Datenschutz

‎Die 12 häufigsten Fragen zur DSGVO ‎

Wenn es um die Umsetzung der Datenschutz-Grundverordnung (DSGVO) in der Praxis geht, sind viele Unternehmen nach wie vor verunsichert. EVA MÜLLER-TAUBER

Businessman on blurred background using digital padlock with data protection 3D rendering
© sdecoret Welche Informationen müssen Unternehmen besonders schützen?

1. Ich habe nur Firmenkunden. Muss ich den Datenschutz trotzdem beachten? Datenschutz gilt grundsätzlich auch im Geschäftsverkehr mit anderen Unternehmen, sofern personenbezogene Daten zu Firmenkunden verarbeitet werden, also solche, über die eine natürliche Person identifizierbar ist.

2. Gilt das Bundesdatenschutzgesetz (BDSG) neben der DSGVO weiter? Ja, die DSGVO enthält mehr als 60 Öffnungsklauseln, die es den Mitgliedstaaten erlauben, wesentliche Aspekte national zu lösen. Daher gelten beide Regelwerke in einem komplizierten Regel-Ausnahme-System nebeneinander.

3. Brauche ich für jede Datenerhebung oder -verarbeitung eine Einwilligung? Nein, Firmen benötigen für jede Verarbeitung von personenbezogenen Daten eine datenschutzrechtliche Rechtsgrundlage (etwa Vertrag oder Anbahnung eines Vertrags, Einwilligung). Die Rechtsgrundlage kann in bestimmten Fällen auch eine Einwilligung sein, zum Beispiel zum Bezug eines Newsletters per E-Mail.

4. Wie sieht eine wirksame Einwilligung aus? Sie muss über den Zweck der Verarbeitung informieren, freiwillig erteilt sein (das heißt, nicht an eine Bedingung gekoppelt sein), eindeutig sein (das Einverständnis muss deutlich werden) und den Hinweis enthalten, dass sie mit Wirkung für die Zukunft jederzeit widerrufen werden kann. Zudem müssen Informationspflichten beachtet werden.

5. Darf ich die Daten meiner Mitarbeiter verarbeiten? Daten von Stellenbewerbern, Mitarbeitern und ausgeschiedenen Mitarbeitern dürfen nach § 26 BDSG zur Begründung, Durchführung und Beendigung des Arbeitsverhältnisses verarbeitet werden. Geht eine Datenverarbeitung über diesen Zweck hinaus, ist eine Einwilligung erforderlich.

6. Was heißt Datenschutzmanagement? Dazu gehören unter anderem die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, ein Vertragsmanagement, Prozesse zur Meldung von Datenpannen und zur Wahrnehmung von Betroffenenrechten, ferner die Schulung von Mitarbeitern sowie deren Verpflichtung zur Verschwiegenheit und ein Datensicherheitskonzept.

7. Was ist ein Verzeichnis von Verarbeitungstätigkeiten? Ein solches fasst einzelne Verarbeitungsvorgänge zusammen, bei denen personenbezogene Daten automatisiert (elektronisch) oder zunächst nicht automatisiert (analog) verarbeitet werden, aber später in einem Dateisystem gespeichert werden sollen. Das Verzeichnis muss wesentliche Angaben zur Verarbeitung beinhalten: die Zwecke der Verarbeitung, die Beschreibung der betroffenen Datenkategorien und die Personen.

8. Darf die IHK einen Datenschutzbeauftragten oder externen Dienstleister empfehlen? Nein. Es gibt aber Vereine und Berufsverbände, die Kontakte zum Download zur Verfügung stellen, etwa die Gesellschaft für Datenschutz und Datensicherheit e.V. (www.gdd.de/der-datenschutzbeauftragte) oder der Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (www.bvdnet.de). Ferner sendet das LDA Bayern eine Liste externer Datenschutzbeauftragter (E-Mail: poststelle@lda.bayern.de).

9. Wo kann ich mich zum Datenschutzbeauftragten schulen lassen? Schulungen und Seminare zum Datenschutz von unterschiedlichen Anbietern finden sich zum Beispiel im Weiterbildungs-Informations-System WIS: (www.wis.ihk.de).

10. Was bedeutet Auftragsverarbeitung (AV)? Von AV ist die Rede, wenn eine Firma ihre Daten nicht selbst verarbeitet, sondern weisungsgebunden hinsichtlich der Verarbeitungszwecke und der zu ergreifenden technischen und organisatorischen Schutzmaßnahmen einen Dienstleister mit der Datenverarbeitung (z.B. Hosting, Lettershop) beauftragt, er also als „verlängerte Werkbank“ des Auftraggebers handelt. Keine Auftragsverarbeitung liegt vor, wenn die Daten etwa an einen Steuerberater zur Abwicklung der Lohnbuchhaltung gegeben werden, „denn dieser ist weisungsfrei und zu eigenständiger Beratung verpflichtet“, so IHK-Expertin Bottler. „Zudem ist er von Berufs wegen ohnehin zur Verschwiegenheit verpflichtet.“

11. Wer trägt die Verantwortung, wenn es zu datenschutzrechtlichen Verstößen kommt? Die Verantwortung trägt stets das Unternehmen als sogenannte verantwortliche Stelle. Es haftet auch für Handlungen gesetzlicher Vertreter oder anderer Leitungspersonen sowie für Handlungen eines Beschäftigten oder eines eingeschalteten externen Beauftragten.

12. Sind Datenschutzerklärungen auf Website & Co. anzupassen? Ja. Eine Musterdatenschutzerklärung findet sich unter: www.uni-muenster.de/Jura.itm/hoeren/lehre/materialien/musterdatenschutzerklaerung.

Tipps zur DSGVO