Sind Sie auf Ballhöhe mit der aktuellen Gesetzeslage?
Der folgende Kurzcheck erlaubt einen groben Überblick über eventuelle Lücken im Datenschutz und entsprechenden Handlungsbedarf in Ihrem Unternehmen. Dies ist jetzt aktueller denn je: Ab Mai 2018 tritt anstelle des Bundesdatenschutzgesetzes (BDSG) die EU-Datenschutzgrundverordnung (DSGVO). Aus dieser EU-weiten Harmonisierung ergeben sich für viele Unternehmen neue rechtliche Rahmenbedingungen, die Sie am besten im Vorfeld klären sollten.
Wenn Sie eine oder mehrere der folgenden Fragen mit „Nein“ beantworten müssen, besteht für Ihr Unternehmen ein Bußgeldrisiko, das Risiko von Abmahnungen, oder Ihre Geschäftsprozesse sind nicht rechtssicher und dadurch anfechtbar.
Falls der Betroffene als Folge einer Missachtung der gesetzlichen Vorschriften eine Verletzung seines Persönlichkeitsrechts geltend macht, kann auch ein Schadensersatzanspruch entstehen.
Rahmenbedingungen im Unternehmen
- Ist in Ihrem Unternehmen gem. Art. 37 DSGVO ein Datenschutzbeauftragter bestellt?
Ihr Unternehmen muss einen Datenschutzbeauftragten bestellen, wenn im Rahmen Ihrer Geschäftstätigkeit eine umfangreiche regelmäßige, systematische Überwachung von betroffenen Personen stattfindet. Auch besteht eine Bestellpflicht, wenn besondere Kategorien von Daten oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet werden.
Unabhängig von dieser engen Bestellpflicht ist jedoch gem. § 38 BDSG-neu, wie bisher auch schon, ein Datenschutzbeauftragter zu bestellen, wenn mindestens zehn Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind oder Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung unterliegen oder Daten geschäftsmäßig zum Zweck der (anonymisierten) Übermittlung oder für Zwecke der Markt- oder Meinungsforschung vornehmen.
- Haben Sie alle Mitarbeiter, die mit personenbezogenen Daten zu tun haben, auf die Wahrung der Vertraulichkeit verpflichtet und im erforderlichen Maße im Datenschutz unterwiesen?
Ein förmlicher Verpflichtungsakt ist nicht mehr erforderlich, jedoch muss zum Beispiel in einer internen Richtlinie oder im Anstellungsvertrag eine Verpflichtung zur Wahrung der Vertraulichkeit ausgesprochen werden.
Die Erfüllung von Informationspflichten bei der Datenerhebung
- Ist gewährleistet, dass bei der Erhebung der Daten alle Informations- und Benachrichtigungspflichten gem. Art. 13 und 14 DSGVO erfüllt werden?
Hier ist beispielsweise die Erhebung, Verarbeitung und Nutzung, insbesondere über eine Nutzung der Daten für Zwecke der Werbung gemeint.
- Ist sichergestellt, dass die erforderlichen Einwilligungen eingeholt und nachweisbar dokumentiert werden?
Dies ist besonders wichtig, wenn bisher keine andere Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten vorhanden ist.
- Ist gewährleistet, dass bei Auskunftsverlangen der Betroffenen gem. Art. 15 DSGVO eine vollständige und richtige Auskunft über die gespeicherten Daten sowie deren Verarbeitung und Nutzung gegeben werden kann?
- Ist gewährleistet, dass bei einer Nutzung von personenbezogenen Kundendaten für Zwecke der Werbung bei der Erhebung der Daten alle Informationspflichten erfüllt werden?
Die Betroffenen müssen bei Werbemaßnahmen gem. Art. 21 Abs. 2 und 3 DSGVO über ihr Widerspruchsrecht gegen weitere Werbung unterrichtet werden. Werbewidersprüche gehören außerdem zuverlässig beachtet und bearbeitet.
- Ist sichergestellt, dass die notwendigen Einwilligungen für eine Nutzung der Kundendaten für Zwecke der Werbung eingeholt und die Einwilligungen nachweisbar dokumentiert werden, soweit nach den Vorschriften des UWG erforderlich?
Einhalten von rechtlichen Rahmenbedingungen
- Ist sichergestellt, dass bei einer Vergabe von Dienstleistungen zur Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten (Datenverarbeitung im Auftrag) die Vorschriften der Art. 28 und 29 DSGVO zur Prüfung der Auftragnehmer und zur Vertragsgestaltung eingehalten werden?
- Ist sichergestellt, dass bei der Datenverarbeitung die Grundsätze des Art. 5 Abs. 1 DSGVO beachtet werden?
Hier geht es um die Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.
- Ist sichergestellt, dass die Einhaltung dieser oben genannten Grundsätze gem. Art. 5 Abs. 2 DSGVO nachgewiesen werden kann (Rechenschaftspflicht)?
Diesen Fachbeitrag vollständig lesen?
Wir freuen uns über Ihr Interesse. Diese Themen und viele andere rund um den betrieblichen Datenschutz finden Sie in unserem Fachportal für Datenschutz und Datensicherheit.
Kostenlos 4 Wochen lang testen
Sie sind bereits Nutzer von Datenschutz und Datensicherheit?
Zu diesem Beitrag finden Sie in Ihrem Ratgeber „Praxishandbuch für den Datenschutzbeauftragten – DSGVO“ weitere Inhalte. Melden Sie sich hier an und lesen Sie alles zum Thema.
Hier bloggt die Redaktion Datenschutz & Datensicherheit des Verlags Mensch und Medien.
Datenschutz & Datensicherheit Das Fachinformationsportal
- Aktuelles Fachwissen
- Rechtssichere Entscheidungen
- Praktische Arbeitshilfen
- Übersichtliche Prozessdarstellungen
- Sofort einsetzbare Schulungen