Datenschutz

Unternehmen

Datenschutz in Ihrem Unternehmen ist ein komplexes und wichtiges Thema. Egal ob Einzelunternehmer, Kaufmann, GmbH-Geschäftsführer oder Aufsichtsrat einer Aktiengesellschaft, es gibt immer etwas zu erledigen, auch im Bereich Datenschutz. Deshalb stellt der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) auf diesen Seiten hilfreiche Informationen bereit, um Ihnen das Erhalten oder Verbessern des Datenschutzes in Ihrem Unternehmen zu erleichtern.

 

Das Thema Datenschutz ist immer dann zu beachten, wenn es um den Umgang mit personenbezogenen Daten geht – also fast immer! Dabei ist daran zu denken, dass dieser Umgang nach der Datenschutz-Grundverordnung (DS-GVO) nur dann zulässig ist, wennes dafür eine rechtliche Grundlage gibt. Darüber hinaus regelt die DS-GVO auch verschiedene Pflichten, die auch Sie als verantwortlicher Unternehmer treffen.

Gesetzestext

Für den unternehmerischen oder auch „nicht-öffentlichen“ Bereich sind im Wesentlichen zwei Gesetze relevant, wenn es um das Thema Datenschutz geht:

Zum einen die Datenschutz-Grundverordnung (DS-GVO)

Gesetzestext der DS-GVO

Zum anderen das Bundesdatenschutzgesetz (BDSG) in dem der deutsche Gesetzgeber auch für den unternehmerischen Bereich von seinen Regelungsspielräumen Gebrauch gemacht hat.

Gesetzestext des BDSG

Meldepflichten

Meldepflicht: Datenschutzbeauftragte/r (DSB)

Haben Sie einen betrieblichen Datenschutzbeauftragten benannt, müssen Sie diesen Ihrer Aufsichtsbehörde melden. Haben Sie Ihren Sitz in Thüringen ist dies der TLfDI. Für Ihre Meldung bietet der TLfDI ein entsprechendes Online-Meldeformular an.

Meldeportal für Datenschutzbeauftragte

 

Meldepflicht: "Datenpanne"

Kommt es zu einer Verletzung des Schutzes personenbezogener Daten in Ihrem Verantwortungsbereich, dann müssen Sie dies „unverzüglich und möglichst innerhalb von 72 Stunden“ Ihrer Aufsichtsbehörde melden. Für Thüringen ist dies der TLfDI. Damit dies immer vollständig gelingt, steht Ihnen dafür ein entsprechendes Formular zur Verfügung.

Formular zur Meldung einer Datenpanne nach Art. 33 DS-GVO

 

wichtige Themenbereiche

Informationspflichten

Die Informationspflicht sind eine der wirklichen Neuerungen, die im Rahmen der Geltungserlangung der DS-GVO eingeführt worden ist. Hintergrund ist der Gedanke, dass nur der, der auch über die konkrete Verarbeitung vollständig und transparent informiert ist, sein Recht auf informationelle Selbstbestimmung bewusst und tatsächlich ausüben kann. Um die hierfür notwendige Transparenz herbeizuführen hat der Gesetzgeber in den Artt. 12-14 DS-GVO geregelt, welche Informationen durch den Verantwortlichen an den Betroffenen bereitgestellt werden müssen.

Um Sie als Unternehmer in diesem wichtigen Bereich zu unterstützen, stellt Ihnen der TLfDI folgende Informationen bereit:

Leitlinie für Transparenz gemäß der Verordnung 2016/679

Es handelt sich bei Leitlinien um ein europaweit abgestimmtes Positionspapier. Die Aufsichtsbehörden fühlen sich hieran gebunden.

 

Einen Spezialfall in diesem Zusammenhang stellen die Informationspflichten im Bereich der Videoüberwachung dar.

Hierzu siehe bitte: Videoüberwachung

 

Verzeichnis von Verarbeitungstätigkeiten

Nach Art. 30 DS-GVO sind Sie als Unternehmer verpflichtet ein Verzeichnis über die bei Ihnen durchgeführten Verarbeitungstätigkeiten zu führen. Eine bestimmte Form schreibt da Gesetz nicht vor, selbstverständlich muss das Verzeichnis aber dokumentiert sein. Hier finden Sie als Vorschlag ein ausfüllbares Musterverzeichnis nebst ausführlichen Hilfestellungen zum Ausfüllen.

Anwendungshinweise zum Verzeichnis von Verarbeitungstätigkeiten

Muster für Verantwortliche

Muster für Auftragsverarbeiter

 

Auftragsdatenverarbeitung

Nicht immer möchten Sie als Unternehmen jede Datenverarbeitung selbst im eigenen Unternehmen durchführen. Immer wenn Sie Daten im Auftrag durch Dritte verarbeiten lassen, müssen Sie mit Ihrem Auftragnehmer einen Vertrag nach Art. 38 Abs. 3 DS-GVO abschließen.

Als Anregung stellt Ihnen der TLfDI einen Beispielstext für einen solchen Vertrag zur Verfügung.

Formulierungshilfe für einen Vertrag über eine Auftragsverarbeitung

 

Einwilligung

Die Einwilligung ist die wohl volatilste Rechtsgrundlage für eine Verarbeitung, die Ihnen aus Art. 6 DS-GVO zur Verfügung steht. Es ist auch ohne Zweifel eine der komplexesten Rechtsgrundlagen. In manchen Situationen kommen Sie als Unternehmer bei manchen Verarbeitungsformen nicht an Einwilligungen vorbei. Damit bei der Einholung dieser die eine oder andere Schwierigkeit vermieden werden kann, stellt der TLfDI Ihnen hierzu folgende Hinweise zur Verfügung:

Leitlinie der DSK zur Einwilligung

Anwendungsbeispiel für eine Einwilligungserklärung zur Datenverarbeitung

Hinweis: Hinsichtlich des Anwendungsbeispiels weist der TLfDI darauf hin, dass es sich eben nur um ein Beispiel handelt. Eine Einwilligung muss immer für den konkreten Einzelfall in dem Sie verwendet wird, formuliert sein. Für genauere Informationen bitte die Leitlinie zu Rate ziehen.

 

Datenschutzfolgenabschätzung

Um die Gefahren für die Rechte und Freiheiten von Betroffenen insbesondere bei besonders risikoreichen Datenverarbeitungsverfahren zu minimieren, bzw. komplett auszuschließen, schreibt die DS-GVO in bestimmten Fällen eine so genannte Datenschutz-Folgenabschätzung vor. Um Sie für den Fall zu unterstützen, dass Sie eine solche durchführen müssen, stellt Ihnen der TLfDI folgende hilfreiche Dokumente zur Verfügung:

 

In der Handreichung des TLfDI finden Sie Angaben dazu, wann eine Datenschutz-Folgenabschätzung (DS-FA) durchzuführen ist. Die verschiedenen Phasen der Durchführung dieses Verfahrenswerden hier beschrieben.

Handreichung zur Datenschutz-Folgenabschätzung im nicht-öffentlichen Bereich

Leitlinie der DSK zur DS-FA

 

In Art. 35 Abs. 4 DS-GVO wird die Aufsichtsbehörde aufgefordert mitzuteilen, welche Verarbeitungen in jedem Fall einer Datenschutz-Folgenabschätzung unterfallen. Die Liste des TLfDI finden Sie unter folgendem Link.

Verarbeitungsvorgänge für die in jedem Fall eine Datenschutz-Folgenabschätzung erforderlich ist:

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Ordnungswidrigkeitenverfahren

Der Thüringer Landesbeauftragte für den Datenschutz ist auch zuständige Behörde für die Sanktionierung im nicht-öffentlichen Bereich Thüringens. Die verschiedenen Sanktionen finden sich in Artikel 83 DS-GVO. Nachfolgend finden Sie eine Übersicht über den Ablauf eines Bußgeldverfahrens:

Ablauf eines Bußgeldverfahrens

Werbung

Gerade um unternehmerischen Bereich spielt die Werbung für das Unternehmen und seine Produkte eine zentrale Rolle. Aber auch Werbung unterliegt den Regularien der DS-GVO und es gibt eine Vielzahl von Fallgestaltungen. Aufgrund dieser Vielschichtigkeit, wurde vom Arbeitskreis „Werbung und Adresshandel“ eine Orientierungshilfe erstellt, die Ihnen hier zur Verfügung steht:

Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der DS-GVO.

 

 

Ihr Kontakt zum TLfDI


Logo des TLFDI

Beschwerden, Anregungen und Fragen an den TLfDI

Postfach 90 04 55 | 99107 Erfurt
Häßlerstrasse 8 | 99096 Erfurt

poststelle@datenschutz.thueringen.de

HINWEIS: Aus Sicherheitsgründen ist es nicht mehr möglich, E-Mails mit dem Dateiformat *.doc zu senden.

Tel.: +49 (361) 57-3112900
Fax: +49 (361) 57-3112904

Logo Freistaat Thüringen