Sie suchen den schlanken Einstieg in den Datenschutz, einen externen Datenschutzbeauftragten oder einen Projektleiter zu der Durchführung einer Datenschutz-Folgenabschätzung?
Eines vorneweg, da ich kein Rechtanwalt bin kann ich zum Thema Datenschutz keine Rechtsberatung anbieten. Aber ich bin DEKRA zertifizierte Fachkraft für Datenschutz und kann Sie bei der Umsetzung der gesetzliche Anforderungen in Ihrem Unternehmen unterstützen und beraten.
Mit entsprechenden Vorlagen und einer standardisierten Vorgehensweise können die Lücken schnell identifiziert und mit entsprechend Maßnahmen behoben werden. Folgende DSGVO Serviceangebote könnten Sie interessieren:
Sie können mich als Berater oder als externen Datenschutzbeauftragter engagieren. Zu Ihrer Information – ein externer Datenschutzbeauftragter hat keinen gesetzlichen Kündigungsschutz.
Die Themen der FAQs sollten Sie auf dem Radar haben, da der Verantwortliche gegenüber der Aufsichtsbehörde eine Nachweispflicht für die Einhaltung der getroffenen Datenschutzmaßnahmen im Unternehmen hat.
Häufige Fragen – FAQ
Wann benötige ich eine Datenschutzerklärung für meinen Internetauftritt?
Eine Datenschutzerklärung für den Internetauftritt wird benötigen, sobald personenbezogen Daten verarbeitet oder weitergeleitet werden. Beispielsweise durch die Eingabe personenbezogener Daten in ein Kontaktformular oder durch Links zu externen Seiten, bei der die IP-Adresse übermittelt wird.
Wann benötige ich ein Einwilligung zur Speicherung und Verarbeitung von Kundendaten?
Generell benötigen Sie entweder eine Rechtsgrundlage oder eine Einwilligung zur Speicherung und zur Verarbeitung von personenbezogenen Daten. Mit der Einwilligung können Sie sich ggf. beispielsweise Speicherdauer der Daten verlängern oder die Daten für weitere Zwecke verarbeiten.
Muss ich meine Mitarbeiter zur Einhaltung der Datenschutz-Grundverordnung verpflichten und unterweisen?
Der Verantwortlicher hat gegenüber der Aufsichtsbehörde eine Nachweispflicht für die Einhaltung der getroffenen Datenschutzmaßnahmen im Unternehmen. Daher empfiehlt es sich die Mitarbeiter darauf zu verpflichten und jährlich zu unterweisen.
Benötige ich ein Verzeichnis der Verarbeitungstätigkeiten?
Im Gesetz steht zwar die Grenze von weniger als 250 Mitarbeiter. Aber sobald sie Mitarbeiter haben, verarbeiten sie in der Regel die Religionszugehörigkeit bei der Gehaltsabrechnung, d.h. besonderer Kategorien personenbezogener Daten und somit benötigen sie ein Verzeichnis der Verarbeitungstätigkeiten. Unabhängig davon empfiehlt es sich eine „Inventur“ ihrer personenbezogenen Daten zu machen und für jede Kategorie die Löschfristen zu benennen. Warum fragen Sie sich? Mit der DSGVO gilt das Prinzip der Datenminimierung und somit der Speicherbegrenzung. Folglich bietet sich das Verzeichnis als Basis für das benötigte Löschkonzept an.
Wann benötige ich eine Datenschutz-Folgenabschätzung? (DSFA)
Eine DSFA benötigen Sie, wenn die Verarbeitung von personenbezogenen Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben kann. Beispielsweise die Religionszugehörigkeit für die Gehaltsabrechnung oder die Beschäftigung von Freigängern einer Justizvollzugsanstalt.
Benötige ich ein Löschkonzept?
Mit der DSGVO gilt das Prinzip der Datenminimierung und der Speicherbegrenzung, folglich sollten Sie ein Löschkonzept haben.
Was sind technische und organisatorische Maßnahmen (TOMs)?
Laut Gesetz muss jedes Unternehmen ein angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten gewährleisten. Hierzu bilden die technischen und organisatorischen Maßnahmen die Basis und sie sind somit wichtige Eckpfeiler des Datenschutzes in ihrem Unternehmen.
Benötige ich eine Interessensabwägung für eine Videoüberwachung?
Laut § 4 BDSG Bundesdatenschutzgesetz ist eine Videoüberwachung im öffentlich zugänglichen Raum nur zulässig zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke. Weiterhin darf kein Anhaltspunkt bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Diese Punkte sollten vor der Installation der Videoüberwachung bewertet und dokumentiert werden.
Wann benötige ich eine Einwilligung zu Fotoaufnahmen?
Eine Einwilligung zu Fotoaufnahmen wird benötigt, sobald sie Bilder ihrer Mitarbeiter auf ihrer Homepage oder in soziale Medien veröffentlichen. Sie sollten dabei darauf hinweisen, dass Fotos im Internet von beliebigen Personen abgerufen werden können. Es kann nicht ausgeschlossen werden, dass solche Personen die Fotos weiterverwenden oder an andere Personen weitergeben.
Wann benötige ich einen Vertrag oder Vereinbarung zur Auftragsverarbeitung (AVV)?
Typisches Beispiel hierfür ist ihr Web-Host oder Cloudanbieter, hier erfolgt in der Regel nur eine Verarbeitung im Auftrag des Verantwortlichen (Chef des Unternehmens und Auftraggeber). Der Auftragnehmer, also der Auftragsverarbeiter sollte Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen getroffen werden, dass die Verarbeitung gesetzeskonform erfolgt und den Schutz der Rechte der betroffenen Person sichergestellt ist. Hierfür benötigen Sie einen Vertrag oder eine Vereinbarung.
PS: Für Ihren Steuerberater oder Rechtsanwalt benötigen sie kein AVV, da diese nicht weisungsgebunden arbeiten.
Sollten ihr Unternehmen allerdings in Nordrhein-Westfalen oder in Baden-Württemberg sein, benötigen sie einen AVV für die Lohnbuchhaltung. Warum? Da die dortigen Aufsichtsbehörden der Auffassung sind, dass die Lohnbuchhaltung weisungsgebunden arbeiten.
Wann benötige ich einen Datenschutzbeauftragten?
Einen Datenschutzbeauftragten benötigen sie, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen sind. Monteure oder Arbeiter in der Produktion zählen somit nicht dazu, da diese nicht regelmäßig, sondern vereinzelt mit personenbezogene Daten arbeiten.
Wie gehe ich in meiner Firmengruppe mit den Ländergesellschaften bzw. Vertretungen um, deren Firmensitz nicht in der EU, sondern in einem Drittland ist?
Werden personenbezogene Daten in Länder außerhalb der EU (sog. Drittstaaten, beispielsweise Serbien, USA oder China) übermittelt, benötigt es entweder ein Angemessenheitsbeschluss der EU, wie beispielsweise für die Schweiz, oder geeignete Garantien.
Geeignete Garantien können unter anderem sein, entweder von der EU erlassene Standardvertragsklauseln (müssen unverändert übernommen werden), oder binding corporate rules (BCR), eignet sich für international tätige Unternehmen mit internem Datenaustausch.