Datenschutzrecht auf einen Blick:
Das Datenschutzrecht schützt vor allem die Privatsphäre und das Recht auf informationelle Selbstbestimmung des Einzelnen und regelt durch die DSGVO und das BDSG insbesondere den Umgang mit personenbezogenen Daten bei der Verarbeitung durch Unternehmen und Behörden. Es dient vor allem dem Schutz des Einzelnen davor, dass seine personenbezogenen Daten nicht ohne dessen Einwilligung für vertragsfremde Zwecke verwendet oder anlasslos an Dritte weitergegeben werden. Darüber hinaus schafft es eine möglichst hohe Transparenz für den Einzelnen, damit dieser soweit wie möglich die Kontrolle über die Verbreitung seiner personenbezogenen Daten behält.
Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Zwischen der Person und der Information muss also unmittelbar oder mittelbar (indirekt) eine Verbindung herstellbar sein. Der Name, die Anschrift oder das Geburtsdatum stellen zum Beispiel eine unmittelbare Verbindung zur Person her. Eine nur mittelbare Verbindung benötigt hingegen meist noch zusätzliches Wissen wie bei Telefonnummern, Matrikelnummern, Sozialversicherungsnummern, IP-Adressen und Cookie-Kennungen. Dabei reicht es jedoch die bloße Möglichkeit die Person durch die Information zu identifizieren, ohne dass es darauf ankommt, ob eine Identifizierung tatsächlich erfolgt oder erfolgt ist.
Geschützt sind nur natürliche Personen. In Bezug auf juristische Personen (Kapitalgesellschaften, Vereine etc.) sind Daten nur in solchen Fällen geschützt, in denen sich die Informationen auf hinter der juristischen Person stehende natürliche Personen „durchschlagen“, wenn zum Beispiel enge persönliche oder wirtschaftliche Verhältnisse zwischen der juristischen und der natürlichen Person bestehen. Hier ist eine Prüfung im Einzelfall sinnvoll.
Darüber hinaus besteht gemäß dem Art. 9 DSGVO ein besonderer Schutz für bestimmte Kategorien von personenbezogenen Daten, wie Gesundheitsdaten, Daten über die ethnische Herkunft, oder die religiösen Überzeugungen. Bei der Verarbeitung solcher Daten ist daher besondere Vorsicht geboten.
Das Datenschutzkonzept ist eine gegliederte Zusammenfassung aller datenschutzrechtlich relevanter Aspekte in einem Unternehmen und umfasst alle notwendigen Informationen zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Aufgrund der wachsenden Stellung, die der Datenschutz in der Gesellschaft einnimmt, gehört es zu einem der wichtigsten Strategiepapiere eines Unternehmens.
Das Datenschutzkonzept dient dem Unternehmen selbst zur Sicherung eines einheitlichen Standards bei der Umsetzung von Projekten, da jede Abteilung in dem Konzept einen zentralen Leitfaden zur Umsetzung des Datenschutzes finden kann. Außerdem ist das Konzept der Ausgangspunkt einer jeden behördlichen datenschutzrechtlichen Prüfung eines Unternehmens und sollte daher im Sinne eines Aushangschildes übersichtlich und umfassend sein.
Im Internet kursierende Muster und Vorlagen machen zumeist mehr Arbeit, als sie einem nehmen, da sie möglichst allgemein gehalten sind, um auf eine Vielzahl von Geschäftsmodellen zu passen. Man muss sich also meist mit unbekannten Sachen auseinandersetzen und sich in diese vertiefen und stellt erst dann fest, dass man den Abschnitt vielleicht gar nicht braucht. Wir begleiten Sie gerne bei der Erstellung, Gliederung und Ausarbeitung Ihres Datenschutzkonzepts, damit für Sie nur die Arbeit anfällt, die auch wirklich nötig ist und beantworten Ihnen jegliche dabei auftretenden Fragen.
Ein Verarbeitungsverzeichnis werden alle Verarbeitungsprozesse von personenbezogenen Daten aufgelistet und dokumentiert und kann als ein Teil des Datenschutzkonzepts begriffen werden. Dieses Verzeichnis muss dabei bestimmten gesetzlichen Vorgaben entsprechen, die sich im wesentlichen dem Art. 30 DSGVO entnehmen lassen.
Die Umsetzung der dort genannten einzelnen Punkte kann eine Herausforderung darstellen, insbesondere die Risikoanalyse und Datenschutzfolgenabschätzung (DSFA) von Prozessen und der sich daraus ergebenden Folgen. Hier reicht eine bloße Schätzung meist nicht aus, meistens ist es vielmehr erforderlich diese fundiert nach bestimmten Modellen zu ermitteln und auszuwerten.
Wir begleiten Sie gerne bei der Erstellung eines für Sie optimalen Verarbeitungsverzeichnisses und helfen Ihnen dabei, allen Rechenschafts- und Dokumentationspflichten gerecht zu werden.
Einen Datenschutzbeauftragten zu bestellen ist gemäß der DSGVO nur in bestimmten Fällen verpflichtend. Gemäß Art. 37 Abs. 1 DSGVO muss in jedem Fall ein Datenschutzbeauftragter benannt werden, wenn
- die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
- die Kerntätigkeit eine regelmäßige und systematische Überwachung der Betroffenen erforderlich macht
- die Kerntätigkeit in der Verarbeitung von besonderen Kategorien personenbezogener Daten liegt (etwa der in Art. 9 Abs. 1 DSGVO genannten)
Darüber hinaus bestimmt auch das BDSG noch Fälle, in denen unabhängig von den zuvor genannten ein Datenschutzbeauftragter zu benennen ist. Für Unternehmen gilt gemäß § 38 BDSG, dass diese einen solchen benennen müssen, wenn
- in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
- personenbezogene Daten geschäftsmäßig für Zwecke der Übermittlung, anonymen Übermittlung oder Markt- oder Meinungsforschung verarbeitet werden (unabhängig von der Anzahl der Mitarbeiter)
Sie benötigen Beratung oder Dienstleistungen zur Einhaltung des Datenschutzrechts?
Kontaktieren Sie uns einfach per E-Mail oder über das Kontaktformular mit einer kurzen Schilderung Ihres Problems. Wir werden uns umgehend für etwaige Rückfragen und einen Problemlösungsvorschlag bei Ihnen melden.
Wir arbeiten sorgfältig und behandeln Ihren Fall diskret.