NNW Consulting

NNW Consulting

Startseite » Wissensdatenbank » Datenschutz

Schulung

Der Gesetzgeber erwartet von Verantwortlichen i.S. der DSGVO entsprechende Prozesse zur Einhaltung der datenschutzrechtlichen Vorgaben zu implementieren. In einem übergeordneten Datenschutzmanagement zählt deshalb auch die Unterrichtung der Mitarbeiter, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, zu solch einer Aufgabe. Neben der Vermittlung der Grundlagen des Datenschutzes gehören folgende Themen typischer Weise zu den Schulungsinhalten:

  • Richtiges Verhalten im Umgang mit Datenschutzverletzungen
  • Wichtige Dokumente des Unternehmens, die für den Datenschutz relevant sind, wie z. B. die Richtlinie zum Datenschutz oder die Richtlinie zur privaten Nutzung dienstlicher Geräte
  • Zentrale Themen im Datenschutz, z. B. Umgang mit Passwörtern, Verhalten bei Sicherheitsvorfällen und -problemen, Regelungen zum Arbeitsplatz (Sperren der Arbeitsplätze, Aufräumen des Schreibtischs), Umgang mit Social Media, Daten(träger)- Vernichtung, Einsatz von Cookies
  • Sensibilisierung zum Erkennen "außergewöhnlicher Situationen", die z. B. auf eine mögliche Gefährdung durch Schadprogramme hinweisen
  • Sensibilisierung zu individuellen Themen, die im Unternehmen von Relevanz sind
  • Sanktionen

Damit die Inhalte auch nachhaltig vermittelt werden, ist der Adressat der Schulungs- und Sensibilisierungsmaßnahmen entscheidend. Deshalb sollte immer zielgruppenorientiert informiert werden. Typische Empfänger sind:

    Gesamthaus zu grundsätzlichen datenschutzrechtlichen Anforderungen
    Führungskräfte des Unternehmens, denn leitende Personen agieren durch Ihre Stellung im Unternehmen einerseits als Vorbild. Andererseits haben sie dadurch in der Regel Zugang zu besonders sensiblen Daten und Sachverhalten im Unternehmen
    IT-Mitarbeiter, da sie in der Regel erweiterte Rechte und Aufgaben besitzen
    Personalabteilung und Personal- bzw. Betriebsrat, denn bei der Verarbeitung von Beschäftigtendaten gelten weitergehende datenschutzrechtlichen Anforderungen
    Vertriebsmitarbeiter, da vor allem Werbung inkl. werblicher Kontaktaufnahme zu Kunden unter besonderem Fokus bei Verbrauchern und Aufsichtsbehörden steht  

Grundsätzlich sieht die EU-DSGVO vor, dass der Datenschutzbeauftragte, vor allem aufgrund seiner besonderen Qualifikation, die Unterrichtung zu relevanten externen und internen datenschutzrechtlichen Anforderungen durchführt. Doch nicht jedes Unternehmen hat einen Datenschutzbeauftragten. Damit Sie als Verantwortlicher zielgruppenorientiert Schulen bzw. Sensibilisieren können, unterstützen wir Sie ganz gezielt nach Ihren wünschen. 

 

Datenschutzbeauftragter

Selbst wenn keine Pflicht zur formalen Benennung eines betrieblichen Datenschutzbeauftragten besteht, die Verantwortung zur Einhaltung der datenschutzrechtlichen Vorgaben bleibt erhalten! 

Deshalb ist es immer sinnvoll, innerhalb des Unternehmens die Position eines Datenschutzbeauftragten zu besetzen bzw. sich zumindest extern datenschutzrechtlich beraten zu lassen. 

Aufgrund der zentralen Rolle innerhalb der Unternehmensorganisation fordern die DSGVO und die Datenschutzaufsichtsbehörden auch, dass der Datenschutzbeauftragte auf Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt wird. Dabei ist u.a. die Unternehmensgröße, Anzahl und Intensität von Verarbeitungsvorgängen sowie die technische Infrastruktur zu beachten.
Zu den Kernaufgaben des Datenschutzbeauftragten zählen: 

·       Verantwortlichkeit innerhalb des Datenschutzmanagementsystems 

·       Schulung und Unterrichtung des Verantwortlichen, Mitarbeiter und Auftragsverarbeiter 

·       Überwachung und Kontrolle der Datenschutzvorschriften innerhalb des Unternehmens 

·       Beratung zu datenschutzrelevanten Sachverhalten 

·       Ansprechpartner für Betroffene, z.B. bei allgemeinen Fragen oder Auskunftsersuchen 

·       Anlaufstelle und Zusammenarbeit mit der zuständigen Aufsichtsbehörde 

·       Ggf. Koordinationsfunktion für das Führen des Verzeichnisses der Verarbeitungstätigkeiten 

Aufgrund seiner Funktion und Tätigkeiten ist bei der Ernennung des Datenschutzbeauftragten darauf zu achten, dass keine Interessekonflikte durch bspw. weitere Funktionsausübungen bei derselben Person auftreten. Der Gesetzgeber und die Aufsichtsbehörden weisen in solchen Fällen ausdrücklich auf eine Unvereinbarkeit hin. Davon betroffen sind typischerweise Kombinationen von Datenschutzbeauftragter und Inhaber, Vorstand, Geschäftsführer, Aufsichtsrat, Mitarbeiter der IT-Abteilung, Betriebsleiter, Mitarbeiter der Personalabteilung, Marketing und Mitglied der Personalvertretung. 
Durch die Bestellung eines externen Datenschutzbeauftragten vermeiden Sie diese Interessenkonflikte. Darüber hinaus bietet die Auslagerung auch weitere Vorteile:  

·       Sämtliche Kosten für Aus- und Fortbildungsmaßnahmen 
        für den internen Datenschutzbeauftragten fallen weg 

·       Dauerhafte Gewährleistung einer Vertretung  

·       Keine weiteren Kosten für Aus- und Fortbildung der Vertretungsperson  

·       Mitarbeiter, die im Unternehmen Datenschutzbeauftragte sind, machen dies oft nebenbei. 
        Durch die Bestellung eines externen Datenschutzbeauftragten liegt die Aufgabe in den Händen von Experten 

 

EU-Datenschutzgrundverordnung

Der Schutz von personenbezogenen Daten stellt einen Grundrechtsschutz dar. Es geht dabei um den Schutz des Einzelnen, denn im Umgang mit seinen Daten dürfen seine Persönlichkeitsrechte nicht beeinträchtigt werden. Deshalb beginnt die Festschreibung der Persönlichkeitsrechte bereits in der „Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK)“ und der „Charta der Grundrechte der Europäischen Union (GRC)“. Die EU-Datenschutzgrundverordnung knüpft daran an und ist mit dem Rechtscharakter als Verordnung unmittelbar anwendbares Recht für die Mitgliedsstaaten. Sie schafft insoweit einen neuen Rechtsrahmen zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. Die EU-DSGVO löste dabei das bis dahin bestehende Bundesdatenschutzgesetz ab. Mit der Datenschutzgrundverordnung soll ein weitestgehend einheitliches Datenschutzrechtniveau in allen Mitgliedsstaaten der EU geschaffen werden. Gleichzeitig will der Gesetzgeber mit der Einführung der neuen Regelungen den Umgang mit personenbezogenen Daten, in einer immer schneller entwickelnden Technologie- und Digitalisierungsumgebung, der modernen Welt zeitgemäß anpassen. Dabei wird die EU-DSGVO durch weitere nationale sowie europäische Vorgaben unterstützt bzw. konkretisiert. Dazu zählen u.a. die E-privacy-Richtlinie, das Bundesdatenschutzgesetz (BDSGneu), das Gesetz gegen den unlauteren Wettbewerb (UWG), das Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG).

 

Die EU-DSGVO regelt u.a.

Grundsätze der Verarbeitungstätigkeit

Das bedeutet, dass jede Verarbeitung personenbezogener Daten nur nach bestimmten Grundsätzen erfolgen darf - nämlich z.B. auf rechtmäßige Weise und für festgelegte, eindeutige und legitime Zwecke. Weiterhin dürfen personenbezogene Daten nur so lange gespeichert werden, wie sie zur Erfüllung des Zweckes erforderlich sind. 

Betroffenenrechte 

Mit Inkrafttreten der EU-DSGVO wurden auch die Rechte der Betroffenen gestärkt. Dazu zählen u.a. Informations-, Auskunfts-, Löschungs- und Widerspruchsrechte. Für die Verantwortlichen gibt es die Pflicht Prozesse zu schaffen, um den Rechten der Betroffenen nachzukommen. 

Verantwortliche und Auftragsverarbeiter 

Der Begriff Verantwortlicher i.S. des Datenschutzes gab es bereits schon unter dem Bundesdatenschutzgesetz a.F., die EU-DSGVO hat hier jedoch neben den Begrifflichkeiten auch die Vorgaben konkretisiert. Egal ob man als alleiniger Verantwortlicher, als „gemeinsam für die Verarbeitung Verantwortliche“ oder bspw. in einer vertraglichen „Auftragsverarbeitung“ agiert, ein zentrales Thema bilden die geforderten Sicherheiten bei der Verarbeitung personenbezogener Daten durch technisch-organisatorische Maßnahmen. Dazu zählen u.a. Zutritts-, Zugangs- und Zugriffskonzepte. Aber auch die gesamte IT-Infrastruktur ist elementar für eine ordnungsgemäße Datenschutzorganisation. Insgesamt überschneiden bzw. ergänzen sich hier die Anforderungen aus der Informationssicherheit und dem Datenschutz, denn geeignete technisch-organisatorische Maßnahmen wirken sich positiv auf den Schutz von personenbezogenen  und Unternehmensdaten aus und tragen somit zu einem wirksamen Datenschutz- und Informationssicherheitsmanagement bei. 

Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen 

Das Urteil vom Europäischen Gerichtshof aus Juli 2020 (Schrems II) in Bezug auf das Abkommen „Privacy Shield“ zum Datenaustausch zwischen Europa und der USA macht deutlich - auch bei der Übermittlung von personenbezogenen Daten außerhalb der Europäischen Union müssen entsprechende allgemeine Grundsätze der EU-DSGVO eingehalten werden. 

Sanktionen 

Der Europäische Gesetzgeber macht es mit der Formulierung in der EU-DSGVO deutlich. So heisst es in Art. 83 DSGVO, dass durch die Aufsichtsbehörden sicherzustellen ist, dass jedes Bußgeld „abschreckend“ ist. Untermauert wird dies durch den Bußgeldrahmen. So kann es bei schwerwiegenden Verstößen gegen die oben auf der Seite angeführten Anforderungen entweder bis zu 20.000.000 € oder 4 % des Jahresumsatzes gehen, je nachdem, was höher ausfällt. 

 

Sie haben bisher noch nicht über die Folgen der EU-DSGVO nachgedacht und würden gerne Wissen, was dies konkret für Ihr Unternehmen bedeutet?