Unternehmen

Datenschutz in Ihrem Unternehmen ist ein komplexes und wichtiges Thema. Egal ob Einzelunternehmer, Kaufmann, GmbH-Geschäftsführer oder Aufsichtsrat einer Aktiengesellschaft, es gibt immer etwas zu erledigen, auch im Bereich Datenschutz. Deshalb stellt der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) auf diesen Seiten hilfreiche Informationen bereit, um Ihnen das Erhalten oder Verbessern des Datenschutzes in Ihrem Unternehmen zu erleichtern.

 

Das Thema Datenschutz ist immer dann zu beachten, wenn es um den Umgang mit personenbezogenen Daten geht – also fast immer! Dabei ist daran zu denken, dass dieser Umgang nach der Datenschutz-Grundverordnung (DS-GVO) nur dann zulässig ist, wennes dafür eine rechtliche Grundlage gibt. Darüber hinaus regelt die DS-GVO auch verschiedene Pflichten, die auch Sie als verantwortlicher Unternehmer treffen.

 

FAQ-Liste für Unternehmen zur Umsetzung der DS-GVO in Zusammenarbeit mit den IHK's und HWK's

Für den unternehmerischen oder auch „nicht-öffentlichen“ Bereich sind im Wesentlichen zwei Gesetze relevant, wenn es um das Thema Datenschutz geht:

Zum einen die Datenschutz-Grundverordnung (DS-GVO)

Gesetzestext der DS-GVO

Zum anderen das Bundesdatenschutzgesetz (BDSG) in dem der deutsche Gesetzgeber auch für den unternehmerischen Bereich von seinen Regelungsspielräumen Gebrauch gemacht hat.

Gesetzestext des BDSG


Meldepflicht: Datenschutzbeauftragte/r (DSB)

Haben Sie einen betrieblichen Datenschutzbeauftragten benannt, müssen Sie diesen Ihrer Aufsichtsbehörde melden. Haben Sie Ihren Sitz in Thüringen ist dies der TLfDI. Für Ihre Meldung bietet der TLfDI ein entsprechendes Online-Meldeformular an.

Meldeportal für Datenschutzbeauftragte

 

Meldepflicht: "Datenpanne"

Kommt es zu einer Verletzung des Schutzes personenbezogener Daten in Ihrem Verantwortungsbereich, dann müssen Sie dies „unverzüglich und möglichst innerhalb von 72 Stunden“ Ihrer Aufsichtsbehörde melden. Für Thüringen ist dies der TLfDI. Damit dies immer vollständig gelingt, steht Ihnen dafür ein entsprechendes Formular zur Verfügung.

Formular zur Meldung einer Datenpanne nach Art. 33 DS-GVO

 


Informationspflichten

Die Informationspflicht sind eine der wirklichen Neuerungen, die im Rahmen der Geltungserlangung der DS-GVO eingeführt worden ist. Hintergrund ist der Gedanke, dass nur der, der auch über die konkrete Verarbeitung vollständig und transparent informiert ist, sein Recht auf informationelle Selbstbestimmung bewusst und tatsächlich ausüben kann. Um die hierfür notwendige Transparenz herbeizuführen hat der Gesetzgeber in den Artt. 12-14 DS-GVO geregelt, welche Informationen durch den Verantwortlichen an den Betroffenen bereitgestellt werden müssen.

Um Sie als Unternehmer in diesem wichtigen Bereich zu unterstützen, stellt Ihnen der TLfDI folgende Informationen bereit:

Leitlinie für Transparenz gemäß der Verordnung 2016/679

Es handelt sich bei Leitlinien um ein europaweit abgestimmtes Positionspapier. Die Aufsichtsbehörden fühlen sich hieran gebunden.

 

Einen Spezialfall in diesem Zusammenhang stellen die Informationspflichten im Bereich der Videoüberwachung dar.

Hierzu siehe bitte: Videoüberwachung

 

Verzeichnis von Verarbeitungstätigkeiten

Nach Art. 30 DS-GVO sind Sie als Unternehmer verpflichtet ein Verzeichnis über die bei Ihnen durchgeführten Verarbeitungstätigkeiten zu führen. Eine bestimmte Form schreibt da Gesetz nicht vor, selbstverständlich muss das Verzeichnis aber dokumentiert sein. Hier finden Sie als Vorschlag ein ausfüllbares Musterverzeichnis nebst ausführlichen Hilfestellungen zum Ausfüllen.

Anwendungshinweise zum Verzeichnis von Verarbeitungstätigkeiten

Muster für Verantwortliche

Muster für Auftragsverarbeiter

 

Auftragsverarbeitung

Nicht immer möchten Sie als Unternehmen jede Datenverarbeitung selbst im eigenen Unternehmen durchführen. Immer wenn Sie Daten im Auftrag durch Dritte verarbeiten lassen, müssen Sie mit Ihrem Auftragnehmer einen Vertrag nach Art. 38 Abs. 3 DS-GVO abschließen.

Als Anregung stellt Ihnen der TLfDI einen Beispielstext für einen solchen Vertrag zur Verfügung.

Formulierungshilfe für einen Vertrag über eine Auftragsverarbeitung

 

Einwilligung

Die Einwilligung ist die wohl volatilste Rechtsgrundlage für eine Verarbeitung, die Ihnen aus Art. 6 DS-GVO zur Verfügung steht. Es ist auch ohne Zweifel eine der komplexesten Rechtsgrundlagen. In manchen Situationen kommen Sie als Unternehmer bei manchen Verarbeitungsformen nicht an Einwilligungen vorbei. Damit bei der Einholung dieser die eine oder andere Schwierigkeit vermieden werden kann, stellt der TLfDI Ihnen hierzu folgende Hinweise zur Verfügung:

Leitlinie der DSK zur Einwilligung

Anwendungsbeispiel für eine Einwilligungserklärung zur Datenverarbeitung

Hinweis: Hinsichtlich des Anwendungsbeispiels weist der TLfDI darauf hin, dass es sich eben nur um ein Beispiel handelt. Eine Einwilligung muss immer für den konkreten Einzelfall in dem Sie verwendet wird, formuliert sein. Für genauere Informationen bitte die Leitlinie zu Rate ziehen.

 

Datenschutzfolgenabschätzung

Um die Gefahren für die Rechte und Freiheiten von Betroffenen insbesondere bei besonders risikoreichen Datenverarbeitungsverfahren zu minimieren, bzw. komplett auszuschließen, schreibt die DS-GVO in bestimmten Fällen eine so genannte Datenschutz-Folgenabschätzung vor. Um Sie für den Fall zu unterstützen, dass Sie eine solche durchführen müssen, stellt Ihnen der TLfDI folgende hilfreiche Dokumente zur Verfügung:

 

In der Handreichung des TLfDI finden Sie Angaben dazu, wann eine Datenschutz-Folgenabschätzung (DS-FA) durchzuführen ist. Die verschiedenen Phasen der Durchführung dieses Verfahrenswerden hier beschrieben.

Handreichung zur Datenschutz-Folgenabschätzung im nicht-öffentlichen Bereich

Leitlinie der DSK zur DS-FA

 

In Art. 35 Abs. 4 DS-GVO wird die Aufsichtsbehörde aufgefordert mitzuteilen, welche Verarbeitungen in jedem Fall einer Datenschutz-Folgenabschätzung unterfallen. Die Liste des TLfDI finden Sie unter folgendem Link.

Verarbeitungsvorgänge für die in jedem Fall eine Datenschutz-Folgenabschätzung erforderlich ist:

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO


Der Thüringer Landesbeauftragte für den Datenschutz ist auch zuständige Behörde für die Sanktionierung im nicht-öffentlichen Bereich Thüringens. Die verschiedenen Sanktionen finden sich in Artikel 83 DS-GVO. Nachfolgend finden Sie eine Übersicht über den Ablauf eines Bußgeldverfahrens:

Ablauf eines Bußgeldverfahrens