Datenschutz

1. Verzeichnis der Verarbeitungstätigkeiten

  • Was ist das?: Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss ein Verzeichnis führen, das detailliert beschreibt, welche Daten wie, wo und warum verarbeitet werden.

  • Warum wichtig?: Das Verzeichnis hilft dabei, Transparenz zu schaffen und zeigt, dass das Unternehmen die Verarbeitung von Daten im Griff hat. Es dient auch als Nachweis für die Behörden.

2. Datenschutzbeauftragter (DSB)

  • Wann braucht man einen DSB?: Wenn das Unternehmen regelmäßig personenbezogene Daten in großem Umfang verarbeitet oder besonders sensible Daten (z. B. Gesundheitsdaten) verarbeitet, muss ein Datenschutzbeauftragter benannt werden.

  • Aufgaben des DSB: Er sorgt dafür, dass das Unternehmen die Datenschutzbestimmungen einhält, gibt Hinweise und Empfehlungen zur Verbesserung des Datenschutzes und fungiert als Ansprechpartner für betroffene Personen und Aufsichtsbehörden.

3. Datenschutz-Folgenabschätzung (DSFA)

  • Wann notwendig?: Bei der Einführung neuer Technologien oder der Verarbeitung von besonders sensiblen Daten muss eine Datenschutz-Folgenabschätzung durchgeführt werden.

  • Ziel: Die DSFA bewertet, wie die geplante Verarbeitung die Rechte und Freiheiten von betroffenen Personen beeinträchtigen könnte und wie Risiken minimiert werden können.

4. Verträge mit Auftragsverarbeitern

  • Was ist ein Auftragsverarbeiter?: Ein Auftragsverarbeiter ist ein Dritter (z. B. ein IT-Dienstleister), der im Auftrag des Unternehmens personenbezogene Daten verarbeitet.

  • Vertragliche Anforderungen: Es muss ein schriftlicher Vertrag geschlossen werden, der sicherstellt, dass der Auftragsverarbeiter die Daten nur im Einklang mit den Anweisungen des Unternehmens verarbeitet und angemessene Sicherheitsmaßnahmen trifft.

5. Einwilligung der Betroffenen

  • Wann benötigt man eine Einwilligung?: Die Einwilligung muss eingeholt werden, wenn das Unternehmen personenbezogene Daten auf Grundlage der freiwilligen Zustimmung der betroffenen Person verarbeitet.

  • Wichtige Punkte zur Einwilligung:

    • Sie muss freiwillig, informiert, spezifisch und unmissverständlich sein.

    • Es muss eine klare Möglichkeit geben, die Einwilligung zu widerrufen.

    • Die betroffene Person muss in die Verarbeitung ihrer Daten einwilligen (z. B. durch eine Opt-in-Methode).

6. Rechte der betroffenen Personen

  • Recht auf Auskunft: Personen haben das Recht zu erfahren, welche Daten über sie gespeichert sind.

  • Recht auf Berichtigung: Personen können die Korrektur falscher Daten verlangen.

  • Recht auf Löschung (Recht auf Vergessenwerden): Unter bestimmten Bedingungen können Personen verlangen, dass ihre Daten gelöscht werden.

  • Recht auf Widerspruch: Personen können der Verarbeitung ihrer Daten widersprechen, wenn die Verarbeitung nicht mehr notwendig ist oder die Verarbeitung auf berechtigten Interessen beruht.

7. Datensicherheit

  • Technische und organisatorische Maßnahmen: Unternehmen müssen sicherstellen, dass personenbezogene Daten ausreichend geschützt sind. Dazu gehören beispielsweise:

    • Verschlüsselung von Daten

    • Zugriffskontrollen (wer darf auf welche Daten zugreifen?)

    • Backups und Datensicherung

    • Sicherheitsprotokolle bei der Verarbeitung und Übertragung von Daten

  • Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen: Technische Systeme sollten so konzipiert werden, dass sie den Datenschutz von Anfang an berücksichtigen (Privacy by Design und Privacy by Default).

8. Meldung von Datenschutzverletzungen

  • Wann muss man melden?: Wenn personenbezogene Daten gefährdet sind (z. B. bei Diebstahl oder Verlust von Daten), muss das Unternehmen diese Datenschutzverletzung innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde melden.

  • Betroffene informieren: Wenn die Datenschutzverletzung ein hohes Risiko für die betroffenen Personen darstellt, müssen diese ebenfalls informiert werden.

9. Schulung der Mitarbeiter

  • Warum?: Datenschutz ist nicht nur eine technische Angelegenheit, sondern erfordert auch das richtige Verhalten von allen Mitarbeitern. Daher sollten regelmäßige Schulungen und Sensibilisierungen stattfinden.

  • Inhalte der Schulung: Hierzu gehört das Wissen über die gesetzlichen Anforderungen, den Umgang mit personenbezogenen Daten, sowie die Bedeutung von Vertraulichkeit und Sicherheitsvorkehrungen.

10. Dokumentation und Nachweisführung

  • Warum wichtig?: Unternehmen müssen jederzeit nachweisen können, dass sie die Datenschutzvorschriften einhalten. Dies erfordert eine umfassende Dokumentation aller Maßnahmen und Prozesse rund um den Datenschutz.

  • Prüfungen und Audits: Regelmäßige interne oder externe Audits helfen dabei, Schwachstellen zu erkennen und den Datenschutz kontinuierlich zu verbessern.