Umsetzung der DS-GVO Compliance
Datenschutz-Konformität als Qualitätsmerkmal und Wettbewerbsfaktor
Die DS-GVO gilt ausnahmslos für alle Unternehmen
Zur Einhaltung der DS-GVO sind nicht nur große Unternehmen oder Konzerne verpflichtet, sondern auch kleine mittelständische Unternehmen, Vereine und Verwaltungen – ja sogar Vermieter stehen in der Pflicht, sich an eine datenschutzkonforme Daten-Verarbeitung zu halten und den Dokumentationspflichten lückenlos nachzukommen.
Die korrekte Umsetzung der DS-GVO scheint auf den ersten Blick ein Ding der Unmöglichkeit. Vor allem als Unternehmer fühlt man sich durch die neue DS-GVO völlig verunsichert. Und die unternehmensinternen Ressourcen sind sowieso schon seit Jahren überstrapaziert. Ob Marketing, Umsatzsteigerung, Finanzen oder die neuesten Anforderungen im Social-Media-Bereich – stets gilt es, zahlreichen Pflichten und Normen, so gut es geht, nachzukommen und nebenbei auch noch das Tagesgeschäft zu meistern.
Angesichts dessen ist es nun wirklich keine Überraschung, dass die Umsetzung der DS-GVO das Fass buchstäblich zum Überlaufen bringt.
Bitte beachten: Die auf dieser Website gemachten Angaben stellen keine Rechtsberatung dar und ersetzen diese auch nicht. Für verbindliche Rechtsauskünfte sollte ein Fachanwalt konsultiert werden.
DSGVO-Compliance im Internet
Die datenschutzkonforme Aufstellung eines Unternehmens spiegelt sich vor allem auf der Unternehmenswebsite wieder. Daher ist besondere Vorsicht geboten, wenn es um die Einhaltung der DS-GVO Richtlinien im Internet geht.
Zum einen “sammeln” Websites häufig viel mehr personenbezogene Daten, als vom Websitebetreiber angenommen. Zum anderen macht sich ein Unternehmen für die Öffentlichkeit leicht “angreifbar”, wenn die Unternehmenswebsite nicht DS-GVO konform aufgestellt ist.
Beschäftigtendatenschutz
Der Beschäftigtendatenschutz ist vor allem auf Unternehmens-Webseiten häufig ein Problem. Oftmals werden Foto- oder Videoaufnahmen von Mitarbeitern auf den Social-Media-Kanälen des arbeitgebenden Unternehmens veröffentlicht, ohne vorher die nötige Einwilligungserklärung der betroffenen Mitarbeiter eingeholt zu haben.
Neben einer Einwilligungserklärung ist aber auch noch an die entsprechenden Informationspflichten zu denken.
Datenschutz-Audit
Bevor man ein Unternehmen datenschutztauglich machen kann, muss erstmal eine umfassende Bestandsaufnahme gemacht werden. Diese kann unter Umständen einige Tage in Anspruch nehmen, da alle Unternehmens-Bereiche auf Datenschutz-Schwachstellen untersucht werden müssen.
Diese zu prüfenden Bereiche umfassen unter anderem die IT-Technik, den Betriebsrat, die Mitarbeiter, das Marketing, das IT-Management sowie das Internet.
Auskunftsersuchen
Auskunftsersuchen können Unternehmen und Vereine zu jeder Tageszeit und ohne Angabe von Gründen erreichen. Ob Kunden, Mitarbeiter, Lieferanten oder auch Interessenten – alle haben einen Auskunftsanspruch über die von ihnen gespeicherten Daten.
Die Beantwortung derlei Auskunftsersuchen kann sich unter Umständen als sehr zeitintensiv und äußerst komplex erweisen.
Mitarbeiterschulungen
Hat man erstmal einen Datenschutzbeauftragten benannt, ist die Mitarbeiterschulung in Sachen Datenschutz nicht mehr in weiter Ferne, denn dies ist eine der wichtigsten Aufgaben eines jeden Datenschutzbeauftragten.
Die Mitarbeiter aller Mandats-Unternehmen müssen jedes Jahr mindestens ein Mal zum Thema Datenschutz geschult und sensibilisiert werden. Ohne wiederholte Datenschutzschulungen wäre es kaum möglich, ein einheitliches unternehmensinternes Datenschutzniveau anvisieren zu können.
Informationspflichten
Die Informationspflichten von Unternehmen und Vereinen gegenüber Kunden, Mitgliedern, Mitarbeitern, Lieferanten oder auch Interessenten können sehr umfangreich sein.
Sobald personenbezogene Daten erhoben oder anderweitig verarbeitet werden, besteht u. a. die Pflicht, den Betroffenen über seine zahlreichen Rechte (z.B. Beschwerderecht, Auskunftsrecht, Widerspruchsrecht) zu informieren. Es gilt, jede Datenerhebung und -nutzung für den Betroffenen so transparent wie möglich zu gestalten.
Bewerberdatenschutz
Auch der Bewerberdatenschutz setzt die durch die DS-GVO vorgeschriebenen Informationspflichten zu den Betroffenenrechten und den allgemeinen Datenschutzhinweisen voraus. Hinzukommt, dass Bewerbungsunterlagen sensible Daten enthalten.
Daher ist es beim unternehmensinternen Bewerberdaten-Management besonders wichtig, dass die Zugriffsmöglichkeiten auf die Bewerberdaten ausreichend geklärt und gesichert sind. Des Weiteren sind konkrete Löschfristen für die Unterlagen abgelehnter Bewerber zu setzen.
Verarbeitungsverzeichnis
Die Erstellung und Führung von Verarbeitungsverzeichnissen ist von zentraler Wichtigkeit im Datenschutz-Management und außerdem erste Informationsquelle im Falle einer Prüfung durch die Datenschutzbehörde.
Die Verzeichnisse von Verarbeitungstätigkeiten werden für alle unternehmensinternen Prozesse erstellt und fortlaufend auf dem neuesten Stand gehalten. Sie zeigen z.B. auf, zu welchem Zweck und für wie lange gewisse Daten gespeichert werden, ob sie an Dritte übermittelt werden und wie es sich mit entsprechenden Löschfristen verhält.
Technische und organisatorische Maßnahmen
Artikel 32 der DS-GVO schreibt die technischen und organisatorischen Maßnahmen (kurz: TOMs) vor. Es gilt, geeignete Maßnahmen zu ergreifen, um personenbezogene Daten so gut wie möglich vor Verlust und unbefugtem Zugriff zu schützen.
Datenschutz-Folgenabschätzung
Die Datenschutz-Folgeabschätzung (kurz: DSFA) ist eine umfassende schriftliche Risikoanalyse zur systematischen Bewertung möglicher Folgen bei der Verarbeitung personenbezogener Daten.
Datenschutz-Management-System
Datenschutz-Management-Systeme werden individuell und entsprechend der unternehmensinternen Verarbeitungs-Prozesse erstellt. Sie definieren konkrete datenschutzrechtliche Abläufe für regelmäßige Überprüfungs- und Bewertungs-Verfahren.
Betroffenenrechte
Betroffene können Kunden, Mitarbeiter, Lieferanten oder auch Interessenten sein. Essenziell dabei ist, dass laut DS-GVO alle Betroffenen nur Rechte haben – niemals Pflichten.
