NNW Consulting

NNW Consulting

Startseite » Wissensdatenbank » Datenschutz

Schulung

Der Gesetzgeber erwartet von Verantwortlichen i.S. der DSGVO entsprechende Prozesse zur Einhaltung der datenschutzrechtlichen Vorgaben zu implementieren. In einem übergeordneten Datenschutzmanagement zählt deshalb auch die Unterrichtung der Mitarbeiter, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, zu solch einer Aufgabe. Neben der Vermittlung der Grundlagen des Datenschutzes gehören folgende Themen typischer Weise zu den Schulungsinhalten:

  • Richtiges Verhalten im Umgang mit Datenschutzverletzungen
  • Wichtige Dokumente des Unternehmens, die für den Datenschutz relevant sind, wie z. B. die Richtlinie zum Datenschutz oder die Richtlinie zur privaten Nutzung dienstlicher Geräte
  • Zentrale Themen im Datenschutz, z. B. Umgang mit Passwörtern, Verhalten bei Sicherheitsvorfällen und -problemen, Regelungen zum Arbeitsplatz (Sperren der Arbeitsplätze, Aufräumen des Schreibtischs), Umgang mit Social Media, Daten(träger)- Vernichtung, Einsatz von Cookies
  • Sensibilisierung zum Erkennen "außergewöhnlicher Situationen", die z. B. auf eine mögliche Gefährdung durch Schadprogramme hinweisen
  • Sensibilisierung zu individuellen Themen, die im Unternehmen von Relevanz sind
  • Sanktionen

Damit die Inhalte auch nachhaltig vermittelt werden, ist der Adressat der Schulungs- und Sensibilisierungsmaßnahmen entscheidend. Deshalb sollte immer zielgruppenorientiert informiert werden. Typische Empfänger sind:

  •     Gesamthaus zu grundsätzlichen datenschutzrechtlichen Anforderungen
  •     Führungskräfte des Unternehmens, denn leitende Personen agieren durch Ihre Stellung im Unternehmen einerseits als Vorbild. Andererseits haben sie dadurch in der Regel Zugang zu besonders sensiblen Daten und Sachverhalten im Unternehmen
  •     IT-Mitarbeiter, da sie in der Regel erweiterte Rechte und Aufgaben besitzen
  •     Personalabteilung und Personal- bzw. Betriebsrat, denn bei der Verarbeitung von Beschäftigtendaten gelten weitergehende datenschutzrechtlichen Anforderungen
  •     Vertriebsmitarbeiter, da vor allem Werbung inkl. werblicher Kontaktaufnahme zu Kunden unter besonderem Fokus bei Verbrauchern und Aufsichtsbehörden steht  

Grundsätzlich sieht die EU-DSGVO vor, dass der Datenschutzbeauftragte, vor allem aufgrund seiner besonderen Qualifikation, die Unterrichtung zu relevanten externen und internen datenschutzrechtlichen Anforderungen durchführt. Doch nicht jedes Unternehmen hat einen Datenschutzbeauftragten. Damit Sie als Verantwortlicher zielgruppenorientiert Schulen bzw. Sensibilisieren können, unterstützen wir Sie ganz gezielt nach Ihren Wünschen. 

 

Datenschutzbeauftragter

Selbst wenn keine Pflicht zur formalen Benennung eines betrieblichen Datenschutzbeauftragten besteht, die Verantwortung zur Einhaltung der datenschutzrechtlichen Vorgaben bleibt erhalten! 

Deshalb ist es immer sinnvoll, innerhalb des Unternehmens die Position eines Datenschutzbeauftragten zu besetzen bzw. sich zumindest extern datenschutzrechtlich beraten zu lassen. 

Aufgrund der zentralen Rolle innerhalb der Unternehmensorganisation fordern die DSGVO und die Datenschutzaufsichtsbehörden auch, dass der Datenschutzbeauftragte auf Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt wird. Dabei ist u.a. die Unternehmensgröße, Anzahl und Intensität von Verarbeitungsvorgängen sowie die technische Infrastruktur zu beachten.
Zu den Kernaufgaben des Datenschutzbeauftragten zählen: 

·       Verantwortlichkeit innerhalb des Datenschutzmanagementsystems 

·       Schulung und Unterrichtung des Verantwortlichen, Mitarbeiter und Auftragsverarbeiter 

·       Überwachung und Kontrolle der Datenschutzvorschriften innerhalb des Unternehmens 

·       Beratung zu datenschutzrelevanten Sachverhalten 

·       Ansprechpartner für Betroffene, z.B. bei allgemeinen Fragen oder Auskunftsersuchen 

·       Anlaufstelle und Zusammenarbeit mit der zuständigen Aufsichtsbehörde 

·       Ggf. Koordinationsfunktion für das Führen des Verzeichnisses der Verarbeitungstätigkeiten 

Aufgrund seiner Funktion und Tätigkeiten ist bei der Ernennung des Datenschutzbeauftragten darauf zu achten, dass keine Interessenkonflikte durch bspw. weitere Funktionsausübungen bei derselben Person auftreten. Der Gesetzgeber und die Aufsichtsbehörden weisen in solchen Fällen ausdrücklich auf eine Unvereinbarkeit hin. Davon betroffen sind typischerweise Kombinationen von Datenschutzbeauftragter und Inhaber, Vorstand, Geschäftsführer, Aufsichtsrat, Mitarbeiter der IT-Abteilung, Betriebsleiter, Mitarbeiter der Personalabteilung, Marketing und Mitglied der Personalvertretung. 
Durch die Bestellung eines externen Datenschutzbeauftragten vermeiden Sie diese Interessenkonflikte. Darüber hinaus bietet die Auslagerung auch weitere Vorteile:  

·       Sämtliche Kosten für Aus- und Fortbildungsmaßnahmen 
        für den internen Datenschutzbeauftragten fallen weg 

·       Dauerhafte Gewährleistung einer Vertretung  

·       Keine weiteren Kosten für Aus- und Fortbildung der Vertretungsperson  

·       Mitarbeiter, die im Unternehmen Datenschutzbeauftragte sind, machen dies oft nebenbei. 
        Durch die Bestellung eines externen Datenschutzbeauftragten liegt die Aufgabe in den Händen von Experten 

 

EU-Datenschutzgrundverordnung

Der Schutz von personenbezogenen Daten stellt einen Grundrechtsschutz dar. Es geht dabei um den Schutz des Einzelnen, denn im Umgang mit seinen Daten dürfen seine Persönlichkeitsrechte nicht beeinträchtigt werden. Deshalb beginnt die Festschreibung der Persönlichkeitsrechte bereits in der „Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK)“ und der „Charta der Grundrechte der Europäischen Union (GRC)“. Die EU-Datenschutzgrundverordnung knüpft daran an und ist mit dem Rechtscharakter als Verordnung unmittelbar anwendbares Recht für die Mitgliedsstaaten. Sie schafft insoweit einen neuen Rechtsrahmen zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. Die EU-DSGVO löste dabei das bis dahin bestehende Bundesdatenschutzgesetz ab. Mit der Datenschutzgrundverordnung soll ein weitestgehend einheitliches Datenschutzrechtniveau in allen Mitgliedsstaaten der EU geschaffen werden. Gleichzeitig will der Gesetzgeber mit der Einführung der neuen Regelungen den Umgang mit personenbezogenen Daten, in einer immer schneller entwickelnden Technologie- und Digitalisierungsumgebung, der modernen Welt zeitgemäß anpassen. Dabei wird die EU-DSGVO durch weitere nationale sowie europäische Vorgaben unterstützt bzw. konkretisiert. Dazu zählen u.a. die E-privacy-Richtlinie, das Bundesdatenschutzgesetz (BDSGneu), das Gesetz gegen den unlauteren Wettbewerb (UWG), das Telemediengesetz (TMG) und das Telekommunikations-Telemediendatenschutzgesetz (TTDSG).

 

Die EU-DSGVO regelt u.a.

Grundsätze der Verarbeitungstätigkeit

Das bedeutet, dass jede Verarbeitung personenbezogener Daten nur nach bestimmten Grundsätzen erfolgen darf - nämlich z.B. auf rechtmäßige Weise und für festgelegte, eindeutige und legitime Zwecke. Weiterhin dürfen personenbezogene Daten nur so lange gespeichert werden, wie sie zur Erfüllung des Zweckes erforderlich sind. 

Betroffenenrechte 

Mit Inkrafttreten der EU-DSGVO wurden auch die Rechte der Betroffenen gestärkt. Dazu zählen u.a. Informations-, Auskunfts-, Löschungs- und Widerspruchsrechte. Für die Verantwortlichen gibt es die Pflicht Prozesse zu schaffen, um den Rechten der Betroffenen nachzukommen. 

Verantwortliche und Auftragsverarbeiter 

Der Begriff Verantwortlicher i.S. des Datenschutzes gab es bereits schon unter dem Bundesdatenschutzgesetz a.F., die EU-DSGVO hat hier jedoch neben den Begrifflichkeiten auch die Vorgaben konkretisiert. Egal ob man als alleiniger Verantwortlicher, als „gemeinsam für die Verarbeitung Verantwortliche“ oder bspw. in einer vertraglichen „Auftragsverarbeitung“ agiert, ein zentrales Thema bilden die geforderten Sicherheiten bei der Verarbeitung personenbezogener Daten durch technisch-organisatorische Maßnahmen. Dazu zählen u.a. Zutritts-, Zugangs- und Zugriffskonzepte. Aber auch die gesamte IT-Infrastruktur ist elementar für eine ordnungsgemäße Datenschutzorganisation. Insgesamt überschneiden bzw. ergänzen sich hier die Anforderungen aus der Informationssicherheit und dem Datenschutz, denn geeignete technisch-organisatorische Maßnahmen wirken sich positiv auf den Schutz von personenbezogenen  und Unternehmensdaten aus und tragen somit zu einem wirksamen Datenschutz- und Informationssicherheitsmanagement bei. 

Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen 

Das Urteil vom Europäischen Gerichtshof aus Juli 2020 (Schrems II) in Bezug auf das Abkommen „Privacy Shield“ zum Datenaustausch zwischen Europa und der USA macht deutlich - auch bei der Übermittlung von personenbezogenen Daten außerhalb der Europäischen Union müssen entsprechende allgemeine Grundsätze der EU-DSGVO eingehalten werden. 

Sanktionen 

Der Europäische Gesetzgeber macht es mit der Formulierung in der EU-DSGVO deutlich. So heißt es in Art. 83 DSGVO, dass durch die Aufsichtsbehörden sicherzustellen ist, dass jedes Bußgeld „abschreckend“ ist. Untermauert wird dies durch den Bußgeldrahmen. So kann es bei schwerwiegenden Verstößen gegen die oben auf der Seite angeführten Anforderungen entweder bis zu 20.000.000 € oder 4 % des Jahresumsatzes gehen, je nachdem, was höher ausfällt. 

 

Sie haben bisher noch nicht über die Folgen der EU-DSGVO nachgedacht und würden gerne Wissen, was dies konkret für Ihr Unternehmen bedeutet?

TOM´s und Artikel 25 der DSGVO

Artikel 25 der Datenschutz-Grundverordnung (DSGVO) legt die Verantwortlichkeiten und Pflichten von Unternehmen und Organisationen bei der Verarbeitung personenbezogener Daten fest.

Unter Artikel 25 wird verlangt, dass Unternehmen und Organisationen angemessene technische und organisatorische Maßnahmen ergreifen, um einen angemessenen Schutz der personenbezogenen Daten sicherzustellen. Dies beinhaltet die Überprüfung und Evaluation von Risiken und die Durchführung regelmäßiger Überwachungen.

Eine wichtige Komponente von Artikel 25 ist das Konzept des Datenschutz-durch-Design und -Standard. Dies bedeutet, dass die Datenschutzaspekte bereits bei der Konzeption und Entwicklung von Produkten und Dienstleistungen berücksichtigt werden müssen.

Zusätzlich müssen Unternehmen und Organisationen die Möglichkeit haben, nachzuweisen, dass sie den Anforderungen von Artikel 25 entsprechen. Dies kann durch die Durchführung von Datenschutz-Audits oder -Prüfungen erfolgen. Technisch-organisatorische Maßnahmen (TOMs) sind Maßnahmen, die im Rahmen der Datenschutz-Grundverordnung (DSGVO) zum Schutz personenbezogener Daten eingesetzt werden müssen. Sie dienen dazu, die Daten vor Verlust, Zerstörung, Manipulation und unbefugtem Zugriff zu schützen.

Beispiele für technisch-organisatorische Maßnahmen sind:

  • Verschlüsselung von Daten
  • Regelmäßige Sicherungskopien
  • Zugriffskontrollen für Mitarbeiter
  • Überwachung von Netzwerken und Systemen
  • Dokumentation von Verfahren und Prozessen
  • Schulungen und Awareness-Maßnahmen für Mitarbeiter
  • Überprüfung von Dienstleistern und Zulieferern.

Es ist wichtig zu beachten, dass die technisch-organisatorischen Maßnahmen je nach Größe und Art des Unternehmens oder der Organisation angepasst werden müssen und regelmäßig überprüft werden sollten, um sicherzustellen, dass sie immer aktuell und wirksam sind.


Ein Verstoß gegen Artikel 25 kann zu erheblichen finanziellen Strafen führen, da die DSGVO eine starke Durchsetzung und harte Sanktionen für Verstöße vorsieht.

Insgesamt ist Artikel 25 ein wichtiger Bestandteil der DSGVO und legt die Verantwortlichkeiten und Pflichten von Unternehmen und Organisationen bei der Verarbeitung personenbezogener Daten fest. Es ist wichtig, dass Unternehmen und Organisationen die Anforderungen von Artikel 25 verstehen und umsetzen, um einen angemessenen Schutz der personenbezogenen Daten zu gewährleisten.

 

Sie haben bisher noch nicht über die Folgen der EU-DSGVO nachgedacht und würden gerne Wissen, was dies konkret für Ihr Unternehmen bedeutet?

Verstoß gegen die DSGVO- Was ist das genau ?

Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) sind Handlungen oder Unterlassungen, die gegen die Regelungen der DSGVO verstoßen und somit den Schutz personenbezogener Daten beeinträchtigen können. Die Folgen von Verstößen können hohe Geldstrafen, negative Publicity und Verlust des Kundenvertrauens sein.

Einige Beispiele für Verstöße gegen die DSGVO sind:

  1. Datenschutzverletzungen: Unbefugter Zugriff auf personenbezogene Daten, Verlust oder Diebstahl von Daten, unberechtigte Übermittlung von Daten an Dritte, usw.

  2. Fehlende Dokumentation: Mangelnde Dokumentation von Verfahren und Prozessen, insbesondere bezüglich der Verarbeitung personenbezogener Daten.

  3. Mangelhafte Zustimmung: Verwendung personenbezogener Daten ohne eine gültige Zustimmung der betroffenen Person oder ohne Bestehen einer rechtlichen Grundlage.

  4. Nichteinhaltung der Löschpflicht: Verletzung der Pflicht, personenbezogene Daten unverzüglich zu löschen, wenn sie nicht mehr erforderlich sind oder die betroffene Person ihre Zustimmung widerruft.

  5. Unzulässige Übermittlung von Daten: Übermittlung personenbezogener Daten in ein Land außerhalb der Europäischen Union (EU), wenn keine ausreichenden Schutzmaßnahmen vorliegen.

Es ist wichtig zu beachten, dass Verstöße gegen die DSGVO ein wichtiges Thema für Unternehmen und Organisationen sind, die mit personenbezogenen Daten arbeiten. Durch die Einhaltung der Regelungen und die Umsetzung geeigneter technisch-organisatorischer Maßnahmen kann das Risiko von Verstößen reduziert werden.

 

Sie haben bisher noch nicht über die Folgen der EU-DSGVO nachgedacht und würden gerne Wissen, was dies konkret für Ihr Unternehmen bedeutet?

Die Informationsklassifizierung nach DSGVO

Die Informationsklassifizierung nach der Datenschutz-Grundverordnung (DSGVO) ist ein wichtiger Bestandteil des Datenschutzes und dient dazu, die Sensibilität von Daten zu bewerten und angemessen zu schützen.

Es handelt sich dabei um eine Bewertung von Daten, die auf Basis ihres Schutzbedarfs und ihrer potentiellen Folgen im Falle eines Datenverlusts oder -missbrauchs kategorisiert werden. Hierbei kann es sich um persönliche Daten von Personen, geschäftliche Daten oder geheime Daten handeln.

Ein Beispiel für eine hochsensible Datenkategorie wäre zum Beispiel personenbezogene Gesundheitsdaten, wie beispielsweise Krankenakten oder Röntgenbilder. Diese Daten benötigen einen besonders hohen Schutz und sollten nur von autorisierten Personen zu berechtigten Zwecken verarbeitet werden.

Ein Beispiel für eine geringere Sensibilität besitzende Datenkategorie wäre die E-Mail-Adresse einer Person. Diese Daten können verarbeitet werden, solange die betroffene Person ihre Einwilligung gegeben hat und es einen berechtigten Zweck gibt.

Es ist wichtig, Daten angemessen zu klassifizieren und entsprechende Schutzmaßnahmen zu ergreifen, um sicherzustellen, dass die Daten vor Missbrauch und Verlust geschützt sind. Dies hilft auch dabei, die Verantwortung für die Daten zu klären und sicherzustellen, dass die DSGVO-Bestimmungen eingehalten werden.

 

Sie haben bisher noch nicht über die Folgen der EU-DSGVO nachgedacht und würden gerne Wissen, was dies konkret für Ihr Unternehmen bedeutet?

Wir helfen Ihnen beim Aufbau der Informationsklassifizierung!

Was ist das "Schrems II - Urteil" ?

Das "Schrems II"-Urteil ist ein bedeutendes Urteil des Europäischen Gerichtshofs (EuGH) im Bereich des Datenschutzes, das im Juli 2020 verkündet wurde. Es betrifft die Standardvertragsklauseln (SCC) und deren Verwendung für die Übertragung personenbezogener Daten von Europa in die USA.

Das Urteil besagt, dass die Standardvertragsklauseln nicht mehr ausreichend sind, um eine angemessene Datenschutzstufe für die Übertragung von Daten aus Europa in Länder mit weniger starken Datenschutzgesetzen zu garantieren, wie beispielsweise die USA.

Das Urteil wurde im Rahmen einer Klage von Max Schrems, einem österreichischen Datenschutzaktivisten, gegen Facebook eingereicht. Die Entscheidung hat weitreichende Auswirkungen auf Unternehmen, die personenbezogene Daten über die Grenzen hinweg übertragen, und zwingt sie, alternative Methoden zur Übertragung von Daten zu finden, die den Datenschutzbestimmungen der DSGVO entsprechen.

Das "Schrems II"-Urteil unterstreicht die Bedeutung eines starken und anerkannten Datenschutzrechts für den Schutz personenbezogener Daten und betont die Verantwortung von Unternehmen, ihre Daten angemessen zu schützen und sicherzustellen, dass sie den Datenschutzbestimmungen der DSGVO entsprechen.

 

Sie haben bisher noch nicht über die Folgen der EU-DSGVO nachgedacht und würden gerne Wissen, was dies konkret für Ihr Unternehmen bedeutet?