Datenschutz für Unternehmen

Für den unternehmerischen oder auch „nicht-öffentlichen“ Bereich sind im Wesentlichen zwei Gesetze relevant, wenn es um das Thema Datenschutz geht:

Datenschutz-Grundverordnung (DS-GVO)

Zum einen die Datenschutz-Grundverordnung (DS-GVO)

Gesetzestext der DS-GVO (PDF-Datei, barrierefrei)

Bundesdatenschutzgesetz (BDSG)

Zum anderen das Bundesdatenschutzgesetz (BDSG) in dem der deutsche Gesetzgeber auch für den unternehmerischen Bereich von seinen Regelungsspielräumen Gebrauch gemacht hat.

Gesetzestext des BDSG

Meldepflicht: Datenschutzbeauftragte/r (DSB)

Haben Sie einen betrieblichen Datenschutzbeauftragten benannt, müssen Sie diesen Ihrer Aufsichtsbehörde melden. Haben Sie Ihren Sitz in Thüringen ist dies der TLfDI. Für Ihre Meldung bietet der TLfDI ein entsprechendes Online-Meldeformular an.

Meldeportal für Datenschutzbeauftragte

Meldepflicht: "Datenpanne"

Kommt es zu einer Verletzung des Schutzes personenbezogener Daten in Ihrem Verantwortungsbereich, dann müssen Sie dies „unverzüglich und möglichst innerhalb von 72 Stunden“ Ihrer Aufsichtsbehörde melden. Für Thüringen ist dies der TLfDI. Damit dies immer vollständig gelingt, steht Ihnen dafür ein entsprechendes Formular zur Verfügung.

Formular zur Meldung einer Datenpanne nach Art. 33 DS-GVO

Informationspflichten

Die Informationspflicht sind eine der wirklichen Neuerungen, die im Rahmen der Geltungserlangung der DS-GVO eingeführt worden ist. Hintergrund ist der Gedanke, dass nur der, der auch über die konkrete Verarbeitung vollständig und transparent informiert ist, sein Recht auf informationelle Selbstbestimmung bewusst und tatsächlich ausüben kann. Um die hierfür notwendige Transparenz herbeizuführen hat der Gesetzgeber in den Artt. 12-14 DS-GVO geregelt, welche Informationen durch den Verantwortlichen an den Betroffenen bereitgestellt werden müssen.

Um Sie als Unternehmer in diesem wichtigen Bereich zu unterstützen, stellt Ihnen der TLfDI folgende Informationen bereit:

Leitlinie für Transparenz gemäß der Verordnung 2016/679

Es handelt sich bei Leitlinien um ein europaweit abgestimmtes Positionspapier. Die Aufsichtsbehörden fühlen sich hieran gebunden.

Einen Spezialfall in diesem Zusammenhang stellen die Informationspflichten im Bereich der Videoüberwachung dar.

Hierzu siehe bitte: Videoüberwachung

Verzeichnis von Verarbeitungstätigkeiten

Nach Art. 30 DS-GVO sind Sie als Unternehmer verpflichtet ein Verzeichnis über die bei Ihnen durchgeführten Verarbeitungstätigkeiten zu führen. Eine bestimmte Form schreibt da Gesetz nicht vor, selbstverständlich muss das Verzeichnis aber dokumentiert sein. Hier finden Sie als Vorschlag ein ausfüllbares Musterverzeichnis nebst ausführlichen Hilfestellungen zum Ausfüllen.

Anwendungshinweise zum Verzeichnis von Verarbeitungstätigkeiten

Muster für Verantwortliche

Muster für Auftragsverarbeiter

Auftragsverarbeitung

Nicht immer möchten Sie als Unternehmen jede Datenverarbeitung selbst im eigenen Unternehmen durchführen. Immer wenn Sie Daten im Auftrag durch Dritte verarbeiten lassen, müssen Sie mit Ihrem Auftragnehmer einen Vertrag nach Art. 28 Abs. 3 DS-GVO abschließen.

Als Anregung stellt Ihnen der TLfDI einen Beispielstext für einen solchen Vertrag zur Verfügung.

Formulierungshilfe für einen Vertrag über eine Auftragsverarbeitung

Einwilligung

Die Einwilligung ist die wohl volatilste Rechtsgrundlage für eine Verarbeitung, die Ihnen aus Art. 6 DS-GVO zur Verfügung steht. Es ist auch ohne Zweifel eine der komplexesten Rechtsgrundlagen. In manchen Situationen kommen Sie als Unternehmer bei manchen Verarbeitungsformen nicht an Einwilligungen vorbei. Damit bei der Einholung dieser die eine oder andere Schwierigkeit vermieden werden kann, stellt der TLfDI Ihnen hierzu folgende Hinweise zur Verfügung:

Leitlinie der DSK zur Einwilligung

Anwendungsbeispiel für eine Einwilligungserklärung zur Datenverarbeitung

Hinweis: Hinsichtlich des Anwendungsbeispiels weist der TLfDI darauf hin, dass es sich eben nur um ein Beispiel handelt. Eine Einwilligung muss immer für den konkreten Einzelfall in dem Sie verwendet wird, formuliert sein. Für genauere Informationen bitte die Leitlinie zu Rate ziehen.

Datenschutzfolgenabschätzung

Um die Gefahren für die Rechte und Freiheiten von Betroffenen insbesondere bei besonders risikoreichen Datenverarbeitungsverfahren zu minimieren, bzw. komplett auszuschließen, schreibt die DS-GVO in bestimmten Fällen eine so genannte Datenschutz-Folgenabschätzung vor. Um Sie für den Fall zu unterstützen, dass Sie eine solche durchführen müssen, stellt Ihnen der TLfDI folgende hilfreiche Dokumente zur Verfügung:

In der Handreichung des TLfDI finden Sie Angaben dazu, wann eine Datenschutz-Folgenabschätzung (DS-FA) durchzuführen ist. Die verschiedenen Phasen der Durchführung dieses Verfahrenswerden hier beschrieben.

Handreichung zur Datenschutz-Folgenabschätzung im nicht-öffentlichen Bereich

Leitlinie der DSK zur DS-FA

In Art. 35 Abs. 4 DS-GVO wird die Aufsichtsbehörde aufgefordert mitzuteilen, welche Verarbeitungen in jedem Fall einer Datenschutz-Folgenabschätzung unterfallen. Die Liste des TLfDI finden Sie unter folgendem Link.

Verarbeitungsvorgänge für die in jedem Fall eine Datenschutz-Folgenabschätzung erforderlich ist:

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Der Thüringer Landesbeauftragte für den Datenschutz ist auch zuständige Behörde für die Sanktionierung im nicht-öffentlichen Bereich Thüringens. Die verschiedenen Sanktionen finden sich in Artikel 83 DS-GVO. Nachfolgend finden Sie eine Übersicht über den Ablauf eines Bußgeldverfahrens:

Ablauf eines Bußgeldverfahrens

Die Veräußerung eines Unternehmens kann grundsätzlich auf zwei Wegen erfolgen, nämlich entweder durch Übertragung von Anteilen an einer Gesellschaft als „Share Deal” oder durch Übertragung von Vermögenswerten und/oder Wirtschaftsgütern als „Asset Deal”. Während die Verarbeitung von personenbezogenen Daten im Rahmen eines „Share Deals“, abgesehen von Prüfungshandlungen während einer Due Diligence Prüfung, unproblematisch möglich ist, da nur die Anteile an einer Gesellschaft übertragen werden, diese ansonsten unverändert fortgeführt wird und mangels Änderung in der Person der oder des Verantwortlichen grds. keine Übermittlung personenbezogener Daten erfolgt, bedarf es bei der Übermittlung von personenbezogenen Daten im Rahmen eines „Asset Deals“ in datenschutzrechtlicher Hinsicht einer differenzierten Betrachtung. Sollten Sie Ihr Unternehmen auf diese Weise veräußern wollen und die gegenständlichen Assets enthalten personenbezogene Daten wie z. B. Kundendaten, bitten wir um beachten des folgenden Papiers.

Beschluss der DSK vom 11. September 2024

• Handreichungen für kleine Unternehmen und Vereine - In der Übersicht werden die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) an kleine Unternehmen, Vereine, etc. exemplarisch zusammengestellt – ohne Anspruch auf Vollständigkeit. Zu beachten ist daher, dass nicht jeder Verantwortliche pauschal alle diese Anforderungen erfüllen muss und sich auch der Umfang, wie die einzelnen Anforderungen konkret berücksichtigt werden müssen, fallbezogen unterscheidet. In diesen Mustern wird deshalb der vereinfachte Regelfall angenommen. Erläuterungen zu den Anforderungen befinden sich auf der Rückseite des jeweiligen Papiers. Das BayLDA, 2018
• TLfDI-Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO
• Verarbeitung von Positivdaten von Privatpersonen druch Auskunfteien - Beschluss der DSK 11.06.2018
• Guidelines des EDSA zu Rechtmäßigkeit der Verarbeitung nach Art. 6 Abs. 1  Buchst. f) DS-GVO