1. Datenschutzmanagement



2. Datenerhebung und Betroffenenrechte



3. Technischer Datenschutz



4. Bestellung eines Datenschutzbeauftragten



Erläuterung zur Checkliste
Alles was nach Ihren Angaben rot markiert wurde, müssen Sie bis zum 25.Mai 2018 umgesetzt haben.

I. Datenschutzmanagement
Datenschutzkonzept
Spätestens mit Umsetzung der Datenschutzgrundverordnung (DSGVO) sind Sie zum Nachweis der datenschutzkonformen Tätigkeit gegenüber der zuständigen Behörde verpflichtet. Um dieser Nachweispflicht nachzukommen sollten Sie ein Datenschutzkonzept erstellen. In einem Datenschutzkonzept skizzieren und strukturieren Sie die Grundlagen und Leitlinien wie Sie den Datenschutz in Ihrem Unternehmen einhalten. Damit können Sie gegenüber der für Sie zuständigen Aufsichtsbehörde belegen, dass Sie die datenschutzrechtlichen Vorgaben einhalten. Inhaltlich sollte das Datenschutzkonzept im Mindesten die folgenden Punkte beinhalten:
  • Rechtsgrundlagen und Ihre Umsetzung
  • Zweck und Herkunft der zu verarbeitenden personenbezogenen Daten
  • Darstellung des Systems mit dem Daten verarbeitet werden inkl. Sicherungsmaßnahmen
  • Risiken der Verarbeitungsprozesse
  • Darstellung sämtlicher datenschutzrechtlicher Anforderungen und entsprechender Maßnahmen
Verpflichtung auf das Datengeheimnis
Eine Verpflichtung auf das Datengeheimnis ist unter der DSGVO sowie dem BDSG-neu nicht mehr ausdrücklich im Gesetz vorgesehen. Dennoch ist sicherzustellen, dass die Daten auch von Ihren Mitarbeitern vertraulich behandelt werden. Das sollte von Ihren Mitarbeitern in einer schriftlichen Erklärung bestätigt werden.
Verfahrensverzeichnis
Ein Verfahrensverzeichnis wird es unter der DSGVO in der Form nicht mehr geben. Dieses wird durch ein Verzeichnis von Verarbeitungstätigkeiten ersetzt und ist nunmehr von jeder verantwortlichen Stelle zu führen. Liegt ein Verfahrensverzeichnis vor, ist die Umwandlung in ein nunmehr erforderliches Verzeichnis der Verarbeitungstätigkeiten deutlich weniger aufwändig. Inhaltlich ist in dem Verzeichnis von Verarbeitungstätigkeiten Folgendes aufzuführen:
  • Name und Kontaktdaten des Unternehmens als verantwortliche Stelle sowie des ggf. bestellten Datenschutzbeauftragten
  • Zweck der Verarbeitung
  • Kategorisierung der Personen, von denen Daten erhoben werden sowie der erhobenen Daten
  • Kategorisierung von Empfängern, die die Daten möglicherweise erhalten
  • Benennung von Löschfristen wenn möglich
  • Beschreibung der technischen und organisatorischen Maßnahmen
Datenschutzerklärung
Jedes Unternehmen muss die Personen (Bsp. Kunden), von denen es personenbezogene Daten verarbeitet, u.a. über Zweck und Umfang dieser Verarbeitung informieren. Dies hat durch eine Datenschutzerklärung zu erfolgen. Innerhalb einer solchen Datenschutzerklärung ist die betroffene Person über Folgendes in Kenntnis zu setzen:
  • Name und Kontaktdaten des Unternehmens als verantwortliche Stelle sowie des ggf. bestellten Datenschutzbeauftragten
  • Umfang der Datenverarbeitung: Welche Daten werden erhoben.
  • Zwecke der Datenverarbeitung
  • Benennung der Rechtsgrundlage der Datenverarbeitung
  • Wer erhält Zugriff auf die Daten
  • Speicherdauer
  • Betroffenenrechte
  • Verpflichtung zur Bereitstellung? Ja/Nein
  • Ausdrücklicher Hinweis auf das Widerspruchsrecht
Die Datenschutzerklärung kann auch um eine Einwilligungserklärung ergänzt werden.
Datenschutzerklärung Webseite
Eine Datenschutzerklärung wie zuvor beschrieben ist auch für den Betrieb einer Webseite erforderlich und ggf. um internetspezifische Informationen (Bsp.: die Nutzung von Google Analytics) zu erweitern.
II. Datenerhebung und Betroffenenrechte
Datenerhebung
Jede Datenerhebung bedarf einer Rechtsgrundlage. In Betracht kommt eine Datenverarbeitung zur Erfüllung von Vertragszwecken, auf Grund gesetzlicher Vorgaben, aufgrund berechtigter Interessen sowie aufgrund der Einwilligung des Betroffenen. Für die Einrichtung eines Datenschutzkonzeptes, bzw. einer Datenschutzrichtlinie ist es erforderlich die Verarbeitungsprozesse (Erhebung, Speicherung, Weiterleitung etc.) zu erkennen und die relevanten Rechtsgrundlagen zu bestimmen. Dies ist ebenfalls elementare Grundlage zur Erstellung einer korrekten Datenschutzerklärung sowie einer entsprechenden Einwilligung für die Datenverarbeitung.
Grundsätzlich hat die Datenerhebung in einer Form zu erfolgen, bei der bereits der Verarbeitungsprozess darauf ausgelegt ist nur ein Minimum an erforderlichen Daten zu erheben. Im Ergebnis sind sämtliche Voreinstellungen bei automatisierten Datenverarbeitungsvorgängen so zu wählen, dass diese datenschutzfreundlich sind.
Auftragsverarbeitung
Werden personenbezogene Daten außerhalb des eigenen Unternehmens weiterverarbeitet, muss dies mit einem Vertrag zur Auftragsdatenverarbeitung (DSGVO Artikel 28) unterlegt werden. Liegen derartige Verträge nicht vor, sollten diese umgehend geschlossen werden. Bestehende Verträge wären zu überprüfen.
Betroffenenrechte
Die Betroffenen einer Datenverarbeitung haben folgende Rechte:
  • Informationsrecht
  • Auskunfts- und Widerspruchsrecht
  • Recht auf Berichtigung, Löschung und Einschränkung
  • Recht auf Datenübertragbarkeit
Auf diese Rechte ist zunächst ausdrücklich in der Datenschutzerklärung hinzuweisen. Das Informationsrecht wird bereits durch die Datenschutzerklärung erfüllt. Die weiteren Rechte sind auf ausdrückliche Anfrage des Betroffenen zu erfüllen.
Auch vor diesem Hintergrund ist ein nachvollziehbares Daten(sicherungs)konzept,erforderlich, um sicherzustellen, dass die zuvor genannten Anfragen erfüllt werden können.
III. Technischer Datenschutz
Sie sind verpflichtet den ordnungsgemäßen Ablauf der Datenverarbeitung sowie den Schutz der Daten vor Verlust, Beschädigung und/oder Missbrauch sicherzustellen. Hierzu müssen Sie technische und organisatorische Maßnahmen (TOM) ergreifen, die insbesondere auch dem aktuellen Stand der Technik entsprechen müssen.
Diese Maßnahmen beinhalten u.a. Vorkehrungen gegen Zugriff unberechtigter Personen durch Einrichtung von Benutzern sowie entsprechendem Passwortschutz der Benutzeroberflächen. Es sind Maßnahmen zu treffen, die einen Zugriff von außen verhindern (Firewall, Virenschutz etc.).
Die DSGVO sieht in diesem Zusammenhang vier Schutzziele vor, die bei der Verarbeitung von personenbezogene Daten ein angemessenes Schutzniveau gewährleisten sollen:
  • Pseudonymisierung und Verschlüsselung
  • Vertraulichkeit, d.h. Daten sind für unberechtigte Dritte nicht zugänglich.
  • Integrität, d.h. Daten können nicht verfälscht werden.
  • Verfügbarkeit, d.h. Daten stehen zur Verfügung, wenn sie gebraucht werden.
Einen Überblick über einzelne zu ergreifenden Maßnahmen enthält § 64 Abs. 3 BDSG-neu, der eine Ergänzung/Konkretisierung zu den Maßnahmen der DSGVO darstellt.
IV. Datenschutzbeauftragter
Die Pflicht zur Bestellung eines Datenschutzbeauftragten (wahlweise extern oder intern) folgt aus Art. 37 DSGVO in Verbindung mit § 38 BDSG-neu. Voraussetzungen dafür sind alternativ u.a.:
  • Die Kerntätigkeit beinhaltet umfangreiche Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO (z.B. Gesundheitsdaten)
  • mindestens zehn Mitarbeiter sind regelmäßig mit automatisierter Datenverarbeitung (E-Mail, digitale Kundendatenbank o.ä.) beschäftigt
  • Verarbeitung unterliegt Datenschutzfolgenabschätzung (Art. 35 DSGVO)
    > Erhöhtes Risiko in der Art der Datenverarbeitung
    > Verarbeitung besonderer Kategorien von Daten (Gesundheitsdaten)