Elementares Wissen zur Umsetzung der DSGVO in Unternehmen

Aus dem neuen Datenschutzrecht ergeben sich für nahezu jedes Unternehmen zahlreiche Pflichten, die an dieser Stelle kompakt vorgestellt werden. Der Beitrag zeigt zudem konkrete Lösungswege zur Umsetzung der DSGVO auf.

Elementares Wissen zur Umsetzung der DSGVO in Unternehmen

Die EU-Datenschutzgrundverordnung (DSGVO) dient dem Schutz der Persönlichkeitsrechte der Betroffenen. Es handelt sich um eine EU-Verordnung, die europaweit in jedem Mitgliedsstaat gilt. Die DSGVO enthält allerdings zahlreiche Öffnungsklauseln, die es dem nationalen Gesetzgeber ermöglichen, ergänzende Gesetze zu erlassen. In Deutschland gilt neben der DSGVO vor allem das Bundesdatenschutzgesetz (BDSG). Zukünftig wird der DSGVO noch die ePrivacy-Verordnung zur Seite gestellt, die die DSGVO im Bereich der elektronischen Kommunikation ergänzen soll.

Dokumentations- und Rechenschaftspflicht

Die DSGVO gilt praktisch für alle Unternehmen in Deutschland, unabhängig von der Größe und der Anzahl der Mitarbeiter. Nur wenige Pflichten, wie z.B. die Pflicht zur Benennung eines Datenschutzbeauftragten, hängen von der Größe des Unternehmens ab. Jedes Unternehmen ist verpflichtet, seine Datenverarbeitungsvorgänge in einem Verarbeitungsverzeichnis zu dokumentieren. Auch die zum Schutz der personenbezogenen Daten getroffenen technischen und organisatorischen Maßnahmen (TOM) müssen dokumentiert werden. Die Dokumentationen dienen der Erfüllung der Rechenschaftspflicht, die jedes Unternehmen trifft. Im Zweifel muss das Unternehmen beweisen, dass die DSGVO eingehalten wurde.

Informationspflichten für Unternehmen

Daneben ist jedes Unternehmen verpflichtet, den Betroffenen (z.B. Bewerber, Mitarbeiter, Kunden, Lieferanten etc.) über die Datenverarbeitung zu informieren. Diese Informationspflichten muss jedes Unternehmen ungefragt von sich aus erfüllen. Zu den Informationspflichten gehört auch eine aktuelle Datenschutzerklärung auf der Website und in social-media-Kanälen.

Auftragsverarbeitung

Lassen Sie Ihre Daten von einem anderen Unternehmen verarbeiten (z.B. von Ihrem IT-Dienstleister oder Ihrem Newsletterversender) oder verarbeiten Sie Daten anderer Unternehmen, müssen ggf. Auftragsverarbeitungsverträge geschlossen werden.

Pflicht zur Benennung eines Datenschutzbeauftragten

Einen Datenschutzbeauftragten müssen Sie benennen, wenn in Ihrem Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Der Datenschutzbeauftragte muss in diesen Fällen auch der Aufsichtsbehörde gemeldet werden. Mehr zur Benennungspflicht entnehmen Sie dem dem Beitrag "Wann muss ein Datenschutzbeauftragter bestellt werden?".

Nahezu jeder Verstoß gegen die Vorschriften der DSGVO kann auf verschiedene Weisen von den Aufsichtsbehörden geahndet werden. So kann die Aufsichtsbehörde rechtswidrige Verarbeitungen untersagen oder Bußgelder verhängen. Die Bußgeldrahmen sind durch die DSGVO drastisch erhöht worden und reichen jetzt bis zu 20 Mio. Euro oder 4% des weltweiten Konzernjahresumsatzes.

Dr. Werner, Fachanwalt für IT-Recht und Datenschutzbeauftragter (TÜV)

Dr. Dennis Werner

Fachanwalt für IT-Recht
TÜV-zertifizierter Datenschutz­beauftragter

TÜV-Siegel als externer Datenschutzbeauftragter Dr. Dennis Werner

Fragen zum Datenschutz?

Schreiben Sie uns
info@jurando.de

Mehr zum Thema Datenschutz