Schlagwort: DSK-Papier

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Das DSK-Papier beschäftigt mit Frage, zu was die Mitarbeiter nach der DSGVO verpflichtet werden und wie diese zu unterrichten sind.

Was regelt die DSGVO?

  • Art. 29 DSGVO: Daten dürfen ausschließlich auf Weisung des Verantwortlichen oder Auftragsverarbeiters verarbeitet werden
  • Art. 32 Abs. 4 DSGVO: Maßnahmen zur Überprüfung, dass Vorgaben seitens des Verantwortlichen oder Auftragsverarbeiters durch die Beschäfigten eingehalten werden
  • Art. 28 Abs. 3 Satz 2 lit. b DSGVO (Auftragsverarbeitung): Verpflichtung zur Verschwiegenheit

Die Verschwiegenheitsverpflichtung betrifft zwar nur die Beschäftigten des Auftragsverarbeiters, allerdings betrifft die inhaltliche Verpflichtung auch den Verantwortlichen und seine Mitarbeiter. Ergo: Diese sind ebenfalls zu verpflichten.

Zu was soll verpflichtet werden?

Personenbezogene Daten müssen

  • auf rechtmäßige und faire Weise, und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
  • für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“);
  • dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
  • sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
  • in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“);
  • in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Eine Musterverpflichtung ist dem DSK-Papier anhängig.

Wer muss verpflichtet werden?

  • reguläre Mitarbeiter
  • Auszubildende
  • Praktikanten
  • Referendare
  • Leiharbeiter
  • Ehrenamtliche Tätige

Wann muss die Verpflichtung erfolgen?

  • Bei Aufnahme der Tätigkeit
  • Spätestens am ersten Arbeitstag

Anmerkung der Datenbeschützerin

Es bietet sich an, die Verschwiegenheitserklärung als Anlage zum Arbeitsvertrag beizufügen.

Wie muss eine Verpflichtung erfolgen?

  • Zuständig für die Verpflichtung: Unternehmensleitung, Inhaber der Firma oder ein Beauftragter
  • Keine Formvorschrift seitens der DSGVO
  • Empfehlung: Formular verwenden, dass schriftlich oder elektronisch ausgegeben wird
  • Zur Verpflichtung gehört auch die Belehrung der Pflichten (Beachtung bei der täglichen Arbeit)
  • Verschwiegenheitsverpflichtung ist kombinierbar mit anderen Geheimhaltungsvereinbarungen (Betriebs-, Telekommunikations- oder Steuergeheimnis)
  • Dokumentation der Verpflichtung für Nachweiszwecke

Reicht eine einmalige Verpflichtung?

  • Empfehlung: regelmäßige Schulungen oder schriftliche Hinweise, um Mitarbeiter auf die Verschwiegenheit und Pflichten aus der Verpflichtung zu sensibilisieren
  • Bei internen Arbeitsplatzwechsel mit Aufgabenwechsel sollte die Verschwiegenheitsverpflichtung geprüft und ggf. angepasst werden

Hinweis der Datenbeschützerin

Bei Schulungen sollte vermieden werden, den Datenschutz als Problem darzustellen, welches für die neuen Maßnahmen und Verpflichtung verantwortlich ist. Erklären Sie lieber, warum die Maßnahmen notwendig sind und welche Vorteile der Einzelne davon hat.

Beispiel:

Falsch: „Aufgrund des Datenschutzes müssen die PCs ab sofort beim Verlassen des Arbeitsplatzes gesperrt werden!“

Richtig: „Das Wissen unserer Fachabteilung ist für die Firma von höchster Bedeutung. Sollten die Daten ausspioniert oder gestohlen werden, wäre das absolut geschäftskritisch. Aufgrund des Kundenverkehrs in den Geschäftsräumen ist es deshalb notwendig, die PCs beim Verlassen des Arbeitsplatzes zu sperren.“

Falsch:  „Die neue Datenschutzgrundverordnung bringt für uns alle unverhältnismäßig viel Aufwand mit sich!“

Richtig: „Ein Großteil der aktuellen Datenschutzgrundverordnung galt in Deutschland bereits in den vorhergehenden Bundesdatenschutzgesetzen. Allerdings wurde die Umsetzung nicht besonders streng überwacht. Mit der DSGVO gilt nun EU-weit ein hohes Datenschutzlevel. Zudem hat nun Jeder von euch auch Rechte an „seinen“ Daten – nämlich die Betroffenenrechte, z.B. das Recht auf Vergessen werden. Das war bisher in der Praxis nur schwierig und mit viel Aufwand durchzusetzen.

DSK-Kurzpapier Nr. 19

Quelle

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_19.pdf

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

In diesem Kurzpapier wird die Rolle der Aufsichtsbehörde verdeutlicht. Welche Rechte und Pflichten die Aufsichtsbehörde hat und wie die Berechnung der Bußgelder aussieht, werden hier erläutert.

Untersuchungen und Abhilfemaßnahmen (Art. 58 DSGVO)

  • Aussprache von Verwarnungen ggü. Verantwortlichen/Auftragsverarbeitern, wenn geplante/aktuelle Datenverarbeitungen gegen die DSGVO verstoßen
  • Erlassung von Anweisungen, um die DSGVO im Unternehmen umzusetzen, den Betroffenenrechten nachzukommen und Betroffene bei Datenschutzverletzungen zu benachrichtigen
  • Erlass einer Anordnung, um die Datenübertragung in Drittländer zu unterbinden

Wer kann von den Maßnahmen der Aufsichtsbehörde betroffen sein?

  • Verantwortlicher (z.B. Geschäftsführer /-Inhaber)
  • Auftragsverarbeiter

Welchen Umfang haben die Untersuchungsbefugnisse?

  • Aufsichtsbehörde besitzt weitreichende Untersuchungsbefugnisse
  • Verantwortlicher und Auftragsverarbeiter können zur Mitwirkung verpflichtet werden
  • der Aufsichtsbehörde sind alle Informationen bereit zu stellen, um einen bestimmten Sachverhalt zu klären

Verhängung von Bußgeldern (Art. 83 DSGVO)

Wie hoch ist das Bußgeld nach der DSGVO

  • Rechtsgrundlage: Art. 83 DSGVO
  • 10.000.000 € bzw. 2 % des weltweiten Jahresumsatzes aus dem Vorjahr bzw.
  • 20.000.000 € bzw. 4 % des weltweiten Jahresumsatzes aus dem Vorjahr, bei bestimmten, besonders, schwerwiegenden Verstößen (z.B. Verstöße gegen Datenverarbeitungsgrundsätze/Betroffenenrechte, Verarbeitung ohne Rechtsgrundlage sowie Nichtbefolgung der der Anweisung

Wie wird das Bußgeld berechnet?

  • Über die Höhe des Bußgeld ist im Einzelfall zu entscheiden
  • Prüfung der Art, Schwere und der Dauer des Verstoßes
  • Welche Datenkategorien von dem Verstoß betroffen sind
  • Prüfung, ob vorangegangene Maßnahmen und die interne Organisation des Verantwortlichen eingehalten wurden
  • Art und Weise, wie der Verstoß der Behörde bekannt wurde
  • durch eine positive Zusammenarbeit kann sich das Bußgeld mindern
  • Berücksichtigung der TOMs und des Verantwortlichkeitsgrads des Verantwortlichen/Auftragsverarbeiter

Anmerkung der Datenbeschützerin

Seit Inkrafttreten der DSGVO wurden bereits zahlreiche Bußgelder in Europa und in Deutschland erlassen. Aufgrund dieser Bußgelder können Maßnahmen für die eigene Organisation und die eigenen Kunden abgeleitet werden.

Update September 2019: Dem Online-Magazin Juve liegen Unterlagen vor, wie die Aufsichtsbehörden die Bußgelder berechnen. Die Behörden haben sich auf eine einheitliche Berechnungsmethode geeinigt:

  • Bemessungsgrundlage Tagessatz: weltweiter Unternehmensumsatz : 365 Tage
  • Multiplikation je nach „Schweregrad“. Schweregrad = Dauer des Verstoß, Zahl der betroffenen Personen, Ausmaß des Schadens, Maßnahmen zur Schadenminderung, Zusammenarbeit mit Behörde
  • Erhöhung/Minderung je nach Verschuldensgrad: gering/unbewusste Fahrlässigkeit, Inkaufnahme/Kenntnis oder absichtliches Verschulden
  • Zuschlag bei wiederholten Datenschutzverstößen

Wie diese Berechnung jedoch dann in der Praxis aussieht, ist noch abzuwarten. Vorteil ist jedoch, dass aufgrund der gewählten Bemessungsgrundlage mehr Gerechtigkeit mit sich bringt.

DSK-Kurzpapier Nr. 2

Quelle

DKonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_2.pdf

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Die DSK hat ein Kurzpapier über das Verfahrensverzeichnis herausgegeben. Hier werden die Fragen geklärt, wer ein Verfahrensverzeichnis erstellen muss, was diese zu beinhalten hat und warum dieses überhaupt zu erstellen ist.

Wer muss ein Verfahrensverzeichnis erstellen?

  • Verantwortliche / Auftragsverarbeiter (z.B. Geschäftsführer)
  • Unternehmen mit mehr als 250 Mitarbeiter
  • AUSNAHME des oben genannten Schwellenwert, wenn
  1. ein Risiko für die Rechte und Freiheiten für die betroffenen Person besteht (z.B. in Fällen von Scoring und Überwachungsmaßnahmen) ODER
  2. die Datenverarbeitung NICHT regelmäßig erfolgt ODER
  3. besondere Datenkategorien nach Art. 9 DSGVO (Gesundheitsdaten, etc.) verarbeitet werden

Trifft eine der genannten Ausnahmekategorien zu, ist der Verantwortliche ebenfalls zur Führung eines Verfahrensverzeichnisses verpflichtet.

Anmerkung der Datenbeschützerin

Schlussfolgernd aus den oben genannten Punkten ist daraus zu schließen, dass viele Unternehmen / Organisationen / Vereine zur Erstellung eines Verfahrensverzeichnis verpflichtet sind. Sofern Mitarbeiter eingestellt werden, ist eine regelmäßige Datenverarbeitung unumgänglich.

Muss das Verfahrensverzeichnis öffentlich zugänglich sein?

  • Nein, das war im BDSG-alt gefordert
  • Des Weiteren ist das Verfahrensverzeichnis auch nicht mehr der Aufsichtsbehörde zu melden
  • Das Verfahrensverzeichnis es jedoch auf Verlangen der Aufsichtsbehörde offenzulegen

Hinweise der Datenbeschützerin

Dieser Punkt ist dem Verantwortlichen unbedingt mitzuteilen. Möchten Kunden / Geschäftspartner Einsicht in das Verfahrensverzeichnis haben, ist diese zu verneinen und auf die Informationspflichten zu verweisen.

Welche Inhalte müssen in das Verfahrensverzeichnis?

  • Rechtsgrundlage: Art. 30 DSGVO
  • Zwecke der Verarbeitung
  • Betroffene Personen (z.B. Kunden / Geschäftspartner / Mitarbeiter)
  • Datenkategorien der betroffenen Personen (z.B. Name, Adresse, Telefonnummer etc.)
  • Empfänger (intern / extern) der Daten (z.B. interne Mitarbeiter, Steuerberater etc.)
  • Beschreibung der technischen und organisatorischen Maßnahmen

Hinweise der Datenbeschützerin

Weitere Angaben sind nach Art. 30 DSGVO noch erforderlich (diese wurden im Papier nicht genannt):

  • Namen und Kontaktdaten des Verantwortlichen/gemeinsamen Verantwortlichen sowie des Vertreters
  • Kontaktdaten des Datenschutzbeauftragten (wenn vorhanden)
  • Übermittlung der Daten in ein Drittland oder internationale Organisations mit Beschreibung der Schutzmaßnahmen (besondere Bedingung nach Art. 44 ff.)
  • Löschfristen (wenn möglich)

Was passiert, wenn kein Verfahrensverzeichnis erstellt wird?

  • Es kann ein Bußgeld nach Art. 83 Abs. 4 lit. a DSGVO durch die Aufsichtsbehörde erlassen werden

Anmerkung der Datenbeschützerin

In Deutschland wurde noch kein Bußgeld aufgrund eines fehlenden bzw. fehlerhaften Verfahrensverzeichnisses bekannt.

Warum muss ein Verfahrensverzeichnis erstellt werden?

  • Das Verfahrensverzeichnis ist nur ein Teilbereich des Datenschutzmanamgents
  • Mit der Erstellung und Pflege des Verfahrensverzeichnisses kommt der Verantwortliche seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nach

Weitere Dokumentation für das Datenschutzmanamgent

  • Vorliegen und Nachweis von Einwilligungen
  • Prüfung der ordnungsgemäßen Datenverarbeitung
  • Ergebnis der Datenschutz-Folgeabschätzung

Anmerkungen der Datenbeschützerin

Weitere Informationen zum Verfahrensverzeichnis finden Sie in unserem Blogartikel: Datenschutz Verfahrensverzeichnis mit Muster.

DSK-Kurzpapier Nr. 1

Quelle

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_1.pdf