Lesezeit: 3 Min
Wie sollte man den Datenschutz richtig umsetzen?
Der Datenschutz ist ein komplexer Themenbereich, dessen Umsetzung zwingend notwendig ist. Ziel ist es die personenbezogenen Daten und damit den sogenannten Betroffenen ausreichend zu schützen. Die Datenschutzgrundverordnung (DS-GVO) gibt unterschiedliche Vorgaben, die entsprechend umzusetzen sind.
Wichtig ist, dass beim Datenschutz alle Verarbeitungen von personenbezogenen Daten berücksichtigt werden. Dazu zählen digitale, sowie analoge Verarbeitung jeglicher Art.
Wer muss den Datenschutz umsetzen?
Grundsätzlich ist jeder, der personenbezogene Daten in irgendeiner Form verarbeitet, dazu verpflichtet die DS-GVO und ihre Vorgaben umzusetzen. Das bedeutet, es ist egal, welche Organisation die personenbezogenen Daten verarbeitet, der Datenschutz muss nach den gesetzlichen Vorgaben umgesetzt werden.
Die Verarbeitung von personenbezogenen Daten kann unter anderem in folgenden Institutionen stattfinden:
- Unternehmen (egal ob KMU oder andere – auch Handwerker, Dienstleister, Gastgewerbe usw.)
- Verein
- Schule
- Kita
- OGATA
- Einzelselbständige (wie Fotografen, Journalisten, andere Dienstleister)
- Steuerberater
- Rechtsanwälte
- Ärzte usw.
Was macht ein Datenschutzbeauftragter?
Die Datenschutzgrundverordnung gibt vor, unter welchen Voraussetzungen man einen Datenschutzbeauftragten einsetzen muss. Darüber hinaus macht es aber immer Sinn einen Datenschutzbeauftragten für die Umsetzung des Datenschutzes einzusetzen. Dieser kann bei der Umsetzung des Datenschutzes helfen und darauf hinwirken, den Datenschutz im Unternehmen einzuhalten.
Der externe Datenschutzbeauftragte bildet dabei noch einmal eine besondere Variante. Dieser betrachtet die Organisation von außen und beurteilt die Prozesse der Datenverarbeitung mit dem Knowhow eines Fachmanns. Dabei ist er gerade für kleine und mittelständische Unternehmen und Organisationen eine wichtige Hilfe, bei der meist komplexen Umsetzung der gesetzlichen Vorgaben.
Welche Vorgaben im Datenschutz muss man einhalten?
Nachdem ein externer Datenschutzbeauftragter auf Grundlage der gesetzlichen Vorgaben oder auf freiwilliger Basis eingesetzt wurde, gibt es einige Schritte im Datenschutz durchzuführen.
Zuerst einmal macht es Sinn mit dem Verzeichnis von Verarbeitungstätigkeiten (VVT) zu starten. In diesem Verzeichnis müssen alle Verarbeitungstätigkeiten, in denen personenbezogene Daten verarbeitet werden, aufgeführt und dokumentiert sein. Das VVT muss auf Anfrage der Aufsichtsbehörde vorgelegt werden und lückenlos belegen, wie, welche Datenverarbeitet werden.
BLOG-TIPP: Verzeichnis von Verarbeitungstätigkeiten (VVT) im Datenschutz für NRW
Technische und organisatorische Maßnahmen und Schutzlücken
Wenn alle Verarbeitungstätigkeiten definiert und entsprechend der DS-GVO dokumentiert wurden, muss geprüft oder festgelegt werden, wie der Schutz der personenbezogenen Daten sichergestellt werden kann.
Der Schutz der personenbezogenen Daten erfolgt in erster Linie über die sogenannten technischen und organisatorischen Maßnahmen (TOM). Diese müssen den Vorgaben entsprechend in einer ausreichenden Form festgelegt und dokumentiert werden. Die TOM können sowohl digitale Maßnahmen wie Virenschutz o.ä., aber auch Dinge wie abschließbare Schränke oder Zugangskontrollen sein.
Wenn bei der Prüfung im Datenschutz Schutzlücken auffallen, gilt es diese sofort im nötigen Umfang zu beheben.
BLOG-TIPP: TOM NACH DS-GVO FÜR UNTERNEHMEN IN KÖLN, BONN, GUMMERSBACH UND UMGEBUNG
Was sind Betroffenenrechte?
Betroffenenrechte regeln den Schutz des Betroffenen im Datenschutz und stellen daher auch Pflichten für den Verantwortlichen dar. Es gibt unterschiedliche Betroffenenrechte, diese sind unter anderem:
- Recht auf Information – vor der Verarbeitung der Daten
- Recht auf Auskunft
- Recht auf Löschung
- Recht auf Vergessenwerden
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
Die Datenschutzinformationen müssen regelmäßig geprüft und angepasst werden. Auf der Website sollten die Informationen zum Datenschutz durch eine Datenschutzerklärung zur Verfügung gestellt werden Diese muss von jeder Seite der Homepage aus erreichbar sein.
Betroffene im Sinne des Datenschutzes können sein:
- Homepagebesucher
- Interessenten
- Kunden
- Mitarbeiter
- Lieferanten
- Partner
- Bewerber usw.
BLOG-TIPP: BETROFFENENRECHTE IM DATENSCHUTZ FÜR NRW
Was ist die Auftragsdatenverarbeitung?
Besondere Sorgfalt sollte auch dann eingehalten werden, wenn die personenbezogenen Daten durch einen Auftragsverarbeiter verarbeitet werden. Die sogenannte Auftragsverarbeitung (AV) sollte dann durch einen DS-GVO-konformen AV-Vertrag abgesichert werden.
Besonders zu beachten ist die Auftragsverarbeitung mit Anbietern, die in einem Drittland ansässig sind. Die Auftragsverarbeitung kann zum Beispiel bei der Datenvernichtung, bei der Nutzung von Cloudsystemen oder auch bei der Wartung eine Rolle spielen.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – AV-VERTRÄGE
Ist der Datenschutz für alle verpflichtend?
Ja, der Datenschutz muss zwingend bei der Verarbeitung von Daten eingehalten werden. Bei Verstößen gegen den Datenschutz kann es zu empfindlichen Strafen kommen. Verstöße werden durch die entsprechende Aufsichtsbehörde geprüft. Ein Verstoß gegen den Datenschutz kann die Nichteinhaltung der Vorgaben sein, aber auch eine meldepflichtige Datenpanne.
Zum Datenschutz gehören je nach verarbeiteten personenbezogenen Daten auch noch weitere Schritte, die im einzelnen geprüft werden müssen.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.