IT-Audit
- GoBD-Beratung – Verfahrensdokumentation
- Homepagescan für eine DS-GVO-konforme Internetseite
Nehmen Sie gerne Kontakt zu uns auf, wir erstellen Ihnen ein individuelles Angebot. Wir betreuen Unternehmen in Köln, Düsseldorf, Bonn, Siegen und ganz NRW.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Benötigen Sie Hilfe bei der Umsetzung der DS-GVO? Senden Sie uns eine unverbindliche Anfrage – wir beraten Sie gerne über unsere Leistungen im Datenschutz.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.