Fokusthema: Datenschutz

Die Datenschutz-Grundverordnung (DSGVO) bildet die wesentliche Grundlage für den Datenschutz innerhalb der Europäischen Union. Ergänzend dazu regelt das Bundesdatenschutzgesetz (BDSG) nationale Besonderheiten. Unternehmen, die personenbezogene Daten verarbeiten, müssen sicherstellen, dass sie die Grundsätze der DSGVO einhalten, insbesondere die Rechtmäßigkeit, Transparenz und Zweckbindung der Datenverarbeitung.

Von diesen Regeln ist praktisch jedes Unternehmen betroffen. Denn Voraussetzung ist, dass personenbezogene Daten verarbeitet werden – dazu zählen etwa Kundendaten, Mitarbeiterinformationen oder der E-Mail-Verkehr mit Lieferanten. Besondere Anforderungen gelten für Unternehmen, die regelmäßig oder umfangreich personenbezogene Daten verarbeiten.

Unternehmen müssen eine Reihe von Maßnahmen umsetzen, um die Datenschutzvorgaben einzuhalten. Dazu gehören insbesondere:

Betroffenenrechte

Das Hauptziel der DSGVO ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Daher ist es unabdingbar, die Rechte der Betroffenen zu wahren. Unternehmen müssen Anfragen auf Auskunft, Berichtigung, Löschung oder Einschränkung der Datenverarbeitung innerhalb der vorgegebenen Fristen beantworten. Dazu sollten interne Prozesse und Zuständigkeiten definiert werden. Eine transparente und nachvollziehbare Kommunikation mit den Betroffenen ist von großer Bedeutung.

Verzeichnisses von Verarbeitungstätigkeiten

Das Verzeichnis von Verarbeitungstätigkeiten dokumentiert den Zweck, die Kategorien der verarbeiteten Daten sowie die Empfänger oder Kategorien von Empfängern. Zudem muss es Angaben darüber enthalten, ob Daten in Drittländer übermittelt werden. Die lückenlose Dokumentation dient als Grundlage für interne Kontrollen und externe Prüfungen. Eine sorgfältige Führung des Verzeichnisses erleichtert es zudem, bei behördlichen Anfragen alle relevanten Informationen schnell zur Verfügung zu stellen.

Technische und organisatorische Maßnahmen (TOMs)

Ein weiterer zentraler Aspekt ist die Implementierung technischer und organisatorischer Maßnahmen (TOMs), die den Schutz der verarbeiteten Daten gewährleisten. Zu diesen Maßnahmen können etwa die Verschlüsselung von Daten, strenge Zugangskontrollen und regelmäßige Sicherheitsaudits gehören. Es ist unabdingbar, dass die eingesetzten Systeme kontinuierlich auf Schwachstellen überprüft werden. Ebenso wichtig ist es, ein robustes Notfallkonzept zu entwickeln, um im Falle eines Sicherheitsvorfalls rasch reagieren zu können. Diese Maßnahmen tragen dazu bei, Datenverluste und unbefugte Zugriffe zu verhindern.

Meldepflicht bei Datenschutzverstößen

Sollte es zu einem Datenschutzverstoß kommen, ist dieser innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Im Rahmen dieser Meldung müssen alle relevanten Informationen zum Vorfall, wie Art und Umfang des Verstoßes, sowie die ergriffenen Abhilfemaßnahmen mitgeteilt werden. Bei Vorfällen, die ein hohes Risiko für die Rechte der Betroffenen darstellen, ist auch eine Benachrichtigung der betroffenen Personen oder sogar der Öffentlichkeit in Betracht zu ziehen.

Datenschutz-Folgenabschätzung

Birgt eine Verarbeitung voraussichtlich hohen Risiken für die Rechte und Freiheiten der betroffenen Personen, ist eine Datenschutz-Folgenabschätzung durchzuführen. Diese Analyse umfasst eine systematische Bewertung der Risiken, die durch die Datenverarbeitung entstehen können. Anschließend müssen geeignete Maßnahmen zur Risikominderung identifiziert und implementiert werden. Eine regelmäßige Aktualisierung der Folgenabschätzung stellt sicher, dass neue Risiken zeitnah erkannt und adressiert werden.

Fallbeispiel der IHK München zum Datenschutz für kleine Unternehmen
https://www.ihk-muenchen.de/de/Service/Recht-und-Steuern/Datenschutz/Die-EU-Datenschutz-Grundverordnung/Fallbeispiel/

DIHK-Umfrage zur Umsetzung der DSGVO
https://www.dihk.de/de/aktuelles-und-presse/aktuelle-informationen/dsgvo-birgt-nach-wie-vor-erhebliche-rechtsunsicherheiten--113658