Worum geht es beim Datenschutz ?

Datenschutz ist ein übergreifendes Thema für Ihre gesamte Geschäftstätigkeit.    
Ist der Datenschutz gut organisiert und auf allen Feldern umgesetzt, unterstützt er alle Prozesse.

Datenschutz ist gesetzlich vorgeschrieben. Als Geschäftsführender oder  Vorstandsmitglied sind Sie Verantwortlicher i.S. der Datenschutzgrundverordnung.  Sie müssen die verschiedenen Vorschriften zum Schutz personenbezogener Daten kennen und diese umsetzen, sonst drohen Bußgelder. Der Datenschutz steht an erster Stelle gegenüber Ihren Kunden, Ihren Beschäftigten, Mitgliedern, Geförderten und Geschäftspartner.

Als externe zertifizierte Datenschutzberaterin kann ich Ihnen bei der Umsetzung helfen, so dass Sie  nach den neusten Vorschriften datenschutzkonform  arbeiten.

Grundprinzipien des Datenschutzes

  • Gebot der Datenvermeidung, Datensparsamkeit und Transparenz
  • Verbot mit Erlaubnisvorbehalt: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist verboten, es sei denn, es ist durch Gesetze erlaubt, oder es gibt eine Einwilligung der Betroffenen. Erlaubende Gesetze finden sich u.a. in der DSGVO selbst. Danach ist z.B. die Nutzung personenbezogener Daten erlaubt, um einen Vertrag anzubahnen, durchzuführen und zu beenden.
  • Zweckbindungsgebot: Daten dürfen grundsätzlich nur zum Zweck verarbeitet werden, zu dem sie mit der Einwilligung oder Erlaubnis erhoben worden sind.
  • Zweckentfremdungsgebot: Eine unbefugte Änderung bzw. Erweiterung der Zweckbindung der erhobenen Daten stellt einen Eingriff in das Recht auf informelle Selbstbestimmung dar.Direkterhebung: Daten müssen grundsätzlich beim Betroffenen selbst erhoben werden, ansonsten muss eine Benachrichtigung darüber erfolgen woher die Daten stammen.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Um diese personenbezogenen Daten nach der Maßgabe des DSGVO schützen zu können, muss der Verantwortliche des Betriebes, der Stiftung oder dem Verein zunächst ermitteln, in welchen Umfang, Art und für welchen Zweck von  Kunden, Beschäftigten, Stipendiaten und Mitgliedern   Daten erhoben und verarbeitet werden. Besonders schutzbedürftig sind personenbezogene Daten, aus denen weitere Informationen wie der Name, Anschrift und Telefonnummer hervorgehen, z.B. die Herkunft, die politische Meinung, religiöse Überzeugung oder die Mitgliedschaft in einer Gewerkschaft.

Ein Datenschutzbeauftragter ist dann zu bestellen, wenn die Vorgaben nach Art.37 und Art 38 DSGVO  erfüllt sind.
 

Nach Art. 30 DSGVO ist der Verantwortliche verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen.  Mit weniger als 250 Mitarbeitern kann dies entfallen, wenn die Datenverarbeitung nur gelegentlich erfolgt. Die Erfassung und Verarbeitung von personenbezogenen Daten insbesondere auch von sensiblen Daten ist im Kundengeschäft eines Betriebes oder bei der Geschäftstätigkeit einer Stiftung zur Erfüllung des Zweckes oftmals der Regelfall, so dass das Anlegen von Verarbeitsverzeichnisse zwingend ist.

Liegt eine Einwilligung der betroffenen Personen vor? Ist die Verarbeitung aufgrund gesetzlicher Erlaubnis rechtmäßig? Nach Art.6 Abs.1 lit b-f) kann die Verarbeitung gerechtfertigt sein, wenn z.B. dies im Rahmen der Anbahnung und  Durchführung  eines Vertrages erfolgt.

Es bestehen verschärfte Informationspflichten gegenüber den betroffenen Dateninhabern, die am besten über eine Datenschutzerklärung geschehen. Wichtig ist, dass die Informationen über die Rechte der Betroffenen mit der Erhebung der Daten erfolgt.

 

Gemäß Art. 28 Abs. 3 DSGVO müssen die  Verantwortlichen in dem Fall, dass  personenbezogene Daten durch einen Dienstleister (z.B. Lohnbuchhaltung ) verarbeitet werden, einen Vertrag über die Auftragsverarbeitung abschließen.

  • Informationsrechte
  • Auskunfts- und Widerspruchsrecht
  • Recht auf Berichtigung, Löschung und Einschränkung
  • Recht auf Übertragbarkeit der Daten
  • Regelmäßige Schulung der Mitarbeiter 

Die Kontrolle und Überprüfung der Sicherheitsmaßnahmen (online/offline), um das Risiko von z.B. Datenverlusten und  unrechtmäßigen Gebrauch zu vermeiden.