Business coach man writes on the whiteboard the text: How to start. Creative idea and motivation
How to start – Datenschutz im Unternehmen Teil 2

How to start – Datenschutz im Unternehmen Teil 2

Nachdem wir Euch im letzten Beitrag die ersten 5 Punkte für den Datenschutzstart im Unternehmen vorgestellt haben, folgt jetzt der zweite Teil.

Viel Spaß beim Lesen!

6. Verzeichnis der Verarbeitungstätigkeiten (VVT) – Was muss dokumentiert werden?

Was ist eigentlich das Verzeichnis der Verarbeitungstätigkeiten (VVT)? Warum muss überhaupt etwas dokumentiert werden? Und welche Informationen gehören überhaupt in das VVT? Keine Sorge, wir haben die Antworten für Euch!

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) klingt erstmal nach einer sperrigen Angelegenheit. Doch was verbirgt sich eigentlich dahinter? Ganz einfach: Das VVT ist eine Auflistung aller Verarbeitungen von personenbezogenen Daten, die in einem Unternehmen oder bei einer Organisation durchgeführt werden. Klingt doch gar nicht so kompliziert, oder?

6.1 Warum muss überhaupt etwas dokumentiert werden?

Eine Frage, die sich so mancher stellt. Schließlich kann das Erstellen von Dokumentationen zeitaufwendig und mühsam sein. Doch gerade im Kontext des Datenschutzes ist eine Dokumentation unerlässlich. Denn nur derjenige, der weiß, welche personenbezogenen Daten erhoben, verarbeitet und genutzt werden, kann auch sicherstellen, dass alle datenschutzrechtlichen Vorgaben eingehalten werden. Zudem dient eine umfassende Dokumentation als Nachweis gegenüber der Aufsichtsbehörde und ermöglicht im Falle einer Anfrage durch Betroffene eine schnelle Auskunftserteilung.

Das VVT dient nicht nur dazu, einen Überblick über alle Datenverarbeitungsprozesse im Unternehmen zu erhalten, sondern auch um sicherzustellen, dass diese Prozesse den datenschutzrechtlichen Anforderungen entsprechen. Hierbei sollten insbesondere sensible Daten wie Gesundheitsdaten oder Informationen zu sexueller Orientierung besonders beachtet werden. Darüber hinaus kann eine vollständige Dokumentation im VVT auch dazu beitragen, mögliche Datenschutzverletzungen frühzeitig zu erkennen und entsprechende Maßnahmen einzuleiten. Ein sorgfältig geführtes VVT ist ein wichtiger Baustein für den Datenschutz im Unternehmen und sollte daher immer auf dem neuesten Stand gehalten werden.

Kurz gesagt: Ohne Dokumentation kein Datenschutz!

6.2 Welche Informationen gehören in das VVT?

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) ist für viele ein Buch mit sieben Siegeln. Keine Sorge, es muss nicht kompliziert sein! Die Einfachheit ist der Schlüssel. Um ein aussagekräftiges VVT zu erstellen, müsst Ihr eine Liste aller Prozesse erstellen, bei denen personenbezogene Daten verarbeitet werden und mit entsprechenden Informationen füllen.

Dazu gehören zum Beispiel:

  • Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
  • detaillierte Beschreibung der Verarbeitung
  • Zweck der Datenverarbeitung
  • Kategorien der betroffenen Personengruppen (z.B. Bewerber, Mitarbeiter oder Lieferanten)
  • Arten personenbezogener Daten (z.B. Personendaten, Bankdaten oder Adressdaten)
  • Kategorien von Empfängern, an die die Daten übermittelt werden (intern oder extern, Drittlandsübermittlung)
  • der Zeitraum der Speicherung und mögliche Löschfristen
  • Beschreibung der technischen und organisatorischen Maßnahmen (TOMs) (wer hat Zugriff auf die Daten, Sicherheitsmaßnahmen)
  • Optional/freiwillig – Rechtsgrundlagen und Auftragsverarbeitungsvertrag

Je genauer diese Angaben im VVT festgehalten sind, desto leichter fällt es später bei Datenschutzprüfungen nachzuweisen, dass alle relevanten Aspekte berücksichtigt wurden.

6.3 Auswirkungen bei fehlender oder unvollständiger Dokumentation im VVT

Was passiert, wenn man das VVT vernachlässigt oder unvollständig dokumentiert? Nun ja, das kann teuer werden. Im wahrsten Sinne des Wortes. Denn bei fehlender oder unvollständiger Dokumentation drohen empfindliche Bußgelder und sogar Strafen. Auch die Reputation des Unternehmens kann darunter leiden. Vor allem dann, wenn es zu einem Datenschutzvorfall kommt und man nicht nachweisen kann, dass man alle notwendigen Maßnahmen ergriffen hat, um diesen zu verhindern. Und mal ehrlich: Wer will schon als Unternehmen in der Presse stehen mit dem Titel „Datenschutzskandal – Firma XYZ vernachlässigt Verzeichnis der Verarbeitungstätigkeiten“? Also lieber vorsorgen und das VVT sorgfältig dokumentieren!

6.4 Tipps und Tricks zur Erstellung eines aussagekräftigen VVTs

Hier kommen einige Tipps und Tricks:

  • Fangt klein an: Nehmt Euch zuerst die wichtigsten Verarbeitungstätigkeiten vor und arbeitet dann Stück für Stück weiter.
  • Bleibt konkret: Schreibt nicht einfach nur „Kundendaten“. Beschreibt genau, welche Daten von Kunden erfasst werden.
  • Seid präzise: Gebt an, wer Zugriff auf bestimmte Daten hat und wie lange sie gespeichert werden.
  • Haltet es aktuell: Aktualisiert Euer VVT regelmäßig, um Änderungen in der Datenverarbeitung zeitnah einzubeziehen.
  • Nutzt Vorlagen: Es gibt zahlreiche Vorlagen im Netz, die Euch bei der Erstellung Eures VVTs helfen können.

Wer diese Tipps beherzigt, wird schnell merken, dass die Erstellung eines aussagekräftigen VVTs gar nicht so kompliziert sein muss. Und wer das Dokument dann auch noch regelmäßig aktualisiert und pflegt, kann beruhigt schlafen – zumindest was den Datenschutz angeht.

7. Sicherheitsmaßnahmen (TOMs) – Wie setzt man sie um?

Um die Sicherheit personenbezogener Daten gemäß der DSGVO zu gewährleisten, müssen Unternehmen technische und organisatorische Maßnahmen (TOM) ergreifen. Diese Maßnahmen dienen dazu, Datenpannen und Cyberangriffe zu verhindern. Sie sollten auf Anfrage der Datenschutzbehörden verfügbar sein und regelmäßig überprüft werden.

TOMs beinhalten

  • verschiedene Funktionen
  • Prozesse
  • Kontrollen
  • Systeme
  • Verfahren

um personenbezogene Daten zu schützen. Euer Datenschutzbeauftragter kann Euch bei der Auswahl und Dokumentation der richtigen TOM helfen.

Die Maßnahmen, die Ihr ergreifen solltet, hängen von der Größe Eures Unternehmens und den durchgeführten Verarbeitungstätigkeiten ab.

Zu den möglichen TOMs gehören

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Trennungsgebot

Bei der Auswahl der Maßnahmen ist es wichtig, eine Risikoanalyse durchzuführen.

Auch die Datensicherheit ist ein wichtiger Aspekt neben dem Datenschutz.

Es geht darum, Daten vor

  • unbefugtem Zugriff
  • Verlust
  • Veränderung

zu schützen. Artikel 32 der DSGVO fordert Unternehmen auf, angemessene technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau zu gewährleisten.

Bei der Auswahl der Maßnahmen solltet Ihr den Stand der Technik, die Kosten, die Art und den Umfang der Verarbeitung sowie die Zwecke der Verarbeitung berücksichtigen. Auch die Wahrscheinlichkeit und die Auswirkungen von Risiken für die Rechte und Freiheiten der betroffenen Personen sollten berücksichtigt werden.

Es ist wichtig, die TOMs an die Risiken anzupassen, die mit der Verarbeitung personenbezogener Daten in Eurem Unternehmen einhergehen. Dadurch stellt Ihr sicher, dass ein angemessenes Schutzniveau gewährleistet ist.

8. Betroffenenrechte – Wie geht man mit Anfragen um?

8.1 Betroffenenanfrage erkennen

Jeder kann eine Anfrage zum Datenschutz in formloser Art stellen, auch Personen, von denen Ihr möglicherweise keine Daten verarbeitet. Die Anfrage kann telefonisch, mündlich, persönlich, per E-Mail, per Fax, per Schreiben oder per Messenger erfolgen.

Es ist wichtig sicherzustellen, dass Ihr und Eure Mitarbeiter eine Betroffenenanfrage erkennt, unabhängig von der Übermittlung der Anfrage. Sobald eine solche Anfrage eingeht, wird sie an die Person weitergeleitet, die für den Datenschutz in Eurem Unternehmen zuständig ist.

Alle Mitarbeiter sollten darüber informiert sein, dass die unbefugte Auskunft eine Datenschutzverletzung darstellt. Sollte man also jemanden darüber informieren, ob überhaupt Daten vorhanden sind und diese Person nicht dazu berechtigt war, dann stellt dies eine Datenschutzverletzung dar. Das Gleiche gilt übrigens auch für die Auskunft, ob jemand einen Termin bei einer medizinischen oder therapeutischen Einrichtung hat.

8.2 Anfragetyp

Die Folgen einer Anfrage hängen vom konkreten Anfragetyp ab:

  1. Recht auf Auskunft (Art. 15 DSGVO): Die betroffene Person hat das Recht, bestimmte Informationen über ihre personenbezogenen Daten zu erhalten, wie z.B. Zweck der Datenverarbeitung, Kategorien der verarbeiteten Daten, Empfänger der Daten und Speicherdauer.
  2. Recht auf Datenberichtigung (Art. 16 DSGVO): Die betroffene Person kann unrichtige oder unvollständige Daten korrigieren lassen.
  3. Recht auf Löschung (Art. 17 DSGVO): Die betroffenen Daten müssen gelöscht werden. In einigen Fällen kann auch eine Anonymisierung ausreichen.
  4. Recht auf Vergessenwerden (Art. 17 Abs. 2 DSGVO): Wenn personenbezogene Daten öffentlich gemacht wurden und die betroffene Person ihre Löschung verlangt, müssen auch andere Verantwortliche, die diese Daten erhalten haben, darüber informiert werden.
  5. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Die verantwortliche Stelle muss sicherstellen, dass personenbezogene Daten vorübergehend nicht weiterverarbeitet werden.
  6. Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Die betroffene Person hat das Recht, ihre Daten in einem strukturierten und maschinenlesbaren Format zu erhalten und sie gegebenenfalls direkt an einen anderen Verantwortlichen zu übermitteln.
  7. Recht auf Widerspruch (Art. 21 DSGVO): Die betroffene Person kann der zukünftigen Verarbeitung ihrer Daten widersprechen, insbesondere bei Verarbeitungen aufgrund öffentlichen oder berechtigten Interesses. Einwilligungen können ebenfalls widerrufen werden.
  8. Recht auf Schadensersatz (Art. 82 DSGVO): Bei Verletzung der DSGVO-Vorschriften hat die betroffene Person Anspruch auf Ersatz immaterieller Schäden.

Die DSGVO gewährt betroffenen Personen somit verschiedene Rechte, um ihre persönlichen Daten zu kontrollieren und zu schützen.

8.3 Wie solltet Ihr vorgehen, wenn jemand eine Anfrage stellt?

Hier ist ein guter Plan:

  • Ihr leitet die Anfrage an Euren Datenschutzbeauftragten weiter.
  • Ihr notiert den Zeitpunkt der Anfrage, um die Frist einhalten zu können.
  • Ihr schickt eine Bestätigung an die Person, die die Anfrage gestellt hat.
  • Ihr sucht nach den Daten der betroffenen Person in Euren Aufzeichnungen.
  • Euer Datenschutzbeauftragte identifiziert die betroffene Person anhand der gefundenen Daten.
  • Euer Datenschutzbeauftragte schickt eine Antwort an die betroffene Person.
  • Euer Datenschutzbeauftragte dokumentiert den gesamten Vorgang.

Der vierte Schritt kann manchmal schwierig sein, da Ihr die Daten über die betroffene Person erst finden müsst. Deshalb ist es hilfreich, ein gut organisiertes Verzeichnis über Eure Datenverarbeitung (siehe Punkt 6) zu haben.

Es ist wichtig, bestimmte Fristen einzuhalten, wenn es um die Betroffenenrechte geht. Wenn diese Fristen nicht eingehalten werden, können schwerwiegende Strafen drohen. Ihr müsst die Informationen unverzüglich, aber spätestens innerhalb eines Monats nach Eingang des Antrages zur Verfügung stellen.

Ihr müsst nur über das Recht zur Beschwerde bei einer Aufsichtsbehörde informieren. Wenn es um die Ausübung anderer Rechte geht, müsst Ihr selbst aktiv werden.

9. Sensibilisierung Eures Teams – Weshalb ist das wichtig?

Damit das Datenschutzgesetz eingehalten wird, ist es wichtig, dass alle Mitarbeiter sensibilisiert werden. Sie haben regelmäßig Kontakt mit personenbezogenen Daten und müssen daher wissen, welche Datenschutzregeln sie beachten müssen. Eine Datenschutzschulung ist nicht nur gut für das Unternehmen selbst, sondern hilft auch dabei, Datenpannen und unerlaubte Datenverarbeitung zu vermeiden. Durch geeignete Schulungen können Unternehmen auch Strafen vermeiden. Aber worauf genau sollten die Mitarbeiter geschult werden und welche Art von Schulung ist sinnvoll? Gibt es eine gesetzliche Verpflichtung zur Datenschutzschulung?

9.1 Keine Pflicht, aber …

Die DSGVO selbst nennt keine direkte Pflicht zur Schulung. Allerdings fordert die DSGVO indirekt, dass die Mitarbeiter sensibilisiert werden, um zu beweisen, dass sie die Datenschutzregeln einhalten.

Laut Art. 5 Abs. 2 der DSGVO müssen Unternehmen allgemein nachweisen können, dass sie das Datenschutzrecht einhalten. Durch Schulungen stellen Unternehmen sicher, dass die internen Datenschutzregeln kommuniziert und umgesetzt werden.

Ein weiterer wichtiger Punkt ist die Verpflichtung zur Einhaltung technischer und organisatorischer Maßnahmen (TOMs) gemäß Art. 32 der DSGVO. Mitarbeiter müssen über diese Maßnahmen informiert und dazu verpflichtet werden, um ein angemessenes Schutzniveau zu gewährleisten. Das gilt insbesondere für Auftragsverarbeiter, die sicherstellen müssen, dass Personen, die Zugang zu personenbezogenen Daten haben, verpflichtet sind, vertraulich damit umzugehen. Eine schriftliche Verpflichtung allein reicht nicht aus, es wird auch eine Schulung der Mitarbeiter gefordert.

9.2 Schulung ist das A und O

Es gibt verschiedene Möglichkeiten, Mitarbeiter optimal zu schulen. Neben Präsenzschulungen setzen Unternehmen zunehmend auf flexible Online-Schulungen, um eine umfassende Sensibilisierung zu erreichen.

Beide Lösungen haben ihre Vorteile:

  • Präsenzschulungen ermöglichen direkten Austausch und gezielte Fragen
  • Online-Schulungen können eine große Anzahl von Teilnehmern in kurzer Zeit erreichen

Eine Datenschutzschulung sollte den Mitarbeitern zunächst die Grundlagen des Datenschutzes vermitteln. Außerdem sollten konkrete Empfehlungen zum Umgang mit personenbezogenen Daten gegeben werden. Eine solche Schulung ist für alle Mitarbeiter relevant, die täglich mit Kundendaten oder persönlichen Informationen arbeiten. Die Schulung sollte den Mitarbeitern auch verdeutlichen, warum Datenschutz für das Unternehmen wichtig ist und wie sie zu einem höheren Datenschutzniveau beitragen können.

Neben einer Grundschulung sollten Unternehmen ihre Mitarbeiter auch zu speziellen Themen schulen. Besonders das Arbeiten im Home-Office birgt Risiken für die Datensicherheit, daher sollten gezielte Schulungen zum sicheren Arbeiten von zu Hause aus angeboten werden.

9.3 Je mehr, desto besser

Schulungen sollten regelmäßig stattfinden, um das erlernte Wissen zu vertiefen. Je nach Tätigkeitsbereich empfiehlt es sich, die Mitarbeiter alle ein bis zwei Jahre zu schulen, um sicherzustellen, dass ihr Wissen auf dem neuesten Stand ist. Es ist auch wichtig, dass die Mitarbeiter nach der Schulung einen Nachweis erhalten, zum Beispiel in Form eines Teilnahmezertifikats, um im Ernstfall belegen zu können, dass sie tatsächlich an der Schulung teilgenommen haben.

9.4 Wichtiger Bestandteil

Die Schulung der Mitarbeiter ist ein wichtiger Teil der Datenschutzcompliance. Obwohl es keine explizite gesetzliche Schulungspflicht gibt, gibt es verschiedene Bestimmungen in der DSGVO, die eine Sensibilisierung und Schulung indirekt fordern. Die Art der Schulung hängt von der Größe des Unternehmens und den vermittelten Inhalten ab.

10. Notfallplan bei Datenschutzverletzungen – Was tun, wenn etwas passiert?

Ein Notfallplan ist wichtig, da trotz aller Vorbereitungen Datenschutzverletzungen passieren können. Wenn so etwas passiert, müssen betroffene Personen sofort informiert werden und Maßnahmen ergriffen werden, um den Schaden zu begrenzen. Mitarbeiter sollten wissen, wie sie im Notfall handeln müssen. Ein Datenschutzbeauftragter kann bei der Umsetzung des Notfallplans und der Einhaltung der gesetzlichen Anforderungen helfen. Aber auch ohne Datenschutzbeauftragten sollten Unternehmen sich informieren und die relevanten Gesetze kennen. Durch sorgfältige Vorbereitung können Unternehmen schnell und richtig reagieren, um möglichen Schaden zu begrenzen.

Im Fall einer Datenschutzverletzung müsst Ihr diese innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde und ggf. auch bei der betroffenen Person melden (Art. 33, 34 DSGVO). Wann genau die Frist beginnt, wird von den Datenschutzbehörden unterschiedlich beurteilt. Es ist daher ratsam, Eure Mitarbeiter für diesen Fall zu sensibilisieren, damit die Frist eingehalten werden kann.

Es besteht die Pflicht, sich zu melden, wenn der Schutz der personenbezogenen Daten verletzt wurde.

Das kann zum Beispiel Folgendes sein:

  • unbefugte Offenlegung
  • Verlust
  • Änderung von personenbezogenen Daten

Es besteht jedoch keine Meldepflicht, wenn die Datenschutzverletzung voraussichtlich keine Risiken für die Rechte und Freiheiten der betroffenen Person mit sich bringt. In so einem Fall müsst Ihr selbst abschätzen, welche Auswirkungen die Datenschutzverletzung hat.

Die Meldung sollte enthalten:

  • Beschreibung der Datenschutzverletzung
  • Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle
  • Beschreibung der möglichen Folgen der Verletzung
  • Beschreibung der Maßnahmen, die Ihr zur Behebung der Datenschutzverletzung ergriffen habt

 

Fazit

Wie Ihr in Teil 1 und auch in diesem Beitrag vermutlich gemerkt habt, kommt es bei einem erfolgreichen Start mit Datenschatz in Eurem Unternehmen auf viele wichtige Faktoren an. Es ist einiges zu beachten, damit man vor möglichen Strafen geschützt ist. Wir hoffen, Euch hat auch dieser How to…Beitrag gefallen und wenn Ihr bei irgendetwas Hilfe braucht oder Fragen habt, dann kommt gerne auf uns zu!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert