Wann ist BARTH Datenschutz mein richtiger Partner?

Sie sind Verantwortlicher in einem mittelständischen Unternehmen.

Die DSGVO unterscheidet im Regelfall nicht nach Unternehmensgröße, der Anzahl der Betroffenen, also zum Beispiel der Kundenanzahl oder ob sich ein Unternehmen im B2B oder B2C - Bereich bewegt.

Bei der praktischen Umsetzung der DSGVO muss man aber in jedem Unternehmen individuelle Gegebenheiten beachten um effiziente Datenschutz-Lösungen zu kreieren.

Mit BARTH Datenschutz haben Sie als Verantwortlicher Geschäftsführer einen Partner an der Hand, der gemeinsam mit Ihnen Lösungen kreiert, die sich an Ihrer Unternehmenspraxis orientieren.

Der Grundsatz unserer Beratung lautet DSGVO-Basisschutz so einführen, umsetzen und überwachen ohne Ihr Kerngeschäft unnötig auszubremsen.

Sie sind Verantwortlicher in einer Arztpraxis, einer Apotheke oder einem anderen Gesundheitsberuf.

Zu Ihrem Kerngeschäft gehört die Verarbeitung besonderer personenbezogener Daten nach Artikel 9 der DSGVO. Dies erfordert besonders hohe Schutzmaßnahmen im Umgang mit den Daten Ihrer Patienten und Kunden.

Sollten Sie weniger als 10 Beschäftigte in Ihrer Praxis beschäftigten sind Sie nicht verpflichtet einen betrieblichen Datenschutzbeauftragten zu benennen. Dennoch gilt die DSGVO für Sie als Verantwortlichen nach wie vor. Jedoch können Sie nicht auf die Expertise des Datenschutzbeauftragten zurückgreifen. Darüber sollten Sie sich im Klaren sein.

Die DSGVO sieht hier die Möglichkeit einer freiwilligen Benennung vor. BARTH Datenschutz bietet Ihnen darüber hinaus die Teilnahme an einem Tagesseminar, in dem Sie sich praktisches Umsetzungswissen aneignen können. Zu guter Letzt können Sie eine klassische Datenschutzberatung beauftragten, die telefonisch oder vor Ort stattfinden kann.

Sie sind Verantwortlicher in einem Handwerksbetrieb

Verantwortliche in Handwerksbetrieben müssen zahlreiche Vorschriften und Auflagen beachten, die den betrieblichen Alltag verkomplizieren. Die Vorgaben der DSGVO werden daher bei den Handwerkern sehr kritisch gesehen und die Umsetzung oft nur wiederwillig umgesetzt. Wenn Sie als Handwerker einen Partner suchen, der Ihnen dabei hilft die wesentlichen Dinge der DSGVO umzusetzen, ohne dass dabei das Tagesgeschäft leidet, sind wir die Richtigen.

Sie sind Angehöriger eines freien Berufes, Steuer- oder Rechtsanwaltskanzleien, Architektur- oder Ingenieurbüros.

Bin ich als Steuerberater oder Rechtsanwalt Auftragsverarbeiter? Das ist eine Frage, die wir sehr oft hören. Ist sie im Kontext des Rechtsanwaltes einfach zu beantworten, ist die Einschätzung für Steuerberater komplizierter und in Deutschland aktuell nicht eindeutig geklärt. Sie benötigen hier einen Datenschutz-Partner, dem ständige Fort- und Weiterbildung, der Austausch mit Behörden und anderen Institutionen wichtig sind. Attribute die wir Ihnen garantieren.

Sie sind Verantwortlicher in einem Kleinunternehmen, Freiberufler oder Einzelkämpfer.

Haben Sie mir als 10 Beschäftigte prüfen wir zunächst, ob Sie verpflichtet sind einen betrieblichen Datenschutzbeauftragten zu benennen. Trifft dies auf Sie zu, werden wir Ihnen skalierbare effiziente Datenschutz-Lösungen, zu einem sehr guten Preis-Leistungsverhältnis, implementieren und Sie dabei unterstützten, die notwendige Datenschutz-Dokumentation im Betrieb einzuführen. Ihr Mitarbeiter zu schulen und die eingeführten Prozesse auditieren.

Sollten Sie keinen betrieblichen Datenschutzbeauftragten benötigen haben Sie die Möglichkeit, sich das wichtigste Praxiswissen in einem unserer Datenschutz-Seminare für KMU zu erwerben und eigenverantwortlich umsetzen.

Über unseren Kundenverteiler erhalten Sie regelmäßig gefilterte, für Sie relevante Neuigkeiten aus dem Bereich Datenschutz zugesandt.

Gemeinsam optimieren wir Ihren Webauftritt, optimieren Ihre Formulare und Einwilligungen und schauen nach Ihren Datenschutz-Hinweisen.


Sie sind Vorstand oder Geschäftsführer in einem eingetragenen Verein

Mit die größte Unsicherheit seit in Krafttreten der DSGVO herrscht in den Vereinen. Gerade ehrenamtliche Vorstände haben die Befürchtung, mit ihrem Privatvermögen für Datenschutz-Vergehen zu haften. Grundsätzlich gilt die DSGVO auch in Vereinen. Die Tatsache, dass im Verein zahlreiche Ehrenamtliche tätig sind, dass sehr oft die private IT-Struktur für personenbezogene Daten verwendet wird, oder dass die Kommunikation mit Whattsapp stark verbreitet ist macht die Umsetzung der DSGVO-Vorgaben im Alltag nicht einfacher. Medial begleitete Panikbotschaften, zu Veranstaltungsbildern oder Presseartikeln haben ebenfalls einen hohen Beitrag geleistet, dass die DSGVO ein Schreckgespenst unter den Vereinsvorständen war und noch immer ist.

Sportvereine waren die ersten Kunden von Achim Barth im Bereich des Datenschutzes betreute, wir können im Bereich Vereinsdatenschutz über eine mehrjährige Erfahrung zurückblicken. Eine Expertise, von der auch Ihr Verein profitieren kann.

Was sind personenbezogene Daten?

Datenschutz heißt Schutz der personenbezogenen Daten einer Person.

Als personenbezogene Daten versteht man Informationen über persönliche oder sachliche Verhältnisse einer bestimmten bzw. bestimmbaren natürlichen Person.

Man kann also sagen, personenbezogene Daten sind Informationen, welche einen speziellen Bezug zu einer natürlichen Person herstellen. Also sämtliche Angaben, die zu einer Person gemacht werden können und diese somit bestimmbar machen. Unter anderen fallen folgende Angaben unter die personenbezogenen Daten:

  • Name
  • Anschrift
  • Telefonnummer
  • E-Mail-Adresse
  • Foto Personenbeschreibung
  • Kfz-Kennzeichen
  • Kreditkarten-Daten
  • Konto-Daten
  • Mitarbeiternummer
  • Kundennummer
  • Medizinische Informationen
Datenschutzerklärung und Informationspflicht

Die Datenschutzerklärung gilt als Maßnahme, um die Privatsphäre der Benutzer, Mitglieder, Kunden und auch Mitarbeiter zu schützen und zu wahren.

Im Mittelpunkt einer jeden Datenschutzerklärung sollen die personenbezogenen Daten stehen. Bei der Datenschutzerklärung auf der Website gelten ähnliche Pflichten wie bei den Angaben zum Impressum. Die Erstellung einer Datenschutzerklärung ist vorgeschrieben.

Ein wichtiger Bestandteil der DSGVO ist die Transparenz für Betroffene. Diese sollen in die Lage versetzt werden, die Datenverarbeitung zu prüfen. Mit anderen Worten gesagt soll jeder Betroffene wissen, wer was wann und bei welcher Gelegenheit über ihn weiß.

Verzeichnis der Verarbeitungstätigkeiten

Der Art. 30 DSGVO sagt aus, dass alle, bei denen das Gesetz Anwendung findet, ein Verzeichnis der Verarbeitungstätigkeiten anlegen müssen.

Ein Verzeichnis von Verarbeitungstätigkeiten enthält mehrere Verfahrensbeschreibungen, in denen Verarbeitungsschritte von personenbezogenen Daten dokumentiert werden. Dieses Verzeichnis lässt sich auch als Verfahrensverzeichnis beschreiben und kann von den Datenschutzbehörden zur Vorlage verlangt werden.

Sollte ein Unternehmen nicht in der Lage sein, ein solches Verzeichnis vorzulegen ist mit einem Bußgeld zu rechnen. Kunden oder Dritten muss kein Einblick in dieses Verzeichnis gewährt werden. Dieses Verzeichnis kann elektronisch oder auf Papier geführt werden und muss zumindest in Form einer simplen Tabelle vorliegen. In diesem Verzeichnis wird dann aufgelistet welche Daten im Unternehmen wann, wie und warum erhoben werden.

Sowohl Kundendaten als auch interne Daten werden notiert. Das Verzeichnis muss fortlaufend gepflegt werden. Eine einmalige Dokumentation ist nicht ausreichend. Sollten sich Prozesse ändern, muss dies ebenfalls im Verzeichnis aktualisiert werden.
Zum Inhalt des Verzeichnisses macht die DSGVO zahlreiche Angaben.

Es sollten für jeden Arbeitsschritt folgende Punkte festgehalten werden:

  • Name des Datenschutzbeauftragten (falls dieser erforderlich ist)
  • Name und Kontaktdaten des Verantwortlichen des Verfahrens
  • Zweck der Datenaufnahme und -verarbeitung
  • Betroffene Personen der Datenerhebung (Wessen Daten sind das?)
  • Auflistung der erhobenen Daten (Welche Daten sind das?)
  • Zugriff auf diese Daten (Wer hat Zugriff? Intern? Extern? EU? Non-EU?)
  • Evtl. Art und Rechtmäßigkeit der Übermittlung an das Drittland (EU, Non-EU)
  • Rechtsgrundlage der Verarbeitung (Einwilligung der Betroffenen? gesetzliche Pflicht? etc…) Evtl. „Hohes Risiko für Rechte und Freiheiten“ der Betroffenen
  • Löschfristen der erhobenen Daten (Wann werden Daten, falls vorgesehen, gelöscht?
  • Maßnahmen zur Datenschutzgewährung (IT-Sicherheitsmaßnahmen, Zugangskontrollen etc.)
Auftragsverarbeitung

Wann ist man Auftragsverarbeiter oder Auftraggeber zu einer Auftragsverarbeitung? Wenn verschiedene Dienste von Webhostern oder ähnlichen digitalen Dienstleistern in Anspruch genommen werden, werden die personenbezogenen Daten dort verarbeitet. Damit diese externe Datenverarbeitung auch vernünftig und gesetzeskonform abläuft, sollte ein Vertrag mit dem Dienstleister geschlossen werden – der Auftragsverarbeitungsvertrag (AV-Vertrag).

Dieser Vertrag regelt die Sicherheit und den Schutz der personenbezogenen Daten. Er ist erforderlich, sobald eine externe Dienstleistung zur Verarbeitung der Daten herangezogen wird oder die personenbezogenen Daten nicht auf einem heimischen Server gespeichert werden. Die Datenübermittlung an externe Dienstleister sollte immer auf Aktualität überprüft und regelmäßig kontrolliert werden. Es ist überaus sinnvoll nachzusehen, welche Daten tatsächlich nötig sind und wie detailliert diese ausfallen. Alle Dienstleister und Partner innerhalb der EU sind dazu angehalten, einen solchen Vertrag aufzusetzen. Im Grunde gilt dies für sämtliche Dienstleister und Partner, auch außerhalb der EU. Die Datenverarbeitung muss den Datenschutzbestimmungen nach der DSGVO entsprechen, da dort ansonsten keine personenbezogenen Daten verarbeitet werden dürfen.

Der Datenschutzbeauftragte

Die DSGVO sieht unter Umständen die Ernennung eines Datenschutzbeauftragten (DSB) im Unternehmen vor:

Wann ist ein DSB erforderlich? Die Prüfung, ob ein DSB benannt werden muss, ist Pflicht, sobald in einem Unternehmen personenbezogene Daten automatisiert verarbeitet werden. Also sobald auf EDV-basierte Verarbeitung zurückgegriffen wird. Kleine Unternehmen sind allerdings von der Benennung eines Datenschutzbeauftragten frei gesprochen. Hierfür sieht die DSGVO eine Ausnahme vor. Sofern weniger als 10 Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind, entfällt die Pflicht zur Benennung eines Datenschutzbeauftragten. In einem solchen Fall kann also der Geschäftsführer selbst den Datenschutz übernehmen und verantworten.

Bei der Anzahl der Mitarbeiter sind auch jene zu berücksichtigen, die nur selten Daten verarbeiten oder in Kontakt mit diesen kommen. Der Zugriff auf Kundendatenbanken reicht schon aus. Es spielt ebenfalls keine Rolle, ob eine Teil- oder Vollzeitbeschäftigung der Mitarbeiter vorliegt. Auch Praktikanten und Azubis sind berücksichtigen. Entscheidend ist allein die Anzahl der Köpfe. Die Ausnahme gilt jedoch nicht bei der Verarbeitung von risikobehafteten Daten. Hiermit sind Daten gemeint, bei denen ein hohes Risiko für die Betroffenen besteht und eine Datenschutz-Folgenabschätzung nötig ist. Solche Daten sind beispielsweise: ethnische Herkunft  politische Einstellung  religiöse Überzeugung  sexuelle Orientierung  medizinische Informationen  Wenn solche risikobehafteten Daten verarbeitet werden, ist ein Datenschutzbeauftragter erforderlich – unabhängig von der Anzahl der Mitarbeiter.

Ein Datenschutzbeauftragter ist auch dann immer erforderlich, wenn ein Unternehmen personenbezogene Daten an Dritte übermittelt oder mit diesen Daten handelt. Auch der Gebrauch von personenbezogenen Daten zu Markt- und Meinungsforschungszwecken gehört dazu. Die Fachkunde des entsprechend benannten Datenschutzbeauftragten muss gewährleistet sein.

Die Kontaktdaten des Datenschutzbeauftragten, also zumindest Telefonnummer oder E-Mail Adresse, müssen vom jeweiligen Unternehmen veröffentlicht werden. Für die eigenen Mitarbeiter kann dies beispielsweise über das eigene Intranet des Unternehmens erfolgen. Sobald allerdings Kundendaten verarbeitet werden, müssen die Kontaktdaten ebenfalls auf der Website des Unternehmens aufgeführt werden.

Neben der reinen Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten sind Unternehmen laut Artikel 37, Absatz 7 DSGVO dazu angehalten die Kontaktdaten an die Landesdatenschutzbehörde zu übermitteln. Dies ist notwendig, da diese Behörde für Datenschutzverstöße zuständig ist und sich bei Vorfällen einschaltet.  Neben der bisherigen Beratungsfunktion des Datenschutzbeauftragten im Unternehmen sieht die neue DSGVO ebenfalls eine Überwachungsfunktion vor. Der Datenschutzbeauftragte soll nicht nur seine Meinung kundgeben und der Geschäftsführung mit Rat und Tat zur Seite stehen, sondern eingeleitete Schritte auch überwachen und so die Sicherheit bei der Verarbeitung personenbezogener Daten gewährleisten. 

Unternehmensgruppen ist es gestattet einen gemeinsamen Datenschutzbeauftragten zu bestimmen. Hierbei muss allerdings die (persönliche) Erreichbarkeit des Datenschutzbeauftragten gewährleistet sein. Um einen gemeinsamen Datenschutzbeauftragten ernennen zu können, müssen die einzelnen Unternehmen allerdings schon im Vorfeld Daten gemeinsam verarbeitet haben.  Mit der Einführung der neuen DSGVO verschärfen sich ebenfalls die Strafen bei Rechtsverstößen. Es sind nun ebenfalls auch direkte Klagen gegen Unternehmen zulässig falls etwas schief geht bei der Verarbeitung personenbezogener Daten. Das Thema Datenschutz sollte also von jetzt an nicht nur beiläufig im Unternehmen nebenher laufen, sondern ernsthaft behandelt werden. 

Aufgaben des Datenschutzbeauftragten
Die grundsätzliche Aufgabe des Datenschutzbeauftragten besteht darin darauf zu achten, dass das Unternehmen alle Datenschutzvorgaben einhält und somit personenbezogene Daten sicher verarbeitet werden. Im Detail sehen seine Aufgaben wie folgt aus:

Der Datenschutzbeauftragte berät und überwacht die verantwortlichen Personen (Geschäftsführung) im Unternehmen bei allen Fragen rund um das Thema Datenschutz. Er ist allerdings nicht in der Lage eigenwillig Entscheidungen zu treffen.  Die Zusammenarbeit mit der Datenschutzbehörde ist eine weitere Aufgabe des Datenschutzbeauftragten. Es besteht keine Verpflichtung sich von seiner Seite aus dort zu melden, wenn Vorfälle im Unternehmen auftreten. Sollte allerdings die Behörde Kontakt zu ihm aufnehmen, beispielsweise aufgrund einer Beschwerde, so muss er bei der Aufklärung des Falls helfen und ist direkter Ansprechpartner. 

Die Sensibilisierung und Schulung anderer Mitarbeiter zählt ebenfalls zu den Aufgaben des Datenschutzbeauftragten. In welchem Umfang und wie oft entsprechende Schulungen stattzufinden haben, schreibt die DSGVO nicht vor. Allerdings sollte dafür gesorgt werden, dass alle Mitarbeiter im Hinblick auf Datensicherheit gewappnet sind und so Beschwerden vermieden werden.  Der Datenschutzbeauftragte ist auch direkter Ansprechpartner für betroffene Personen. Bei allen Vorfällen rund um das Thema Datensicherheit können Anfragen und Beschwerden bei ihm eingehen. 

Geschäftsstelle

Barth Datenschutz GmbH
Theodor-Veiel-Straße 94
70374 Stuttgart

Tel: 0711 / 40070720
Fax: 0711 / 40070729
info@barth-datenschutz.de

Logo Mitglieder des BvD in blau

© Copyright - Barth Datenschutz GmbH - 0711 / 40070720 - info@barth-datenschutz.de