Der Datenschutz wurde in Unternehmen lange stiefmütterlich behandelt. Dies hat sich mit Einführung der Datenschutzgrundverordnung (DSGVO) am 25.05.2018 deutlich verändert. Das liegt daran, dass empfindliche Geldbußen der Datenschutzbehörde drohen, wenn die Erfordernisse des Datenschutzes nicht eingehalten werden. In der Anfangsphase haben wir große, deutschlandweit agierende Steuerberatungskanzleien mit über 600 Steuerberatern im Datenschutz geschult. Ebenso haben wir Datenschutzschulungen für Branchenverbände mit über 800 Mitgliedsbetrieben durchgeführt. Viele Unternehmen haben wir bei der Einführung des Datenschutzes unterstützt und angeleitet, wie man Verfahrensverzeichnisse erstellt, technische und organisatorische Maßnahmen (TOMs) dokumentiert, Auftragsverarbeitungsverträge schließt und Datenschutzfolgeabschätzungen durchführt. Die Anzeigen Betroffener bei den Datenschutzbehörden haben zwischenzeitlich erheblich zugenommen.
Verfahrensverzeichnisse dienen der Dokumentation über den Umgang eines Unternehmens mit personenbezogenen Daten der Kunden. Sie sind die Basis für einen funktionierenden Datenschutz. In einem Verfahrensverzeichnis müssen die Kategorien der zu verarbeitenden Daten angegeben werden, zu welchen Zwecken die Daten erhoben werden und welche Rechtsgrundlage für die Datenerhebung und Verarbeitung besteht.
Die technischen und organisatorischen Maßnahmen umfassen alle Maßnahmen zur Sicherung und Verfügbarhaltung der Daten. Dazu gehören eine Zutrittskontrolle zu den Räumen, in denen sich Daten befinden. Die Zugangskontrolle soll verhindern, dass Dritte unbefugt an Daten gelangen können, beispielsweise durch Verschlüsselung und Zweifaktor-Authentifizierung. Die Zugriffskontrolle besteht in einer strengen Rechtevergabe, d.h. auch Mitarbeiter dürfen nur auf diejenigen Daten Zugriff haben, die sie tatsächlich benötigen. Die Rechte, Daten zu löschen, dürfen ebenfalls nur bestimmte Personen erhalten. Auch muss eine Weitergabekontrolle gewährleistet sein. Externe Festplatten sind zu verschlüsseln, damit auch bei Verlust sichergestellt ist, dass keine Daten gelesen werden können. Eine Eingabekontrolle protokolliert jeden Zugriff auf die Daten, damit Datenangriffe nachvollzogen werden können. Auch muss eine Verfügbarkeitskontrolle erfolgen. Firewalls schützen die Daten vor unberechtigten Zugriffen und Datenverlusten von außen. Backups müssen sicherstellen, dass Daten jederzeit wiederhergestellt werden können.
Auch externe Dienstleister dürfen keinen Zugriff auf die Daten ihrer Mitarbeiter und Kunden haben, wenn sie keinen separaten Auftragsverarbeitungsvertrag geschlossen haben. Beispielsweise ist ein Zugriff des Herstellers ihrer Software mit ‚Teamviewer‘ ohne einen Auftragsverarbeitungsvertrag unzulässig. Ebenso sind Auftragsverarbeitungsverträge mit dem Unternehmen zu schließen, das Ihre Faxgeräte, Kopierer oder Scanner wartet, da diese Festplatten enthalten, auf denen die Daten gespeichert werden. Eine Auftragsverarbeitung liegt vor, wenn ein externer Dienstleister in Ihrem Auftrag Daten verarbeitet und dabei Ihre Weisungen zu befolgen hat. Dies muss von Ihnen auch kontrolliert werden. Inhalt eines Auftragsverarbeitungsvertrages sind regelmäßig die Bezeichnung des Auftragsgegenstandes und der Dauer des Auftragsverhältnisses, Umfang, Art und Zweck der Datenverarbeitung, Technische und organisatorische Maßnahmen des Auftragnehmers, Löschung, Berechtigung und Sperrung von personenbezogenen Daten, Kontrollrechte des Auftraggebers, eventuelle Befugnis zu Unterauftragsverhältnissen, Pflichten des Auftragnehmers (Duldung und Mitwirkung bei Kontrollen), Meldepflicht bei Verstößen gegen das BDSG oder den Vertrag, Weisungsbefugnis des Auftraggebers bei datenschutzrelevanten Sachverhalten, Rückgabe oder evtl. Löschung der personenbezogenen Daten am Ende des Auftragsverhältnisses (Auftraggeber bleibt Datenherr).
Eine Datenschutzfolgeabschätzung muss in einem Unternehmen insbesondere dann erfolgen und dokumentiert werden, wenn neue Technologien zur Verarbeitung personenbezogener Daten eingesetzt werden sollen. Die Datenschutzfolgeabschätzung dient dazu, die durch den Einsatz der Technik neu entstehenden Risiken zu erkennen und zu bewerten und dies in einem strukturierten Ablauf so zu dokumentieren, dass dies einer Überprüfung der Datenschutzbehörde standhält.
Wir haben den gesamten Bereich der Implementierung erforderlicher Datenschutzstrukturen in Unternehmen ausgegliedert auf die Firma ZEiD GmbH. Dies ermöglicht es uns, uns intensiv auf die rechtlichen Fragestellungen im Bereich des Datenschutzes zu konzentrieren.
Wir haben sehr frühzeitig die auf die Unternehmen zukommenden Veränderungen im Datenschutz erkannt, als viele Unternehmen, Steuerberater und selbst Rechtsanwälte noch im Tiefschlaf waren. Durch die Ausgliederung der Implementierung des Datenschutzes in Unternehmen auf die ZEiD GmbH kann die Schaffung der erforderlichen datenschutzrechtlichen Strukturen zu geringen Kosten bewerkstelligt werden.
Das Datenschutzrecht hat beispielsweise besondere Bezüge zum Arbeitsrecht, weil personenbezogene Daten der Mitarbeiter besonders geschützt werden (besondere Kategorien personenbezogener Daten). Gleiches gilt natürlich auch für den Schutz personenbezogener Daten im Medizinrecht. Auch in diesen Bereichen ist unsere fachübergreifende Expertise unter einem Dach der richtige Ansatz.
Tel.: +49 681 93808-0
Fax: +49 681 93808-38
E-Mail: info@saarkanzlei.de
Öffnungszeiten:
8h-12h und 14h-17h
USt-ID Nr: DE223561713
Parkmöglichkeit
Parkhaus Hauptbahnhof (Bormannspfad)