Rechtsthemen
Blog
Über uns
Business
+++Schnelle Hilfe bei Kündigunginklusive Direktkontakt zum Anwalt+++
Information zum DSGVO Datenschutz für Unternehmen

Datenschutz im Unternehmen umsetzen

Die Datenschutz-Grundverordnung (DSGVO) muss auch im Unternehmen seit dem 25. Mai 2018 angewendet und umgesetzt werden, andernfalls drohen für Verstöße hohe Bußgelder. Viele Unternehmen sind auch einige Jahre nach Inkrafttreten der DSGVO noch unsicher, ob sie mit den neuen, strengeren Regeln richtig umgehen. Unsere DSGVO-Checkliste gibt Ihnen eine Einschätzung.

Das Wichtigste in Kürze

  • Mit der Einführung der DSGVO wurden die Anforderungen zum Schutz personenbezogener Daten für Unternehmen deutlich umfassender als bisher.
  • Neben einer verpflichtenden Datenschutzerklärung muss man als Unternehmen noch viele weitere Maßnahmen ergreifen, um personenbezogene Daten optimal zu schützen.
  • Ein Datenschutzbeauftragter ist in vielen Unternehmen zur Pflicht geworden.
  • Zusätzlich gilt es, künftig ein Verarbeitungsverzeichnis zu führen und technische und organisatorische Maßnahmen (TOM) zu ergreifen, um die personenbezogenen Daten optimal zu schützen.
  • Ein Fachanwalt für Datenschutz hilft Ihnen dabei, den zahlreichen Anforderungen der DSGVO gerecht zu werden und hohe Bußgelder zu vermeiden.

Datenschutz mit der DSGVO-Checkliste prüfen

Sobald Sie personenbezogene Daten von EU-Bürgern erfassen oder verarbeiten, muss sich Ihr Unternehmen an die DSGVO halten und Datensicherheit herstellen. Das gilt sowohl für die automatisierte als auch für die nicht automatisierte Verarbeitung. Nach Art. 4.1 DSGVO sind personenbezogene Daten alle Informationen, mit denen das Individuum identifiziert werden kann. Darunter fallen Name, Telefonnummer, Adresse und weitere Daten. Diese Daten erhebt jedes Unternehmen, sobald sich ein Kunde mit seiner Adresse registriert, sich namentlich für ein Gewinnspiel anmeldet oder in vielen ähnlichen Situationen. Bevor Sie Ihren Kunden Newsletter, Weihnachtskarten oder andere Nachrichten verschicken, sollten Sie sicherstellen, dass die Kunden der Nutzung Ihrer Daten schriftlich zustimmen. Gewähren Sie so die Datensicherheit in Ihrem Unternehmen und prüfen Sie mit der DSGVO-Checkliste, ob Sie an alles gedacht haben.

DSGVO-Checkliste: Vorkehrungen für Datenschutz beim Kundenkontakt

  • Steht eine Datenschutzerklärung zur Verfügung?
  • Wurde die schriftliche Zustimmung zur Datenerhebung angefordert?
  • Wurden Forderungen bei Verstößen vertraglich ausgeschlossen?
Deutsche Unternehmen überwiegend nicht DSGVO ready – Infografik
Deutsche Unternehmen überwiegend nicht DSGVO ready – Infografik

Was ist die Aufgabe eines Datenschutzbeauftragten?

Als Unternehmen einen Datenschutzbeauftragten einzusetzen, dient vor allem der Selbstkontrolle des Unternehmens. Durch beständige Kontrolle, Beratung und ein optimales Datenschutzmanagement soll so eine dauerhafte Datensicherheit umgesetzt werden. Der Datenschutzbeauftragte muss dabei nicht zwangsläufig aus dem eigenen Unternehmen stammen, auch externe Datenschutzbeauftragte können eingesetzt werden. Eine der Hauptaufgaben ist dabei die Formulierung der Datenschutzvereinbarung und Datenschutzklauseln in Verträgen. Gleichzeitig ist der Datenschutzbeauftragte aber auch Ansprechpartner für Geschäftsleitung, Marketing und Kundenservice – und vereinfacht daher nicht nur das Einhalten der DSGVO im Unternehmen, sondern berät auch alle relevanten Abteilungen des Unternehmens rund um die hohen Anforderungen.

Ihr Datenschutzbeauftragter klärt über datenschutzrechtliche Pflichten auf und überwacht deren Einhaltung. Er beantwortet Anfragen von Behörden und führt das Verarbeitungsverzeichnis. Zusätzlich unterstützt er Firmen auch bei der Durchführung der Datenschutz-Folgenabschätzung.

Ein interner oder externer Datenschutzbeauftragter trägt erheblich zu Ihrer Datensicherheit bei und gewährt die Einhaltung des Datenschutzes im Unternehmen. Jedes Unternehmen muss selbst klären, ob ein Datenschutzbeauftragter bestellt werden muss. Häufig sind auch kleinere Unternehmen mit weniger als 10 Mitarbeitern verpflichtet einen Datenschutzbeauftragten zu haben. Grundsätzlich lohnt es sich auch jemanden für diese Aufgabe auszuwählen, selbst wenn es nach der DSGVO nicht zwingend vorgeschrieben ist.

Wann ist ein Datenschutzbeauftragter Pflicht?

Das Einsetzen eines Datenschutzbeauftragten kann in einem Unternehmen zur Verpflichtung werden. Wann dies notwendig ist, regeln Art. 37 Datenschutzgrundverordnung (DSGVO) und § 38 Bundesdatenschutzgesetz (BDSG).

Hieraus lässt sich entnehmen, dass ein Datenschutzbeauftragter im Unternehmen zur Pflicht wird, wenn:

  • es sich um eine öffentliche Stelle oder Behörde handelt (Ausnahme: Gerichte in justizieller Tätigkeit)
  • im Unternehmen eine regelmäßige und systematische Überwachung durch einen Datenschutzbeauftragten notwendig ist, da eine regelmäßige und systematische Beobachtung von Personen erforderlich ist (z. B. Detekteien, Versicherungsunternehmen, Marketingabteilungen mit detaillierten Kunden- und Interessenprofilen etc.)
  • eine umfangreiche Verarbeitung besonderer Kategorien von Daten stattfindet (Art. 9 DSGVO) oder Daten über strafrechtliche Verurteilungen und Straftaten erhoben werden (z. B. Kliniken, Labore, Beratungsstellen zu privaten Themen wie Familienplanung etc.)
  • mindestens oder mehr als 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind
  • wenn die Weiterverarbeitung von Kundendaten erfolgen, die einer Datenschutz-Folgenabschätzung unterliegen (Art. 35 DSGVO) oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet werden

Benötigt man einen externen Datenschutzbeauftragten?

Grundsätzlich darf jedes Unternehmen selbst entscheiden, ob ein interner oder externer Datenschutzbeauftragter bestellt wird. Beide Varianten haben einige Vor- und Nachteile, die jeder Betrieb für sich eigenständig abwägen sollte. Ein interner Datenschutzbeauftragter kennt bereits die Betriebsabläufe und ist bereits Teil der Belegschaft, sodass keine weiteren Kosten entstehen. Auch die Einarbeitungszeit ist bei einem internen Datenschutzbeauftragten meist deutlich geringer.

Dennoch sprechen viele Vorteile auch für einen externen Datenschutzbeauftragen:

  • Unabhängigkeit: Nicht immer kann mit einem internen Datenschutzbeauftragten die Neutralität gegenüber personenbezogener Daten sichergestellt werden. Die Beurteilung datenschutzrechtlicher Vorgänge im Unternehmen wird zudem von der Loyalität gegenüber dem Arbeitgeber beeinflusst. In der Datenschutzgrundverordnung ist jedoch explizit festgehalten, dass ein Datenschutzbeauftragter keinerlei Interessenskonflikten unterliegen darf. Ein externer Datenschutzbeauftragter kann diesen Anforderungen oftmals besser gerecht werden.
  • Ressourcen optimal nutzen: In einem Unternehmen geht es immer auch um finanzielle Aspekte. Ein Mitarbeiter, der schon vor der Bestellung zum Datenschutzbeauftragten im Unternehmen tätig war, trägt bereits eine Vielzahl an Aufgaben. Da mit der Benennung eines Datenschutzbeauftragten eine Arbeitskraft verloren geht, ist ein externer Datenschutzbeauftragter oftmals die einfachere – und ressourcenschonendere – Lösung für ein Unternehmen.
  • Optimal ausgebildet: Soll innerhalb des Unternehmens ein Mitarbeiter als Datenschutzbeauftragter bestellt werden, muss dieser sich im Rahmen zahlreicher Fort- und Weiterbildungen zunächst auf das neue Aufgabengebiet vorbereiten. Ein externer Datenschutzbeauftragter kennt in den meisten Fällen bereits die Materie und weiß, worauf es bei dieser verantwortungsvollen Aufgabe ankommt. Mit einem externen Datenschutzbeauftragten spart man daher nicht nur Zeit, sondern auch Geld, das andernfalls für die Weiterbildung des Mitarbeiters ausgegeben werden müsste. Zusätzlich profitiert man als Unternehmen natürlich von dem erheblichen Fachwissen eines professionellen Datenschutzbeauftragten.
klugo tipp

Ein externer Datenschutzbeauftragter bietet neben Kompetenz und Unabhängigkeit noch viele weitere Vorteile. Es lohnt sich also, bei allen Fragen rund um den Datenschutz auf einen erfahrenen Anwalt zu setzen, der sich mit den rechtlichen Anforderungen auskennt. Bei einem internen Mitarbeiter kommt es häufig zu Wissenslücken bei den komplexen DSGVO-Vorschriften, aber auch seine Unabhängigkeit könnte durch Dritte in Frage gestellt werden.

Wann ist ein Verarbeitungsverzeichnis zu führen?

Innerhalb eines Betriebes muss man als Verantwortlicher, der mit personenbezogenen Daten arbeitet, stets alle Verarbeitungsvorgänge schriftlich in einem „Verzeichnis der Verarbeitungstätigkeiten“ festhalten und dokumentieren. Da unter die personenbezogenen Daten neben Namen und Anschrift auch die E-Mail Adresse (z. B. für einen Newsletter) und die IP-Adresse des Kunden fallen, ist nahezu jedes Unternehmen von der Pflicht zu einem Verarbeitungsverzeichnis betroffen. Vor der Einführung der Datenschutzgrundverordnung galt diese Pflicht nur für große Unternehmen – mit den neuen Regelungen sind jedoch alle Betriebe, die personenbezogene Daten verarbeiten, davon betroffen. Unter Umständen kann der Kunde zudem Einsicht in das Verarbeitungsverzeichnis verlangen. Daher muss jeder Verarbeitungsschritt festgehalten werden.

Was muss in das Verarbeitungsverzeichnis?

In dem notwendigen Verarbeitungsverzeichnis werden nicht explizit alle hinterlegten Kundendaten hinterlegt, sondern lediglich die Vorgänge, für die die personenbezogenen Daten verwendet werden. Beim Erstellen des Verarbeitungsverzeichnisses müssen daher u. a. konkrete Tätigkeiten aufgelistet werden, sofern diese für Ihr Unternehmen zutreffen.

Findet eine Verwendung der personenbezogenen Daten für:

  • die interne oder externe Unternehmenskommunikation
  • die Kundenbetreuung oder den Kundenservice
  • das Marketing inkl. eventueller Newsletter
  • die Social Media Auftritte des Unternehmens
  • die Verarbeitung in der Finanz- und Buchhaltung
  • die Videoüberwachung der Kunden
  • die Verarbeitung von personenbezogenen Bewerber- und Personaldaten

statt, muss dies im Verarbeitungsverzeichnis detailliert festgehalten werden. Verantwortlich für die ordnungsgemäße Führung des Verarbeitungsverzeichnis entsprechend den Richtlinien der Datenschutzgrundverordnung ist dabei immer der Geschäftsführer bzw. Inhaber des Unternehmens. Überprüft werden kann dies nicht nur durch den Kunden selbst, der auf Anfrage Einsicht in das Verarbeitungsverzeichnis nehmen darf, sondern auch durch verschieden Aufsichtsbehörden.

Wie muss das Verarbeitungsverzeichnis aufgebaut sein?

Grundsätzlich kann jedes Unternehmen selbst entscheiden, ob es für die Erstellung des Verarbeitungsverzeichnisses einen eigenen Mitarbeiter abstellt oder einen auf Datenschutz spezialisierten Rechtsanwalt mit der Erstellung des Verzeichnisses beauftragt. Eine unerfahrene Person, die keinerlei Erfahrung mit der Erstellung eines Verarbeitungsverzeichnisses hat, kann dabei jedoch viele Fehler machen – und empfindlich hohe Bußgelder können die Folge sein. Daher ist es im Hinblick auf ein optimales Datenschutzmanagement ratsam, entweder einen externen Berater für die Erstellung eines Verarbeitungsverzeichnisses zu beauftragen oder dies gemeinsam mit einem Fachanwalt für Datenschutz umzusetzen, um rechtlich auf der sicheren Seite zu sein.

Folgende Angaben müssen unbedingt in einem Verarbeitungsverzeichnis enthalten sein:

  • Name und Kontaktmöglichkeiten des Verantwortlichen
  • Der exakte Zweck der Verarbeitung aller Daten
  • Die Kategorien, in denen die Daten verwendet werden
  • Eine Auflistung aller Betroffenen, sortiert nach Kategorien
  • Auflistung aller Personen und Unternehmen, die die Daten empfangen sowie alle Personen, die Einsicht in die personenbezogenen Daten erhalten haben oder erhalten werden
  • Alle technischen und organisatorischen Maßnahmen, die zum Schutz der personenbezogenen Daten ergriffen wurden
  • Die Fristen bis zur endgültigen Löschung aller personenbezogenen Daten (Achtung: Bei unterschiedlichen Löschfristen der einzelnen Daten muss jede Angabe einzeln erfolgen)
Nahezu jedes Unternehmen ist dazu verpflichtet, ein Verarbeitungsverzeichnis zu führen. Da hierbei jedoch zahlreiche Fallstricke lauern, auf die empfindliche Bußgelder folgen können, sollte mit der Erstellung eines Verarbeitungsverzeichnisses ein Fachanwalt für Datenschutz beauftragt werden. So stellen Sie sicher, rechtlich auf der sicheren Seite zu sein.

Wie können Schutzlücken und Datenlecks festgestellt und vermieden werden?

In Art. 32 Abs. 1 DSGVO ist man als Unternehmen oder Verantwortlicher für personenbezogene Daten dazu verpflichtet, hinreichend technische und organisatorische Maßnahmen (TOM) zu ergreifen, um die Datenverarbeitung optimal vor dem Zugriff Dritter zu schützen. Kommt ein Unternehmen dieser Verantwortung nicht nach, können teilweise hohe Bußgelder die unmittelbare Konsequenz sein. Damit Schutzlücken frühzeitig entdeckt und Datenlecks vermieden werden können, muss man als Unternehmen passend zum eigenen Sicherheitssystem technische und organisatorische Maßnahmen ergreifen. Die Maßnahmen, die in einem Unternehmen etabliert werden müssen, richten sich nach verschiedenen Faktoren – zum Beispiel dem aktuellen Stand der Technik, den Kosten für die Implementierung des Verzeichnisses sowie Art und Umfang der personenbezogenen Daten, die für den Unternehmenszweck erhoben werden. Auch die möglichen Risiken, die im Falle eines Datenlecks für das Unternehmen und den Kunden entstehen, müssen dabei beachtet werden.

Um dies zu vermeiden, müssen Schutzlücken bestmöglich vermieden werden. Diese werden im Rahmen einer Risikoanalyse im Vorfeld festgelegt, sodass die technischen und organisatorischen Maßnahmen nach DSGVO im Anschluss entsprechend umgesetzt werden können. Bei der Datenschutz-Risikoanalyse handelt es sich um eine Einschätzung aller möglichen Sicherheitsrisiken, die mit der Verarbeitung der personenbezogenen Daten im Unternehmen einhergehen. Dabei fließen Faktoren wie Online-Sicherheit und Verschlüsselung ebenso in die Bewertung mit ein wie der Zugriff auf die Daten in den Räumlichkeiten des Unternehmens. Eine Risikoanalyse sollte immer von einem erfahrenen Datenschutzbeauftragten, einem externen Berater oder einem Fachanwalt für Datenschutz durchgeführt werden. Um Bußgelder und Sicherheitslücken langfristig zu vermeiden, sollte die Datenschutz-Risikoanalyse alle möglichen Gefahrenquellen aufdecken, damit im Anschluss technische und organisatorische Maßnahmen dagegen ergriffen werden können.

Welche technischen und organisatorischen Maßnahmen (TOM) müssen ergriffen werden?

Als Unternehmen steht man nicht nur in der Pflicht, alle personenbezogenen Daten und den Umgang damit zu dokumentieren, sondern auch technische und organisatorische Maßnahmen (TOM) zu ergreifen, um diese Daten bestmöglich zu schützen. Um die Sicherheit zu gewährleisten, können Unternehmen verschiedene Maßnahmen umsetzen, die dem Schutz der Daten dienen.

Einige Grundlagen wurden in Art. 32 Abs. 1 DSGVO bereits festgehalten:

  • Die Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
  • Die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
  • Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Die in Frage kommenden technischen und organisatorischen Maßnahmen sollten entsprechend einer individuellen Risikoanalyse aufgestellt werden, um die personenbezogenen Daten des Unternehmens auch im Hinblick auf mögliche Risiken ausreichend schützen zu können. Dabei müssen auch eventuelle Sicherheitslücken frühzeitig festgestellt und behoben werden. Als Unternehmen ist man dazu verpflichtet, die technischen und organisatorischen Maßnahmen dem neusten Stand der Technik anzupassen.

Mögliche Maßnahmen für Ihr Unternehmen:

  • Kontrolle des Zutritts: Ein Unternehmen sollte den physischen Zutritt zu allen relevanten Datenverarbeitungsanlagen (d. h. Büroschränke, Serverraum etc.) durch eine eigens eingerichtete Zutrittskontrolle reglementieren. In Frage kommen dafür zum Beispiel abgeschlossene Räumlichkeiten, elektronische Zugangssysteme, Pförtner und mehr.
  • Kontrolle des Zugangs: Auch digital darf kein Zugriff auf personenbezogene Daten möglich sein. Gängige Maßnahmen, um dies zu verhindern, sind u. a. strenge Regeln für die Passworterstellung, Verschlüsselung der Daten und Mehr-Faktor-Authentifizierungen im Rahmen des Kunden-Logins.
  • Kontrolle der Datenweitergabe: Auch bei der Weiterleitung oder Übertragung der personenbezogenen Kundendaten darf kein Zugriff durch Dritte erfolgen. Dies kann zum Beispiel mithilfe spezieller Verschlüsselungsmechanismen erreicht werden. Es gilt zu verhindern, dass Dritte die Kundendaten lesen, verändern, kopieren oder löschen können.
  • Kontrolle des Zugriffs: Sensible Daten müssen vor Dritten geschützt werden. Dies gilt auch für den Lese- und Schreibzugang personenbezogener Daten. Mithilfe ausführlicher Berechtigungskonzepte gilt es zu verhindern, dass Dritte die Möglichkeit haben, auf personenbezogene Daten zuzugreifen.
  • Kontrolle der Eingabe: Werden personenbezogene Daten verändert oder gelöscht, muss dies in einem Protokoll festgehalten werden.
  • Kontrolle der Verfügbarkeit: Mit dieser technischen Maßnahme werden gleich zwei Punkte abgedeckt. Auf der einen Seite kann die Verfügbarkeit der Daten durch Firewalls und andere Zugriffsschutzsysteme gewährleistet werden. Aber auch Backups sorgen dafür, dass im Falle eines Datenverlusts möglichst viele Informationen wiederhergestellt werden können.
  • Die Systeme trennen: Zudem bietet sich für viele Unternehmen die Etablierung verschiedener Systeme an, sodass Daten stets nur für den Zweck genutzt werden, für den sie vorgesehen sind. Auch im Falle eines Datenlecks werden auf diese Weise nicht automatisch alle personenbezogenen Daten freigegeben, sondern lediglich jene, auf die sich das Leck bezieht
klugo tipp

Welche Maßnahmen in einem Unternehmen umgesetzt werden müssen, hängt natürlich immer vom individuellen Einzelfall ab. Nicht jede dieser technischen und organisatorischen Maßnahmen (TOM) muss in Ihrem Unternehmen zwingend durchgeführt werden – es handelt sich also lediglich um eine Empfehlung, die sich zum Schutz der personenbezogenen Daten anbietet. Im Rahmen einer Risikoanalyse gilt es festzustellen, welche Maßnahmen sich für Ihr Unternehmen anbieten.

Datenspeicherung mit Datensicherheit durchführen

Die Vorratsdatenspeicherung ist durch die DSGVO nur noch begrenzt möglich. Nach Art. 5 Nr. 1b DSGVO dürfen Sie personenbezogene Daten nur noch so lange speichern, wie Sie diese nachvollziehbar für den Verwendungszweck brauchen.

Unternehmen müssen nach der DSGVO, Nutzer innerhalb eines Monats darüber informieren, welche Daten gespeichert sind und zu welchem Zweck diese Daten genutzt werden. Nutzerdaten müssen auch auf Wunsch oder wenn diese nicht mehr gebraucht werden gelöscht werden.
Markus Zöller, LL.M.
Fachanwalt für Gewerblichen Rechtsschutz

Art. 5 Nr. 1b DSGVO


Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten

1. Personenbezogene Daten müssen

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“).

Führen Sie ein Gewinnspiel durch, müssen Sie die erfassten Daten nach Beendigung des Gewinnspiels löschen. Anders verhält es sich bei Ihrem Newsletter-Verteiler. Sie dürfen die gespeicherten Adressen speichern, solange die Nutzer sich nicht abmelden.

Deutsche Unternehmen überwiegend nicht DSGVO ready – Infografik
Datenverarbeitung und Speicherung – Infografik
klugo tipp

Unternehmen müssen dafür Sorge tragen, dass Nutzer die Datenspeicherung widerrufen, der Speicherung teilweise nicht zustimmen oder die Löschung Ihrer Daten veranlassen können. Im Rahmen der Datensicherheit haben Sie das „Recht auf Vergessenwerden".

Wann liegt eine Auftragsverarbeitung vor?

Im Rahmen der DSGVO wurde die ehemals in Deutschland als Auftragsdatenverarbeitung bekannte Auftragsverarbeitung europaweit vereinheitlicht. Eine Auftragsverarbeitung liegt immer dann vor, wenn es um die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter geht. Heißt konkret: Arbeitet Ihr Unternehmen mit einem anderen Unternehmen zusammen und kommen dabei sensible Kundendaten ins Spiel – zum Beispiel im Falle eines externen Rechnungsbüros, eines Programmierers mit Zugriff auf Kundendaten oder bei der Verwendung von Google Analytics – muss ein AV-Vertrag abgeschlossen werden. In einem Vertrag zur Auftragsverarbeitung werden neben Dauer und Gegenstand des Auftrags auch Informationen wie Umfang, Art und Zweck der vorgesehenen Datenerhebung, der Kreis der Betroffenen, die Kontrollrechte des Auftraggebers und alle technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten festgehalten.

Grundsätzlich unterliegen nur europäische Unternehmen der Pflicht zu einem AV-Vertrag. Aber: Die Pflicht zu einem Vertrag bezüglich der Auftragsverarbeitung liegt auch bei außereuropäischen Unternehmen vor, wenn diese über eine Niederlassung in der Europäischen Union verfügen oder der Verantwortliche des Unternehmens eine Niederlassung in der Europäischen Union betreibt. In diesem Fall müssen sich auch internationale Unternehmen und Konzerne den Grundlagen der europaweit gültigen DSGVO unterordnen.

Was muss in die Datenschutzerklärung?

Eine der wohl umfassendsten Änderungen, die mit der Einführung der Datenschutzgrundverordnung in Kraft traten, ist die Datenschutzerklärung, die künftig auf jeder Webseite zu finden sein muss, die personenbezogene Daten verarbeitet. Vor allem die neuen Informationspflichten werden für viele Unternehmen zu einer Herausforderung, denn künftig haben Kunden das Recht, exakte Informationen über die Nutzung ihrer personenbezogenen Daten zu erhalten. In der Datenschutzerklärung muss jede Erhebung, Verarbeitung und Nutzung bezogener Daten detailliert aufgelistet und gerechtfertigt werden. Außerdem muss die Datenschutzerklärung leicht und verständlich formuliert sein, sodass die Kunden einen sofortigen Überblick über alle Nutzungszwecke der personenbezogenen Daten erhalten

Zu diesen grundlegenden Informationen in der Datenschutzerklärung gehören:

  • Welche personenbezogenen Daten werden erhoben?
  • Wie werden die erhobenen Daten verwendet?
  • Aus welchem Grund werden die personenbezogenen Daten erhoben?
  • Findet eine Weitergabe der personenbezogenen Daten an Dritte statt?
  • Welche Maßnahmen ergreift das Unternehmen, um die Sicherheit der Daten zu gewährleisten?
  • Wie lange werden die personenbezogenen Daten gespeichert?

Die Datenschutzerklärung eines Unternehmens umfasst aber in den meisten Fällen noch viel mehr Informationen, die stets angepasst an den individuellen Geschäftszweck variieren können. Daher eignen sich vorgefertigte Datenschutzerklärungen nur selten für die eigene Webseite. Fehlen bestimmte Angaben, können hohe Bußgelder die Folge sein. Die Erstellung einer Datenschutzerklärung sollte daher immer in der Zusammenarbeit mit einem Fachanwalt für Datenschutzrecht umgesetzt werden, um Fallstricke zu vermeiden und rechtlich auf der sicheren Seite zu sein.

Wie kann ein KLUGO Partner-Anwalt dabei helfen, den Datenschutz im Unternehmen umzusetzen?

Mit der DSGVO ist der Schutz personenbezogener Daten für Unternehmen deutlich mehr ins Zentrum der Aufmerksamkeit gerückt. Sich an die neuen Gesetzgebungen zu halten, ist nicht immer ganz einfach. In vielen Fällen muss die Datenschutzerklärung individuell auf das Unternehmen angepasst werden, ebenso wie die technischen und organisatorischen Maßnahmen, die zum Schutz der Daten ergriffen werden müssen. Dies setzt nicht nur ein umfassendes, rechtliches Know-how voraus, sondern auch einen Überblick über die möglichen Datenschutz-Risiken. Genau hier setzt der KLUGO Partner-Anwalt für Datenschutzrecht an, der Sie gern bei der Erstellung einer rechtsgültigen Datenschutzerklärung unterstützt und im Rahmen einer umfassenden Datenschutz-Risikoanalyse mögliche Unternehmensschwächen in puncto Datenschutz ermittelt. Im Anschluss können Sie mit technischen und organisatorischen Maßnahmen dafür sorgen, dass personenbezogene Daten in Ihrem Unternehmen optimal geschützt werden – und damit hohe Bußgelder vermeiden.

Sie haben eine Rechtsfrage?

Dann nutzen Sie einfach die KLUGO Erstberatung. Die Erstberatung ist ein Telefongespräch mit einem zertifizierten Anwalt aus unserem Netzwerk.

Beitrag juristisch geprüft von der KLUGO-Redaktion

Der Beitrag wurde mit großer Sorgfalt von der KLUGO-Redaktion erstellt und juristisch geprüft. Dazu ergänzen wir unseren Ratgeber mit wertvollen Tipps direkt vom Experten: Unsere spezialisierten Partner-Anwälte zeigen auf, worauf es beim jeweiligen Thema ankommt.
Mehr zu KLUGO und unserem Anwaltsnetzwerk