Worauf man bei der Einhaltung des Datenschutzes in NRW achten sollte
Wer unseren Datenschutz-Blog für NRW kennt, der weiß, dass wir an dieser Stelle regelmäßig auch über die verschiedenen Vorgaben im Datenschutz berichten. (Hier geht es zur Übersicht der Blog-Themen) Aber welche Vorgaben müssen beim Datenschutz in Köln, Düsseldorf, Bonn, Siegen – sowie in ganz NRW – eigentlich generell eingehalten werden? In diesem zweiteiligen Blog gibt das Team von Datenschutzberater.NRW einen kurzen Überblick über generelle Themen im Datenschutz.
Datenschutz gilt für alle
Grundlegend ist festzuhalten, dass die Einhaltung der Datenschutzgrundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG) für jeden gilt, der personenbezogene Daten verarbeitet. Dabei ist es egal, ob es sich um ein Unternehmen, einen Verein, eine Schule oder eine sonstige Einrichtung handelt. Lediglich im privaten Bereich kann es Sonderregelungen geben. Auf diese werden wir in diesem Artikel über den Datenschutz nicht weiter eingehen.
Der Datenschutz muss immer vom Verantwortlichen der jeweiligen Einrichtung umgesetzt werden. Dieser muss dafür sorgen, dass DS-GVO und BDSG bei der Erhebung und Verarbeitung personenbezogener Daten eingehalten werden. (Was sind personenbezogene Daten? – Die Antwort finden Sie hier.)
Der (externe) Datenschutzbeauftragte in NRW
Eine wichtige Vorgabe für die Einhaltung des Datenschutzes ist die Bestellung eines Datenschutzbeauftragten (DSB). Diese ist unter verschiedenen Voraussetzungen verpflichtend für Unternehmen, Vereine oder andere Einrichtungen. Ein Datenschutzbeauftragter kann intern, also betrieblich, bestellt werden. Hierbei kann der DSB je nach Größe des Unternehmens entweder extra angestellt werden oder die Aufgabe kann in einem bestimmten Rahmen durch einen bereits vorhandenen Mitarbeiter abgedeckt werden. Datenschutzbeauftragter ist man aber nicht einfach so „nebenbei“. Stellen Sie also sicher, dass der eigene Mitarbeiter über das entsprechende Wissen und die nötige Zeit für die Betreuung des Datenschutzes verfügt.
Ein Datenschutzbeauftragter soll dazu beitragen, den Datenschutz in einem Unternehmen einzuhalten. Das heißt, dass er den Verantwortlichen auf mögliche Missstände hinweist und ihn dabei unterstützt diese zu beheben. Außerdem stellt der Datenschutzbeauftragte sicher, dass der Datenschutz im Unternehmen immer nach den aktuellen Vorgaben der Gesetze weiterentwickelt wird. Wichtig hierbei: verantwortlich für den Datenschutz und die Umsetzung ist dabei der Verantwortliche des Unternehmens – der DSB kann dabei nur beratend tätig sein.
Die Einhaltung des Datenschutzes und die Aufgaben eines Datenschutzbeauftragten sind mitunter sehr komplex und gerade für kleine Unternehmen nur schwer umsetzbar. Da die Bestellung eines internen DSB zusätzlich dazu auch noch einige rechtliche Vorgaben und Einschränkungen mit sich bringt, gehen immer mehr Unternehmen dazu über, einen externen Datenschutzbeauftragten zu benennen.
Der externe Datenschutzbeauftragte kann neutral auf die Umsetzung des Datenschutzes nach den gesetzlichen Vorgaben hinwirken und gleichzeitig Flexibilität bieten. Er ist stets auf dem neusten Stand der gesetzlichen Vorgaben und kann das Unternehmen als Außenstehender gut beurteilen.
Betroffenenrechte für Unternehmen in NRW
Im Datenschutz wird derjenige, dessen personenbezogene Daten erhoben werden, automatisch zum sogenannten Betroffenen. Die Betroffenenrechte bilden eine der Grundlagen der Datenschutzgrundverordnung und sind dort definiert.
Zu den Betroffenenrechten gehören unter anderem:
- Informationspflicht – jeder Betroffene muss über die Art und Weise der Verarbeitung bei der Datenerhebung informiert werden
- Auskunftsrecht – jeder Betroffene kann die Auskunft anfordern, welche Daten über Ihn erhoben wurden – dazu gehören alle Bereiche, z.B. auch die Papierablage
- Berichtigung bzw. Korrekturbegehren – jeder Betroffene kann falsche Daten korrigieren lassen
- Löschung bzw. Löschbegehren – Jeder Betroffene kann die Löschung der gespeicherten Daten nach Ablauf der gesetzlichen Aufbewahrungsfristen beantragen
- Einschränkungen – sollte die Löschung der Daten aufgrund gesetzlicher Vorgaben nicht möglich sein, kann der Betroffene verlangen, dass, soweit rechtlich möglich, die Daten nur noch eingeschränkt nutzbar sind
- Über alle o.g. Punkte besteht eine Mitteilungspflicht – Das bedeutet der Betroffene muss über die entsprechende Berichtigung, Löschung oder Einschränkung der Datenverarbeitung informiert werden
- Außerdem hat der Betroffene zusätzlich das Recht auf Widerspruch oder Widerruf der Verarbeitung seiner Daten
Für die Bearbeitung von Anfragen durch einen Betroffenen, hat der Verantwortliche in der Regel vier Wochen Zeit. Erfolgt keine Bearbeitung durch den Verantwortlichen, welcher nicht der (externer) Datenschutzbeauftragte ist, dann kann der Betroffene eine Beschwerde bei der entsprechenden Aufsichtsbehörde in NRW einreichen. Erfolgt hier keine Reaktion des Verantwortlichen droht ein Bußgeld.
Verzeichnis von Verarbeitungstätigkeiten (VVT) – eine wichtige Dokumentation für Unternehmen in NRW
Das Verzeichnis von Verarbeitungstätigkeiten erfasst jede Tätigkeit im Unternehmen, bei dem Daten verarbeitet werden. Dabei wird für jeden Ablauf der Zweck der Verarbeitung angegeben – was wird also genau gemacht und wofür werden die Daten verwendet.
Außerdem sollte ein Verarbeitungsverzeichnis den Namen und die Kontaktdaten des Verantwortlichen enthalten. Im VVT werden die Kategorien der betroffenen Personen und der personenbezogenen Daten zu jeder Verarbeitungstätigkeit festgehalten. Zusätzlich dazu beschreibt man in den VVT auch die Kategorie von Empfängern, einschließlich jenen aus einem Drittland, internationalen Organisationen usw. und damit zusammenhängend auch die Übermittlungen von personenbezogenen Daten in diesem Zusammenhang.
Ein Verarbeitungsverzeichnis muss zudem die vorgesehenen Fristen für die Löschung der Daten, enthalten. Diese orientieren sich an den Aufbewahrungsfristen, die gesetzlich vorgegeben sind.
Im Verzeichnis der Verarbeitungstätigkeiten finden sich, wenn möglich auch die Beschreibungen der technischen und organisatorischen Maßnahmen – kurz TOMs.
Bevor eine neue Verarbeitungstätigkeit eingeführt wird, sollte der Verantwortliche Rücksprache mit dem (externen) Datenschutzbeauftragten halten, um dessen Einschätzung zum Datenschutz zu erhalten.
Technische und organisatorische Maßnahmen (TOMs) für Unternehmen in NRW
Die technisch-organisatorischen Maßnahmen erfassen jene Maßnahmen, die ein Verantwortlicher ergreift, um die Daten eines Betroffenen zu schützen. Dabei sollten alle Verarbeitungen von personenbezogenen Daten genauer betrachtet werden.
Die sogenannten TOMs können die IT-Sicherheit zur Umsetzung des Datenschutzes, aber auch manuelle Sicherheitsvorkehrungen betreffen. Zu den technischen und organisatorischen Maßnahmen können daher eine Firewall, Kennwörter, Virenschutz oder ähnliches zählen, aber auch abschließbare Schränke, Zugangsbeschränkungen in Räumlichkeiten oder ein Schließkonzept im Unternehmen sein.
Auch das Löschen von Daten und die Datenvernichtung sollte durch TOMs abgedeckt sein und als Verzeichnissen von Verarbeitungstätigkeiten erfasst werden. (siehe dazu auch den Blog Datenvernichten, aber richtig)
Ein Unternehmen muss sich also die Frage stellen, was es tun kann, um die personenbezogenen Daten von Betroffenen ausreichend vor dem Zugriff von unbefugten Dritten zu schützen. Um diese ergriffenen Maßnahmen im Datenschutz auch zu dokumentieren, müssen die technischen und organisatorischen Maßnahmen entsprechend schriftlich erfasst werden. Dies kann durch einen Zusatz in dem Verzeichnis von Verarbeitungstätigkeiten oder in einem zentralen Dokument erfolgen.
Umfangreiche Dokumentationen und Beratung von außen
Eine Vorgabe der DS-GVO ist, neben der Einhaltung des Datenschutzes und der Definition davon, auch die Dokumentation über den ausreichenden Schutz und die damit zusammenhängenden Maßnahmen. Was immer Sie also in punkto Datenschutz umsetzen, sollten Sie in Ihrem Unternehmen auch dokumentieren.
Die Einhaltung des Datenschutzes ist gerade für kleine Unternehmen, Vereine und Schulen in NRW mitunter schwer. Ein externer Datenschutzbeauftragter oder ein Datenschutzberater kann dabei helfen, den Datenschutz in koordinierte Bahnen zu lenken und Sie bei der Umsetzung der gesetzlichen Vorgaben unterstützen.
Auch eine Datenschutz-Erstberatung oder ein Datenschutz-Audit kann Ihnen dabei helfen, die gesetzlichen Vorgaben in NRW umzusetzen.
Datenschutzberater.NRW kann Ihnen als externer Datenschutzbeauftragter oder projektbezogen bei der Umsetzung von BDSG und DS-GVO helfen. In diesem Zusammenhang führen wir außerdem Website-Scans zur DS-GVO-konformen Homepagenutzung und Mitarbeiterschulungen durch. Außerdem beraten wir Sie gerne bei der Umsetzung der GoBD-Vorgaben (Verfahrensdokumentation) und einem IT-Audit.
Unsere Mandanten sind u.a. kleine und mittelständische Unternehmen, Vereine, Arztpraxen und Steuerberater, sowie Bildungseinrichtungen aus dem Raum Köln, Bonn, Düsseldorf, Siegen, dem Bergischen Land und ganz NRW.
Wir erstellen Ihnen gerne ein erstes individuelles Angebot für die praktische Umsetzung bei Ihnen vor Ort. Nehmen Sie einfach Kontakt zu uns auf.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Benötigen Sie Hilfe bei der Umsetzung der DS-GVO? Senden Sie uns eine unverbindliche Anfrage – wir beraten Sie gerne über unsere Leistungen im Datenschutz.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.