Home Blog Datenschutz-Compliance in…
Zurück
seitz.digital

Datenschutz-Compliance in Unternehmen

Home Blog Datenschutz-Compliance in…
Zurück
Autoren
Dr. Marc Werner
Datum

01. Juni 2019

Diesen Beitrag teilen

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung („DS-GVO“) in der Europäischen Union. Nach knapp einem Jahr lässt sich festhalten: Datenschutz-Compliance ist wichtiger denn je. Erste Abmahnungen zwischen Wettbewerbern sind erfolgt, empfindliche Bußgelder durch die Aufsichtsbehörden verteilt.  Mit den nachfolgenden Punkten der Checkliste „Seitz.Datenschutz-Checkliste.2019“ können Sie überprüfen, ob Sie die wichtigsten Bereiche einer effektiven Datenschutz-Compliance abdecken und in welchen Bereichen ggf. noch nachjustiert werden muss.

Checkliste: 

  • Datenschutzerklärungen für alle relevanten Bereiche (Homepage, Beschäftigte, Kunden)
  • Erstellung und Pflege eines Verarbeitungsverzeichnisses zur Erfassung von Verarbeitungstätigkeiten 
  • Ernennung eines Datenschutzbeauftragten
  • Vertragsgrundlagen mit externen Unternehmen: Auftragsverarbeitungen, gemeinsame Verantwortlichkeiten, getrennte Verantwortlichkeiten mit relevanten Haftungsrisiken
  • Retention Management: Löschroutinenzur Vermeidung von „Datenfriedhöfen“ 
  • Data Breach Konzept – Verfahren, Zuständigkeiten, Versicherungen
  • Datensicherheitskonzept (IT-Sicherheit wie z.B. Verschlüsselung)
  • Risikobewertungen zum Datenschutz im Unternehmen
  • Verteilung klarer interner Zuständigkeiten für Datenschutz-Compliance 
  • Maßnahmen zur Absicherung von Vorständen und Geschäftsführern gegen datenschutzrechtliche Risiken und Risikomanagement
  • Nutzung von Cookies sowie anderen Tracking-Mechanismen
  • Umsetzung des Datenschutzes bei Direktwerbung / Marketingmaßnahmen allgemein (bspw. via Mail, Mobil, Social Media, personalisierte Werbung)
  • Umsetzung des Datenschutzes beim Umgang mit Social Media

Ein Blick auf besonders wichtige Maßnahmen

 „Gap Analysis“: Analyse vorhandener Datenschutzprozesse und Abgleich mit Anforderungen 

Die „Gap Analysis“ ist ein klassisches Instrument des strategischen Controllings, um die Abweichungen von den Anforderungen der DS-GVO festzustellen. Je gravierender die Abweichungen sind, desto mehr Handlungsbedarf besteht. Seitz Rechtsanwälte Steuerberater vergleicht die Mindestanforderungen, die durch die DS-GVO, das BDSG und die Rechtsprechung gelten, mit der bestehenden Lage im Unternehmen und arbeitet anschließend bestehende Sicherheitslücken heraus. Anhand dieser können der konkrete Handlungsbedarf festgestellt und die zu ergreifenden Maßnahmen gemeinsam mit dem Unternehmen erarbeitet werden.

Implementierung der DS-GVO und des neuen BDSG

Durch das neue BDSG und die DS-GVO müssen vor dem Inkrafttreten entworfene Verträge mit Auftragsverarbeitern sowie Datenschutzerklärungen, Informationsschreiben, Einverständniserklärungen auf Webseiten u.v.m. auf den Stand der aktuell geltenden Rechtslage gebracht werden. Neben der Implementierung der Gesetze muss auch die aktuelle Rechtsprechung ausgewertet und einbezogen werden. 

IT-Sicherheit

Die IT-Sicherheit spielt in Zeiten voranschreitender Digitalisierung und wiederkehrend auftretender Fälle von Cyber-Kriminalität eine immer größere Rolle. Bei der Anpassung von IT-Systemen, der Nutzung von Cookies und anderen Tracking-Mechanismen sowie der Umsetzung des Datenschutzes bei der Verwendung von Videoüberwachung sind technische und rechtliche Möglichkeiten in Einklang zu bringen. Hierzu sollte ein Datensicherheitskonzept erarbeitet werden, das den technischen Möglichkeiten einen rechtssicheren Rahmen gibt.

Datenschutz beim Umgang mit Social Media

Auch beim Umgang mit Social Media Plattformen wie Facebook, Twitter und Co. sollten die Vorgaben der DS-GVO und des BDSG berücksichtigt werden. So nimmt der Europäische Gerichtshof an, dass Betreiber von Facebook-Fanseiten im Rahmen einer gemeinsamen Verantwortlichkeit mit Facebook (!) gegenüber den Seitenbenutzern haften können. Nicht nur sind Datenschutzerklärungen hinsichtlich Cookies, Plugins u.v.m. anzupassen, sondern die Vertragsbeziehungen mit den Social Media Anbietern klar zu gestalten. Zudem sollten Mitarbeiter, die eine Fanpage pflegen, im Datenschutzrecht allgemein und beim Umgang mit Social Media besonders geschult sein.

Datenschutzfolgenabschätzung

Anhand der im Unternehmen vorhandenen Datenbestände und -verarbeitungen muss eine Risikobewertung zum Datenschutz im Unternehmen durchgeführt werden. Darin werden die Risiken eingeschätzt, bewertet und entsprechende Maßnahmen zur Risikominimierung getroffen. Zudem können Maßnahmen zur Absicherung von Vorständen und Geschäftsführern gegen datenschutzrechtliche Risiken und Risikomanagement ausgearbeitet werden. 

Datenschutz-Compliance in Unternehmen

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung („DS-GVO“) in der Europäischen Union. Nach knapp einem Jahr lässt sich festhalten: Datenschutz-Compliance ist wichtiger denn je. Erste Abmahnungen zwischen Wettbewerbern sind erfolgt, empfindliche Bußgelder durch die Aufsichtsbehörden verteilt.  Mit den nachfolgenden Punkten der Checkliste „Seitz.Datenschutz-Checkliste.2019“ können Sie überprüfen, ob Sie die wichtigsten Bereiche einer effektiven Datenschutz-Compliance abdecken und in welchen Bereichen ggf. noch nachjustiert werden muss.

Checkliste: 

  • Datenschutzerklärungen für alle relevanten Bereiche (Homepage, Beschäftigte, Kunden)
  • Erstellung und Pflege eines Verarbeitungsverzeichnisses zur Erfassung von Verarbeitungstätigkeiten 
  • Ernennung eines Datenschutzbeauftragten
  • Vertragsgrundlagen mit externen Unternehmen: Auftragsverarbeitungen, gemeinsame Verantwortlichkeiten, getrennte Verantwortlichkeiten mit relevanten Haftungsrisiken
  • Retention Management: Löschroutinenzur Vermeidung von „Datenfriedhöfen“ 
  • Data Breach Konzept – Verfahren, Zuständigkeiten, Versicherungen
  • Datensicherheitskonzept (IT-Sicherheit wie z.B. Verschlüsselung)
  • Risikobewertungen zum Datenschutz im Unternehmen
  • Verteilung klarer interner Zuständigkeiten für Datenschutz-Compliance 
  • Maßnahmen zur Absicherung von Vorständen und Geschäftsführern gegen datenschutzrechtliche Risiken und Risikomanagement
  • Nutzung von Cookies sowie anderen Tracking-Mechanismen
  • Umsetzung des Datenschutzes bei Direktwerbung / Marketingmaßnahmen allgemein (bspw. via Mail, Mobil, Social Media, personalisierte Werbung)
  • Umsetzung des Datenschutzes beim Umgang mit Social Media

Ein Blick auf besonders wichtige Maßnahmen

 „Gap Analysis“: Analyse vorhandener Datenschutzprozesse und Abgleich mit Anforderungen 

Die „Gap Analysis“ ist ein klassisches Instrument des strategischen Controllings, um die Abweichungen von den Anforderungen der DS-GVO festzustellen. Je gravierender die Abweichungen sind, desto mehr Handlungsbedarf besteht. Seitz Rechtsanwälte Steuerberater vergleicht die Mindestanforderungen, die durch die DS-GVO, das BDSG und die Rechtsprechung gelten, mit der bestehenden Lage im Unternehmen und arbeitet anschließend bestehende Sicherheitslücken heraus. Anhand dieser können der konkrete Handlungsbedarf festgestellt und die zu ergreifenden Maßnahmen gemeinsam mit dem Unternehmen erarbeitet werden.

Implementierung der DS-GVO und des neuen BDSG

Durch das neue BDSG und die DS-GVO müssen vor dem Inkrafttreten entworfene Verträge mit Auftragsverarbeitern sowie Datenschutzerklärungen, Informationsschreiben, Einverständniserklärungen auf Webseiten u.v.m. auf den Stand der aktuell geltenden Rechtslage gebracht werden. Neben der Implementierung der Gesetze muss auch die aktuelle Rechtsprechung ausgewertet und einbezogen werden. 

IT-Sicherheit

Die IT-Sicherheit spielt in Zeiten voranschreitender Digitalisierung und wiederkehrend auftretender Fälle von Cyber-Kriminalität eine immer größere Rolle. Bei der Anpassung von IT-Systemen, der Nutzung von Cookies und anderen Tracking-Mechanismen sowie der Umsetzung des Datenschutzes bei der Verwendung von Videoüberwachung sind technische und rechtliche Möglichkeiten in Einklang zu bringen. Hierzu sollte ein Datensicherheitskonzept erarbeitet werden, das den technischen Möglichkeiten einen rechtssicheren Rahmen gibt.

Datenschutz beim Umgang mit Social Media

Auch beim Umgang mit Social Media Plattformen wie Facebook, Twitter und Co. sollten die Vorgaben der DS-GVO und des BDSG berücksichtigt werden. So nimmt der Europäische Gerichtshof an, dass Betreiber von Facebook-Fanseiten im Rahmen einer gemeinsamen Verantwortlichkeit mit Facebook (!) gegenüber den Seitenbenutzern haften können. Nicht nur sind Datenschutzerklärungen hinsichtlich Cookies, Plugins u.v.m. anzupassen, sondern die Vertragsbeziehungen mit den Social Media Anbietern klar zu gestalten. Zudem sollten Mitarbeiter, die eine Fanpage pflegen, im Datenschutzrecht allgemein und beim Umgang mit Social Media besonders geschult sein.

Datenschutzfolgenabschätzung

Anhand der im Unternehmen vorhandenen Datenbestände und -verarbeitungen muss eine Risikobewertung zum Datenschutz im Unternehmen durchgeführt werden. Darin werden die Risiken eingeschätzt, bewertet und entsprechende Maßnahmen zur Risikominimierung getroffen. Zudem können Maßnahmen zur Absicherung von Vorständen und Geschäftsführern gegen datenschutzrechtliche Risiken und Risikomanagement ausgearbeitet werden. 

News
Aktuelle News
Newsroom
Arbeitsrechtsteam von Gleiss Lutz in München wechselt zu Seitz
24. April 2024
Deal News
Warenhauskonzern vor Eigentümerwechsel: Insolvenzverwalter überträgt GALERIA erfolgreic...
17. April 2024
Deal News
Post Merger Integration Apleona/Gegenbauer: Apleona führt mit Seitz erstmals einen Haus...
15. April 2024
E-Mail Tel
Footer Mood