Ihre DSGVO-Pflichten als Unternehmer


Jeder Unternehmer und jedes Unternehmen unterliegt nach DSGVO Pflichten, die einzuhalten und umzusetzen sind

1. Klären Sie, ob Sie einen Datenschutzbeauftragten benötigen!

Gemäß § 38 BDSG sind alle Organisationen (Unternehmen, Vereine und Verbände, aber auch Freiberufler und Selbständige) die mehr als 20 Beschäftigte haben und die sich mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigen, dazu verpflichtet, einen Datenschutzbeauftragten (DSB) zu benennen. Hier können Sie kostenlos überprüfen, ob Ihr Unternehmen einen DSB benötigt:
Unabhängig davon, ob Sie einen DSB benötigen oder nicht, müssen Sie dennoch Ihren gesetzlichen DSGVO-Verpflichtungen nachkommen! Beim DSGVO-Service kümmern sich zertifizierte Datenschutzbeauftragte um alle gesetzlichen DSGVO-Anforderungen!

2. Gemäß Art. 30 DSGVO bzw. § 70 BDSG sind Sie dazu verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen!

In einem Verzeichnis von Verarbeitungstätigkeiten (oder auch Verarbeitungsverzeichnis) wird dokumentiert:

  • Welche (personenbezogenen) Daten für welchen Zweck verarbeiten Sie?
  • Wie schützen Sie diese Daten?
  • Wann löschen Sie diese Daten?
  • Auf welche Rechtsgrundlage stützen Sie die Verarbeitung der Daten?

Die Führung des Verzeichnisses von Verarbeitungen hat schriftlich zu erfolgen. Kommen Sie dieser Pflicht nicht nach, drohen Strafen von bis zu 20 Mio. EUR bzw. 4 % des letztjährigen Umsatzes. Nach Auskunft der Aufsichtsbehörden liegen die durchschnittlichen Bußgelder bei 10.000 bis 15.000 Euro.

Unser Tipp: In den Leistungen des DSGVO-Service ist die Erstellung des gesamten Verarbeitungsverzeichnisses enthalten!

3. Gemäß Art. 32 DSGVO bzw. § 64 BDSG bzw. müssen Sie die technisch-organisatorischen Maßnahmen Ihres Unternehmens dokumentieren!

Um personenbezogene Daten vor Verlust oder Zugriff durch unbefugte Personen zu schützen, müssen technische und organisatorische Maßnahmen (TOMs) definiert und beschrieben werden.

Unser Tipp: In den Leistungen des DSGVO-Service ist die Dokumentation der TOMs enthalten!

4. Gemäß Art. 13 und 14 DSGVO bzw. § 32 BDSG müssen Sie die Informationspflichten bei der Erhebung von personenbezogenen Daten berücksichtigen!

Den Verantwortlichen im Unternehmen treffen umfangreiche Informationspflichten gegenüber den betroffenen Personen (z.B. Kunden oder Mitarbeiter). Die Informationen sind zum Zeitpunkt der Erhebung der Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form schriftlich, gegebenenfalls elektronisch zu erteilen.

Die Information über die Verarbeitung der personenbezogenen Daten muss folgendes enthalten:

  • Namen und Kontaktdaten des Verantwortlichen,
  • Verarbeitungszwecke und Rechtsgrundlage der Verarbeitung,
  • Empfänger der Daten oder Kategorien der Empfänger,
  • ob die Daten in ein Drittland übermittelt werden,
  • Dauer der Datenspeicherung bzw. wenn unmöglich die Kriterien für die Festlegung der Dauer,
  • Betroffenenrechte,
  • die Möglichkeit des Widerrufs der Einwilligung,
  • Aufklärung über das Beschwerderecht bei einer Datenschutzbehörde,
  • Informationen darüber, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen und welche möglichen Folgen die Nichtbereitstellung hätte und
  • gegebenenfalls Information über das Bestehen „automatisierter Entscheidungsfindung“.

Bei Verletzung der Informationspflicht kann die Datenschutzbehörde eine Strafe von bis zu 20 Mio. EUR o bzw. 4 % des letztjährigen Umsatzes verhängen.

Unser Tipp: Wir vom DSGVO-Service prüfen Ihre Webseite auf DSGVO-Verstöße und unterstützen Sie bei einer DSGVO-konformen Datenschutzinformation für Ihre Webseite!

5. Gemäß Art. 15, 16, 17, 18 und 19 DSGVO müssen die Rechte der betroffenen Personen (i.d.R. Kunden und Mitarbeiter) beachtet und eingehalten werden!

Sie sind verpflichtet, anfragenden Personen binnen 30 Tagen auf Anfragen zu Auskunft, Berichtigung und Löschung ihrer Daten gesetzeskonform zu antworten. Sie kümmern sich also um alle Betroffenenrechte, die Beantwortung aller Anfragen, Beschwerden und löschen die jeweiligen persönlichen Daten.

Die Verletzung von Betroffenenrechten ist mit bis zu 20 Mio. EUR oder 4% des letztjährigen Jahresumsatzes sanktioniert.

Unser Tipp: Im Rahmen des DSGVO-Service unterstützen Sie zertifizierte Datenschutzbeauftragte bei der Beantwortung von Anfragen Betroffener (z.B. Mitarbeiter, Kunden) bezüglich Auskunft, Berichtigung und Löschung von Daten.

6. Gemäß Art. 33 DSGVO sind Sie dazu verpflichtet, Datenpannen (z.B. bei einem Cyberangriff) binnen 72h der zuständigen Datenschutzbehörde zu melden!

Als Data Breach bzw. Datenpanne wird ein Vorfall verstanden, durch den Unbefugte auf personenbezogene Daten zugreifen (z.B. Verlust eines Datenträgers oder bei einem Cyberangriff).

Die Meldung einer Datenschutzverletzung an die Datenschutzbehörde muss unverzüglich und binnen 72 Stunden, nachdem dem Verantwortlichen diese Verletzung bekannt wurde, erfolgen.

Die Datenschutzbehörde kann Geldstrafen von bis zu 20 Mio. EUR bzw. 4% des letztjährigen Umsatzes verhängen. Außerdem können Betroffene unter Umständen Schadenersatzansprüche gegenüber dem Verantwortlichen geltend machen (sofern er schuldhaft und kausal gegen die Bestimmungen der DSGVO verstoßen hat).

Unser Tipp: Mit der 24/7-Notfallhilfe des DSGVO-Service unterstützen Sie zertifizierte Datenschutzbeauftragte bei Datenpannen oder Anfragen von Betroffenen!

7. Regelmäßige Datenschutzaudits (in der Regel jährlich) sind zu empfehlen!

In einem Datenschutzaudit wird dokumentiert, inwieweit Datenschutzbestimmungen auch umgesetzt sind. Externe, unabhängige Prüfer und Gutachter überprüfen hierbei, ob das Unternehmen datenschutzkonform ist. Je nachdem, ob es um die DSGVO-Konformität bei einem bestimmten Projekt oder um die allgemeine Einhaltung des Datenschutzes geht, werden unterschiedliche Fragen gestellt und dokumentiert.

Unser Tipp: Der DSGVO-Service deckt diese Leistung ab!

8. Schulen Sie Ihre Mitarbeiter regelmäßig in Bezug auf die DSGVO!

Nicht nur Sie als Unternehmer müssen wissen, wie Sie sich gesetzeskonform zu verhalten haben. Es nützt auch nichts, alles in der Praxis zu wissen und dann trotzdem Strafen zu bekommen, weil Ihre Mitarbeiter die DSGVO-Richtlinien nicht kennen und sich nicht DSGVO-konform verhalten.

Unser Tipp: Beim DSGVO-Service können Sie optional Ihre Mitarbeiter via E-Learning schulen und die Teilnahme an dieser Schulung dokumentieren.

9. Achten Sie auf gesetzeskonforme Datenspeicherung und -löschung!

Da (personenbezogene) Daten nur für den Zweck, für den diese gedacht/gesammelt wurden, genutzt werden dürfen, ist es notwendig, die Daten in regelmäßigen Abständen auf ihre Aktualität und ihren Zweck zu überprüfen. Falls Daten für den erhobenen Zweck nicht mehr aktuell sind oder nicht mehr benötigt werden, müssen diese gelöscht werden.

Unser Tipp: Der DSGVO-Service übermittelt Ihnen im Rahmen eines Audits ein Löschkonzept.
Mit unserem DSGVO-Service schützen wir Ihr Unternehmen einfach, unkompliziert und kostengünstig!