Die Vorschriften der DSGVO sind auf alle Verarbeitungen personenbezogener Daten anwendbar, wenn die Verarbeitung im Rahmen der Tätigkeit einer Niederlassung eines Verantwortlichen, des Verantwortlichen selbst oder eines Auftragsverarbeiters innerhalb der Europäischen Union stattfindet. Des Weiteren sind die Vorschriften der DSGVO anwendbar, sobald es sich bei der Verarbeitung um personenbezogene Daten eines Bürgers der EU handelt, auch wenn die datenverarbeitende Stelle keine Niederlassung in der Europäischen Union hat.

Personenbezogene Daten sind all jene Informationen, die sich direkt oder indirekt auf identifizierbare Menschen beziehen. Es handelt sich dabei zum Beispiel um Namen, Adressen, Telefonnummern, IP-Adressen etc.

Der Begriff „Verarbeitung“ bezieht sich hier auf alle manuellen oder automatisierten Vorgänge zur Erhebung, Erfassung, Organisation, Speicherung, Anpassung, Veränderung, Abfrage, Verwendung, Offenlegung, Übermittlung, Verknüpfung oder Löschung personenbezogener Daten.

Grundsätzlich ist jede Verarbeitung personenbezogener Daten verboten, sofern die DSGVO, das BDSG oder andere gesetzlichen Vorschriften nicht ausdrücklich eine Legitimation für die Datenverarbeitung vorsehen. Solche Legitimationen sind zum Beispiel die Einwilligung der betroffenen Person, die Datenverarbeitung zur Erfüllung eines Vertrages oder einer rechtlichen Verpflichtung (z. B. Aufbewahrungspflicht nach Steuerrecht) oder das Vorliegen eines berechtigten Interesses der verantwortlichen Stelle an der Datenverarbeitung.

Verantwortliche Stellen im datenschutzrechtlichen Sinne sind die Stellen, die Zweck und Mittel der Datenverarbeitung festlegen. Damit sind viele unterschiedliche Pflichten verbunden, unter anderem:

• Gewährleistung geeigneter technischer und organisatorischer Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit

• Anforderungen an die Auftragsverarbeitung

• Führen des Verzeichnisses der Verarbeitungstätigkeiten

• Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und Benachrichtigung der betroffenen Personen

• Durchführung der Datenschutz-Folgenabschätzung und vorherige Konsultation der Aufsichtsbehörden

• Bestellung eines Datenschutzbeauftragten

Die verantwortliche Stelle muss zur Gewährleistung eines angemessenen Schutzniveaus bei der Verarbeitung personenbezogener Daten geeignete technische und organisatorische Maßnahmen ergreifen. Diese müssen insbesondere die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten garantieren und die Belastbarkeit der Systeme sowie regelmäßige Überprüfungen und Bewertungen der getroffenen Maßnahmen beinhalten.

Erfolgt eine Datenverarbeitung durch einen Dienstleister im Auftrag der verantwortlichen Stelle (Auftragsverarbeitung), muss mit den Auftragsverarbeitern ein geeigneter Vertrag über die Art der Verarbeitung sowie den Umgang mit den personenbezogenen Daten geschlossen werden, der verschiedene datenschutzrechtliche Aspekte beachtet.

Im Verzeichnis der Verarbeitungstätigkeiten muss die verantwortliche Stelle festhalten, in welchen Verfahren personenbezogene Daten verarbeitet werden. Für jedes Verfahren ist anzugeben, zu welchem Zweck welche Daten verarbeitet werden, wer die betroffenen Personen sind, ob die Daten an Dritte übermittelt werden und welche technischen und organisatorischen Maßnahmen zur Sicherung der Daten getroffen wurden.

Bei Verletzungen des Schutzes personenbezogener Daten handelt es sich um sogenannte Datenpannen. Solche liegen vor, wenn zum Beispiel die Integrität der personenbezogenen Daten durch einen Hackerangriff oder den Verlust eines Speichermediums verletzt wird und ein Risiko für die betroffenen Personen entsteht. Um Datenpannen erkennen, innerhalb der 72-Stunden-Frist an die zuständige Aufsichtsbehörde melden und die Betroffenen informieren zu können, muss die verantwortliche Stelle einen geeigneten Prozess implementieren.

Hat eine durch die verantwortliche Stelle vorgenommene Datenverarbeitung ein hohes Risiko für die betroffene Person zur Folge, muss ggf. eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchgeführt werden. Dies sollte stets in Zusammenarbeit mit dem betrieblichen Datenschutzbeauftragten erfolgen.

Ein Datenschutzbeauftragter muss durch die verantwortliche Stelle bestellt bzw. benannt werden, wenn in ihrem Zuständigkeitsbereich mehr als 20 Personen mit der regelmäßigen automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Dazu gehören auch Aushilfen und Freelancer. Eine automatisierte Verarbeitung liegt schon vor, wenn Büroarbeiten an einem PC-Arbeitsplatz ausgeführt werden. Ebenfalls ist ein Datenschutzbeauftragter zu bestellen, wenn die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien personenbezogenen Daten (zum Beispiel Gesundheitsdaten) besteht. Behörden und öffentliche Stellen müssen, unabhängig von der Personenzahl, einen Datenschutzbeauftragten bestellen.

Als Datenschutzbeauftragten kann die verantwortliche Stelle einen geeigneten internen Mitarbeiter bestellen. Dieser muss sich mittels Schulungen und Weiterbildungen die notwendige Expertise aneignen und genießt als Datenschutzbeauftragter einen umfangreichen Kündigungsschutz. Alternativ besteht die Möglichkeit, einen externen Datenschutzbeauftragten mit geeigneter Expertise und langjähriger Erfahrung zu bestellen.

Der externe Datenschutzbeauftragte ist durch seine Unabhängigkeit in allen Abteilungen des Unternehmens ohne die Gefahr eines Interessenkonflikts einsetzbar. Zudem hat der externe Datenschutzbeauftragte auf der Grundlage von gesetzlich vorgeschriebenen Weiterbildungen und Seminaren einen fundierten und stets aktuellen Wissenstand zum Thema Datenschutz. Die Kosten für einen externen Datenschutzbeauftragten sind jederzeit planbar und es müssen keine zusätzlichen personellen Ressourcen geschaffen werden.

Nach dem Erstkontakt bieten wir eine kostenlose Erstberatung, in der wir Ihnen die in Ihrem Unternehmen umzusetzenden Anforderungen der DSGVO aufzeigen. Nach erfolgreichem Vertragsschluss erstellen wir zunächst einen Auditbericht, der den datenschutzrechtlichen Handlungsbedarf aufzeigt und die Grundlage für die weitere Zusammenarbeit darstellt. Auf dieser Basis wird das Datenschutzniveau Ihres Unternehmens kontinuierlich verbessert, der datenschutzrechtliche Nachholbedarf erfüllt und schließlich die Konformität mit den datenschutzrechtlichen Anforderungen der DSGVO und des BDSG erreicht.

Für die Einhaltung der datenschutzrechtlichen Regelungen sind die jeweils zuständigen Aufsichtsbehörden verantwortlich. In Niedersachsen handelt es sich hierbei um die Landesbeauftragte für den Datenschutz Niedersachsen mit Sitz in Hannover, die mittels Stichprobekontrollen, Querschnittsprüfungen und anlassbezogenen Prüfungen die Einhaltung der datenschutzrechtlichen Regelungen kontrolliert.

Verstößt eine verantwortliche Stelle gegen die Vorschriften des Datenschutzrechts, können Bußgelder bis zu 20 Mio. € oder 4 % des Jahresumsatzes durch die jeweils zuständige Aufsichtsbehörde verhängt werden.

Wir bieten Ihnen eine vollumfängliche monatliche Betreuung, die nicht nur die gesetzeskonforme Bestellung eines externen Datenschutzbeauftragten beinhaltet, sondern auch die Unterstützung bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten, dem Anlegen und Prüfen von Auftragsverarbeitungsverträgen, der Erarbeitung von Berichten für die Leitungsorgane, die Erstellung von Sensibilisierungsunterlagen für Ihre Mitarbeiter, die Unterstützung bei der Implementierung von notwendigen Datenschutzprozessen und die kontinuierliche Anpassung datenschutzrelevanter Dokumente (wie der Datenschutzerklärung auf Ihrer Webseite) an die Anforderungen der DSGVO umfasst.