Veröffentlicht von:

Rechtsanwältin Maha Zelzili

Welche Datenschutzpflichten bestehen für Unternehmen?

14.05.2020
4 Minuten Lesezeit

I. Verpflichtung und mögliche Konsequenzen

In der heutigen Zeit erfolgt die Verarbeitung von personenbezogenen Daten in nahezu jedem Unternehmen, so dass die DSGVO fast immer einschlägig ist. Auch Freiberufler (Ärzte, Ziviltechniker, Architekten, Steuerberater, etc.) und ihre Praxen und Kanzleien sind betroffen.

Zum einen sieht die Verordnung im Sinne einer Generalprävention sehr hohe Strafen vor, zum anderen hat jeder Betroffene die Möglichkeit, vom Unternehmen Schadensersatz zu begehren. Aus diesen Gründen ist es unerlässlich, die rechtlichen Anforderungen von Datenverarbeitungsprozessen zu verstehen und diese konkret umzusetzen. Einen Überblick über die notwendigen Maßnahmen soll dieser Beitrag gewähren.

II. Personenbezogene Daten und Datenverarbeitung

Wichtig zu verstehen ist zunächst, was mit personenbezogenen Daten und Datenverarbeitung gemeint ist.

An dieser Stelle ist die gesetzliche Situation klar und liefert in Art. 4 Nr. 1, 2 DSGVO eine eindeutig formulierte Definition: „Personenbezogene Daten“ sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Damit sind Daten wie Namen, E-Mail-Adressen und Geburtsdaten personenbezogene Daten. Aber auch Online-Kennungen wie IP-Adressen, Cookies oder Standortdaten sind Daten, die eine Person identifizierbar machen und folglich als personenbezogene Daten einzuordnen sind.

Datenverarbeitung ist jede Handhabung der Daten, also die Erhebung, die Erfassung, die Speicherung, Organisation, Verwendung, Abfrage, Übermittlung, etc., bis hin zum Löschen der Daten.

III. Pflichten im Einzelnen

1. Informationen zur Datenverarbeitung

Ein wichtiges Ziel der DSGVO ist die Transparenz der Datenverarbeitung. Dies wird unter anderem durch die dem Verantwortlichen obliegenden Informationspflichten erreicht, welche in Art. 12–14 DSGVO niedergelegt sind.

Die Verarbeitung von Daten ist nur zulässig, wenn die jeweilige Person in die Verarbeitung eingewilligt hat, die Verarbeitung für die Erfüllung eines Vertragsverhältnisses oder einer rechtlichen Verpflichtung erforderlich ist. Dabei müssen Daten für begründete Zwecke erhoben werden. Eine Speicherung ist nur so lange gestattet, wie sie für die Zwecke der Datenverarbeitung erforderlich ist.

Informationspflichten gegenüber Betroffenen (z.B. Auskunft über gespeicherte Daten) und Umsetzung von Betroffenenrechten (Recht auf Datenberichtigung, Recht auf Löschung, Widerspruchsrecht, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit) müssen eingehalten werden.

2. Technischer Datenschutz

Zum einen sind Verantwortliche gemäß Art. 25 DSGVO dazu aufgefordert, datenschutzfreundliche Techniken einzusetzen („Data Protection by Design“) sowie Produkte oder Dienstleistungen mit datenschutzfreundlichen Voreinstellungen anzubieten („Data Protection by Default“). Vereinfacht ausgedrückt bedeutet Privacy by Design, dass die Technologie von vornherein so gestaltet sein muss, dass sie unter Beachtung der Grundsätze des Schutzes personenbezogener Daten operieren kann. Kann der Nutzer einer Anwendung zwischen mehreren Optionen wählen, ist im Rahmen des Verarbeitungszweckes diejenige voreinzustellen, welche die „datenschonendste“ ist (Privacy by Default).

Zum anderen macht Art. 32 DSGVO konkrete Vorgaben, welche technischen und organisatorischen Maßnahmen bei der Speicherung und Verarbeitung von personenbezogenen Daten gewährleistet werden müssen. Danach müssen Verantwortliche eine ordentliche und sichere Verarbeitung von personenbezogenen Daten im Unternehmen sicherstellen können. Personenbezogene Daten müssen auch vor dem unbefugten Zugriff Dritter ebenso wie vor unbefugter Veränderung oder Löschung geschützt werden.

3. Das Verzeichnis von Verarbeitungstätigkeiten

Gemäß Art. 30 DSGVO hat jeder Verantwortliche ein „Verzeichnis von Verarbeitungstätigkeiten“ zu erstellen. Der gesetzlich erforderliche Inhalt ergibt sich dabei aus Art. 30 Abs. 1 DSGVO.

Je strukturierter und systematischer ein Unternehmen das Verzeichnis führt, desto leichter fällt es, die sonstigen Anforderungen der DSGVO zu erfüllen.

4. Zusammenarbeit mit „Dritten“

Wichtig ist im Rahmen der Zusammenarbeit mit „Dritten“ zu klären, ob es sich um ein Auftragsverhältnis i.S.v. Art. 28 DSGVO, eine gemeinsame Verarbeitung i.S.v. Art. 26 DSGVO oder um eine Übermittlung zwischen zwei Verantwortlichen handelt, die die Daten jeweils zu eigenen Zwecken oder Mitteln verarbeiten. In diesen Fällen sind nach Art. 28 bzw. Art. 26 DSGVO die dort vorgesehenen Verträge abzuschließen.

5. Datenschutzfolgeabschätzung

Darüber hinaus ist eine Datenschutzfolgeabschätzung notwendig, wenn eine durchgeführte Risikoanalyse ergibt, dass die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen bedingt. Die Notwendigkeit für eine Datenschutzfolgeabschätzung ergibt sich vor allem bei der Verwendung neuer Technologien (EDV).

6. Meldungen an die Datenschutzbehörde

Bei einer Datenschutzverletzungen (z.B. Datendiebstahl, Verlust von Laptops, auf denen Kundendaten hinterlegt sind, etc.) besteht eine Meldepflicht an die Datenschutzbehörde und an Betroffene binnen 72 Stunden, Art. 33, 34 DSGVO.

7. Zusammenarbeit mit der Datenschutzbehörde

Das Unternehmen, das die aufgezeigten Maßnahmen befolgt und umgesetzt hat, wird empfohlen, es in einem Datenschutzmanagement-Handbuch zu dokumentieren. Schließlich ist jedes Unternehmen aufgrund seiner Rechenschaftspflichten nach Art. 5 Abs. 2 DSGVO dazu verpflichtet, alle Bemühungen auf dem Bereich des Datenschutzes zu dokumentieren und gegebenenfalls der Aufsichtsbehörde auf Anfrage Rechenschaft abzulegen.

Sehr gerne beantwortet Frau Zelzili Ihre Fragen zu diesem Themenbereich und unterstützt Sie bei der Umsetzung der Anforderungen.

Rechtstipp aus den Rechtsgebieten

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwältin Maha Zelzili

Veröffentlicht von:

Rechtsanwältin Maha Zelzili

Datenschutzrecht • IT-Recht

Arbeitsrecht • Arzthaftungsrecht • Medizinrecht • Allgemeines Vertragsrecht • Handelsrecht & Gesellschaftsrecht

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwältin Maha Zelzili

Ihre Möglichkeiten bei einem vermuteten Behandlungsfehler

Wenn Sie vermuten, dass dem behandelnden Arzt ein Behandlungsfehler unterlaufen ist und Sie aufgrund des eingetretenen gesundheitlichen Schadens die Geltendmachung von Schadensersatz- und ... Weiterlesen
Wie reagiere ich richtig auf die Kündigung des Arbeitgebers?

Soweit Arbeitnehmer eine Kündigung vom Arbeitgeber erhalten, sollte diese in der Regel nicht anstandslos angenommen und die Ausgangslage akzeptiert werden. In vielen Fällen ist es möglich, zu ... Weiterlesen
Ist die anteilige Kürzung vom Jahresurlaub rechtmäßig?

In seiner Entscheidung vom 30.11.2021 hat das Bundesarbeitsgericht (Az. 9 AZR 225/21) entschieden, dass Arbeitnehmer, die in Kurzarbeit Null waren, mit der anteiligen Kürzung ihres Jahresurlaubs ... Weiterlesen

Alle Rechtstipps von Rechtsanwältin Maha Zelzili

Weitere

Beiträge zum Thema

Viren und andere Malware: Was müssen Unternehmen beachten?

27.02.2024

Im Internet lauern viele Gefahren – auch durch Betrüger, die mit Viren, Trojanern und Co. vor allem eines ... Weiterlesen
Verarbeitungsverzeichnis, ADV, TOM, DSGVO usw. – Welche Datenschutztexte/-maßnahmen für Unternehmen unerlässlich sind!

04.08.2021

Jedes Unternehmen, das personenbezogene Daten in irgendeiner Form verarbeitet – also letztlich jedes Unternehmen ... Weiterlesen
Unerwünschte Werbung von Unternehmen

11.08.2015

Woher haben die meine Daten? Haben Sie sich diese Frage nicht auch schon öfter gestellt, wenn Sie letztlich ... Weiterlesen

Weitere

Ihre Spezialisten

Rechtsanwalt Hamburg

Rechtsanwalt IT-Recht

Rechtsanwalt Hamburg IT-Recht