{"id":6860,"date":"2024-02-08T14:53:51","date_gmt":"2024-02-08T12:53:51","guid":{"rendered":"https:\/\/www.psw-consulting.de\/blog\/?p=6860"},"modified":"2024-02-08T14:53:51","modified_gmt":"2024-02-08T12:53:51","slug":"how-to-start-datenschutz-im-unternehmen-teil-2","status":"publish","type":"post","link":"https:\/\/www.psw-consulting.de\/blog\/how-to-start-datenschutz-im-unternehmen-teil-2\/","title":{"rendered":"How to start – Datenschutz im Unternehmen Teil 2"},"content":{"rendered":"

Nachdem wir Euch im letzten Beitrag die ersten 5 Punkte f\u00fcr den Datenschutzstart im Unternehmen vorgestellt haben, folgt jetzt der zweite Teil.<\/p>\n

Viel Spa\u00df beim Lesen!<\/p>\n

6. Verzeichnis der Verarbeitungst\u00e4tigkeiten (VVT) \u2013 Was muss dokumentiert werden?<\/h2>\n

\"\"<\/p>\n

Was ist eigentlich das Verzeichnis der Verarbeitungst\u00e4tigkeiten (VVT)<\/strong>? Warum muss \u00fcberhaupt etwas dokumentiert werden? Und welche Informationen geh\u00f6ren \u00fcberhaupt in das VVT? Keine Sorge, wir haben die Antworten f\u00fcr Euch!<\/p>\n

Das Verzeichnis der Verarbeitungst\u00e4tigkeiten (VVT) klingt erstmal nach einer sperrigen Angelegenheit. Doch was verbirgt sich eigentlich dahinter? Ganz einfach: Das VVT ist eine Auflistung aller Verarbeitungen von personenbezogenen Daten<\/strong>, die in einem Unternehmen oder bei einer Organisation durchgef\u00fchrt werden. Klingt doch gar nicht so kompliziert, oder?<\/p>\n

6.1 Warum muss \u00fcberhaupt etwas dokumentiert werden?<\/h4>\n

Eine Frage, die sich so mancher stellt. Schlie\u00dflich kann das Erstellen von Dokumentationen zeitaufwendig<\/strong> und m\u00fchsam<\/strong> sein. Doch gerade im Kontext des Datenschutzes ist eine Dokumentation unerl\u00e4sslich<\/strong>. Denn nur derjenige, der wei\u00df, welche personenbezogenen Daten erhoben, verarbeitet und genutzt werden, kann auch sicherstellen, dass alle datenschutzrechtlichen Vorgaben eingehalten<\/strong> werden. Zudem dient eine umfassende Dokumentation als Nachweis gegen\u00fcber der Aufsichtsbeh\u00f6rde<\/strong> und erm\u00f6glicht im Falle einer Anfrage durch Betroffene eine schnelle Auskunftserteilung.<\/strong><\/p>\n

Das VVT dient nicht nur dazu, einen \u00dcberblick \u00fcber alle Datenverarbeitungsprozesse<\/strong> im Unternehmen zu erhalten, sondern auch um sicherzustellen, dass diese Prozesse den datenschutzrechtlichen Anforderungen<\/strong> entsprechen. Hierbei sollten insbesondere sensible Daten<\/strong> wie Gesundheitsdaten oder Informationen zu sexueller Orientierung besonders beachtet<\/strong> werden. Dar\u00fcber hinaus kann eine vollst\u00e4ndige Dokumentation im VVT auch dazu beitragen, m\u00f6gliche Datenschutzverletzungen fr\u00fchzeitig zu erkennen<\/strong> und entsprechende Ma\u00dfnahmen einzuleiten. Ein sorgf\u00e4ltig gef\u00fchrtes VVT ist ein wichtiger Baustein f\u00fcr den Datenschutz<\/strong> im Unternehmen und sollte daher immer auf dem neuesten Stand<\/strong> gehalten werden.<\/p>\n

Kurz gesagt: Ohne Dokumentation kein Datenschutz!<\/strong><\/p>\n

6.2 Welche Informationen geh\u00f6ren in das VVT?<\/h4>\n

Das Verzeichnis der Verarbeitungst\u00e4tigkeiten (VVT) ist f\u00fcr viele ein Buch mit sieben Siegeln<\/strong>. Keine Sorge, es muss nicht kompliziert sein! Die Einfachheit ist der Schl\u00fcssel. Um ein aussagekr\u00e4ftiges VVT zu erstellen, m\u00fcsst Ihr eine Liste aller Prozesse<\/strong> erstellen, bei denen personenbezogene Daten verarbeitet werden und mit entsprechenden Informationen f\u00fcllen.<\/p>\n

Dazu geh\u00f6ren zum Beispiel:<\/p>\n

    \n
  • Name und Kontaktdaten des Verantwortlichen<\/strong> und des Datenschutzbeauftragten<\/strong><\/li>\n
  • detaillierte Beschreibung<\/strong> der Verarbeitung<\/strong><\/li>\n
  • Zweck<\/strong> der Datenverarbeitung<\/strong><\/li>\n
  • Kategorien der<\/strong> betroffenen Personengruppen<\/strong> (z.B. Bewerber, Mitarbeiter oder Lieferanten<\/em>)<\/li>\n
  • Arten personenbezogener Daten<\/strong> (z.B. Personendaten, Bankdaten oder Adressdaten<\/em>)<\/li>\n
  • Kategorien von Empf\u00e4ngern, an die die Daten \u00fcbermittelt werden<\/strong> (intern oder extern, Drittlands\u00fcbermittlung<\/em>)<\/li>\n
  • der Zeitraum der Speicherung und m\u00f6gliche L\u00f6schfristen<\/strong><\/li>\n
  • Beschreibung der technischen und organisatorischen Ma\u00dfnahmen (TOMs)<\/strong> (wer hat Zugriff auf die Daten, Sicherheitsma\u00dfnahmen<\/em>)<\/li>\n
  • Optional\/freiwillig – Rechtsgrundlagen und Auftragsverarbeitungsvertrag<\/em><\/li>\n<\/ul>\n

    Je genauer diese Angaben im VVT festgehalten sind, desto leichter<\/strong> f\u00e4llt es sp\u00e4ter bei Datenschutzpr\u00fcfungen nachzuweisen, dass alle relevanten Aspekte ber\u00fccksichtigt wurden.<\/p>\n

    6.3 Auswirkungen bei fehlender oder unvollst\u00e4ndiger Dokumentation im VVT<\/h4>\n

    Was passiert, wenn man das VVT vernachl\u00e4ssigt oder unvollst\u00e4ndig dokumentiert? Nun ja, das kann teuer<\/strong> werden. Im wahrsten Sinne des Wortes. Denn bei fehlender oder unvollst\u00e4ndiger Dokumentation<\/strong> drohen empfindliche Bu\u00dfgelder<\/strong> und sogar Strafen. Auch die Reputation des Unternehmens kann darunter leiden. Vor allem dann, wenn es zu einem Datenschutzvorfall<\/strong> kommt und man nicht nachweisen kann, dass man alle notwendigen Ma\u00dfnahmen ergriffen hat, um diesen zu verhindern. Und mal ehrlich: Wer will schon als Unternehmen in der Presse stehen mit dem Titel „Datenschutzskandal – Firma XYZ vernachl\u00e4ssigt Verzeichnis der Verarbeitungst\u00e4tigkeiten\u201c?<\/em>\u00a0Also lieber vorsorgen und das VVT sorgf\u00e4ltig dokumentieren<\/strong>!<\/p>\n

    6.4 Tipps und Tricks zur Erstellung eines aussagekr\u00e4ftigen VVTs<\/h4>\n

    Hier kommen einige Tipps und Tricks:<\/p>\n

      \n
    • Fangt klein an:<\/strong> Nehmt Euch zuerst die wichtigsten Verarbeitungst\u00e4tigkeiten<\/strong> vor und arbeitet dann St\u00fcck f\u00fcr St\u00fcck weiter.<\/li>\n
    • Bleibt konkret:<\/strong> Schreibt nicht einfach nur \u201eKundendaten“. Beschreibt genau<\/strong>, welche Daten von Kunden erfasst werden.<\/li>\n
    • Seid pr\u00e4zise:<\/strong> Gebt an, wer Zugriff auf bestimmte Daten hat<\/strong> und wie lange sie gespeichert werden<\/strong>.<\/li>\n
    • Haltet es aktuell:<\/strong> Aktualisiert<\/strong> Euer VVT regelm\u00e4\u00dfig, um \u00c4nderungen in der Datenverarbeitung zeitnah<\/strong> einzubeziehen.<\/li>\n
    • Nutzt Vorlagen:<\/strong> Es gibt zahlreiche Vorlagen<\/strong> im Netz, die Euch bei der Erstellung Eures VVTs helfen k\u00f6nnen.<\/li>\n<\/ul>\n

      Wer diese Tipps beherzigt, wird schnell merken, dass die Erstellung eines aussagekr\u00e4ftigen VVTs gar nicht so kompliziert<\/strong> sein muss. Und wer das Dokument dann auch noch regelm\u00e4\u00dfig aktualisiert<\/strong> und pflegt<\/strong>, kann beruhigt schlafen \u2013 zumindest was den Datenschutz angeht.<\/p>\n

      7. Sicherheitsma\u00dfnahmen (TOMs) \u2013 Wie setzt man sie um?<\/h2>\n

      \"\"<\/p>\n

      Um die Sicherheit personenbezogener Daten<\/strong> gem\u00e4\u00df der DSGVO zu gew\u00e4hrleisten, m\u00fcssen Unternehmen technische und organisatorische Ma\u00dfnahmen (TOM)<\/strong> ergreifen. Diese Ma\u00dfnahmen dienen dazu, Datenpannen und Cyberangriffe zu verhindern<\/strong>. Sie sollten auf Anfrage der Datenschutzbeh\u00f6rden verf\u00fcgbar sein und regelm\u00e4\u00dfig \u00fcberpr\u00fcft werden.<\/p>\n

      TOMs beinhalten<\/p>\n

        \n
      • verschiedene Funktionen<\/strong><\/li>\n
      • Prozesse<\/strong><\/li>\n
      • Kontrollen<\/strong><\/li>\n
      • Systeme <\/strong><\/li>\n
      • Verfahren<\/strong><\/li>\n<\/ul>\n

        um personenbezogene Daten zu sch\u00fctzen. Euer Datenschutzbeauftragter kann Euch bei der Auswahl und Dokumentation der richtigen TOM helfen.<\/p>\n

        Die Ma\u00dfnahmen, die Ihr ergreifen solltet, h\u00e4ngen von der Gr\u00f6\u00dfe Eures Unternehmens und den durchgef\u00fchrten Verarbeitungst\u00e4tigkeiten ab.<\/p>\n

        Zu den m\u00f6glichen TOMs geh\u00f6ren<\/p>\n

          \n
        • Zutrittskontrolle<\/strong><\/li>\n
        • Zugangskontrolle<\/strong><\/li>\n
        • Zugriffskontrolle<\/strong><\/li>\n
        • Weitergabekontrolle<\/strong><\/li>\n
        • Eingabekontrolle<\/strong><\/li>\n
        • Auftragskontrolle<\/strong><\/li>\n
        • Verf\u00fcgbarkeitskontrolle <\/strong><\/li>\n
        • Trennungsgebot<\/strong><\/li>\n<\/ul>\n

          Bei der Auswahl der Ma\u00dfnahmen ist es wichtig, eine Risikoanalyse<\/strong> durchzuf\u00fchren.<\/p>\n

          Auch die Datensicherheit<\/strong> ist ein wichtiger Aspekt neben dem Datenschutz.<\/p>\n

          Es geht darum, Daten vor<\/p>\n

            \n
          • unbefugtem Zugriff<\/strong><\/li>\n
          • Verlust <\/strong><\/li>\n
          • Ver\u00e4nderung <\/strong><\/li>\n<\/ul>\n

            zu sch\u00fctzen. Artikel 32 der DSGVO<\/strong> fordert Unternehmen auf, angemessene<\/strong> technische und organisatorische Ma\u00dfnahmen zu ergreifen, um ein angemessenes Schutzniveau<\/strong> zu gew\u00e4hrleisten.<\/p>\n

            Bei der Auswahl der Ma\u00dfnahmen solltet Ihr den Stand der Technik, die Kosten, die Art und den Umfang der Verarbeitung sowie die Zwecke der Verarbeitung<\/strong> ber\u00fccksichtigen. Auch die Wahrscheinlichkeit<\/strong> und die Auswirkungen von Risiken f\u00fcr die Rechte und Freiheiten der betroffenen Personen<\/strong> sollten ber\u00fccksichtigt werden.<\/p>\n

            Es ist wichtig, die TOMs an die Risiken anzupassen<\/strong>, die mit der Verarbeitung personenbezogener Daten in Eurem Unternehmen einhergehen. Dadurch stellt Ihr sicher<\/strong>, dass ein angemessenes Schutzniveau gew\u00e4hrleistet ist.<\/p>\n

            8. Betroffenenrechte \u2013 Wie geht man mit Anfragen um?<\/h2>\n

            \"\"<\/p>\n

            8.1 Betroffenenanfrage erkennen<\/h4>\n

            Jeder<\/strong> kann eine Anfrage zum Datenschutz in formloser Art stellen, auch Personen, von denen Ihr m\u00f6glicherweise keine Daten<\/strong> verarbeitet. Die Anfrage kann telefonisch, m\u00fcndlich, pers\u00f6nlich, per E-Mail, per Fax, per Schreiben oder per Messenger erfolgen.<\/p>\n

            Es ist wichtig sicherzustellen, dass Ihr und Eure Mitarbeiter eine Betroffenenanfrage erkennt<\/strong>, unabh\u00e4ngig von der \u00dcbermittlung der Anfrage. Sobald eine solche Anfrage eingeht, wird sie an die Person weitergeleitet, die f\u00fcr den Datenschutz in Eurem Unternehmen zust\u00e4ndig ist.<\/p>\n

            Alle Mitarbeiter sollten dar\u00fcber informiert<\/strong> sein, dass die\u00a0unbefugte Auskunft eine Datenschutzverletzung darstellt. Sollte man also jemanden dar\u00fcber informieren<\/strong>, ob \u00fcberhaupt Daten vorhanden sind und diese Person nicht dazu berechtigt war, dann stellt dies eine Datenschutzverletzung dar. Das Gleiche gilt \u00fcbrigens auch f\u00fcr die Auskunft, ob jemand einen Termin bei einer medizinischen oder therapeutischen Einrichtung hat.<\/p>\n

            8.2 Anfragetyp<\/h4>\n

            Die Folgen einer Anfrage h\u00e4ngen vom konkreten Anfragetyp<\/strong> ab:<\/p>\n

              \n
            1. Recht auf Auskunft <\/strong>(Art. 15 DSGVO)<\/em>:<\/strong> Die betroffene Person hat das Recht, bestimmte Informationen \u00fcber ihre personenbezogenen Daten zu erhalten, wie z.B. Zweck der Datenverarbeitung, Kategorien der verarbeiteten Daten, Empf\u00e4nger der Daten und Speicherdauer.<\/li>\n
            2. Recht auf Datenberichtigung <\/strong>(Art. 16 DSGVO)<\/em>:<\/strong> Die betroffene Person kann unrichtige oder unvollst\u00e4ndige Daten korrigieren lassen.<\/li>\n
            3. Recht auf L\u00f6schung <\/strong>(Art. 17 DSGVO)<\/em>:<\/strong> Die betroffenen Daten m\u00fcssen gel\u00f6scht werden. In einigen F\u00e4llen kann auch eine Anonymisierung ausreichen.<\/li>\n
            4. Recht auf Vergessenwerden<\/strong> (Art. 17 Abs. 2 DSGVO)<\/em>: Wenn personenbezogene Daten \u00f6ffentlich gemacht wurden und die betroffene Person ihre L\u00f6schung verlangt, m\u00fcssen auch andere Verantwortliche, die diese Daten erhalten haben, dar\u00fcber informiert werden.<\/li>\n
            5. Recht auf Einschr\u00e4nkung der Verarbeitung <\/strong>(Art. 18 DSGVO)<\/em>:<\/strong> Die verantwortliche Stelle muss sicherstellen, dass personenbezogene Daten vor\u00fcbergehend nicht weiterverarbeitet werden.<\/li>\n
            6. Recht auf Daten\u00fcbertragbarkeit <\/strong>(Art. 20 DSGVO)<\/em>:<\/strong> Die betroffene Person hat das Recht, ihre Daten in einem strukturierten und maschinenlesbaren Format zu erhalten und sie gegebenenfalls direkt an einen anderen Verantwortlichen zu \u00fcbermitteln.<\/li>\n
            7. Recht auf Widerspruch <\/strong>(Art. 21 DSGVO)<\/em>:<\/strong> Die betroffene Person kann der zuk\u00fcnftigen Verarbeitung ihrer Daten widersprechen, insbesondere bei Verarbeitungen aufgrund \u00f6ffentlichen oder berechtigten Interesses. Einwilligungen k\u00f6nnen ebenfalls widerrufen werden.<\/li>\n
            8. Recht auf Schadensersatz<\/strong> (Art. 82 DSGVO)<\/em>: Bei Verletzung der DSGVO-Vorschriften hat die betroffene Person Anspruch auf Ersatz immaterieller Sch\u00e4den.<\/li>\n<\/ol>\n

              Die DSGVO gew\u00e4hrt betroffenen Personen somit verschiedene Rechte<\/strong>, um ihre pers\u00f6nlichen Daten zu kontrollieren und zu sch\u00fctzen.<\/p>\n

              8.3 Wie solltet Ihr vorgehen, wenn jemand eine Anfrage stellt?<\/h4>\n

              Hier ist ein guter Plan:<\/p>\n

                \n
              • Ihr leitet<\/strong> die Anfrage an Euren Datenschutzbeauftragten weiter.<\/li>\n<\/ul>\n
                  \n
                • Ihr notiert<\/strong> den Zeitpunkt der Anfrage, um die Frist einhalten zu k\u00f6nnen.<\/li>\n<\/ul>\n
                    \n
                  • Ihr schickt<\/strong> eine Best\u00e4tigung an die Person, die die Anfrage gestellt hat.<\/li>\n<\/ul>\n
                      \n
                    • Ihr sucht<\/strong> nach den Daten der betroffenen Person in Euren Aufzeichnungen.<\/li>\n<\/ul>\n
                        \n
                      • Euer Datenschutzbeauftragte identifiziert<\/strong> die betroffene Person anhand der gefundenen Daten.<\/li>\n<\/ul>\n
                          \n
                        • Euer Datenschutzbeauftragte schickt<\/strong> eine Antwort an die betroffene Person.<\/li>\n<\/ul>\n
                            \n
                          • Euer Datenschutzbeauftragte dokumentiert<\/strong> den gesamten Vorgang.<\/li>\n<\/ul>\n

                            Der vierte Schritt kann manchmal schwierig sein, da Ihr die Daten \u00fcber die betroffene Person erst finden m\u00fcsst. Deshalb ist es hilfreich, ein gut organisiertes Verzeichnis<\/strong> \u00fcber Eure Datenverarbeitung (siehe Punkt 6<\/em>) zu haben.<\/p>\n

                            Es ist wichtig, bestimmte Fristen einzuhalten, wenn es um die Betroffenenrechte geht. Wenn diese Fristen nicht eingehalten werden, k\u00f6nnen schwerwiegende Strafen<\/strong> drohen. Ihr m\u00fcsst die Informationen unverz\u00fcglich, aber sp\u00e4testens innerhalb eines Monats<\/strong> nach Eingang des Antrages zur Verf\u00fcgung stellen.<\/p>\n

                            Ihr m\u00fcsst nur \u00fcber das Recht zur Beschwerde bei einer Aufsichtsbeh\u00f6rde<\/strong> informieren. Wenn es um die Aus\u00fcbung anderer Rechte geht, m\u00fcsst Ihr selbst aktiv<\/strong> werden.<\/p>\n

                            9. Sensibilisierung Eures Teams \u2013 Weshalb ist das wichtig?<\/h2>\n

                            \"\"<\/p>\n

                            Damit das Datenschutzgesetz eingehalten wird, ist es wichtig, dass alle Mitarbeiter sensibilisiert<\/strong> werden. Sie haben regelm\u00e4\u00dfig Kontakt mit personenbezogenen Daten und m\u00fcssen daher wissen, welche Datenschutzregeln<\/strong> sie beachten m\u00fcssen. Eine Datenschutzschulung ist nicht nur gut f\u00fcr das Unternehmen selbst, sondern hilft auch dabei, Datenpannen<\/strong> und unerlaubte Datenverarbeitung zu vermeiden<\/strong>. Durch geeignete Schulungen k\u00f6nnen Unternehmen auch Strafen vermeiden<\/strong>. Aber worauf genau sollten die Mitarbeiter geschult werden und welche Art von Schulung ist sinnvoll<\/strong>? Gibt es eine gesetzliche Verpflichtung<\/strong> zur Datenschutzschulung?<\/p>\n

                            9.1 Keine Pflicht, aber \u2026<\/h4>\n

                            Die DSGVO selbst nennt keine direkte Pflicht<\/strong> zur Schulung. Allerdings fordert die DSGVO indirekt<\/strong>, dass die Mitarbeiter sensibilisiert werden, um zu beweisen, dass sie die Datenschutzregeln einhalten.<\/p>\n

                            Laut Art. 5 Abs. 2 der DSGVO<\/strong> m\u00fcssen Unternehmen allgemein nachweisen<\/strong> k\u00f6nnen, dass sie das Datenschutzrecht einhalten. Durch Schulungen stellen Unternehmen sicher, dass die internen Datenschutzregeln kommuniziert und umgesetzt<\/strong> werden.<\/p>\n

                            Ein weiterer wichtiger Punkt ist die Verpflichtung zur Einhaltung technischer und organisatorischer Ma\u00dfnahmen (TOMs) gem\u00e4\u00df Art. 32 der DSGVO<\/strong>. Mitarbeiter m\u00fcssen \u00fcber diese Ma\u00dfnahmen informiert<\/strong> und dazu verpflichtet<\/strong> werden, um ein angemessenes Schutzniveau<\/strong> zu gew\u00e4hrleisten. Das gilt insbesondere f\u00fcr Auftragsverarbeiter, die sicherstellen m\u00fcssen, dass Personen, die Zugang zu personenbezogenen Daten haben, verpflichtet sind, vertraulich damit umzugehen. Eine schriftliche Verpflichtung allein reicht nicht aus<\/strong>, es wird auch eine Schulung der Mitarbeiter gefordert.<\/p>\n

                            9.2 Schulung ist das A und O<\/h4>\n

                            Es gibt verschiedene M\u00f6glichkeiten, Mitarbeiter optimal zu schulen. Neben Pr\u00e4senzschulungen setzen Unternehmen zunehmend auf flexible Online-Schulungen, um eine umfassende Sensibilisierung zu erreichen.<\/span><\/p>\n

                            Beide L\u00f6sungen haben ihre Vorteile:<\/strong><\/span><\/p>\n