Zum Inhalt springen
Startseite » Unser Blog » Datenschutz » Datenschutz DSGVO

Datenschutz DSGVO

Nachhaltigkeit SAQ 5.0

Bei Buchung von SAQ 5.0 Assessment Questionaire - erhalten Sie Rabatt auf unser Hinweisgebersystem

Datenschutz DSGVO Datenschutzbeauftragter
Datenschutz DSGVO Datenschutzbeauftragter

Wir unterstützten Sie bei der rechtswirksamen Umsetzung der Datenschutz DSGVO. In der Einhaltung der DSGVO sind viele kleine und mittelständische Unternehmen unvorbereitet. Die Beauftragung eines internen bzw. externen Datenschutzbeauftragten wurde nicht erkannt oder auf die lange Bank geschoben.

Seit dem 25. Mai 2018 mussten alle Betriebe in der mehr als 20 Mitarbeiter personenbezogene Daten verarbeiten, einen DSB beauftragen. Wir sind  bundesweit als Dienstleister für den Datenschutz unterwegs und unterstützten Sie beim Aufbau eines wirksamen Datenschutz Managements.

Ab dem 25. Mai 2018 gelten in allen Mitgliedstaaten der Europäischen Union neue Datenschutzregeln. Mit der Reform soll sichergestellt werden, dass in allen Mitgliedstaaten derselbe Datenschutzstandard besteht. Da in Deutschland bereits hohe Anforderungen an den Datenschutz gelten, führen die neuen Vorschriften zwar zu zahlreichen formellen Änderungen. Eine inhaltliche Verschärfung der Anforderungen geht mit der Reform jedoch insgesamt nicht einher.

Das Datenschutzrecht räumt Personen, deren Daten von Betrieben genutzt werden, zahlreiche Rechte ein. Mithilfe dieser Rechte soll erreicht werden, dass diese Betroffenen Einfluss auf den Umgang und die Verbreitung ihrer Daten haben. Für Betriebe, die Daten verarbeiten, bestehen kehrseitig gewisse Anforderungen an die Datennutzung. Wer Daten z.B. seiner Kunden und Geschäftspartner nutzen möchte, muss diese überwiegend formalen Anforderungen erfüllen.

Die Pflichten von Betrieben und die Rechte von Betroffenen sind in den Artikeln 12 bis 22 der Datenschutz-Grundverordnung (DSGVO) geregelt. Die Vorschriften werden durch die §§ 32 bis 37 des Bundesdatenschutzgesetzes (BDSG) ergänzt. Betriebe, die Daten nutzen, werden vom Gesetz als „Verantwortliche“ bezeichnet, weil sie die Datennutzung verantworten und für Datenpannen einstehen müssen.

TISAX und DSGVO

Der Automobil Standard TISAX setzt auf die Informationssicherheit der ISO/IEC 27001 auf und beinhaltet auch Teile der DSGVO bzgl. dem Schutz personenbezogener Daten.

Grundsätze der DSGVO​

Die Grundsätze der Datenschutzgrundverordnung DSGVO im Artikel 5. DSGVO gleichen im Kern denen der Bundesdatenschutzgesetz BDSG. Dennoch ergeben sich mit der DSGVO einige wichtige Änderungen, sowohl für Unternehmen als auch für Privatpersonen, die es zu beachten gilt. Die Unternehmen sollten umgehend die Forderungen im Betrieb umsetzen, ansonsten können gegen Verstöße hohe Bußgelder drohen. Siehe auch zur Informationen zur Informationssicherheit ISO 27001.

Auch Kleinunternehmer müssen die Anforderungen der Datenschutzgrundverordnung beachten. Eine Datenverarbeitung zur Ausübung persönlicher oder familiärer Tätigkeiten fallen nicht unter der DSGVO. Auch der Online Handel, beispielsweise Ebay, Online-Shops müssen sich an die Regelungen halten.

Wesentliche Neuerungen​

Im wesentlichen regelt die DSGVO die Rechte von Betroffenen und die Pflichten der Verantwortlichen. Die Rechte von betroffenen sind im Artikel 12 – 23 formuliert. Unternehmen sind verpflichtet, betroffene umfassend über die personenbezogenen Daten, die zu Verarbeitungszwecken gespeichert und verarbeitet werden zu informieren.

Jeder Mitarbeiter im Unternehmen hat ein Auskunftsrecht. Auch das Recht auf Datenübertragbarkeit ist im Artikel 20 geregelt. Hier geht es primär darum gewissen Daten, beispielsweise in Sozial Media Bereich mitzunehmen, wenn der Anbieter gewechselt wird, ohne dabei Daten zu verlieren. Auch das Recht auf Löschung (Recht auf Vergessenwerden) ist in der DSGVO Artikel 17 geregelt.

Auskunftsrecht (Art. 15 DSGVO)​

Betroffene haben das Recht, vom datenverarbeitenden Betrieb eine Bestätigung zu verlangen, ob über sie personenbezogene Daten gespeichert sind und verarbeitet werden. Ist das der Fall, hat der Betrieb Auskunft über diese Daten, deren Herkunft sowie weitere Informationen zu erteilen. In der Praxis werden solche Auskunftsanfragen i.d.R. von Kunden auf Betriebe zukommen.

Kosten für Datenschutz und QM System
Kosten für Datenschutz und QM System

Alt-Datenbestände​

Auch alte Datenbestände, sogenannte Alt-Bestände die vor dem 25. Mai 2018 erhoben wurden, fallen unter die Anforderungen der Datenschutzgrundverordnung. Wurden die Daten vor diesem Datum rechtmäßig erhoben und verarbeitet ergeben sich keine großen Änderungen.

Diese wurden vorher im Bundesdatenschutzgesetz BDSG geregelt, dass vielfach mit der DSGVO übereinstimmt. Um diesen hohen Datenschutz Standard zu gewährleisten, hat die EU als Gesetzgeber die Bußgelder bei Zuwiderhandlung erheblich erhöht. Dieser kann unterumständen bis zu 4% des Umsatzes ausfallen.

Datenschutz Beauftragter​

In ihren Unternehmen sind mehr als 20 Mitarbeiter mit der Verarbeitung von personenbezogenen Daten beschäftigt? Wenn sie diese Frage mit JA beantworten, ist die Beauftragung eines internen oder externen Datenschutz beauftragten notwendig.

Wir unterstützen Sie beim Aufbau eines Datenschutz Management System. Die Anforderungen an den betrieblichen Datenschutzbeauftragten ergeben sich aus den Artikeln 37 bis 39 der Europäischen Datenschutz- Grundverordnung (DSGVO) und § 38 Bundesdatenschutzgesetz (BDSG).

Die primäre Aufgabe eines Datenschutzbeauftragten gemäß DSGVO Artikel 39 ist die Unterrichtung und Beratung der Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO und BDSG-Neu.

Ferner obliegt dem Datenschutzbeauftragten die Überwachung auf Einhaltung der Datenschutzgrundverordnung hinsichtlich der Verarbeitung personenbezogener Daten.

Wann ist ein DSB zu benennen?​

Die Benennung eines Datenschutzbeauftragten (DSB) ist nicht freiwillig sondern wird im BDSG (Bundesdatenschutzgesetz) § 38 geregelt. Wenn mindestens 20 Beschäftigte ständig mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben.

Des Weiteren benötigen Sie einen DSB wenn besondere Kategorien verarbeitet werden. Beispielsweise rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen. Verarbeiten Sie genetische und biometrische Daten zur eindeutigen Identifizierung von Beschäftigten oder Gesundheitsdaten sind Sie verpflichtet einen Datenschutzbeauftragten zu benennen. Weitere Informationen erhalten Sie im Artikel 9 DSGVO.

Unsere Leistungen

Externer Datenschutzbeauftragter DSGVO – Datenschutz für klein- und mittelständische Unternehmen

FAQ Datenschutz

Wissenswertes zum Thema Datenschutzgrundverordung DSGVO und Bundesdatenschutzgesetz BDSG

Erfolgreich

Wir regeln den Datenschutz intern und nach extern und sind kompetente Ansprechpartner für Ihre Mitarbeiter

Bundesdatenschutzgesetz​

Das Bundesdatenschutzgesetz (BDSG) ist für Datenschutzbeauftragte im Unternehmen die zentrale Norm und regelt den Datenschutz sowohl für den öffentlichen (Bundesbehörden) als auch für den privaten Bereich (Unternehmen, Vereine). Eine Vorschrift des BDSG ist dann anwendbar, wenn keine fach- und bereichspezifische Datenschutzregelungen für den gleichen Sachverhalt in einem anderen Bundesgesetz gilt.

Das BSDG gilt bei Verarbeitung personenbezogener Daten durch öffentliche Stellen des Bundes, der Länder sowie nicht-öffentliche Stellen (Wirtschaft). Ausgenommen sind persönliche oder familiäre Zwecke (§ 1 Abs. 2 BDSG).

Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet und genutzt werden, zu dem sie erhoben wurden (§ 28 Abs. 1 Satz 2 BDSG), dieser Zweck muss vor der Erhebung feststehen und darf nur durch Gesetz oder mit Einwilligung geändert werden. Die Verarbeitung ist dabei nach Art, Umfang und Dauer hinsichtlich des Erhebungszwecks zu begrenzen.

Der Betroffene muss in der Lage sein, zu erfahren, wer welche Art von Daten in welchem Umfang und zu welchem Zweck erhebt, verarbeitet oder nutzt (Auskunftsansprüche, vgl. etwa §§ 4, 6b, 33, 34 BDSG).

Die Anlage zum BDSG zu § 9 enthält einen Katalog zu technischen und organisatorischen Maßnahmen bei Auftragsdatenverarbeitung zur Gewährleistung der Vorschriften des BDSG hinsichtlich Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Verfügbarkeitskontrolle insbesondere auch auf die Verwendung von Verschlüsselungsverfahren zu achten, die dem Stand der Technik entsprechenden.

Datenschutzgrundverordnung​

Die DSGVO (Datenschutzgrundverordnung) ist nicht das Bundesdatenschutzgesetz BDSG. Waren früher schon ab 10 Mitarbeiter Unternehmen verpflichtet einen DSB zu benennen, so wurde die Schwelle im Juni 2019 von 10 auf 20 Mitarbeiter erhöht.

Insofern, dass diese sich auch ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigten. Die Spielregeln bleiben die gleichen. Auch wenn kein DSB mehr unter 20 Mitarbeiter gefordert ist, muss das Unternehmen die DSGVO einhalten.

Wie kann man die teilweise hohen Strafzahlungen bei Verstößen umgehen? Eigentlich nur wenn im Unternehmen ein DSB die Einhaltung der DSGVO überwacht und die Geschäftsleitung und Mitarbeiter auf Verstöße aufmerksam macht und diese umgehend beseitigt

FAQ Datenschutz

Was kostet ein Datenschutzbeauftragter?

  • Unsere Leistungen DSGVO-Paket beinhalten alle notwendigen Schulungen sowie die notwendige Dokumentation zur konformen DSGVO und BDSG – für 180,00 € Monatlich
  • Die DSGVO sieht im Fall einer vorsätzlichen oder fahrlässigen Nichtbestellung erhebliche Bußgelder vor (bis zu 10 Mio. Euro oder zwei Prozent des weltweiten Jahresumsatzes).

Wann ist ein Datenschutzbeauftragter vorgeschrieben?

  • Wenn Ihre Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen beinhaltet. Beispielsweise bei Personalvermittlungen, Bewachungsunternehmen, Auskunftsdateien, Detekteien etc..
  • oder
  • Liegt Ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien (Artikel 9 DSGVO) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten?
  • oder
  • Wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Hierzu zählen auch Leiharbeiter, freie Mitarbeiter, Praktikanten, Auszubildende. Eine automatisierte Verarbeitung liegt bereits beim Verarbeiten von E-Mails vor.
  • Laut Artikel 37 DSGVO benötigen alle Unternehmen einen Datenschutzbeauftragten, die personenbezogene Daten automatisiert verarbeiten. D.h., Die Verarbeitung von personenbezogenen Daten umfasst alle Bereiche wo beispielsweise die E-Mail-Adresse, Namen, Wohnort, Standort, Telefonnummer, Kontonummer, Krankenkassendaten, Bankverbindungen etc. automatisiert verarbeitet werden.
  • Etwa in der Finanzbuchhaltung, Lohn- und Gehaltsabrechnungen, Fertigungsplanung, Entwicklung, Kundenstammdaten, Lieferantenstammdaten usw.. In der Regel müssen Sie keinen DSB benennen, wenn weniger als 10 Personen automatisiert personenbezogenen Daten verarbeiten.
  • Dazu zählen aber auch Beschäftigte wie Leiharbeiter, externe Mitarbeiter, ausgelagerte Lohn- und Finanzbuchhaltung. Wir empfehlen Unternehmen bei denen mehrere Beschäftigte personenbezogenen Daten verarbeiten einen Datenschutzbeauftragten zu benennen – unabhängig von der Größe des Unternehmens und der Mitarbeiteranzahl. Damit sind Sie auf der sicheren Seite.

Wer kann zum Datenschutzbeauftragten benannt werden?

  • Der DSB kann sowohl ein Mitarbeiter des Betriebs (interner DSB) oder ein außenstehender Dienstleister (externer DSB) sein. Unabhängig davon, ob es sich um einen internen oder externen DSB handelt, dürfen nur solche Personen bestellt werden,
  • die fachliche Qualifikationen auf dem Gebiet des Datenschutzes besitzen (Datenschutzrecht und IT-Fachwissen) und
  • bei der Aufgabenwahrnehmung in keinen Interessenskonflikt geraten können (Interessenskonflikte bestehen z.B. für Mitglieder der Geschäftsführung, Leiter der EDV oder der Personalabteilung, etc., da diese Personen für die Datenverarbeitung verantwortlich sind und sich als DSB selbst kontrollieren würden).

Was ist eine Auftragsverarbeitung?

  • Eine Auftragsverarbeitung liegt vor, wenn ein Betrieb zwar personenbezogene Daten für seine Zwecke nutzt, die tatsächliche Verarbeitung und Aufbereitung dieser Daten aber nicht selbst durchführt, sondern von einem Dienstleister vornehmen lässt. Der Dienstleister verarbeitet die Daten für und im Auftrag des Betriebs.
  • Dies ist z.B. bei Anbietern von Cloud-Lösungen der Fall, die auf ihren Servern Daten für den Betrieb speichern. Dasselbe gilt für Steuerberater, die für den Betrieb die Steuerklärungen erstellen und dabei z.B. Rechnungen (Adressdaten der Kunden) verarbeiten

Datenschutzerklärung Webseite

  • Sofern sie Tools zur Tracking-Analyse, Kundenformular oder Newsletter auf ihrer Webseite anbieten, sind sie verpflichtet eine Datenschutzerklärung auf der Webseite zu installieren.
  • Bei den Tools werden personenbezogene Daten zur Weiterverabeitung erhoben. Auch sollten die Kontaktdaten des Datenschutzbeauftragten auf der Webseite bekannt gemacht werden.
  • Sie können von ihrem Domain Anbieter etc. ebenfalls einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO herunterladen.

Strafen und Sanktionen DSGVO

Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) sind wichtige Regelwerke zum Schutz personenbezogener Daten in Deutschland und der Europäischen Union. Bei Verstößen gegen diese Regelungen können sowohl Unternehmen als auch Einzelpersonen mit erheblichen Strafen konfrontiert werden. Gemäß der DSGVO können Geldbußen in zwei Kategorien eingeteilt werden:

  1. Unterkategorie (Artikel 83, Absatz 4 DSGVO):
  • Bei Verstößen gegen bestimmte Bestimmungen der DSGVO, wie z.B. unzureichende Zusammenarbeit mit der Datenschutzbehörde oder unzureichende Sicherheitsmaßnahmen, können Bußgelder von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem, welcher Betrag höher ist) verhängt werden.
  1. Unterkategorie (Artikel 83, Absatz 5 und 6 DSGVO):
  • Für schwerwiegendere Verstöße, wie z.B. Verletzungen der Grundsätze für die Verarbeitung personenbezogener Daten, Nichtbeachtung der betroffenen Personenrechte oder unerlaubte Datenübermittlungen, können Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem, welcher Betrag höher ist) verhängt werden.

Neben den Geldbußen können auch andere Strafen und Sanktionen verhängt werden, wie z.B.:

  • Anordnung zur Berichtigung, Löschung oder Sperrung von personenbezogenen Daten
  • Untersagung oder Einschränkung der Datenverarbeitung
  • Offizielle Verwarnung oder Rüge
  • Anordnung zur Benachrichtigung betroffener Personen über den Verstoß

Es ist wichtig zu beachten, dass die tatsächlich verhängten Strafen von Fall zu Fall variieren und von den zuständigen Datenschutzbehörden nach einer umfassenden Prüfung der Umstände und der Schwere des Verstoßes festgelegt werden. Die Strafen können auch in Kombination miteinander verhängt werden, je nach Art und Umfang des Verstoßes. Unternehmen und Einzelpersonen sollten sich daher bemühen, die Anforderungen der DSGVO und des BDSG einzuhalten, um mögliche Strafen und Rechtsfolgen zu vermeiden.

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB Integrations Modell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität | Lead Auditor ISO 14001 u. ISO 45001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

Cookie Consent mit Real Cookie Banner