DSGVO – diese Pflichten haben Sie als Unternehmer

Unternehmen müssen in der Lage sein, Aufsichtsbehörden über ihr Datenschutzvorgehen zu informieren, sonst droht Ihnen ein Bußgeld. Welche Maßnahmen Sie für Ihr Unternehmen ergreifen müssen, um die sogenannte Rechenschaftspflicht zu erfüllen, erfahren Sie hier.

Umsetzung der Rechenschaftspflicht für Unternehmen

Eine strukturierte Datenschutzdokumentation ist die Grundlage zur Erfüllung der Rechenschaftspflicht. Dazu gehören folgende 6 Maßnahmen:

Verarbeitungsverzeichnis

Wenn Sie sensible, personenbezogene Daten Ihrer Kunden oder Mitarbeiter verarbeiten, müssen Sie dies dokumentieren. Das geschieht über ein sogenanntes Verarbeitungsverzeichnis, welches handschriftlich oder elektronisch geführt werden kann.

Im Wesentlichen sollten Sie darin aufführen:

  • Welche Daten werden verarbeitet?
  • Zu welchem Zweck werden die Daten verarbeitet?
  • In welchem Format werden die Daten verarbeitet?
  • Wie lange werden die Daten gespeichert?
  • Wer ist davon betroffen (z. B. Kunden, Patienten, Angestellte)?

Zusätzlich müssen Sie die Risiken der Datenverarbeitung bewerten und abschätzen. Führen Sie die technischen und organisatorischen Maßnahmen auf, die Sie für den Datenschutz ergreifen. Überprüfen Sie diese Maßnahmen regelmäßig und dokumentieren Sie neue Entscheidungen und die dazu hinführenden Überlegungen und Schlussfolgerungen.

Die genaue Aufführung der verschiedenen Elemente des Verarbeitungsverzeichnisses finden Sie in Art. 30 der DSGVO.

Datenpannen

Eine Datenpanne ist laut Artikel 4 der DSGVO eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder sogar zur unbefugten Offenlegung personenbezogener Daten führt. Das kann beispielsweise durch einen Hackerangriff der Fall sein oder einem Fehler in der Datenverarbeitung Ihres Unternehmens zugrunde liegen.

Was müssen Sie bei einer Datenpanne tun?

  • Meldung der Verletzung an die zuständige Aufsichtsbehörde
  • Benachrichtigung der betroffenen Person(en)

Die Meldepflicht besteht unabhängig davon, ob ein Schaden bereits entstanden ist oder nicht.

Datenschutz-Folgenabschätzungen

Art 35 der DSGVO sieht die Durchführung einer Datenschutz-Folgenabschätzung vor. Darin sollten Sie systematisch Ihre Verarbeitungsvorgänge beschreiben und den Zweck Ihrer Datenverarbeitung nennen. Sind die Vorgänge notwendig und verhältnismäßig? Bewerten Sie die Risiken für die Rechte und Freiheiten der betroffenen Personen und zeigen Sie auf, wie Sie diese Risiken bewältigen wollen.

Datenschutzrichtlinie

Ein zentraler Teil des Datenschutzmanagements ist der Aufbau einer internen Datenschutzrichtlinie für Ihr Unternehmen.

Darin sollten Sie Folgendes festlegen:

  • Anwendungsumfang der Richtlinie - dabei spielen Größe und Struktur des Unternehmens eine Rolle
  • Verantwortlichkeiten der Mitarbeiter und des Managements
  • Vorgehen im Fall von Datenschutzpannen
  • Konsequenzen der Nichteinhaltung der Richtlinie

Vertragsmanagement

Um der Rechenschaftspflicht nachzukommen, müssen Sie auch Anpassungen im Vertragsmanagementsystem und -prozess vornehmen.

Stellen Sie sicher, dass jeder Mitarbeiter, der in Ihrem Unternehmen berechtigt ist, Verträge abzuschließen, über die Grundsätze der DSGVO Bescheid weiß. Schulen Sie Ihre Angestellten, sodass Sie bei Abschluss eines Vertrags genau wissen, ob Sie die personenbezogenen Daten des Vertragspartners verwenden dürfen und sich dessen Einverständnis für die zweckgemäße Verarbeitung eingeholt haben. Das muss schriftlich im Verarbeitungsverzeichnis dokumentiert werden.

Löschkonzept

Es empfiehlt sich außerdem, ein Löschkonzept zu entwickeln, denn: Personenbezogene Daten, die Sie im Rahmen eines Vertragsabschlusses mit Kunden oder eines Vertrags mit Mitarbeitern nicht mehr benötigen, sind unter Beachtung rechtlicher Vorgaben zu löschen.

Dies trifft zu, wenn bspw. ein Arbeitsverhältnis endet oder ein Kunde seine Einwilligung in die Nutzung seiner Daten durch Ihr Unternehmen zurückzieht. Auch im Falle einer unrechtmäßigen Datenverarbeitung durch Sie, müssen personenbezogene Daten gelöscht werden.

Ein Löschkonzept beschreibt also Vorgehensweisen, mit denen Löschfristen und -regeln für verschiedene Datenarten bestimmt werden. So haben Sie eine Übersicht, was wann zu löschen ist und wo sich die Daten befinden.

Es zeigt sich einmal mehr - die DSGVO ist auch für Kleinunternehmer ein äußerst komplexes Thema. Das jedoch auch für Sie gut zu bewältigen ist, wenn Sie richtig informiert sind. Dabei helfen unsere folgenden Artikel:

  • DSGVO- Die wichtigsten Grundlagen für Unternehmer
  • 6 Grundsätze die Sie als Unternehmen beachten müssen
  • Wann dürfen Sie im Rahmen der DSGVO Daten erheben?
  • Unternehmen sind in der Rechenschaftspflicht