Was ist die DSGVO und seit wann gibt es sie?
„DSGVO“ ist die Abkürzung für die „EU-Datenschutzgrundverordnung“. Sie ist bereits am 24. Mai 2016 in Kraft getreten, hat durch eine zweijährige Umsetzungsfrist ihre volle Wirkung aber erst am 25. Mai 2018 entfaltet und gilt aber seither für alle EU-Mitgliedsstaaten.
Die DSGVO beinhaltet europaweit einheitliche Vorgaben für die Verarbeitung personenbezogener Daten durch Unternehmen und Behörden. Ziel der Grundverordnung ist es, die persönlichen Daten der EU-Bürger noch besser zu schützen. Dazu erhalten die Bürger mehr Rechte in Bezug auf Ihre Daten und Betrieben werden umfangreiche Datenschutz-Pflichten auferlegt.
Info
Artikel 4 DSGVO – Definitionen und Begriffsbestimmungen
Artikel 4 DSGVO ist für Sie als Unternehmer für das Verständnis und die Umsetzung der Verordnung unerlässlich. Artikel 4 der DSGVO enthält die zentralen Definitionen und Begriffsbestimmungen der Verordnung. Hier werden Schlüsselbegriffe wie „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“ und „Einwilligung“ klar definiert. Diese Definitionen helfen Unternehmen, die Anforderungen der DSGVO korrekt zu interpretieren und umzusetzen. Ein tiefes Verständnis von Artikel 4 DSGVO ist daher essenziell für die rechtskonforme Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre von betroffenen Personen.
Wen betrifft die DSGVO?
Die EU-Datenschutzgrundverordnung oder DSGVO betrifft alle Unternehmen und Arbeitgeber, die personenbezogene Daten von Kunden, Bewerbern oder Mitarbeitern verarbeiten. Es gibt keine Schwellenwerte für Umsatz oder Mitarbeiterzahl, die die Gültigkeit einschränken. Das heißt: Die Grundverordnung gilt für Amazon genauso wie für den Einzelhändler, für den DAX-Konzern ebenso wie für den Handwerker mit drei Angestellten.
Personenbezogene Daten: Das müssen Sie bei der Verarbeitung beachten
Datenschutzrecht gilt ausschließlich für personenbezogene Daten. Mit der DSGVO wird die Privatsphäre des Einzelnen in allen EU-Mitgliedsstaaten geschützt. Dies setzt voraus, dass es einen Bezug zu einer natürlichen Person gibt.
Was sind personenbezogene Daten?
Zu den personenbezogenen Daten zählen unter anderem:
- allgemeine Personendaten: z. B. Name, Geburtsdatum, Geburtsort, Postanschrift, E-Mail-Adresse, Rufnummern
- körperliche Merkmale: z. B. Geschlecht, Haar- und Augenfarbe, Statur
- Kennnummern: z. B. Sozialversicherungsnummer, Personalausweisnummer, Steueridentifikationsnummer
- Online-Daten: z. B. IP-Adresse, Standortdaten
- Bankdaten: z. B. Kontostände, Kontonummern, Kreditinformationen
- Vermögen und Besitz: z. B. Immobilien, Fahrzeuge, Grundbucheintragungen, Kfz-Kennzeichen
- Werturteile: z. B. Schul-, Hochschul- und Arbeitszeugnisse
- Kundendaten: z. B. Bestellungen, Adressdaten, Kontodaten
Darüber hinaus gibt es „besondere personenbezogene Daten“, für die noch einmal strengere Vorschriften zur Sammlung und Verarbeitung gelten. Es handelt sich dabei um folgende Daten:
- Angaben über „rassische bzw. ethnische Herkunft“ (Art. 9 Abs. 1 DSGVO)
- politische Ansichten
- religiöse und philosophische Überzeugung
- Gewerkschaftszugehörigkeit
- biometrische und genetische Angaben sowie Angaben zur Gesundheit
- Angaben zur Sexualität
Info
B2B-Unternehmen sind auch von der DSGVO betroffen
Unternehmensdaten sind von der DSGVO grundsätzlich nicht geschützt. Daraus darf aber nicht der falsche Schluss gezogen werden, dass B2B-Unternehmen nicht betroffen sind. Auch im rein geschäftlichen Bereich werden Daten von Ansprechpartnern gespeichert und verarbeitet. Selbst wenn der Kundenverkehr vollständig anonym ablaufen würde, bleibt die Speicherung von Mitarbeiter- und Lieferantendaten.
Info
Der richtige Umgang mit Gesundheitsdaten – wer darf Krankheitstage einsehen
Gesundheitsdaten von Mitarbeitern genießen einen besonderen Schutz. Im Arbeitsalltag geht es hier vor allem um Arbeitsunfähigkeitsbescheinigungen. Diese Atteste dürfen vom Unternehmen natürlich verarbeitet werden, da insbesondere aufgrund der Lohnfortzahlung im Krankheitsfall daran ein „berechtigtes Interesse“ oder sogar eine gesetzliche Pflicht auf Seiten des Unternehmens besteht.
Allerdings muss darauf geachtet werden, dass diese Daten nur dem jeweiligen Vorgesetzten und dem Personalverantwortlichen bekanntgegeben werden dürfen. Aus diesem Grund ist es auch nicht erlaubt, einen öffentlich zugänglichen Kalender zu führen, in dem die Krankheitstage der Beschäftigten festgehalten werden. Denn als Arbeitgeber darf man personenbezogene und persönliche Daten nur unter strengen Voraussetzungen weitergeben, z. B. an Versicherungen. Dieses Problem kann man aber geschickt umgehen, indem anstelle des „Krankheitskalenders“ ein Abwesenheitskalender geführt wird, in dem alle Abwesenheiten der Mitarbeiter eingetragen werden – also auch Urlaube oder Fortbildungen.
Einwilligungserklärung im Datenschutz
Oberster Grundsatz des Datenschutzrechts ist das Rechtmäßigkeitsprinzip: Jede Verarbeitung personenbezogener Daten darf nur auf Basis einer Rechtsgrundlage erfolgen.
Eine solche kann sich beispielsweise aus einem Vertrag mit der betroffenen Person oder ihrer Einwilligung ergeben.
Info
Beispiel für eine berechtigte Verarbeitung personenbezogener Daten
Der Betreiber eines Online-Shops darf die Adressdaten seines Kunden an einen Logistikdienstleister weitergeben, damit die Ware ausgeliefert werden kann. Diese Rechtfertigung reicht aber stets nur so weit, wie dies zur Vertragserfüllung erforderlich ist. Eine Bonitätsprüfung ist schon nicht mehr inbegriffen. Sie benötigen also nicht pauschal eine Einwilligung zur Datenverarbeitung, sondern nur für solche Vorgänge, für die Sie keine anderweitige Rechtsgrundlage haben.
Eine Datenverarbeitung kann nach der DSGVO auch auf berechtigte Interessen des verantwortlichen Unternehmens gestützt werden. In dem Fall muss die Verarbeitung zur Wahrung der berechtigten Interessen erforderlich sein. Dabei dürfen die Interessen der betroffenen Person nicht überwiegen und die Datenverarbeitung muss für den verfolgten Zweck notwendig sein. Zudem müssen Sie die Interessenabwägung dokumentieren und im Zweifel auch nachweisen können.
Mit einer Einverständniserklärung zur Datenverarbeitung der betroffenen Person sind Sie dagegen in Bezug auf den Datenschutz fast immer „auf der sicheren Seite“. Oberste Regel ist hierbei, dass die Einwilligung freiwillig abgegeben wurde. Außerdem sollten für verschiedene Verarbeitungsvorgänge auch gesonderte Einwilligungen eingeholt werden. Bitte beachten Sie aber, dass eine Einwilligung jederzeit ohne Angabe von Gründen widerrufen werden kann.
DSGVO in Unternehmen: Diese Pflichten müssen Sie einhalten
Wesentliche Neuerung der DSGVO ist die Umkehrung der Darlegungslast. Während es bisher für kleinere Unternehmen vertretbar war, im Hinblick auf Datenschutz einfach nichts falsch zu machen, legt die Datenschutzgrundverordnung den Unternehmen umfangreiche Pflichten auf. Diese müssen aktiv erfüllt werden, um Bußgelder zu vermeiden.
Für Sie als Unternehmer sind vor allem folgende Forderungen der Datenschutzverordnung relevant: Datenschutz im Unternehmen.
Recht auf Vergessenwerden bzw. Löschpflicht
Ein wichtiger Teil des Datenschutzrechts oder der damit verbundenen Verordnung beschäftigt sich mit den Rechten der Betroffenen (sogenannte Betroffenenrechte) und der Löschung ihrer Daten: Daten müssen auf Verlangen eines Kunden gelöscht werden, insbesondere dann, wenn der Zweck, für den die Daten gespeichert wurden, nicht mehr besteht. Es besteht auch dann eine Löschpflicht, wenn der Kunde seine Einwilligung zur Datenspeicherung widerruft oder wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden.
Informationspflicht
Als Unternehmer sind Sie gemäß DSGVO grundsätzlich verpflichtet, Ihre Kunden darüber zu informieren, wenn Sie personenbezogene Daten, wie z. B. E-Mail-Adressen, speichern oder weitergeben. Dabei müssen Sie nach DSGVO unter anderem die folgenden Fragen beantworten:
- Welche Daten werden gespeichert?
- Wofür werden diese benötigt?
- An wen werden sie weitergegeben?
Auskunftsrecht
In der DSGVO ist insbesondere auch ein Auskunftsrecht verankert. Der Kunde kann jederzeit Auskunft darüber verlangen, welche Daten von ihm gespeichert und wie diese verarbeitet werden. Diese Auskunft muss unverzüglich, spätestens jedoch innerhalb eines Monats erteilt werden. Das bedeutet: In jedem Unternehmen muss ein Prozessgeschaffen werden, der den Auskunftsansprüchen gerecht wird.
Neu ist ein Widerspruchsrecht gegen die Datenverarbeitung,das unter bestimmten Voraussetzungen greift. Natürlich kann dem Unternehmen nicht verwehrt werden, Daten zu speichern, die für die Vertragserfüllung oder Verfolgung von Ansprüchen benötigt werden. Daten, die ausschließlich zu Marketingzwecken verarbeitet werden, müssen dagegen auf Verlangen gelöscht werden.
Tipp
Muster-Anschreiben für Auskunftsanfrage
Nimmt ein Kunde sein Auskunftsrecht in Anspruch, müssen Sie ihm u. a. mitteilen, welche Daten Sie gespeichert haben und wie Sie diese verarbeiten. Damit Sie dieses korrekt formulieren und alle nötigen Daten integrieren, haben wir dieses Muster-Anschreiben entworfen.
Verzeichnis von Verarbeitungstätigkeiten
Das Verarbeitungsverzeichnis nimmt im Datenschutz Ihres Unternehmens eine zentrale Rolle ein. Die Datenschutzbehörde muss anhand des Verzeichnisses der Verarbeitungstätigkeiten (VVT) erkennen können, ob Ihr Unternehmen rechtskonform arbeitet. Zur Form gibt es dabei keine Vorschriften, wichtig ist aber, dass alle durch die Grundverordnung vorgeschriebenen Pflichtangaben enthalten sind.
Das Datenverarbeitungsverzeichnis sollte grundsätzlich Folgendes enthalten:
- Kontaktdaten Ihres Unternehmens und, falls vorhanden, des Datenschutzbeauftragten
- Analyse und Beschreibung der Geschäftsprozesse bzw. der Verarbeitungsvorgänge Ihres Unternehmens gemäß Art. 30 DSGVO
- Schilderung der technischen und organisatorischen Maßnahmen (kurz: TOM) für alle Verarbeitungsvorgänge, bspw. Maßnahmen der IT-Sicherheit, IT-Richtlinien oder Arbeitsanweisungen
Erfahren Sie in unserem weiterführenden Artikel, welche Vorgehensweise wir mit Blick auf die DSGVO Ihrem Unternehmen empfehlen und wie es Ihnen gelingt, ein Verzeichnis von Verarbeitungstätigkeiten korrekt zu erstellen.
Tipp
Verarbeitungsverzeichnis: kostenloses Muster
Auch für das Verarbeitungsverzeichnis haben wir ein kostenloses Muster für Sie vorbereitet. Mit diesem erstellen Sie ganz einfach Ihr eigenes Verarbeitungsverzeichnis – unkompliziert und nach den Vorgaben der DSGVO.
Datenschutzerklärung
Jedes Unternehmen mit einer Webseite kennt das: Man muss nicht nur ein Impressum auf seine Seite stellen, sondern mit einer Erklärung zum Datenschutz über die Erhebung und Verarbeitung personenbezogener Daten informieren. Die DSGVO geht bei Unternehmen darüber hinaus. Denn die Informationspflicht gilt auch im Offline-Bereich. Wer offline Daten erhebt, etwa in einem Kunden- oder Bewerbungsgespräch, muss ebenfalls über die Verarbeitung der Daten informieren. Unter anderem müssen Sie auf Folgendes hinweisen:
- den Zweck der Datenverarbeitung
- die Dauer der Datenspeicherung
- das Recht zur Beschwerde
Erfahren Sie in unserem Artikel, welche weiteren Pflichtinhalte Sie in Ihre Datenschutzhinweise aufnehmen und wann Sie die Informationen bereitstellen müssen.
Tipp
Muster-Datenschutzerklärung
Mit unserer kostenlosen Muster-Datenschutzerklärung sind Sie rechtlich abgesichert. Laden Sie sich einfach unsere DSGVO-konforme Vorlage für Unternehmen herunter, passen Sie sie für Ihren Betrieb entsprechend an und schon haben Sie eine passende Datenschutzerklärung.
Meldepflicht bei Datenpannen
Datenpannen können z. B. durch Hacker-Angriffe sowie den Verlust eines Datenträgers oder mobilen Endgeräts verursacht werden. Die Meldepflicht dieser Vorfälle an die Aufsichtsbehörde ist mit der DSGVO deutlich umfangreicher geworden: Vor Inkrafttreten der Grundverordnung war nur im Ausnahmefall eine Meldung an die zuständige Datenschutzbehörde erforderlich. Nach DSGVO muss jede Verletzung des Datenschutzes binnen 72 Stunden der Aufsichtsbehörde gemeldet werden – unter Umständen auch den Betroffenen. Deshalb sollte jedes Unternehmen über einen internen Prozess verfügen, der im Falle von Datenlecks greift.
Datenschutzmanagement: DSGVO-Datenschutzbeauftragter bei Unternehmen
Die DSGVO sieht eine Pflicht zur Bestellung eines Datenschutzbeauftragten für das Datenschutzmanagement im Unternehmen vor, wenn sich mehr als 20 Mitarbeiter im Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Prinzipiell kann jeder zum Datenschutzbeauftragten ernannt werden und sich um das Datenschutzmanagement kümmern. Bestimmte Anforderungen werden aber dennoch gestellt. So müssen Datenschutzbeauftragte beispielsweise beruflich qualifiziert sein und über Fachwissen im Datenschutzrecht verfügen. Der Beauftragte für Datenschutz in Unternehmen darf sich auch nicht selbst kontrollieren, denn dann läge eine Interessenkollision vor. Das wäre z. B. als Geschäftsführer oder Leiter der IT-Abteilung der Fall.
Informieren Sie sich in unserem Ratgeber-Artikel über die Aufgaben des Datenschutzbeauftragten zur Einhaltung der DSGVO in Unternehmen, seine Stellung und in welchem Maße er für Datenschutzverletzungen und -pannen haftet.
Welche DSGVO-Strafen drohen bei Datenschutzverstößen?
Eine der augenfälligsten Änderungen des Datenschutzrechts im Rahmen der DSGVO sind die potenziell horrenden Bußgelder. Während die Aufsichtsbehörden bisher für schwerwiegende Datenschutzverstöße ein Bußgeld von maximal 300.000 Euro verhängen konnten, drohen nun bis zu 20 Millionen Eurooder bis zu 4 % vom weltweiten Vorjahresumsatz betragen – je nachdem, welcher Betrag höher ist.
Das Risiko, von Bußgeldern betroffen zu sein, ist für kleinere Unternehmen (KMU) nicht unbedingt höher als vor Inkrafttreten der DSGVO. Dennoch ist es auch für KMU wichtig, alle Regelungen umzusetzen. Denn die Datenschutzbehörden sind darauf bedacht, den Bußgeldrahmen komplett auszuschöpfen.
Was tun bei einer Sanktion durch die Datenschutzbehörde? Das erfahren Sie in unserem Artikel:
DSGVO-Umsetzung: Datenschutz und Folgenabschätzung in der Praxis
Bei der Umsetzung der DSGVO-Vorgaben haben viele Unternehmen nach wie vor Probleme. Oft ist nicht klar, wo man überhaupt anfangen und wie man konkret vorgehen soll. Wir zeigen Ihnen in diesem Abschnitt, welche Maßnahmen Sie unbedingt treffen sollten und wie Sie Schritt für Schritt dabei vorgehen. Bei der Umsetzung kann Ihnen auch unsere Online-Schulung zur DSGVO in Unternehmen helfen.
Der richtige Umgang mit Kundendaten
Grundsätzlich gilt: Alle Daten, die Sie zu einem Kunden speichern, haben einen Personenbezug. Die Tatsache, dass sich ein Kunde für ein bestimmtes Produkt interessiert, ohne es zu kaufen, ist genauso personenbezogen wie die Zahlungsfrist oder die Anzahl (und der Inhalt) der Mahnungen, die versendet wurden. Dies ist offensichtlich, wenn es sich um Privatkunden handelt. Im B2B-Bereich gilt die Regelung ebenfalls, z. B. wenn die Daten zu einem Ansprechpartner gespeichert werden.
Für jedes einzelne Datum muss geprüft werden, ob ein Rechtfertigungsgrund vorliegt und wie lange dieser reicht. So besteht beispielsweise kein Grund, eine Kaufabsicht für ein konkretes Produkt ewig zu speichern. Je nach Investment muss diese Information schon wenige Wochen später wieder gelöscht werden. Die Auftragshistorie darf dagegen länger – im Zweifel bis zum Ablauf der jeweiligen Verjährungsfrist – gespeichert werden.
So ist für jedes Datum eine Löschfrist zu ermitteln. Kreditkartendaten dürfen in aller Regel nur mit zusätzlicher Einwilligung des Kunden gespeichert werden.
Wann muss ein Auftragsverarbeitungsvertrag abgeschlossen werden?
Die Lohnbuchhaltung wird beispielsweise in der Regel an einen Spezialisten gegeben oder mittels einer Software intern erledigt. In beiden Fällen bleibt das Unternehmen für den Datenverarbeitungsvorgang verantwortlich. Dies bedeutet insbesondere, dass mit einem Dienstleister eine Vereinbarung zur Auftragsverarbeitung zu schließen ist, die den Vorgaben der Datenschutzgrundverordnung gerecht wird.
Wird eine Software verwendet, muss sichergestellt sein, dass das Produkt ein hinreichendes Datenschutzniveau gewährleistet und geeignete technische und organisatorische Maßnahmen beinhaltet. So sollte beispielsweise aus Datenschutzgründen ein Berechtigungskonzept existieren, damit nicht jeder Mitarbeiter, der Zugriff auf die Software hat, personenbezogene Daten von Mitarbeitern einsehen kann. Außerdem müssen Daten aus dem System irgendwann auch wieder komplett gelöscht werden können. Sprechen Sie Ihren Softwareanbieter zwecks einer Datenschutzberatung gezielt auf die DSGVO an.
Info
Lexware-Software DSGVO-konform
Die Lexware-Lösungen erfüllen alle Anforderungen der EU-Datenschutzgrundverordnung.
DSGVO bei Unternehmen in Newsletter-Werbung
Fast jedes Unternehmen versendet heutzutage mehr oder weniger regelmäßig E-Mail-Nachrichten an Kunden und Interessenten. Die Datenschutzgrundverordnung lässt die gesetzlichen Vorschriften (u. a. Gesetz gegen den unlauteren Wettbewerb, UWG) zur Zulässigkeit solcher Marketing-Aktionen unberührt. Insbesondere bleibt es dabei, dass jedenfalls grundsätzlich eine vorherige ausdrückliche Einwilligung des Empfängers vorliegen muss. Es ist nach Grundverordnung darauf zu achten, dass diese Einwilligung auch den datenschutzrechtlichen Anforderungen genügt.
Soll der Newsletter personalisiert werden und Wissen über den Empfänger in die Inhalte einfließen (z. B. Bestellverhalten oder Öffnungsrate), ist dies eine Verarbeitung von Daten, die wiederum rechtfertigungsbedürftig ist. Je nachdem, welche Daten für die Individualisierung des Marketingmaterials tatsächlich verwendet werden, lässt sich das womöglich mit berechtigten Interessen des werbenden Unternehmens rechtfertigen. Hier hilft die Verordnung, die das Direktmarketing ausdrücklich als mögliches berechtigtes Interesse bezeichnet. In Zweifelsfällen sollten diese zusätzlichen Marketingmaßnahmen aber auch durch eine Einwilligung legitimiert werden.
Info
Erwartungen des Empfängers entscheidend
Maßgeblich sind die vernünftigen Erwartungen der Empfänger. Je mehr Daten verwendet werden und je überraschender deren Verwendung ist, umso eher wird sich die Auswertung der Daten nicht mehr auf berechtigte Interessen stützen lassen. Im Zweifel ist dann eine Einwilligung erforderlich. In jedem Falle muss der Empfänger die Möglichkeit haben, die Personalisierung zu beenden. Über dieses Widerspruchsrecht muss der Empfänger vorab belehrt werden.
DSGVO-Checkliste zur Umsetzung der Datenschutzgrundverordnung
Die DSGVO trat bereits im Mai 2018 in Kraft. Trotzdem existieren nach wie vor zahlreiche Unternehmen, die die DSGVO noch nicht so umsetzen, wie sie es eigentlich sollten. Beachten Sie, dass die Datenschutzaufsichtsbehörden bei Nichteinhaltung der Datenschutzgrundverordnung hart durchgreifen. Mittlerweile werden immer mehr Firmen von der Aufsichtsbehörde geprüft. Sie sind selbst noch unsicher, ob Sie alle wichtigen Vorschriften einhalten und gesetzeskonform dokumentieren? Für diesen Fall haben wir eine übersichtliche DSGVO-Checkliste erstellt, welche Ihnen dabei hilft, die neuen Regelungen konform umzusetzen.
Verantwortlichkeiten
- Sind in Ihrem Unternehmen alle Verantwortlichkeiten hinsichtlich des Datenschutzes klar geregelt?
- Wer entscheidet bei Ihnen über die Datenverarbeitung?
- Wer hat Zugriff zu welchen Daten und ist dieser angemessen gesichert?
- Werden besondere Sicherheitsvorkehrungen für sensible oder geheime Daten getroffen, und wenn ja, entsprechen diese den Anforderungen der DSGVO?
Verzeichnis der Verarbeitungstätigkeiten
- Dokumentieren Sie alle Verarbeitungstätigkeiten in Ihrem Unternehmen ausführlich in einem Verzeichnis und halten Sie dieses stets auf dem neuesten Stand?
- Listen Sie genau auf, warum Sie personenbezogene Daten verarbeiten, in welchem Rahmen das geschieht und wie Sie dies veranlassen?
Auftragsverarbeitungsvertrag
- Beauftragen Sie Dritte mit der Verarbeitung personenbezogener Daten bzw. sourcen Sie bestimmte Geschäftsbereiche out, sodass Sie einen Auftragsverarbeitungsvertrag benötigen?
- Haben Sie bezüglich der Rechenschaftspflicht detailliert festgelegt, in welchem Rahmen personenbezogene Daten verarbeitet werden dürfen, sodass Sie ausreichend Schutz sowohl für die Betroffenen als auch für Ihr eigenes Unternehmen gewährleisten?
- Sind Ihre Vertragsmuster bzw. AGB so gestaltet, dass diese den Anforderungen der DSGVO gerecht werden?
Datenschutzerklärung
- Betreiben Sie eine eigene Webseite oder einen Online-Shop, für welchen Sie eine Datenschutzerklärung benötigen?
- Informieren Sie im Rahmen dieser Datenschutzerklärung Ihre Nutzer darüber, dass Sie personenbezogene Daten verarbeiten?
- Ist Ihre Datenschutzerklärung vollständig, sodass Sie sicher vor potenziellen DSGVO-Abmahnungen sind?
- Ist Ihre Datenschutzerklärung klar und einfach formuliert, sodass man Ihnen keinen Wettbewerbsvorteil durch unklare Ausdrücke vorwerfen kann?
- Machen Sie verschiedene Tools oder Plug-ins kenntlich, mit deren Hilfe Sie Profiling auf Ihrer Webseite betreiben?
- Informieren Sie auch offline, z. B. im Rahmen des Bewerbungsprozesses oder bei Einstellung neuer Beschäftigter, über den Datenschutz?
Datenschutzfolgenabschätzung
- Verarbeiten Sie sensible Informationen, die ein erhöhtes Risiko für die Betroffenen beinhalten, sodass eine Datenschutzfolgenabschätzung für Sie erforderlich ist?
- Haben Sie einen Datenschutzbeauftragten hinzugezogen, welcher geprüft hat, ob eine Verarbeitung überhaupt möglich ist?
- Beinhaltet Ihre Datenschutzfolgeabschätzung alle relevanten Punkte (z. B. Vorgänge, Zweck, bestehende Notwendigkeit, Verhältnismäßigkeit, Risiken, Abhilfemaßnahmen etc.)?
Datenschutzbeauftragter
- Beschäftigen sich mehr als 20 Mitarbeiter in Ihrem Unternehmen mit personenbezogenen Daten, sodass Sie einen Datenschutzbeauftragten benötigen?
- Wenn ja, für welche Vorgänge?
- Möchten Sie eine Person aus Ihrer Firma zu einem internen Datenschutzexperten ausbilden lassen oder lieber einen externen Fachmann bestellen?
IT-Sicherheit
- Wenden Sie adäquate Sicherheitsmaßnahmen an, um das Risiko für Betroffene so gut es geht zu minimieren?
- Setzen Sie Verschlüsselungstechnologien für Ihre Webseite (SSL) und Ihren E-Mail-Verkehr (S/MIME) sowie sichere Passwörter ein?
- Achten Sie darauf, dass nur berechtigte Mitarbeiter Zugriff auf personenbezogene Daten haben und Sie Ihre Serverräume angemessen vor Unbefugten schützen?
- Schulen und sensibilisieren Sie Ihre Mitarbeiter genügend für das Thema Datenschutz?
Recht auf Vergessen
- Sind Sie dazu in der Lage, in Ihrem Unternehmen schnell auf die Daten einzelner Personen zuzugreifen und diese ohne größeren Aufwand zu löschen?
- Prüfen Sie in Ihrer Firma regelmäßig, welche anderen Unternehmen Daten über Personen (z. B. Kunden) bearbeiten, die eine Löschung verlangen können?
- Erstellen Sie Listen, mit deren Hilfe Sie betreffende Datenverarbeiter sofort informieren können, wenn jemand das Recht auf Vergessenwerden in Anspruch nimmt?