Datenschutz im Unternehmen rechtssicher umsetzen, Teil 3
Der Datenschutz ist ein wichtiges und sensibles Thema. Ein verantwortungsbewusster und zuverlässiger Umgang mit personenbezogenen Daten schafft einerseits Vertrauen. Andererseits kommt ein Unternehmen damit seinen gesetzlichen Pflichten nach. Die vielen Vorschriften und Richtlinien machen es aber mitunter schwierig, die Übersicht zu bewahren.
Um etwas Hilfestellung zu bieten, haben wir einen ausführlichen Ratgeber erstellt, wie der Datenschutz im Unternehmen rechtssicher umgesetzt werden kann.
Hier ist der letzte Teil 3!:
Inhalt
Ein DSGVO-konformes Löschkonzept
Haben die Daten ihren Verwendungszweck erfüllt oder verlangt ein Betroffener die Löschung, regelt das Löschkonzept, wer welche Daten löschen muss. Die Umsetzung in der Praxis kann sich aber als kompliziert erweisen.
Denn ein Unternehmen ist auch dazu verpflichtet, Daten zu speichern und regelmäßige Backups durchzuführen. Dadurch können personenbezogene Daten an verschiedenen Orten gespeichert sein. Zudem wurden die Daten möglicherweise schon an Dritte weitergegeben. In diesen Fällen müssen die jeweiligen Datenstränge ebenfalls gelöscht werden.
Um diesen widersprüchlichen Aussagen der DSGVO gerecht zu werden, erweist sich ein ausgearbeitetes Löschkonzept als probates Instrument.
Dabei sollte das Löschkonzept folgende Punkte beinhalten:
-
Zweckbestimmung: Welche Daten aus welchen Bereichen werden wofür erhoben?
-
Löschfristen: Wann werden welche Daten gelöscht? Es sollte klare Fristen zur Löschung geben, die die gesetzlichen Aufbewahrungsfristen und die Notwendigkeit der Daten für den festgelegten Erhebungszweck berücksichtigen.
-
Löschprozesse: Wie werden die Daten gelöscht? Es sollte sichere und nachvollziehbare Verfahren zur Datenlöschung geben.
-
Technische und organisatorische Maßnahmen: Welche Schritte werden umgesetzt, um die Löschprozesse sicher und effektiv durchzuführen?
-
Beauftragter: Wer ist für die Löschung der Daten zuständig?
Eine allgemeine Vorlage für das Löschkonzept existiert nicht. Stattdessen muss jedes Unternehmen ein individuelles Konzept für sich ausarbeiten und fortlaufend anpassen. Als Leitlinie kann sich das Unternehmen an der DIN 66398 orientieren.
Wann muss es einen Datenschutzbeauftragten geben?
In einem Unternehmen oder einer Behörde ist der Datenschutzbeauftragte der zentrale Ansprechpartner für alle Fragen zum Datenschutz. Seine Hauptaufgabe besteht darin, zu überwachen, dass datenschutzrechtliche Vorgaben wie die DSGVO oder der BDSG eingehalten werden. Außerdem berät er in rechtlichen und allgemeinen Fragen rund um den Datenschutz.
Ein Datenschutzbeauftragter ist gemäß § 38 BDSG gesetzlich vorgeschrieben, wenn sich in einem Unternehmen mindestens 20 Personen regelmäßig mit personenbezogenen Daten und deren automatischer Verarbeitung befassen.
Ein behördlicher Datenschutzbeauftragte ist Pflicht, sobald der Bund oder öffentliche Stellen Daten speichern und verarbeiten. Wird trotz Verpflichtung kein Beauftragter benannt, droht ein Bußgeld.
Aufgaben und Pflichten des Datenschutzbeauftragten
Die Anforderungen an einen Datenschutzbeauftragten sind vielfältig.
Zu seinen Hauptaufgaben gehören:
-
das Unternehmen beraten und unterrichten
-
die Einhaltung von Datenschutzgesetzen überwachen
-
Prozesse und Systeme auf Datenschutzkonformität überprüfen
-
eine Datenschutzorganisation aufbauen, sondern notwendig
-
Mitarbeiter schulen
Weitere Pflichten des Datenschutzbeauftragten bestehen darin, mit der Datenschutz-Aufsichtsbehörde zusammenzuarbeiten und eine Abschätzung der Folgen für den Datenschutz zu riskanten Datenverarbeitungsvorgängen durchzuführen.
Außerdem ist der Datenschutzbeauftragte der zuständige Ansprechpartner für Kunden, Mitarbeiter und Behörden, wenn es datenschutzrechtliche Anfragen oder Beschwerden gibt.
Qualifikation des Datenschutzbeauftragten
Die Position des Datenschutzbeauftragten erfordert viel Fachwissen und genug praktische Erfahrung im Datenschutzrecht. Regelmäßige Weiterbildungen stellen sicher, dass das Wissen stets auf dem aktuellen Stand bleibt.
Weil der Datenschutzbeauftragte sehr wichtige Daten übernimmt, muss er
-
die Grundsätze und Ideen hinter der DSGVO verstehen und das nationale Datenschutzrecht kennen.
-
ein Verständnis für die Grenzen des Datenschutzes haben.
-
sich auf personenbezogene Daten fokussieren.
-
mit betroffenen Nutzern umgehen und Nutzeranfragen bearbeiten.
-
die Gewährleistung der Nutzerrechte sicherstellen.
-
ein Verfahrensverzeichnis erstellen.
-
alle Verfahren rund um die Datenverarbeitung überprüfen und DSGVO-konform überarbeiten.
Die Aus- und Weiterbildung des Datenschutzbeauftragten ist durch Kurse verschiedener Anbieter wie der IHK oder des TÜV möglich. Ein Lehrgang kostet je ach Inhalt und Umfang zwischen 500 und 2.000 Euro. Nach der Teilnahme und bestandener Prüfung erhält der Datenschutzbeauftragte ein entsprechendes Zertifikat.
Ein Unternehmen muss den Datenschutzbeauftragten nicht aus seinen eigenen Reihen benennen, sondern kann auch einen externen Beauftragten engagieren. Der Vorteil besteht meist darin, dass ein externer Datenschutzbeauftragte den aktuellen Markt kennt und als Dienstleister dafür sorgt, sein Wissen und Können stets aktuell zu halten.
Inwiefern der Datenschutzbeauftragte für Datenschutzverstöße haftet, ist umstritten und noch nicht endgültig geklärt. Fest steht aber, dass er in die Haftung genommen werden kann, wenn er Fehler macht, indem er zum Beispiel falsch oder unvollständig berät.
Deshalb ist es letztlich in seinem Interesse, frühzeitig in alle Entscheidungen eingebunden zu werden, die für den Datenschutz relevant sind.
Welche Strafen drohen bei Datenschutzverletzungen?
Verstöße gegen die Bestimmungen der DSGVO und des BDSG können hohe Geldstrafen nach sich ziehen. Außerdem kann das Vertrauen von Mitarbeitern und Kunden verloren gehen.
Die DSGVO sieht vor, dass bei einer Verletzung des Datenschutzes oder einer Datenpanne eine Geldstrafe von bis zu 20 Millionen Euro oder bis zu vier Prozent des Gesamtumsatzes aus dem vergangenen Geschäftsjahr verhängt werden kann, je nachdem, welcher Betrag höher ist.
Die Kriterien, nach denen sich die Höhe der Geldstrafe bestimmt, sind in Art. 83 DSGVO geregelt.
Demnach haben unter anderem folgende Aspekte Einfluss:
-
Art, Schwere und Dauer des Verstoßes
-
Art der Bekanntmachung des Verstoßes, insbesondere Selbstanzeige
-
Fahrlässigkeit oder Vorsatz
-
Kategorien der Daten, die vom Verstoß betroffen sind
-
Maßnahmen, um den entstandenen Schaden zu mindern
-
Einhaltung der TOM
-
eventuelle frühere Verstöße
Neben Bußgeldern und einem Imageverlust kann eine Datenschutzverletzung noch weitere Konsequenzen haben, so zum Beispiel an Ansprüche auf Schadensersatz.
Sind viele Personen von der Datenpanne betroffen, können dadurch schnell sehr hohe Summe zusammenkommen. Geht es in den strafrechtlichen Bereich, ist als Sanktion sogar eine Freiheitsstrafe von bis zu drei Jahren möglich.
Mehr Ratgeber, Tipps und Anleitungen:
- Datenschutz im Unternehmen rechtssicher umsetzen, Teil 2
- Datenschutz im Unternehmen rechtssicher umsetzen, Teil 1
- Verpackungskosten senken – Infos & Tipps
- Öffnungsrate des Newsletters verbessern – Infos und Tipps, 2. Teil
- Öffnungsrate des Newsletters verbessern – Infos und Tipps, 1. Teil
- Die fünf wichtigsten Kennzahlen im Marketing
- Infos und Tipps zum Identitätsmanagement
- Infos und Tipps rund um mündliche und schriftliche Verkaufsbotschaften, 2. Teil
Thema: Datenschutz im Unternehmen rechtssicher umsetzen, Teil 3
Übersicht:
Fachartikel
Verzeichnis
Über uns
Kooperationspartner zu Werbeagenturen, Medienagenturen und Marketing-Profis. Verleger von Fachpresse in Print und Online verschiedener Branchen und Themengebiete. Gründer & Unternehmer diverser Firmen inkl. Leitung des Vertriebs und externer Tätigkeiten als Head of Marketing. Ferya Gülcan, Founder Internetmedien-Agentur.
- Diversity-Management im Marketing, 2. Teil - 5. April 2024
- 7 Marketingstipps für Dienstleistungsunternehmen - 7. März 2024
- Diversity-Management im Marketing, 1. Teil - 6. März 2024