Datenschutz und Datenschutz-Grundverordnung (DSGVO)

Datenschutz-Grundverordnung

Seit dem 25. Mai 2018 muss jedes Unternehmen die Vorgaben der Datenschutz-Grundverordnung (DS-GVO) und des neuen Bundesdatenschutzgesetzes (BDSG_neu) umgesetzen und in den Unternehmensalltag integrieren. Bei Nichtbeachtung oder Verstößen drohen z. T. drastische Bußgelder oder unliebsame Abmahnungen. Wichtig in diesem Zusammenhang ist, dass diese Regeln für jedes Unternehmen – egal ob sie einen Datenschutzbeauftragten stellen müssen oder nicht – verbindlich sind!
Das Bayerisches Landesamt für Datenschutzaufsicht hat zu diesem Thema einen Selbsttest online gestellt. Unter https://www.lda.bayern.de/tool/start.html finden Sie 28 Fragen zur DSGVO. Dort können Sie prüfen, ob Sie schon soweit sind.

Aktuelles:

Die DSK hat konkrete Hinweise für die Einbindnung von Werkzeugen für die Nachverfolgung von Websitennutzern und -nutzerinnen gegeben. Vor allem der Einsatz von Tools, die Daten an Dritte übertragen, bedarf danach einer aktiven Einwilligung.
pdfOrientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien (PDF, 694kB)

Zusammenfassung unter: Google Analytics, Like-Buttons und Co. rechtskonform einsetzen
Die DSK hat den Umgang mit Daten bei Asset Deals geregelt.
pdfUmgang mit Daten bei Asset Deals (PDF, 314kB)
Nach einem Beschluss des Bundestags vom 27. Juni 2019 benötigt ein Betrieb nun ab 20 Mitarbeiter eine/n Datenschutzbeauftragte/n (Meldung: Pflicht für Datenschutzbeauftragten ab 20 Personen im Betrieb angehoben)
Niedersachsen noch Bußgeldlos: im ersten Jahr der DSGVO wurde noch kein Bußgeld an Betriebe in Niedersachsen ausgestellt. Mehr dazu im NH Ausgabe 12/2019 (Seite 13)
pdfNH Ausgabe 14 2019 (PDF, 589kB)
Warnung vor der Datenschutz-Auskunftzentrale: Bitte nicht unterschreiben und nicht zurücksenden. Damit schließen Sie einen kostenpflichtigen Vertrag ab. (Meldung: Warnung vor Datenschutzauskunft-Zentrale)
Der Einsatz von Whatsapp zur betrieblichen Kommunikation ist restriktiv vom Landesam für Datenschutz Niedersachsen untersagt worden.
(Meldung: Landesamt für Datenschutz Niedersachen)

Muss ich die DSGVO umsetzen?

Ja. Die DSGVO muss von jedem Betrieb und jedem Verein umgesetzt werden, der personenbezogene Daten von Mitarbeitern oder Kunden verarbeitet. Daher gilt zu prüfen, wo Sie personenbezogene Daten erfassen, ob Sie die Personen darüber informiert haben bzw. eine EInverständniserklärung geschrieben wurde und ob das Verfahren korrekt dokumentiert wurde.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Daten, mit denen eine Person eindeutig identifiziert werden kann. Dies sind beispielsweise

persönlichen Verhältnisse betreffend
- Name
- Anschrift
- Gebursdatum
- Foto
- Gesundheitsdaten
sachliche Verhältnisse betreffend
- Einkommen
- Kapitalvermögen
- Eigentum
bestimmbare Daten
- Personalnummer
- IP-Adrese
- KFZ-Kennzeichen

Welche Daten darf ich erfassen?

Folgende Gründe können zur Erfassung der Daten vorliegen

Einwilligung zur Verarbeitung
-> Einverständniserklärung
Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen
-> Informationspflicht
Erfüllung einer rechtlichen Verpflichtung (bspw. für das Finanzamt)
-> Informationspflicht
"Berechtigten Interessen" (müssen sehr gut begründet werden)
-> Informationspflicht

Was passiert mir bei Verstößen gegen die DSGVO?

Verstöße gegen die DSGVO können mit bis zu 20 Mio. Euro oder 4% des weltweit erziehlten Jahresumsatzes. In der realität sind die Bußgelder aber deutlich geringer. Auf E-Recht24 können Sie das Bußgeld mit Hilfe eines Rechners einschätzen (das Ergebnis ist nich verbindlich!).

Was muss ich tun, um die Daten zu schützen?

Sensibilisieren Sie die Mitarbeiter für den Sorgsamen Umgang mit Daten
Machen Sie BackUps um den Verlust von Daten zu verhindern
Halten Sie die Software auf den Computern aktuell und installieren SIe alle Sicherheitsupdates
Verwenden Sie sicherere Passwörter und prüfen sie den etwaigen EInsatz von Passwortmanagern oder anderen Sicherheitssystemen (v.a. bei Gesundheitsrelevanten Daten)
Prüfen Sie, wer auf welche Daten Zugriff hat und schränken Sie ggf. Daten ein.
Setzen Sie zum Schutz der Daten auf technische Schutzsysteme (Firewalls, Antivieren-Systeme, ggf. Verschlüsselung der Daten)
Verhindern Sie den Einsatz von Externen Geräten auf den PCs (v.a. unbekannten USB-Sticks)

Unterlagen

Leitfaden Datenschutz-Grundverordnung

pdfLeitfaden DSGVO (PDF, 765kB)

Informationserteilung / Auskunft

wordMuster Informationserteilung Handwerksbetriebe (Word) (Word, 30kB)
wordMuster Auskunft Kunde (Word) (Word, 50kB)

Einwilligungserklärung

wordMuster Einwilligungserklärung (Word) (Word, 30kB)

Datenschutzbeauftragter

Meldung des Datenschutzbeauftragten unter: https://nds.dsb-meldung.de/

Notwendig wird der/die Datenschutzbeauftragte, wenn mindestens 20 Mitarbeiter/innen im Betrieb mit der ständigen Verarbeitung personenbezogener Daten beschäftigt sind.

Technische und Organisatorische Maßnahmen

wordListe technischer & organisatorischer Massnahmen (Word) (Word, 42kB)

Verarbeitungsverzeichnis

wordMuster Verarbeitsungsverzeichnis (Word) (Word, 48kB)
wordBeispiel Verarbeitsungsverzeichnis Handwerksbetriebe (Word) (Word, 48kB)

Alternative Darstellungen und Beispiele zur Umsetzung der Verarbeitungsverzeichnisse finden Sie unter: https://www.lda.bayern.de/de/thema_kleine_unternehmen.html

Musterformulierungen Auftragsverarbeitung

wordMusterformulierungen Auftragsverarbeitung (Word) (Word, 43kB)

Weiterführende Themen

Warnung vor Datenschutzauskunft-Zentrale
Betrugsverdacht mit der DSGVO - Angebot mit Kleingedrucktem in Höhe von rund 500 Euro. Auf keinen Fall Formular ausfüllen!