Für jedes Compliance-Cluster finden Sie in unserem Guide die entsprechenden:
Aufgaben: Was muss unternommen werden, um compliant zu werden?
Richtlinien: Haben die Aufsichtsbehörden oder andere öffentliche Stellen Hilfestellungen veröffentlicht?
Gesetzgebung: Was sagt der Gesetzestext?
Die Art und Weise der Bereitstellung von Datenschutzinformationen im Unternehmen sollte definiert und dokumentiert werden. Dies kann mithilfe einer Richtlinie für Transparenz erfolgen.
Die Betroffenen sind über die sie betreffenden Datenverarbeitungen zu informieren, z.B. mittels elektronischer oder physischer Datenschutzhinweise.
ᐅ DSAB Bayern: Informationspflichten Sprache (Auslegungshilfe) (15.05.2019)
ᐅ DSAB Bayern: Informationspflichten am Telefon (Auslegungshilfe) (15.05.2019)
ᐅ DSAB Bayern: Informationspflichten im Verein (Auslegungshilfe) (15.05.2019)
ᐅ EDPB: Working Paper 260 zur Transparenz (Leitlinie) (11.04.2018)
ᐅ DSAB Bayern: Beschluss der DSK zur Informationspflicht bei Ärzten (DSK-Beschluss) (05.09.2018)
Die Art und Weise, wie im Unternehmen mit (potentiellen) Datenschutzverletzungen umzugehen ist, sollte definiert und dokumentiert werden, z.B. mithilfe einer Richtlinie für Datenschutzverletzungen.
Um im Falle des Verdachts einer Datenschutzverletzung rechtzeitig und angemessen reagieren zu können, ist die Einrichtung eines spezialisierten "Data Breach-Teams" empfehlenswert. Dessen Kontaktdaten sollten gegenüber allen Beschäftigten verfügbar gemacht werden.
Es bedarf eines definierten und dokumentierten Vorgehens zur Behandlung von Datenschutzanfragen. Geeignete Umsetzung: Betroffenenrechterichtlinie.
Zuweisung von Zuständigkeiten, z.B. für die Beantwortung von Auskunftsanfragen von Betroffenen. Geeignete Umsetzung: Betroffenenrechterichtlinie.
Für jede potentielle Marketingaktivität sollten die jeweiligen Zulässigkeitskriterien definiert und dokumentiert werden. Geeignete Umsetzung: Richtlinie für Direktmarketing.
Der dokumentierte Prozess sollte Auskunft geben sowohl über die Voraussetzungen, unter denen automatisierte Einzelentscheidungen stattfinden dürfen als auch über die erforderlichen technischen und organisatorischen Maßnahmen.
Es müssen geeignete Maßnahmen zur Sicherstellung von Betroffenenrechten, Freiheiten und berechtigten Interessen umgesetzt werden. Hierzu gehört das Recht des Betroffenen auf menschliche Intervention durch eine Person des Unternehmens, die Kundgabe des eigenen Standpunktes und das Recht, die Entscheidung anzufechten.
Das Unternehmen muss den Betroffenen über das Vorliegen einer automatisierten Einzelebtscheidung informieren. Darüber hinaus bedarf es der Bereitstellung aussagekräftiger Informationen zur involvierten Logik sowie zur Bedeutung und vorgesehenen Konsequenzen der Datenverarbeitung für den Betroffenenn. Die Informationen sind zum Zeitpunkt der Erlangung der Informationen zu erteilen.
Es sollte in einer Richtlinie definiert werden, wie Einwilligungen eingeholt werden können und wie mit Widerrufen umzugehen ist.
Wurde die Einwilligung als passende Rechtsgrundlage ermittelt, muss sichergestellt werden, dass sie in einer rechtskonformen Art und Weise eingeholt wird. Dies kann durch kontextspezifische Einwilligungstemples erleichtert werdm, die an den jeweiligen Fall anzupassen sind.
Um sicherzustellen, dass der Betroffene seine Einwilligung jederzeit widerrufen kann, sollte ein Consent Management System implementiert werden.
Eine Datenlöschrichtlinie sollte darüber informieren, wie personenbezogene Daten zu löschen sind, sofern sie nicht mehr für den legitimen Verarbeitungszweck benötigt werden. Datenlöschkonzepte können die Löschanforderungen für bestimmte Verarbeitungstätigkeiten spezifizieren.
Sowohl Daten, die über digitale Medien zugänglich sind als auch Daten in physischer Form müssen in einer sicheren und unrevidierbaren Weise gelöscht werden. Das Unternehmen muss entsprechende Löschtechnologie implementieren.
Der Prozess sollte mindestens darüber informieren (1) wer für die Dokumentation verantwortlich ist (2) mithilfe welcher Instrumente die Dokumentation erfolgen soll und (3) auf welche Art und Weise Datenverarbeitungstätigkeiten zu dokumentieren sind. Dies könnte im Wege einer Richtlinie zur Dokumentation von Verarbeitungstätigkeiten umgesetzt werden.
Die Dokumentation sollte entweder mittels manueller oder technischer Instrumente - wie z.B. einem Datenschutzmanagementsystem - realisiert werden.
Alle internen und externen Datenschutzrisiken müssen identifiziert werden, um ermitteln zu können, ob ausreichende technische und organisatorische Maßnahmen umgesetzt wurden.
Es sollte definiert werden, welche technischen und / oder organisatorischen Schutzmaßnahmen unter welchen Umständen vorzuhalten sind.
Der Verantwortliche muss geeignete technische und organisatorische Maßnahmen ergreifen, um ein Sicherheitsniveau zu gewährleisten, das den festgestellten Datenschutzrisiken entspricht.
Nach der Umsetzung ist die Wirksamkeit der Schutzmaßnahmen regelmäßig zu überprüfen und gegebenenfalls zu aktualisieren, um neuen Risiken oder Mängeln zu begegnen.
Nach dem "Need-to-know-Prinzip" müssen die Zugriffsrechte einer bestimmten Stelle im Unternehmen auf den Umfang beschränkt werden, der für die Erfüllung der Aufgaben der Stelle erforderlich ist. Es muss festgelegt werden, von wem und unter welchen Bedingungen die Zugriffsrechte verteilt werden. Das Verfahren könnte in einer Datensicherheitsrichtlinie festgelegt werden.
Die Kriterien könnten in einer Datentransferrichtlinie festgelegt werden.
Da Datenschutzverträge eine der wichtigsten Voraussetzungen für eine rechtmäßige Datenverarbeitung sind, darf mit der Verarbeitung nicht begonnen werden, bevor der entsprechende Vertrag geschlossen wurde.
Die Bedingungen können in einer Richtlinie für den grenzüberschreitenden Datentransfer definiert werden.
Datenübermittlungen in Drittländer müssen auf der Grundlage eines angemessenen Schutzniveaus erfolgen.
Es sollte ein Verfahren zur Herstellung von Verarbeitungscompliance definiert und dokumentiert werden. Eine Richtlinie zur Verarbeitungsanalyse sollte Vorlagen für die systematische Analyse einzelner Datenverarbeitungstätigkeiten enthalten. Die Richtlinie sollte alle potenziell anwendbaren Implementierungscluster abdecken.
Es muss sichergestellt werden, dass die Rechtmäßigkeit der Verarbeitungstätigkeiten vor Beginn der jeweiligen Verarbeitung geprüft wird.
ᐅ DSK: Kurzpapier Nr. 5. Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO (17.12.2018)
ᐅ DSK: Kurzpapier Nummer 14. Beschäftigtendatenschutz (24.09.2020)
ᐅ DSK: Kurzpapier Nr. 15. Videoüberwachung nach der Datenschutz-Grundverordnung
ᐅ DSK: Kurzpapier Nr. 17. Besondere Kategorien personenbezogener Daten
ᐅ DSK: Kurzpapier Nr. 20. Einwilligung nach der DS-GVO (22.02.2019)
Für jede potenzielle Webtracking-Aktivität sollten die Kriterien für ein rechtmäßiges Webtracking definiert und dokumentiert werden. Geeignetes Mittel: Webtracking-Richtlinie.
Wird eine Einwilligung für notwendig erachtet, muss sichergestellt werden, dass sie auf rechtmäßige Weise mittels Consent Management Tool eingeholt wird.
Da das deutsche Recht gesonderte Bestimmungen für die Verarbeitung personenbezogener Daten im Beschäftigungskontext vorsieht, sollten die entsprechenden zusätzlichen Anforderungen und Einschränkungen in einer Beschäftigtendatenrichtlinie festgelegt werden.
Die/der Datenschutzbeauftragte sollte mittels Ernennungsurkunde ernannt werden.
Die/ der ernannte Datenschutzbeauftragte muss der zuständigen Datenschutzaufsichtsbehörde gemeldet werden.
Eine Datenschutzmanagement-Richtlinie kann ein geeignetes Mittel sein, um diese Anforderung zu erfüllen.
Je nach Größe des Unternehmens sollte jede Abteilung Ansprechpartner für den Datenschutz vorsehen, die mit den Datenschutzanforderungen vertraut sind.
Die Verantwortung für jede Datenverarbeitung sollte einer bestimmten Rolle / Person in den Fachabteilungen zugewiesen werden. Geeignetes Mittel: Datenschutzmanagement-Richtlinie.
In der Datenschutzmanagement-Richtlinie sollte festgelegt werden, wie die Risiken erkannt, bewertet, überwacht und mitigiert werden.
Es sollte geregelt werden, wie die Sensibilisierung der Rechts- und Datenschutzabteilung(en) für datenschutzrelevante Fälle sichergestellt werden kann.
Wann ist die Rechts-/Datenschutzabteilung in datenschutzrelevanten Fällen einzubeziehen und wer sind die jeweiligen Ansprechpartner? Diese Fragen sollten in der Datenschutzmanagement-Richtlinie beantwortet werden.
Wann sollte die Rechts-/Datenschutzabteilung eines anderen Konzernunternehmens in datenschutzrelevante Fälle einbezogen werden und wer sind die jeweiligen Ansprechpartner? Diese Fragen sollten in der Datenschutzmanagement-Richtlinie beantwortet werden.
Das Bestehen von Datenschutz-Compliance wird regelmäßig im Rahmen von Datenschutzaudits überprüft. Solche Audits sollten mindestens alle zwei Jahre stattfinden.
Der aktuelle Stand des Datenschutzes ist regelmäßig an die übergeordnete Markengesellschaft (Datenschutzbeauftragter) zu melden.
Die Einhaltung der Rechenschaftspflicht kann durch cluster-spezifische Richtlinien erreicht werden, die darüber informieren, wie die zentralen Datenschutzgrundsätze - Rechtmäßigkeit, Fairness und Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit - gewährleistet werden.
Verbindliche Richtlinien, die festlegen, wie das Unternehmen die Einhaltung der wichtigsten Datenschutzgrundsätze gewährleistet, sollten regelmäßig auf ihre tatsächliche Umsetzung hin überprüft werden. Im Rahmen von systematischen und unabhängigen Audits erstellte Berichte zum erreichten Konformitätsniveau können als wertvolles Mittel der Rechenschaftspflicht dienen.
Die Datenschutz-Grundverordnung gilt unmittelbar in allen EU- und EWG-Mitgliedsstaaten und ist das primäre Gesetz zur Regelung des Datenschutzes auch in Deutschland. "Öffnungsklauseln" erlauben es den Mitgliedsstaaten, spezifische Themen wie den Beschäftigtendatenschutz zu regeln. Steht jedoch ein nationales Gesetz im Widerspruch zur DSGVO, hat das europäische Recht Vorrang.
Die Regelungen des Bundesdatenschutzgesetzes ergänzen die der DS-GVO hinsichtlich umfassender Themen wie der Verarbeitung von Beschäftigtendaten und enthalten Spezifikationen zu Themen, die bereits in der DS-GVO geregelt sind, z.B. den Datenschutzrechten. Darüber hinaus regelt das BDSG die Verarbeitung von öffentlichen Stellen des Bundes.
Jedes deutsche Bundesland verfügt über mindestens eine Datenschutzaufsichtsbehörde, die mit umfassenden Durchsetzungsbefugnissen ausgestattet ist. Die zuständige Behörde kann u.a. Ermittlungen durchführen, Zugang zu personenbezogenen Daten und Räumlichkeiten verlangen und ein Verbot von Datenverarbeitungen anordnen. Darüber hinaus können die Datenschutzaufsichtsbehörden bei Incompliance hohe Bußgelder gegen Unternehmen verhängen.
Finanzielle Risiken können sich nicht nur aus Geldbußen ergeben, sondern auch aus Datenschutzvorfällen, die an die Öffentlichkeit gelangt sind. Sogenannte "Data Breaches" sorgen regelmäßig für Schlagzeilen in den beliebten Nachrichtenkanälen. Sind die Medien erst einmal auf einen Vorfall aufmerksam geworden, lässt sich der daraus resultierende Imageschaden nur schwer eindämmen.
Wenn ein Unternehmen sensible Daten verarbeitet oder dauerhaft mehr als 20 Mitarbeiter mit der Verarbeitung personenbezogener Daten beauftragt, muss ein Datenschutzbeauftragter bestellt und der zuständigen Datenschutzaufsichtbehörde gemeldet werden. Da die Anforderungen der DSGVO unabhängig von der Notwendigkeit der Bestellung eines Datenschutzbeauftragten zu erfüllen sind, bestellen viele Unternehmen freiwillig einen Beauftragten.
Je nach Unternehmensgröße kann die ordnungsgemäße Umsetzung von Datenschutzmaßnahmen und die rechtzeitige Reaktion auf Datenschutzanfragen die Einrichtung einer Datenschutzmanagementorganisation erfordern. In vielen Unternehmen sind sogenannte Datenschutzmanager oder Datenschutzbotschafter mit einer Vielzahl von Aufgaben betraut, wie z. B. der Sensibilisierung von Mitarbeitern, der Erstellung von Verarbeitungsübersichten und der Meldung von Vorfällen an die Rechts- oder Datenschutzabteilung.
Während einige Unternehmen bereits ausgewählte Datenschutzmaßnahmen umgesetzt haben, fangen andere bei Null an. Der jeweilige Umsetzungsstand kann durch eine Statusanalyse ermittelt werden, die von einer unabhängigen internen oder externen Stelle durchgeführt werden sollte. Das Ergebnis der Analyse sollte in einem Auditbericht dokumentiert werden, der über die wichtigsten festgestellten Datenschutzrisiken informiert.
Die weitere Umsetzung von Datenschutzmaßnahmen sollte gemäß einem verbindlichen Aktionsplan erfolgen. Um eine reibungslose Abarbeitung der Datenschutzaufgaben in allen relevanten Abteilungen zu gewährleisten, ist es wichtig, Rollen und Verantwortlichkeiten transparent zu verteilen. Dies kann mithilfe von Richtlinien und Vorlagen realisiert werden.
Sie brauchen Unterstützung bei der Implementierung von Datenschutzanforderungen?
vertraut mit Implementierungseingenarten kleiner und großer Unternehmen
erfahren in der Kommunikation mit Datenschutzaufsichtsbehörden
bekannt für unseren pragmatischen Ansatz – Datenschutz als Enabler