1. Datenschutzmanagement



2. Datenerhebung und Betroffenenrechte



3. Technischer Datenschutz



4. Bestellung eines Datenschutzbeauftragten



Erläuterung zur Checkliste

I. Datenschutzmanagement
Datenschutzkonzept
Spätestens mit Umsetzung der Datenschutzgrundverordnung (DSGVO) sind Sie zum Nachweis der datenschutzkonformen Tätigkeit gegenüber der zuständigen Behörde verpflichtet. Der erste Schritt um dieser Nachweispflicht nachzukommen resultiert in der Erstellung eines Datenschutzkonzeptes, dass Ihre Tätigkeit darstellt, die damit einhergehenden Datenverarbeitungsvorgänge offenlegt und die Umsetzung Ihrer datenschutzkonformen Handhabung sämtlich Datenverarbeitungsprozesse belegen kann. Inhaltlich sollte das Datenschutzkonzept im Mindesten die folgenden Punkte beinhalten:
  • Rechtsgrundlagen und Ihre Umsetzung
  • Zweck und Herkunft der zu verarbeitenden personenbezogenen Daten
  • Darstellung des Systems mit dem Daten verarbeitet werden inkl. Sicherungsmaßnahmen
  • Risiken der Verarbeitungsprozesse
  • Darstellung sämtlicher datenschutzrechtlicher Anforderungen und entsprechender Maßnahmen
Verpflichtung auf das Datengeheimnis
Eine Verpflichtung auf das Datengeheimnis ist unter der DSGVO sowie dem BDSG-neu nicht mehr ausdrücklich im Gesetz vorgesehen. Dennoch ist die vertrauliche Behandlung der Daten weiterhin einzuhalten. Diesem Umstand sollte mit einer entsprechenden Verpflichtungserklärung eines jeden Mitarbeiters Rechnung getragen werden.
Verfahrensverzeichnis
Ein Verfahrensverzeichnis wird es unter der DSGVO in der Form nicht mehr geben. Dieses wird durch ein Verzeichnis von Verarbeitungstätigkeiten ersetzt und ist nunmehr von jeder verantwortlichen Stelle zu führen. Liegt ein Verfahrensverzeichnis vor, ist die Umwandlung in ein nunmehr erforderliches Tätigkeitenverzeichnis deutlich weniger aufwändig, als wenn ein solches Verzeichnis von Grund auf erstellt werden muss. Inhaltlich ist in dem Verzeichnis von Verarbeitungstätigkeiten folgendes aufzuführen:
  • Name und Kontaktdaten des Unternehmens als verantwortliche Stelle sowie des ggf. bestellten Datenschutzbeauftragten
  • Zweck der Verarbeitung
  • Kategorisierung der Personen, von denen Daten erhoben werden sowie der erhobenen Daten
  • Kategorisierung von Empfängern, die die Daten möglicherweise erhalten
  • Benennung von Löschfristen wenn möglich
  • Beschreibung der technischen und organisatorischen Maßnahmen
Datenschutzerklärung
Jedes Unternehmen muss die betroffenen Personen über relevante Informationen um Zusammenhang mit der Erhebung von personenbezogenen Daten in Kenntnis setzen. Dies hat durch eine Datenschutzerklärung zu erfolgen. Innerhalb einer solchen Datenschutzerklärung ist die betroffene Person über Folgendes in Kenntnis zu setzen:
  • Name und Kontaktdaten des Unternehmens als verantwortliche Stelle sowie des ggf. bestellten Datenschutzbeauftragten
  • Umfang der Datenverarbeitung: Welche Daten werden erhoben.
  • Zwecke der Datenverarbeitung
  • Benennung der Rechtsgrundlage der Datenverarbeitung
  • Wer erhält Zugriff auf die Daten
  • Speicherdauer
  • Betroffenenrechte
  • Verpflichtung zur Bereitstellung? Ja/Nein
  • Ausdrücklicher Hinweis auf das Widerspruchsrecht
Ergänzt werden kann die Datenschutzerklärung dann, sofern es erforderlich ist um eine Einwilligungserklärung.
Datenschutzerklärung Webseite
Die Datenschutzerklärung sollte neben dem Impressum als eigener Punkt im Header oder Footer von jeder Seite der Webseite erreichbar sein. Darin ist Einwilligung des Nutzers bezüglich der Verwendung von Cookies , der zur Reichweitenmessung des Website eingesetzte externe Tools, wie z.B. Google Analytics, die personenbezogene Daten, wie etwa IP-Adressen, verarbeitet und weitere SocialMediaPlugins zu erlklären. Stellt man zur Kontaktaufnahme eine E-Mail-Formular bereit, ist der Empfänger der E-Mail klar zu benennen, sowie Zweck und Dauer der Speicherung der E-Mail.
II. Datenerhebung und Betroffenenrechte
Datenerhebung
Jede Datenerhebung bedarf einer Rechtsgrundlage. In Betracht kommt eine Datenverarbeitung zur Erfüllung von Vertragszwecken, auf Grund gesetzlicher Vorgaben, aufgrund berechtigter Interessen sowie aufgrund der Einwilligung des Betroffenen. Für die Einrichtung eines Datenschutzkonzeptes, bzw. einer Datenschutzrichtlinie ist es erforderlich die Verarbeitungsprozesse (Erhebung, Speicherung, Weiterleitung etc.) zu erkennen und die relevanten Rechtsgrundlagen zu bestimmen. Dies ist ebenfalls elementare Grundlage zur Erstellung eines korrekten Datenschutzerklärung sowie einer entsprechenden Einwilligung für die Datenverarbeitung.
Grundsätzlich hat die Datenerhebung in einer Form zu erfolgen, bei der bereits der Verarbeitungsprozess darauf ausgelegt ist nur ein Minimum an erforderlichen Daten zu erheben. Im Ergebnis sind sämtliche Voreinstellungen bei automatisierten Datenverarbeitungsvorgängen so zu wählen, dass diese datenschutzfreundlich sind.
Auftragsdatenverarbeitung
Werden personenbezogenen Daten außerhalb des eigenen Unternehmens weiterverarbeitet, muss dies mit einem Vertrag zur Auftragsdatenverarbeitung (DSGVO Artikel 28) unterlegt werden. Liegen derartige Verträge nicht vor, sollten diese umgehend geschlossen werden. Bestehende Verträge wären zu überprüfen.
Betroffenenrechte
Die Betroffenen einer Datenverarbeitung haben folgende Rechte:
  • Informationsrecht
  • Auskunfts- und Widerspruchsrecht
  • Recht auf Berichtigung, Löschung und Einschränkung
  • Recht auf Datenübertragbarkeit
Auf diese Rechte ist zunächst ausdrücklich in der Datenschutzerklärung hinzuweisen. Dem Recht auf Information wird bereits durch die Datenschutzerklärung bei der ersten Erhebung Rechnung getragen. Die weiteren Rechte sind auf ausdrückliche Anfrage des Betroffenen zu erfüllen.
Auch vor diesem Hintergrund ist ein nachvollziehbares Daten(sicherungs)konzept, mit dem der jederzeitige Zugriff auf die Angefragten Daten möglich sind.
III. Technischer Datenschutz
Sie sind verpflichtet den ordnungsgemäßen Ablauf der Datenverarbeitung sowie den Schutz der Daten vor Verlust, Beschädigung und/oder Missbrauch sicherzustellen. Hierzu müssen Sie technische und organisatorische Maßnahmen (TOM) ergreifen, die insbesondere auch dem aktuellen Stand der Technik entsprechen.
Diese Maßnahmen beinhalten u.a. Vorkehrungen gegen Zugriff Unberechtigter Personen durch Einrichtung von Benutzern sowie entsprechender Passwortschutz der Benutzeroberflächen. Es sind Maßnahmen zu treffen, die einen Zugriff von außen verhindern (Firewall, Virenschutz etc.).
Die DSGVO sieht in diesem Zusammenhang vier Schutzziele vor, die bei der Verarbeitung von personenbezogene Daten zur Gewährleistung der Sicherheit sicherzustellen sind:
  • Pseudonymisierung und Verschlüsselung
  • Vertraulichkeit, d.h. Daten sind für unberechtigte Dritte nicht zugänglich.
  • Integrität, d.h. Daten können nicht verfälscht werden.
  • Verfügbarkeit, d.h. Daten stehen zur Verfügung, wenn sie gebraucht werden.
Einen Überblick über einzelne zu ergreifenden Maßnahmen enthält § 64 Abs. 3 BDSG-neu, der eine Ergänzung/Konkretisierung zu den Maßnahmen der DSGVO darstellt.
IV. Datenschutzbeauftragter
Die Pflicht zur Bestellung eines Datenschutzbeauftragten (wahlweise extern oder intern) folgt aus Art. 37 DSGVO in Verbindung mit § 38 BDSG-neu. Voraussetzungen dafür sind alternativ u.a.:
  • Die Kerntätigkeit beinhaltet umfangreiche Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO (z.B. Gesundheitsdaten)
  • mindestens zehn Mitarbeiter sind regelmäßig mit automatisierter Datenverarbeitung (E-Mail, digitale Kundendatenbank o.ä.) beschäftigt
  • Verarbeitung unterliegt Datenschutzfolgenabschätzung (Art. 35 DSGVO)
    > Erhöhtes Risiko in der Art der Datenverarbeitung
    > Verarbeitung besonderer Kategorien von Daten (Gesundheitsdaten)