Kenjo blog logo
KATEGORIEN
KATEGORIEN
Zurück zur Webseite
SPRACHEN
Kenjo blog logo
HR-Services

Wie kann Dein Unternehmen die Einhaltung der DSGVO gewährleisten?

Obwohl die europäische Datenschutzgrundverordnung (DSGVO) schon seit einiger Zeit in Kraft ist, herrscht in manchen Unternehmen noch große Unsicherheit: Was muss getan werden, um die Einhaltung der DSGVO im Unternehmen zu gewährleisten?

 

Fakt ist, jedes Unternehmen verarbeitet auf die eine oder andere Weise personenbezogene Daten – und um dies zu tun, ist es verpflichtet, sich an geltendes Datenschutzrecht zu halten.

 

Welche Datenschutzbestimmungen in Deutschland gelten, wozu sie dienen und wie Dein Unternehmen die Datenschutzregelungen richtig umsetzt, erfährst Du in diesem Artikel.

 

 

Was ist die DSGVO?

 

Bis vor wenigen Jahren regelte das Bundesdatenschutzgesetz (BDSG-alt) den Umgang mit personenbezogenen Daten in Deutschland. Dieses Gesetz wurde im Mai 2018 durch die Datenschutzverordnung der EU und das im Zuge dessen aktualisierte Bundesdatenschutzgesetz (BDSG-neu) abgelöst. Unternehmen in Deutschland müssen sich darüber hinaus auch an bereichsspezifische Datenschutzregelungen und gegebenenfalls das Datenschutzgesetz des jeweiligen Bundeslandes halten.

 

Doch wozu gibt es all diese Gesetze? Sie sollen in erster Linie die Grundrechte und -freiheiten natürlicher Personen schützen, insbesondere das Recht auf Schutz der persönlichen Daten. Deshalb reguliert die DSGVO europaweit den Umgang mit personenbezogenen Daten und stärkt die Datensicherheit.

 

Also welche Ziele werden mit den DSGVO-Regelungen verfolgt? Ziel der DSGVO ist es:

 

  • die Bürger in Europa zu schützen und ihnen die Kontrolle über ihre persönlichen Daten (Datenhoheit) zu geben.
  • die Rechte des Einzelnen zu stärken, auf Wunsch auf seine Daten zugreifen, sie löschen oder ändern zu können.
  • mehr Transparenz und einheitliche Datenschutzbestimmungen in Europa zu schaffen.

 

 

Regelungen zum Datenschutz

 

Wie bereits erwähnt, ist im Mai 2018 die DSGVO in Kraft getreten und seither gilt ein neuer rechtlicher Rahmen für den Schutz von persönlichen Daten, auf den sich die Länder der Europäischen Union geeinigt haben. Grundsätzlich ist die DSGVO für alle Unternehmen verpflichtend, die Daten verarbeiten. Das schließt nicht nur Unternehmen ein, die ihren Sitz in einem der EU-Mitgliedsstaaten haben. Die EU-DSGVO greift auch für Unternehmen mit Sitz außerhalb der EU, die Waren oder Dienstleistungen in EU-Mitgliedsstaaten anbieten oder Mitarbeiter vor Ort beschäftigen. Der räumliche Geltungsbereich der Datenschutz-Grundverordnung ist also weit gefasst. 

 

Besonders an der DSGVO ist, dass sie dem einzelnen Menschen mehr Rechte einräumt. Unterm Strich heißt das: Eine betroffene Person muss ausdrücklich ihre Zustimmung zur Weitergabe und Nutzung ihrer Daten geben und kann ihre Daten jederzeit ändern oder löschen. 

 

Das spiegelt sich auch in den Grundsätzen der Datenverarbeitung in der DSGVO wider, die unter anderem 

 

  • Rechtmäßigkeit und Transparenz der Datenverarbeitung, 
  • Zweckgebundenheit, 
  • Datenminimierung, 
  • Richtigkeit, 
  • Speicherbegrenzung und Vertraulichkeit der Daten vorschreiben. 

 

Übrigens: Unternehmen sind für die Einhaltung dieser Grundsätze verantwortlich und stehen in der Nachweispflicht.

 

Wie oben schon aufgegriffen, wird die DSGVO in Deutschland durch das Bundesdatenschutzgesetz (BDSG-neu) konkretisiert und ergänzt. Die Hauptaufgabe des BDSG-neu ist es, den Datenschutz auf nationaler Ebene zu regeln. Es umfasst deshalb konkrete Vorgaben für den Umgang mit personenbezogenen Daten unter anderem in Beschäftigungsverhältnissen (§ 26 BDSG-neu), bei der Notwendigkeit zur Bestellung eines Datenschutzbeauftragten (§§ 5, 38 BDSG-neu) oder im Bereich Scoring und Bonitätsprüfungen (§ 31 BDSG-neu). 



Wer ist vom Datenschutzrecht betroffen?

 

Alle Unternehmen müssen die Bestimmungen des BDSG-neu einhalten. Oder anders formuliert: Alle deutschen Organisationen – sowohl öffentlich als auch nicht-öffentlich –, die personenbezogene Daten verarbeiten, müssen den Datenschutz in ihren Richtlinien aufgreifen.

 

Wer im Bereich HR Analytics arbeitet, oder wenn ein Unternehmen beispielsweise Sonderangebote an Kunden senden möchte und aus diesem Grund um die Angabe der E-Mail-Adressen der Kunden bittet, dann handelt es sich hier um die Erfassung von personenbezogenen Daten. Und das bedeutet im Umkehrschluss: Das BDSG-neu greift.  

 

Deutschlandweite externe Personaldienstleister

 

 

Die europäische Datenschutzgrundverordnung gilt wie gesagt in allen EU-Mitgliedsstaaten sowie für Unternehmen, die in Ländern außerhalb der EU ansässig sind und personenbezogene Daten von EU-Bürgern verarbeiten. 

 

 

7 Schritte, um die Anforderungen an den Datenschutz einzuhalten 

 

Datenschutz sollte höchste Priorität in Deinem Unternehmen haben. Denn wer sich jetzt noch immer nicht über die aktuellen Datenschutzbestimmungen auf dem Laufenden hält, für den ist es allerhöchste Zeit!

 

Hier findest Du einen 7-Schritte-Plan, um die Anforderungen der DSGVO zu erfüllen:

 

 

1. Aktionsplan erstellen

 

Die DSGVO erfordert einen strategischen Aktionsplan zur Umsetzung der Regelungen. Du solltest darin alle Bereiche berücksichtigen.

 

 

2. Datenschutzbeauftragten benennen

 

Es ist wichtig – und für manche Unternehmen sogar Pflicht –, einen Datenschutzbeauftragten im Unternehmen zu benennen oder extern zu beauftragen. Ein Datenschutzbeauftragter kann aufgrund seiner Expertise gewährleisten, dass Dein Unternehmen DSGVO-konform agiert.

 

Dabei besteht laut keyed die „Pflicht zur Bestellung eines Datenschutzbeauftragten Unternehmen je nach deren Kerntätigkeit, also Tätigkeiten, die essentiell für die Erreichung der Ziele des Unternehmens sind. Umfassen diese die umfangreiche Verarbeitung besonderer personenbezogener Daten oder Datenverarbeitungen, die besonders einschneidend für den Betroffenen sind, muss ein betrieblicher Datenschutzbeauftragter bestellt werden.“ 

 

 

3. Datenschutzrichtlinie aktualisieren

 

Zu den wichtigsten Anforderungen gehören, dass Unternehmen ihre Datenschutzrichtlinie gemäß den DSGVO-Regelungen aktualisieren. Ein wichtiger Begriff ist hier Datenklassifizierung: Dein Unternehmen sollte Klassifizierungsstufen für den Umgang mit personenbezogenen Daten definieren und diese in der Datenschutzrichtlinie festhalten. Es ist sinnvoll, wenn diese Aufgabe die Rechtsabteilung in Deinem Unternehmen oder Deine Rechtsberatung übernimmt.

 

 

4. Starke Sicherheitsmechanismen implementieren

 

Dein Unternehmen ist auch verantwortlich dafür, Sicherheitsmechanismen zu implementieren, um Verstöße gegen den Datenschutz und im Umgang mit personenbezogenen Daten zu erkennen und zu beheben.

 

 

5. Compliance im Geschäftsalltag überprüfen

 

Dein Unternehmen muss sicherstellen, dass alle Geschäftspartner und Lieferanten, die ebenfalls Zugriff auf personenbezogene Daten haben und diese verarbeiten, ebenfalls DSGVO-konform handeln. Das bezieht sich beispielsweise auf Software oder IT-Programme, die regelmäßig in Deinem Unternehmen verwendet werden.

 

 

6. Datenverschlüsselung

 

Unternehmen sind dazu verpflichtet, personenbezogene Daten zu verschlüsseln: zum einen, um deren Sicherheit zu gewährleisten und zum anderen, um einen Datenverlust zu vermeiden.

 

 

7. Das gesamte Unternehmen einbeziehen

 

Datenschutz betrifft viele Abteilungen in einem Unternehmen. Für ein angemessenes Datenschutzniveau ist es deshalb wichtig, dass Du alle Beschäftigten – auch wenn sie nicht direkt mit Daten arbeiten – ausreichend im Datenschutzrecht schulen lässt. 

 

Du bist Dir nicht sicher, ob Du das alleine schaffst? dann schau Dich einmal auf unserer Liste zu den besten externen Personaldienstleistungen um:

 

 

 

Strafen bei einem Verstoß gegen die DSGVO?

 

In Deutschland wird die Einhaltung des Datenschutzrechts im Grunde sowohl vom Datenschutzbeauftragten als auch von der zuständigen Aufsichtsbehörde kontrolliert. Nach Artikel 58 DSGVO haben die Aufsichtsbehörden auch die Möglichkeit, bei Verstößen Bußgelder zu verhängen. „Wie hoch ein DSGVO Bußgeld ist, entscheiden die Landesbeauftragten der Datenschutzbehörden im Einzelfall.“ 

 

Liegt ein Verstoß gegen bestehendes Datenschutzrecht vor, können allerdings Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweit erzielten Jahresumsatzes des Unternehmens drohen (Art. 83 DSGVO).

 

Bei Verstößen gegen die DSGVO drohen nicht nur Bußgelder, sondern laut datenschutzexperte.deauch: 

 

  • Imageverlust, 
  • Schadensersatzansprüche, 
  • arbeitsrechtliche Konsequenzen, 
  • strafrechtliche und weitere Sanktionen 
  • sowie Abmahnungen durch die Konkurrenz.



Wie viel kostet ein externer Datenschutzbeauftragter?

 

Unternehmen können Aufgaben rund um den Datenschutz outsourcen. Ein externer Datenschutzbeauftragter ist ein unabhängiger Experte, der das Unternehmen darin unterstützt, alle gesetzlichen Vorschriften zum Datenschutz einzuhalten. Deshalb ist es wichtig, dass der externe Dienstleister ein zertifizierter Datenschutzexperte ist, zuverlässig arbeitet und umfangreiche Berufserfahrung besitzt. 

 

Die Kosten für diesen Service variieren und hängen in der Regel von der Unternehmensgröße und -branche sowie vom Umfang der Leistung ab. „Grundsätzlich kann diese Dienstleistung mit lediglich basaler Abdeckung der notwendigen Pflichten bereits ab 150 bis 200 Euro im Monat in Anspruch genommen werden,“ heißt es auf Datenschutz.org.

 

„Mit der Komplexität und dem Umfang der Leistungen steigt aber wie gesagt auch der Preis.” Es gibt auch kostengünstigere Angebote für kleinere Unternehmen und Freiberufler, zum Beispiel in Form von Datenschutz-Kits oder Komplettpaketen für Datenschutz. 

New call-to-action