Leistungen

Leistungen

Individuelle Beratung und Unterstützung im Datenschutzrecht für Gewerbetreibende, freie Berufe, kleine und mittlere Unternehmen.

Die Umsetzung der DSGVO in einem Unternehmen hat rechtliche, technische und organisatorische Aspekte. Aus der Pflicht, eines jeden Unternehmens, den Aufsichtsbehörden jederzeit Rechenschaft über bestimmte Aspekte der Umsetzung des Datenschutzes im Unternehmen ablegen zu können, ergeben sich verschiedene Handlungsfelder, die effektiv und in sinnvoller Reihenfolge angegangen werden sollten. Dabei können zur Begrenzung des Aufwands Spielräume genutzt werden, die die DSGVO lässt.

Aktueller Hinweis: Auch bei der Erhebung der Daten von Besuchern und Kunden im Rahmen der Bekämpfung der Corona-Pandemie müssen Sie diesen Datenschutzinformationen zur Verfügung stellen.

Anwaltliche Beratung zu

Zu allen Leistungsbereichen finden Sie nachfolgend die entsprechenden Informationen:

Datenschutzinformationen auf der Webseite

Die Datenschutz-Visitenkarte Ihres Unternehmens im Netz

Jedes Unternehmen ist verpflichtet, den Besuchern seiner Webseiten bestimmte Informationen zur Erhebung und Verarbeitung personenbezogener Daten, die beim Besuch der Webseite stattfinden, mitzuteilen. Die Informationspflichten umfassen neben Angaben zu den Verantwortlichen, den Zwecken und Rechtsgrundlagen der Verarbeitung viele weitere Informationen, zum Beispiel zur Datenweitergabe und den Rechten der Betroffenen.

Vor allem der Einsatz von Cookies und Drittanbietertools auf der Webseite, zum Beispiel für Webanalyse oder das Tracking für Online Marketing waren in letzter Zeit im Fokus der Aufsichtsbehörden und des Europäischen Gerichtshofs.  Hier kann es erforderlich sein, Einwilligungen der Webseitenbesucher einzuholen oder auch nach einer Risikoabwägung auf bestimmte Tools zu verzichten. Zusammenfassend kann man sagen, dass insbesondere zu jedem Zugriff auf Fremdserver, vor allem auf solche in Drittstaaten (= außerhalb der EU), Informationen in den Datenschutzhinweisen stehen sollten.

Die Datenschutzhinweise müssen vollständig sein und alle nach der DSGVO erforderlichen Angaben enthalten. Jeder Webseitenbesucher kann sie sehen und sich an die Aufsichtsbehörden wenden. Auch die Gefahr von Abmahnungen ist bei unzureichenden oder falschen Informationen auf der Webseite gegeben.

Leistungen: Erstellen bzw. Entwerfender erforderlichen Datenschutzhinweise für Ihre Webseite. Sehr sinnvoll: Regelmäßige Überprüfung und Anpassung der Datenschutzhinweise der Websiten, denn die Inhalte können sich ändern - zudem kann sich sich aus der Rechtsprechung sowie Gesetzgebung zum Datenschutz ständig ebenfalls Anpassungsbedarf ergeben.

Datenschutzinformationen für Vertragspartner

Die Datenschutz-Visitenkarte Ihres Unternehmens beim Vertragsschluss

Wie bei der Webseite müssen Unternehmen auch Ihren Vertragspartnern Informationen bei der Erhebung und Verarbeitung von personenbezogenen Daten zur Verfügung stellen. Diese Angaben können sich in weiten Teilen von denen auf der Webseite unterscheiden, da zum Beispiel ganz andere Rechtsgrundlagen einschlägig sein können.

Weiter ist die Frage zu klären, wie den Vertragspartnern diese Informationen in handhabbarer Weise zur Verfügung gestellt werden, nicht immer muss ein "Pamphlet" zum Datenschutz übergeben werden.

Auch dieser Bereich des Datenschutzes ist ein für Dritte leicht von Aussen prüfbarer Bereich. Wenn Sie erstmals mit einem neuen Vertragspartner zu tun haben und dieser keinerlei Informationen zum Datenschutz bietet, hinterlässt dies keinen guten Eindruck und man muss sich fragen, ob man überhaupt einen Vertrag mit einem Unternehmen schließen soll, dass sich ersichtlich nicht um den Datenschutz kümmert. Also geben Sie sich keine Blöße und zeigen Sie, dass Sie die gesetzlichen Verpflichtungen zum Datenschutz ernst nehmen.

Leistungen: Erstellen bzw. Entwerfen der erforderlichen Datenschutzinformationen für Ihre Vertragspartner. Sehr sinnvoll: Regelmäßige Überprüfung und Anpassung der Datenschutzinformationen, denn Vertragsinhalte können sich ändern - zudem kann sich sich aus der Rechtsprechung sowie Gesetzgebung zum Datenschutz ständig ebenfalls Anpassungsbedarf ergeben.

Datenschutzinformationen für die Mitarbeiter

Auch die Mitarbeiter müssen informiert werden

Die Pflichten zur Information über die Verarbeitung personenbezogener Daten treffen auch den Arbeitgeber, der sogar oft  besondere personenbezogene Daten seiner Mitarbeiter verarbeitet. Eine den Anforderungen der DSGVO genügende Information der Mitarbeiter über den Umgang mit Ihren Daten ist Teil der gesetzlichen Pflichten des Arbeitsgebers als für die Datenverarbeitung Verantwortlicher. Mitarbeiter, die der Ansicht sind, dass mit Ihren Daten nicht rechtskonform umgegangen wird, können sich direkt bei der Aufsichtsbehörde beschweren.

Leistungen: Erstellen bzw. Entwerfen der Datenschutzinformationen für die Mitarbeiter.

Datenschutzinformation bei Videoüberwachung

Hinweisschilder notwendig

Neben der Frage, wann Videoüberwachung nach der DSGVO gerechtfertigt ist, muss durch entsprechende Hinweise und Informationen sicher gestellt werden, dass die von der Überwachung Betroffenen grundsätzlich die notwendigen Informationen über die stattfindende Überwachung erhalten, z.B. wer verantwortlich ist, Zwecke der Überwachung und Speicherdauer, denn auch hier gilt Art. 13ff. DSGVO. Diese und weitere Informationen müssen durch den Verantwortlichen, der die Überwachung durchführt, sichergestellt werden. Auch hier können sich Betroffene jederzeit bei einer Aufsichtsbehörde beschweren. - unnötiger Ärger, den man durch die entsprechende Information mit einem sinnvoll gestalteten Hinweisschild vermeiden sollte.

Leistungen: Erstellen bzw. Entwerfen der erforderlichen DSGVO- konformen Hinweisschilder unter Berücksichtigung der Anforderungen, die die Aufsichtsbehörden für den Datenschutz in Deutschland bislang bekannt gemacht haben.

Technisch- Organisatorische Maßnahmen (TOMS)

Zentraler Bestandteil des Datenschutzes im Unternehmen

Die DSGVO  verpflichtet denjenigen, der personenbezogene Daten verarbeitet, dies so zu tun, dass eine angemessene Sicherheit der personenbezogenen Daten gewährleistet ist (vgl. Art 5 Abs. 1 lit. f DSGVO). Dies bezieht insbesondere den  Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung ein. Diese angemessene Sicherheit ist durch geeignete technische und organisatorische Maßnahmen (TOMs) zu gewährleisten.

Dies ist Teil der Pflicht jedes für eine Verarbeitung personenbezogener Daten Verantwortlichen, die DSGVO einzuhalten vgl. Art. 24 DSGVO.

Das Festlegen, Dokumentieren, Aktualisieren, Überprüfen und Umsetzen technischer und organisatorischer Maßnahmen zur Datensicherheit, die dem Stand der Technik entsprechen, ist eine der zentralen Pflichten, die Unternehmen im Datenschutz treffen.  Die Maßnahmen, sind erforderlich , damit ein Verantwortlicher oder ein Auftragsverarbeiter  die Einhaltung der DSGVO sicherstellen und nachweisen kann (vgl. Art. 5 Abs. (2), 24 Abs. (1), Art. 28 Abs. (3) und Art 32 DSGVO).

Die DSGVO lässt den Verantwortlichen hierbei Spielraum im Rahmen einer Risikoeinschätzung. Vereinfacht gesagt müssen die Maßnahmen und das zu schaffende Schutzniveau der "Wichtigkeit" und dem Schutzbedarf und der Sensibilität der betroffenen Daten entsprechen und die Eintrittswahrscheinlichkeit von Risiken für die Betroffenen, deren Daten verarbeitet werden, angemessen berücksichtigen. Es ist ein Unterschied, ob ein Handwerksbetrieb eine Kundendatei mit Adressen führt, oder ob ein Arzt besonders geschützte Gesundheitsdaten verarbeitet.

Bei dieser Risikoabschätzung können verschiedene Umstände einbezogen werden, neben der Sensibilität der verarbeiteten personenbezogenen Daten auch wirtschaftliche Aspekte, wie z.B. Implementierungskosten, Art und Umfang der Datenverarbeitung und deren Zwecke. Die Aufstellung der TOMs erfordert rechtliche Überlegungen und vor allem technische Kompetenz sowie einen Überblick über die entsprechenden Abläufe im Unternehmen, bei denen personenbezogene Daten verarbeitet werden. Hierfür kann das Verarbeitungsverzeichnis herangezogen werden.

Die zu dokumentierenden TOMs  sind ein ganz zentraler Bestandteil der Datenschutzdokumentation eines Unternehmens. Werden Sie als Auftragsverarbeiter für andere Unternehmen tätig, so werden die TOMs Eingang in die entsprechenden Verträge finden. Genauso werden Sie Verträge mit Ihren Auftragsverarbeitern auch auf deren TOMs prüfen. Eine Aufsichtsbehörde kann die Vorlage der TOMs jederzeit anfordern.

Es ist daher sehr sinnvoll, einen gewissen Aufwand in die korrekte Erstellung von TOMs zu investieren. Gegebenenfalls ergibt sich bei der Aufstellung, dass weitere technische oder organisatorische Maßnahmen erforderlich sind, um das notwendige Schutzniveau zu erreichen. Hierbei müssen alle relevanten Verarbeitungen von personenbezogenen Daten im Unternehmen betrachtet werden. Diese sollten sich wiederum aus dem Verzeichnis der Verarbeitungstätigkeiten ergeben, so dass zu jeder Verarbeitung gewisse TOMs zugeordnet werden können.

Leistungen: Unterstützung bei der Formulierung, Umsetzung und der Dokumentation der TOMs, Für viele Punkte können Entwürfe bereitgestellt bzw. erstellt werden, die in Abstimmung mit den IT-Verantwortlichen schnell zum Einsatz kommen können. Enge Zusammenarbeit mit Ihren IT-Experten oder auch Ihren IT-Beratern, um das erforderliche IT-Know How zur Datensicherheit auch von technischer Seite einzuholen. Erst das Zusammenwirken der beiden Bereiche - Erkennen der juristisch datenschutzrechtlich bestehenden Anforderungen und technischer Sachverstand bei der Auswahl und Umsetzung der TOMs - führen zu Maßnahmen zur Datensicherheit, die den Schutzzielen der DSGVO entsprechen.

DSGVO Umsetzung im Unternehmen und
Datenschutzmanagement

Datenschutz im Unternehmen ist Chefsache


Die Umsetzung der DSGVO ist eine Aufgabe der Unternehmensführung. Die DSGVO nimmt neben natürlichen Personen auch die Unternehmen direkt als Verantwortliche für die bei ihnen stattfindende Verarbeitung personenbezogener Daten in die Pflicht, sei es als Kapital- oder Personengesellschaft. Die Anforderungen sind genauso "Compliance-Recht", das einzuhalten ist, wie andere Compliance Regeln oder das Steuerrecht. Verstöße gegen die DSGVO können mit erheblichen Bußgeldern bis zu 20 Millionen Euro oder bis zu 4% des Jahresumsatzes geahndet werden. Dabei kann auch die persönliche Haftung von vertretungsberechtigten Personen von Kapitalgesellschaften im Raum stehen.

Eines der zentralen mit der DSGVO eingeführten Prinzipien ist die Rechenschaftspflicht, die sich aus Art 5 Abs. 2 DSGVO ergibt. Dieses Prinzip, das auch Accountability-Prinzip genannt wird, verpflichtet auch Unternehmen, jederzeit die Einhaltung der Vorgaben der DSGVO nachweisen zu können. Ohne eine Dokumentation zur Erfüllung der Datenschutzanforderungen wird dies nicht gelingen können. Jede Unternehmensführung sollte daher den Bereich Datenschutz systematisch angehen und, je nach Unternehmensart und -größe ein Datenschutzmanagement betreiben, um das Einhalten der gesetzlichen Verpflichtungen beweisen zu können. In diesem Zusammenhang ist auch der Bereich der  Datensicherheit, die ebenfalls Gegenstand der DSGVO ist, zu betrachten. Datensicherheitsmaßnamen müssen die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten gewährleisten.

Teil jeder Lösung in diesem Bereich hat ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu beinhalten, Art. 32 Abs. 1 lit.d DSGVO. Dies bedeutet, dass es nicht ausreicht, einmal "Datenschutzkonform" zu sein, sondern, dass es ein wiederkehrender Rhythmus sein muss, in dem geprüft wird, ob datenschutzmäßig noch "alles in Ordnung" ist, oder ob weitere Maßnahmen erforderlich sind. Diese Maßnahmen werden dann bei der nächsten Bewertung einbezogen und ebenfalls auf ihre Wirksamkeit geprüft. Es geht um einen Prozess der kontinuierlichen Verbesserung.

Intern sollte die Unternehmensführung z.B. durch entsprechende einzuhaltende Richtlinien vorgeben, wie sich alle Beschäftigten an den Datenschutz halten sollen. Dazu gehören auch entsprechende Verpflichtungen der Mitarbeiter.

Hat ein Verantwortlicher, sei es eine Einzelperson oder ein Unternehmen, Risikovorsorge betrieben und zum Beispiel für die Einhaltung der Vorgaben der DSGVO ein dokumentiertes Datenschutz- und Datensicherheitsmanagement eingeführt, so ist damit zu rechnen, dass selbst bei eventuellen Verstößen, Bußgelder niedriger ausfallen werden, als wenn durch einen Verstoß einer Aufsichtsbehörde quasi offengelegt wird, dass der Datenschutz in einem Unternehmen mehr oder weniger vorsätzlich oder grob fahrlässig missachtet wurde.

Die Umsetzung kann an die Art und Größe eines Unternehmens angepasst werden. Kein kleiner Gewerbetreibender, freiberuflich Tätiger oder Handwerksbetrieb muss unbedingt ein softwaregestütztes Managementsystem wie ein Konzern einführen.

Es ist möglich, die Anforderungen der DSGVO angepasst, auch an die Größe und wirtschaftliche Kraft eines Unternehmens unter Berücksichtigung des Schutzbedarfs der verarbeiteten personenbezogenen Daten, mit Augenmaß effektiv mit übersichtlichem Aufwand zu erfüllen.

Leistungen: Unterstützung bei allen oben genannten Schritten.  Für viele Punkte können Entwürfe bereitgestellt bzw. erstellt werden, die Sie schnell im Unternehmen verwenden können. Mit einem Datenschutzhandbuch, in dem alle wichtigen Leitlinien, Verträge, Dokumente und Maßnahmen zusammengefasst sind, wird der Datenschutz im Unternehmen übersichtlich.

Die DSGVO beinhaltet für Unternehmen und Gewerbetreibende Pflichten insbesondere in Bezug auf:

- Nachweis und Dokumentation der Einhaltung der DSGVO
- Führung eines Verzeichnisses von Verarbeitungstätigkeiten
- Verträge zur Auftragsverarbeitung
- Verträge zur gemeinsamen Verantwortlichkeit
- erweiterte Informationserfordernisse bei Datenerhebung
- erweiterte Meldepflichten mit Fristen z.B. bei Datenpannen
- technische und organisatorische Maßnahmen zur Datensicherheit (TOMs)
- Bestellung eines Datenschutzbeauftragten
- Datenschutz-Folgenabschätzung
- Datenschutzmanagement
- Berücksichtigung des Grundsatzes von Datenschutz durch Technikgestaltung (Privacy by Design)
- Berücksichtigung des Grundsatzes von datenschutzfreundlichen Voreinstellungen (Privacy by Default)

Benennung eines / einer externen oder internen Datenschutzbeauftragten

Unumgängliche Pflicht?

Nach der DSGVO haben Verantwortliche unter bestimmten Umständen einen / eine Datenschutzbeauftragten zu benennen, Art. 37 DSGVO. Diese Umstände beziehen sich z.B. auf die Art der Kerntätigkeit des Unternehmens, den Umfang der Verarbeitung oder die Art und den Schutzbedarf der verarbeiteten personenbezogenen Daten.

Die Benennung muss gegenüber der Aufsichtsbehörde erfolgen - viele Aufsichtsbehörden sehen eine Online-Meldung des / der Datenschutzbeauftragten vor.

In Deutschland ist zudem § 38 Bundesdatenschutzgesetz (neu) zu beachten, in dem weitere Voraussetzungen zur Pflicht einen / eine Datenschutzbeauftragten zu benennen enthalten sind. Dort ist z.B. geregelt, dass der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benennen müssen, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Ob die Benennung eines / einer Datenschutzbeauftragten erforderlich ist, muss im Einzelfall geprüft werden.

Zentrale Aufgabe des / der Datenschutzbeauftragten ist die Überwachung der Einhaltung der Vorschriften der DSGVO im Unternehmen. Weitere Aufgaben ergeben sich aus Art. 39 DSGVO. Sie umfassen z.B. die Unterrichtung des Verantwortlichen und des Auftragsverarbeiters hinsichtlich ihrer Pflichten nach des DSGVO, die Überwachung der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz der personenbezogenen Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungstätigkeiten beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.

Der / die Datenschutzbeauftragte ist aber auch Anlaufstelle für Aufsichtsbehörden und arbeitet mit ihnen zusammen (Art. 39 Abs. (1) lit. d) und e) DSGVO).

Rechtsberatung im konkreten Einzelfall wie einem Rechtsanwalt ist einem / einer Datenschutzbeauftragten nicht gestattet. Würde er / sie dies tun, würde dies gegen das Rechtsdienstleistungsgesetz verstoßen. Dies wäre auch nicht mehr von den üblichen Berufshaftpflichtversicherungen für die Tätigkeit als Datenschutzbeauftragte(r) gedeckt. Vor dem Hintergrund der Aufgaben des  / der Datenschutzbeauftragten in der DSGVO kann die Abgrenzung im Einzelfall schwierig sein.

Leistungen: Prüfung, ob die Benennung eines / einer Datenschutzbeauftragten erforderlich ist. Entwurf der Verträge für die Benennung eines / einer externen oder internen Datenschutzbeauftragten.

Organisatorische Umsetzung der DSGVO

Leitlinien und Zuständigkeiten für den Datenschutz

Organisatorische Maßnahmen können verschiedenste Bereiche betreffen. Es können interne organisatorische Festlegungen und vorgegebene Leitlinien zur Einhaltung des Datenschutzes, Vorgaben zum Umgang mit Speichermedien, Soft- und Hardware, Vorgaben zum Abschluss von Verträgen,  Festlegungen von Verantwortlichkeiten,  Berechtigungskonzepte, sein. Organisatorische Maßnahmen betreffen aber auch direkt die IT, wie zum Beispiel Vorgaben für die Einräumung von Zugriffs- und Zugangsrechten, Kontrollen, Passwortrichtlinien etc.
Die zu treffenden Maßnahmen sind Teil der technisch organisatorischen Maßnahmen zur Datensicherheit. Ein Datenschutzmanagement hilft, die organisatorischen Maßnahmen sinnvoll zusammenzufassen, umzusetzen und zu überprüfen.

Leistungen: Unterstützung  bei der Umsetzung eines Datenschutzmanagements - angepasst auch an kleinere Einheiten, wie  Gewerbetreibende oder freie Berufe wie Anwälte und Ärtze. Erstellung und Entwurf interner Richtlinien, mit denen Sie den Umgang mit dem Datenschutz in Ihrem Unternehmen klarstellen und dokumentieren können. Siehe auch Leistungen zur Umsetzung der DSGVO im Unternehmen.

Technische Umsetzung der DSGVO

IT - Datensicherheit

Technische Maßnahmen zur Datensicherheit, mit denen ein angemessenes Schutzniveau erreicht werden soll, können umfangreich sein. Die DSGVO nennt in Art. 32 beispielshaft einige Maßnahmen:

- die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Diese Aufführung ist natürlich nicht Abschließend, es liegt bei jedem Unternehmen, die eigenen Maßnahmen mit den IT-Verantwortlichen zu analysieren, zu dokumentieren und gegenenfalls zu ergänzen, um die Schutzziele zu erreichen. Typische Bereiche für technische Maßnahmen waren in der Anlage zum § 9 des alten, nicht mehr geltenden, Bundesdatenschutzgesetzes zusammengestellt (Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle). Diese können auch heute noch als Ausgangspunkt für die Betrachtung der eigenen technischen Maßnahmen dienen, vor dem Hintergrund der dauerhaften Sicherstellung von  Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung von personenbezogenen Daten.

Die zu treffenden Maßnahmen sind Teil der technisch organisatorischen Maßnahmen zur Datensicherheit.

Leistungen: Unterstützung bei der Formulierung, Umsetzung und der Dokumentation der TOMs, Für viele Punkte können Entwürfe bereitgestellt bzw. erstellt werden, die in Abstimmung mit den IT-Verantwortlichen schnell zum Einsatz kommen können. Enge Zusammenarbeit mit Ihren IT-Experten oder auch Ihren IT-Beratern, um das erforderliche IT-Know How zur Datensicherheit auch von technischer Seite einzuholen. Erst das Zusammenwirken der beiden Bereiche - Erkennen der juristisch datenschutzrechtlich bestehenden Anforderungen und technischer Sachverstand bei der Auswahl und Umsetzung der TOMs - führen zu Maßnahmen zur Datensicherheit, die den Schutzzielen der DSGVO entsprechen.

Datenschutzdokumentation / Dokumentationspflicht

Wer schreibt, der bleibt
Ohne Dokumentation helfen die besten Maßnahmen zur Einhaltung der DSGVO nichts!

Die sich insbesondere aus der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO ergebende Pflicht zur Dokumentation der Einhaltung des Datenschutzes nach der DSGVO umfasst insbesondere alle getroffenen Maßnahmen, seien es technische Datensicherheitsmaßnahmen, organisatorische Maßnahmen wie z.B. interne Vorgaben für Prozessabläufe und Zuständigkeiten, Nachweise über erhaltene Einwilligungen, Verträge, das Verzeichnis von Verarbeitungstätigkeiten etc.

Die Dokumentation muss aktuell vorliegen, denn eine Aufsichtsbehörde kann jederzeit die Vorlage von Nachweisen, also "Rechenschaft" einfordern. Mit der Dokumentation zu beginnen, wenn dies geschehen ist, ist viel zu spät. Die Aufsichtsbehörden erkennen es, wenn eine Dokumentation wenigen Tagen und in letzter Minute "zusammengeschustert" wird...
Also sollte man immer eine Dokumentation parat haben - auch wenn diese eventuell noch eine "work in progress" und noch nicht ganz perfekt ist,
Denn auch eine nicht ganz perfekte Dokumentation ist schon einmal besser als gar keine Dokumentation.

Leistungen: Unterstützung und Hilfestellung bei der Dokumentation der Erfüllung der DSGVO - Erstellung eines Datenschutzhandbuchs für das Unternehmen, in dem alle wichtigen Leitlinien, Verträge, Dokumente und Maßnahmen an einem Ort zusammengefasst sind.

Verträge zur Auftragsverarbeitung

Verarbeitung von personenbezogenen Daten für andere

Ein Auftragsverarbeiter ist man, wenn man personenbezogene Daten im Auftrag eines Verantwortlichen für diesen verarbeitet.Die DSGVO sieht für diese Auftragsverarbeiter vor, dass Verträge mit ganz bestimmten Inhalten abzuschließen sind und dass sie bestimmte weitere Vorgaben der DSGVO einhalten müssen.

Erfüllt man diese Pflichten nicht, liegt ein Verstoß gegen die DSGVO vor, der z.B. mit einem Bußgeld geahndet werden, oder der Schadenersatzansprüche nach sich ziehen kann.

Aber nicht jede Datenverarbeitung, bei der z.B. verschiedene Unternehmen Daten austauschen und "für andere" verarbeiten ist auch eine Auftragsverarbeitung. Es kann auch sein, dass eine gemeinsame Verantwortlichkeit für die Datenverarbeitung vorliegt, oder dass "nur" mehrere Verantwortliche nacheinander Daten verarbeiten. Welche dieser drei Fälle vorliegt, muss im Einzelfall festgestellt werden. Je nach der Art der Datenverarbeitung kann dies sehr einfach oder auch kompliziert sein.

Die Auftragsverarbeitung ist durch ein Weisungsverhältnis gekennzeichnet, der Auftragsverarbeiter verarbeitet die Daten des Auftraggebers quasi als dessen verlängerter Arm. Er tut dies nur für Zwecke des Auftraggebers und nicht für eigene Zwecke. Der Auftraggeber entscheidet über Zweck und Mittel der Verarbeitung, die nach seinen Anweisungen ausgeführt wird.

Viele typische Datenverarbeitungen personenbezogener Daten aus dem Alltag können  eine Auftragsverarbeitung darstellen, z.B.:

- Nutzerverwaltung im Rahmen der IT-Wartung
- Buchhaltungsbüro (nicht StB!), das für einen Kunden die Buchhaltung
- Datensicherungsservice
- Webhosting
- Cloud Services
- Online Druckservices

Letztlich muss im Einzelfall entschieden werden, ob Auftragsverarbeitung vorliegt.

Leistungen: Entwurf der entsprechenden Verträge gem. Art 28 DSGVO, Prüfung und Verhandlung von Verträgen zur Auftragsverarbeitung.  -  Leistungen, die nur durch einen Rechtsanwalt erbracht werden können.

Verträge zur gemeinsamen Verantwortlichkeit

Verarbeitung von personenbezogenen Daten mit Anderen

Die gemeinsame Verantwortlichkeit wurde durch das "Facebook Fanseiten" und das "fashion ID" Urteil des Europäischen Gerichtshofs "berühmt".  Der EuGH nahm zu den Voraussetzungen für das Vorliegen der gemeinsamen Verantwortlichkeit anhand von Facebook Fanseiten und der Einbindung von Facebook Like-Buttons Stellung und fasste diese sehr weit. So weit, dass nun bei vielen gemeinsamen oder arbeitsteiligen Datenverarbeitungen möglicherweise eine gemeinsame Verantwortlichkeit vorliegt, obwohl man bisher nicht davon ausging.

Verarbeitet man mit Anderen personenbezogene Daten derart, dass man gemeinsam die Zwecke und Mittel der Verarbeitung festlegt, ist man "gemeinsam Verantwortlicher". Dann treffen einen verschiedene Pflichten aus der DSGVO, die man zu erfüllen hat, um einen Verstoß gegen die DSGVO zu vermeiden,der z.B. mit einem Bußgeld geahndet werden, oder der Schadenersatzansprüche nach sich ziehen kann. Die Verantwortung für die Datenverarbeitung muss dabei nicht 50:50 verteilt sein, sie kann z.B. auch 90:10 betragen.

Insbesondere muss man eine Vereinbarung zur gemeinsamen Verantwortlichkeit schließen, die bestimmte Mindestinhalte haben muss.

Die gemeinsame Verantwortlichkeit ist durch die gemeinsame Festlegung der Zwecke und Mittel der Datenverarbeitung geprägt. Sie kann z.B. vorliegen, wenn eine gemeinsame Infrastruktur genutzt wird.

Aber nicht bei jeder Datenverarbeitung, bei der Unternehmen irgendwie Daten austauschen, liegt zwangsläufig auch eine gemeinsame Verantwortung vor. Es kann sich auch um Auftragsverarbeitung handeln, oder verschiedene Verantwortliche verarbeiten Daten getrennt für sich. Welcher Fall vorliegt, muss im Einzelfall festgestellt werden. Die Abwägung und Prüfung, ob eine gemeinsame Verantwortlichkeit vorliegt, kann im Einzelfall sehr schwer sein, da noch Einiges in diesem neuen Rechtsgebiet unklar ist.

Letztlich muss im Einzelfall entschieden werden, ob eine gemeinsame Verantwortlichkeit vorliegt.

Leistungen: Entwurf der entsprechenden Verträge gem. Art 26 DSGVO, Prüfung und Verhandlung von Verträgen zur gemeinsamen Verantwortlichkeit.  -  Leistungen, die nur durch einen Rechtsanwalt erbracht werden können.

Erstellung und Führung des
Verzeichnisses von
Verarbeitungstätigkeiten

Wissen Sie, welche  Verarbeitungstätigkeitenn Ihrem Unternehmen stattfinden?

Nach der Art. 30 Abs. 1 DSGVO ist jeder Verantwortliche verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten (nachfolgend „VV“) zu führen. Die Erstellung eines VV ist immer mit einigem Aufwand verbunden, wobei dieser natürlich von der Größe und Komplexität des betroffenen Unternehmens und der vorgenommenen Datenverarbeitung personenbezogener Daten abhängt.

Es gibt in Art. 30 ABs. (5) DSGVO auch Ausnahmen, beispielsweise müssen Verantwortliche kein VV führen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn,
  • die Datenverarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen oder
  • die Datenverarbeitung erfolgt nur gelegentlich oder
  • die Datenverarbeitung betrifft besondere Datenkategorien gem. Art. 9 Abs. 1 DSGVO (dies sind insbesondere Gesundheitsdaten und Daten aus denen die ethnische Herkunft, politische Meinungen, religiöse oder Weltanschauliche Überzeugungen hervorgehen und genetische und biometrische Daten etc.) oder es erfolgt eine Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten.
Leider greift die Ausnahme für kleine Unternehmen und freiberuflich Tätige meist nicht, da dass man als Arbeitgeber wegen der Kirchensteuer auch die Religionszugehörigkeit der Angestellten verarbeitet. Dieses Datum gehört zu den besonderen Datenkategorien des Art. 9 Abs. 1 DSGVO. Zudem wäre eine Datenverarbeitung nur dann als „nur gelegentlich“ anzusehen sein, wenn diese nur vereinzelt oder hin und wieder erfolgen würde. Erfolgt die Datenverarbeitung aber regelmäßig und gehört zum typischen Geschäftsbetrieb des Unternehmens (z.B. Personalakten, Kundendatenbank etc.) besteht auch aus diesem Grund die Pflicht zum Führen eines VV.

Der Verantwortliche hat das VV zum Nachweis der Einhaltung der DSGVO zu führen und aktuell zu halten. Das VV soll auch den Aufsichtsbehörden ermöglichen, die betroffenen Verarbeitungsvorgänge zu kontrollieren. Das VV ist regelmäßig in deutscher Sprache und gemäß Art. 30 Abs. 3 DSGVO schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

Gemäß Art. 30 Abs. 1 DSGVO ist das VV für alle Verarbeitungstätigkeiten von personenbezogenen Daten, die der Zuständigkeit des verarbeitenden Unternehmens unterliegen, mit bestimmten Mindestinhalten zu führen. Das bedeutet, das für jede Verarbeitungstätigkeit, bei der personenbezogene Daten regelmäßig verarbeitet werden, eine entsprechende Dokumentation im VV erfolgen muss.

Leistungen: Unterstützung bei der Erstellung und Führung des Verzeichnisses, z.B. mit Entwürfen für ein Verzeichnis und Textentwürfen für Verarbeitungstätigkeiten, die übliche Geschäftsprozesse betreffen. Das Ganze orientiert an der Komplexität und Größe des betroffenen Unternehmens, so dass hier nicht mit "Kanonen auf Spatzen" geschossen wird. Für kleine Betriebe und freiberuflich Tätige kann die Erstellung des VV oft mit überschaubarem Aufwand erfolgen.

Datenschutz-Folgenabschätzung

Wenn die Datenverarbeitung heikel ist

Hat eine Form der Verarbeitung personenbezogener Daten, insbesondere bei der Verwendung neuer Technologien, Aufgrund der Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte der Betroffenen, muss vor (!) der Verarbeitung eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden (vgl. Art. 35 DSGVO).

Die Frage, wann eine DSFA durchgeführt werden muss, ist komplex und nicht zu unterschätzen. Erfolgt eine Datenverarbeitung ohne DSFA, wenn diese erforderlich war, dann stehen Schadenersatzansprüche und (tendenziell höhere) Bußgelder im Raum. Die DSGVO stellt weitreichende Anforderungen an die Prüfung, wann eine DSFA erforderlich ist und macht umfangreiche Vorgaben für die Inhalte einer DSFA, die sich über 11 Absätze erstrecken.

Auf jeden Fall erforderlich ist eine DSFA z.B. bei:
  • systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkungen gegenüber den Personen entfalten ("Mensch als Objekt der Entscheidungen einer Maschine")
  • Umfangreichen Verarbeitungen besonderer Kategorien von personenbezogenen Daten gem. Art 9 Abs. (1) DSGVO (z.B. Gesundheitsdaten, Daten über ethnische Herkunft, politische Meinungen, weltanschauliche Überzeugungen, genetische Daten, biometrische Daten, Daten über die sexuelle Orientierung etc.)
  • systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche
Diese Auflistung ist nicht abschließend. Immer dann, wenn voraussichtlich hohe Risiken für die Betroffenen, deren personenbezogene Daten verarbeitet werden, vorliegen, ist zu prüfen, ob eine DSFA erforderlich ist. Hohe Risiken können z.B. immer dann bestehen, wenn:
  • sehr umfangreiche Verarbeitungen,
  • automatisierte Entscheidungsfindungen
  • Verarbeitungen von vertraulichen und höchstpersönlichen Daten
  • Verarbeitungen von personenbezogenen Daten in großem Umfang
  • das Abgleichen oder zusammenführen von Datensätzen
  • Datenintensive innovative Nutzungen neuester Technologien (Gesichtserkennung etc.)
stattfinden.

Leistungen: Unterstützung / Prüfung bei der Frage der Erforderlichkeit einer DSFA und bei der Abfassung der DSFA gemäß den Anforderungen der DSGVO.

Besonderheiten bei Ärzten und Rechtsanwälten

Berufe mit besonderen Pflichten

Ärzte und Rechtsanwälte unterliegen zunächst denselben Anforderungen an den Schutz personenbezogener Daten wie andere Unternehmen oder Gewerbetreibende auch.

Beide unterliegen jedoch besonderen berufsrechtlichen und auch strafrechtlichen Anforderungen, z.B. dem Patientengeheimnis und ärztlichen und anwaltlichen Schweigepflichten (vgl.  § 203 StGB), deren Einhaltung bei der Umsetzung der DSGVO in der Praxis oder der Kanzlei zu berücksichtigen sind.

Bei dem Einsatz Dritter zur Verarbeitung personenbezogener Daten - dem Outsourcing - müssen besondere Anforderungen beachtet werden, die zum Beispiel für den Inhalt von Verträgen mit Auftragsverarbeitern gelten. Dies kann schnell übersehen werden.

Hinzu kommt, dass bei beiden Berufen oft die Verarbeitung besonders geschützter personenbezogener Daten erfolgt (beim Arzt sogar immer, da Gesundheitsdaten verarbeitet werden), was die Anforderungen an die Rechtmäßigkeit der Verarbeitung und deren Nachweis erhöht.

Das Vertrauen der Patienten und Mandaten ist für die Ausübung dieser freien Berufe die Grundlage aller Tätigkeiten. Riskieren Sie dies nicht durch Verstöße gegen den Datenschutz.

Leistungen: Unterstützung  bei der Umsetzung der DSGVO in Praxis und Kanzlei. Dabei wird der Tatsache Rechnung getragen, dass kleinere Praxen und Kanzleien nicht die finanziellen und personalen Möglichkeiten und Mittel haben, wie größere Unternehmen.  Es ist möglich, die Anforderungen der DSGVO angepasst, auch an die Größe und wirtschaftliche Kraft einer Praxis oder Kanzlei mit Augenmaß effektiv und mit übersichtlichem Aufwand zu erfüllen.

Für viele Punkte können Entwürfe bereitgestellt bzw. erstellt werden, die Sie schnell verwenden können. Mit einem Datenschutzhandbuch, in dem alle wichtigen Leitlinien, Verträge, Dokumente und Maßnahmen zusammengefasst sind, wird der Datenschutz in der Praxis oder Kanzlei übersichtlich.

Umgang mit Aufsichtsbehörden

Der Staat passt auf

Die Aufsichtsbehörden überwachen die Einhaltung des Datenschutzes und der DSGVO. Die DSGVO gibt ihnen weitreichende Befugnisse, z.B. Informationen zum Datenschutz und dessen Umsetzung bei Unternehmen abzufragen.

Die von der Verarbeitung ihrer personenbezogenen Daten betroffenen Personen können sich jederzeit bei den Aufsichtsbehörden beschweren, wenn sie wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Beschwerden oder unzureichend oder nicht beantwortete Fragen der Aufsichtsbehörden sind oft Auslöser für weiteres Vorgehen der Aufsichtsbehörden. Dabei können Bußgelder bis zu 20 Millionen Euro oder 4% des Jahresumsatzes verhängt werden. Aus der aktuellen Bußgeldpraxis ergibt sich, dass die Bußgeldhöhen - auch gegenüber kleineren Unternehmen - nicht so niedrig ausfallen, wie manche das erwarteten.

So hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder im Oktober 2019 ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen vorgestellt, das sich an den Umsätzen der Unternehmen und der Schwere des Verstosses gegen die DSGVO orientiert.

Es ist deshalb wichtig, bei Anfragen von Aufsichtsbehörden und Betroffenen rechtzeitig und sachlich in richtiger Weise zu Antworten und sich gegenüber den Aufsichtsbehörden angemessen zu verhalten - insbesondere wenn mit einem Bußgeld bereits zu rechnen ist.

Leistungen: Unterstützung bei der Kommunikation mit den Aufsichtsbehörden und bei der Abwehr von Bußgeldern.


Umgang mit der Geltendmachung der Rechte von betroffenen Personen

Aufwand und Risiko für Unternehmen durch die Betroffenenrechte

Die von der Verarbeitung ihrer personenbezogenen Daten betroffenen Personen haben in der DSGVO viele sogenannte Betroffenenrechte erhalten, die sie gegenüber dem Verantwortlichen für die Verarbeitung dieser Daten geltend machen können.

Standardfrist für die Beantwortung und Übermittlung der nachgefragten Informationen ist ein Monat ab Antragsstellung.

Reagiert ein Unternehmen nicht, falsch oder nicht in der vorgegebenen Zeit, so liegt darin bereits ein Verstoß gegen die DSGVO, weswegen die Betroffenen sich bei den Aufsichtsbehörden beschweren können. Bevor man also ein ständiges Bußgeldrisiko im Unternehmen eingeht, sollte man sich mit den Betroffenenrechten auseinandersetzen und sich auf die Beantwortung einrichten, auch organisatorisch und personell. Da die DSGVO nun seit dem 25. Mai 2018 gilt, gibt es auch keine "Ausreden" mehr, man sei auf die umfassende Beantwortung, die durchaus erheblichen Aufwand verursachen kann, nicht eingestellt. Dies gilt auch für die IT Systeme, die in der Lage sein müssen, die entsprechenden Informationen für die Erfüllung der Betroffenenrechte zu liefern und diese umzusetzen,

Betroffenenrechte sind zum Beispiel die nachfolgend genannten Rechte, wobei alle Rechte immer im Zusammenhang mit den Regelungen der ganzen DSGVO zu sehen sind, aus der sich bestimmte Voraussetzungen oder Einschränkungen ergeben können:

  • Das Recht auf Auskunft. Hier geht es um die Bestätigung, ob ein Unternehmen personenbezogene Daten des Betroffenen verarbeitet. Ist dies der Fall kann der Betroffene weitere Auskünfte verlangen, wie z.B.:  die Verarbeitungszwecke,  die Kategorien der personenbezogenen Daten, die verarbeitet werden, die Empfänger von personenbezogenen Daten, geplante Speicherdauer, Herkunft der Daten etc.
  • Das Recht, unverzüglich die Berichtigung oder die Vervollständigung die Person betreffender unrichtiger oder unvollständiger personenbezogenen Daten zu verlangen.
  • Das Recht, die Löschung der personenbezogenen Daten zu verlangen - unter bestimmten in der DSGVO geregelten Voraussetzungen.
  • Das Recht, die Einschränkung der Verarbeitung der personenbezogenen Daten zu verlangen.
  • Das Recht (Recht auf Datenübertragbarkeit), die die Person betreffenden personenbezogenen Daten, die bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten und diese Daten einem anderen Verantwortlichen ohne Behinderung zu übermitteln.
Bei jeder Geltendmachung von Betroffenenrechten ist im Einzelfall zu prüfen, auf welcher Rechtsgrundlage diese beruht und ob alle Anspruchsvoraussetzungen vorliegen, bzw. ob ggf. Ausnahmen vorliegen.

Leistungen: Unterstützung bei der Beantwortung von Betroffenenanfragen. Prüfung, ob Ausnahmen vorliegen, die sich auf die Art der Beantwortung auswirken oder dazu führen, dass eine Beantwortung nicht erforderlich ist.


Meldepflichten bei Verletzung des Schutzes personenbezogener Daten

Grundsätzlich nur 72 h

Grundsätzlich sind die Verantwortlichen verpflichtet, Vorfälle, bei denen der Schutz personenbezogener Daten verletzt wird, unverzüglich und binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden, nachdem Ihnen die Verletzung bekannt wurde (vgl. Art 33 DSGVO).

Das kann zum Beispiel ein Vorfall sein, bei dem Daten durch einen Hacking Angriff kopiert werden oder verloren gehen. Auch ein verlorener USB Stick kann solch ein Vorfall sein.

Es ist deshalb wichtig, dass sich Unternehmen auf den Umgang mit solchen Datenpannen vorbereiten und die technischen und organisatorischen Vorbereitungen treffen, damit sie DSGVO-konform auf Vorfälle reagieren können. Denn schon das Nichteinhalten der Fristen und Nichterfüllen der weiteren in der DSGVO an die Meldung festgelegten Anforderungen kann einen gesonderten Verstoß gegen die DSGVO darstellen, der ein Bußgeld nach sich zieht.

Den Verantwortlichen treffen in Bezug auf die  Verletzungsvorfälle einschließlich aller im Zusammenhang stehenden Fakten sowie die Auswirkungen und die ergriffenen Abhilfemaßnahmen umfangreiche Dokumentationspflichten. Auch darauf sollte man als Unternehmen vorbereitet sein und dies auch nachweisen können.

Nach einem Verletzungsvorfall kann der Verantwortliche verpflichtet sein, die betroffenen Personen umfangreich zu benachrichtigen. Ob und wie dies zu erfolgen hat, hängt unter anderem vom Risiko ab, das sich aus dem verletzungsvorfall für die Betroffenen ergibt. Hier ist immer eine Einzelfallprüfung erforderlich.

Leistungen: Unterstützung bei der Erfüllung der Meldepflichten aus der DSGVO und bei der Benachrichtigung der Betroffenen, Unterstützung beim organisatorischen Umgang und der Dokumentation mit Verletzungsvorfällen z.B. durch Entwürfe von Leitlinien für das Unternehmen.


Verpflichtung der Beschäftigten auf die DSGVO

Verpflichtung zur Vertraulichkeit

Ein Punkt, der gerne vergessen wird, ist die Verpflichtung der Beschäftigten zur Vertraulichkeit und zur Wahrung von Geschäftsgeheimnissen.

Art. 5 im Verbindung mit Art. 32 Abs. (4) DSGVO schreiben vor, dass der Verantwortliche und der Auftragsverarbeiter  Schritte unternehmen müssen, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten. Dies wird durch Art. 29 DSGVO ergänzt, wonach ein Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat,  diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten dürfen. Für die Auftragsverarbeitung gibt  Art. 28 Abs. (3) DSGVO weiter vor, dass der Auftragsverarbeiter gewährleisten muss, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben.

Das Nichtverpflichten der Mitarbeiter, die Zugang zu personenbezogenen Daten haben ist ein Verstoß gegen die DSGVO, der Bußgelder nach sich ziehen kann. Diese Pflicht trifft Sie auch als Auftragsverarbeiter. Unternehmen sollten daher unbedingt eine solche schriftliche Verpflichtung durchführen und dies auch dokumentieren.

Es bietet sich an, in die Verpflichtungserklärung zur DSGVO auch eine Verpflichtung zur Wahrung von Geschäftsgeheimnissen aufzunehmen und damit eine eine Geheimhaltungsmaßnahme im Sinne des Gesetzes zum Schutz von Geschäftsgeheimnissen zu treffen.

Leistungen: Erstellen bzw. Entwerfen einer Verpflichtungserklärung zur Einhaltung des Datenschutzes und zur Wahrung von Geschäftsgeheimnissen für Ihre Beschäftigten, die in Kopie nach Unterschrift zur Personalakte genommen werden kann.

Schulungen
zum Datenschutz

Mittelbare Pflicht zur Schulung

Die DSGVO sieht nicht direkt eine Schulungspflicht vor. Art 24 (1) DSGVO verpflichtet jedoch die Verantwortlichen, alle Maßnahmen zu treffen, um die Umsetzung der DSGVO zu gewährleisten. Gleiches ergibt sich aus Art 28 DSGVO für Auftragsverarbeiter.

Teil dieser Maßnahmen ist, die Beschäftigten und Mitarbeiter in Sachen DSGVO aufzuklären und Ihnen mitzuteilen, was sie im Umgang mit personenbezogenen Daten tun dürfen und was nicht. Diese Pflicht zur Schulung wird als mittelbare Pflicht aus den Regelungen der DSGVO hergeleitet.

Die DSGVO macht zum Umfang von Schulungen keine Aussagen. Auf der Grundlage des Risikobasierten Ansatzes der DSGVO liegt es in der Entscheidung des Verantwortlichen - also z.B. des personenbezogene Daten verarbeitenden Unternehmens - festzulegen, welche Schulungsmaßnahmen angesichts der konkreten Verarbeitungstätigkeiten, des Schutzbedarfs der betroffenen Daten und des Risikos der Verarbeitung erforderlich sind (siehe TOMs).

Liegen keine besonderen Verarbeitungen und Risiken vor, könnte man z.B. einmal im Jahr eine Schulung der Beschäftigten durchführen. Dabei kann die Dauer begrenzt werden. Dies macht vor allem dann Sinn, wenn es Bereiche eines Unternehmens gibt, für die wegen der risikoreicheren Verarbeitungen ggf. eine gesonderte erfolgen soll. Es kann auch sinnvoll sein, Schulungen im Unternehmen Themenweise durchzuführen.

Eine jährliche Wiederholung der Schulung kann sicherstellen, dass auch neu eingestellte Beschäftigte die Schulung nicht erst nach langer Betriebszugehörigkeit erhalten. Für bereits geschulte Beschäftigte kann es auch ausreichen, die Schulung nur alle 2 Jahre abzuhalten.

Art 39 DSGVO, der die Aufgaben des internen oder externen Datenschutzbeauftragten festlegt, gibt in Abs. (1) lit. b) vor, dass dem Datenschutzbeauftragten die Überwachung der Einhaltung der DSGVO durch den Verantwortlichen obliegt, einschließlich der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenebezogener Daten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter. Nach dem Wortlaut führt der Datenschutzbeauftragte diese Schulungen also nicht selbst durch, sondern  überwacht diese. In der Praxis führen allerdings viele Datenschutzbeauftragte trotzdem selbst Schulungen durch - und müssen sich insoweit selbst kontrollieren...

Leistungen: Durchführung von Schulungen zum Datenschutz individuell und nach Absprache inklusive schriftlichem Schulungsmaterial.

Share by: