• Facebook Social Icon
  • Google+ Social Icon
  • Pinterest Social Icon
  • YouTube Social Icon
  ©   LEXKONNEX 2018 Copyright www.lexkonnex-datenschutz.com

Der externe Datenschutzbeauftragte

Der Datenschutz­beauftragte im Unternehmen

 

Die ab dem 25.05.2018 geltende EU-DSGVO stellt neue Anforderungen an den Datenschutz im Unternehmen und bringt erhebliche Risiken und Mehraufwand mit sich. Die Unternehmen müssen neue Strukturen und Prozesse etablieren, um den Vorgaben der DSGVO gerecht zu werden. Die ab dem 25.5.2018 geltende Verordnung (EU-DSGVO) sieht unter anderem auch die Benennung eines Datenschutzbeauftragten vor.  Für Unternehmen gibt es hier zwei mögliche Varianten der Umsetzung. Die Bestellung eines internen oder eines externen Datenschutzbeauftragten.

 

Der externe Datenschutzbeauftragte (DSB)

 

Der externe Datenschutzbeauftragte (DSB) agiert als Dienstleister für das Unternehmen und kann sämtliche Aufgaben des betrieblichen Datenschutzbeauftragten im Rahmen eines Unternehmens übernehmen. Dabei unterstützt er Geschäftsleitung, Fachbereiche und Mitarbeiter bei der rechtskonformen Umsetzung der EU-DSGVO sowie bei der Einhaltung der datenschutzrelevanten Pflichten im Unternehmen. Aufgrund der Expertise und fachliche Kompetenz des externen Datenschutzbeauftragten werden die, durch die EU-DSGVO deutlich höheren Haftungsrisiken für die Geschäftsleitung enorm minimiert. Die Bestellung eines externen Datenschutzbeauftragten stellt eine sichere und kostenoptimierende Alternative zum internen Datenschutzbeauftragten dar.

 

Aufgaben des externen Datenschutzbeauftragten

Primäre Aufgabe des externen Datenschutzbeauftragten im Unternehmen ist eine gesetzeskonforme, sachgerechte Datenschutzstruktur und -organisation zu schaffen.

 

Im Einzelnen umfasst die Tätigkeit des externen Datenschutzbeauftragten folgende Leistungen:

  • Erarbeitung gemeinsamer Datenschutzziele sowie Festlegung des Handlungsbedarfes und eines Zeitplanes, um Rechtkonformität herzustellen

 

  • Bestellung als externer Datenschutzbeauftragter

 

  • Überprüfung der Datenschutzfolgenabschätzung nach DSGVO

 

  • Durchführung von Risikoanalysen und Audits

 

  • Prüfung und Erstellung von Informationen zum Datenschutz, Datenschutzerklärungen, Richtlinien und Betriebsvereinbarungen

 

  • Beratung bei Anfragen von Aufsichtsbehörden

 

  • Beratung der Geschäftsleitung und der jeweiligen Fachabteilung

 

  • Organisation und Durchführung von Schulungen sowie Prüfung und Erstellung von Informationen für die Mitarbeiter zum datenschutzrechtskonformen Umgang mit personenbezogenen Daten

 

  • Erstellung und Prüfung von Auftragsverarbeitungsverträgen mit externen Dienstleistern

 

  • Beratung zu Datenschutzfragen in den einzelnen Fachabteilungen, wie bspw. Beachtung von Auskunfts- und Löschungsansprüchen von Kunden und Mitarbeitern oder Archivierungspflichten

 

  • Beratung in allen Fragen des Arbeitnehmerdatenschutzes, wie beispielsweise Führung von Personalakten, Bewerbermanagement, E-Mail –Marketing, Newsletter, Umgang mit Facebook, E-Mail- und Internetnutzung durch Mitarbeiter, Konzerndatenschutz, Kameraüberwachung und GPS –Ortung

 

Die Datenschutzexperten der LEXKONNEX GmbH unterstützen Sie und Ihr Unternehmen als externe Datenschutzbeauftragte bei der Errichtung und Aufrechterhaltung einer angemessenen Datenschutzorganisation.

 

Wir beraten Sie gern unter datenschutz@lexkonnex.de oder telefonisch unter Tel.: 06131 63 693 391.

Datenschutzaudit

Die europäische Datenschutzgrundverordnung stellt Unternehmen vor neue Herausforderungen. Bis zum 25.5.2018 sollte die interne Organisation in Sachen Datenschutz an die neuen Anforderungen der DSGVO angepasst werden. Damit die datenschutzkonformen Abläufe im Unternehmen strukturiert und geplant eingeführt werden können, ist es sinnvoll und empfehlenswert im Rahmen eines Datenschutzaudits eine Bestandsaufnahme zur aktuellen datenschutzrechtlichen Situation zu erstellen und die Bereiche im Unternehmen zu ermitteln, in denen Handlungsbedarf besteht.

 

Was ist ein Datenschutzaudit?

 

Das Datenschutzaudit stellt eine systematische, formale, unabhängige und dokumentierte Prüfung des Datenschutzniveaus und der Datenschutzstandards im Unternehmen. Im Rahmen dessen wird bewertet, inwieweit datenschutzrelevante Anforderungen an die Abläufe, Systeme, Prozesse oder Produkte erfüllt werden.


Das Datenschutzaudit dient insbesondere dazu, entsprechende Lücken im Datenschutz aufzudecken und diese im Anschluss durch geeignete Maßnahmen zu schließen.
Ziel des Audits ist, festzustellen ob der betriebliche IST-Zustand mit dem SOLL-Zustand übereinstimmt, bzw. an welchen Stellen Anpassungen notwendig sind.

Im Anschluss an das Datenschutzaudit wird einen ausführlichen Bericht über die aktuelle datenschutzrechtliche Situation im Unternehmen erstellt Auf Basis des Audits können ermittelte Datenschutzlücken entsprechend geschlossen werden und mit der Integration des einschlägigen Datenschutzmanagementsystems und Datenschutzkonzepts gestartet werden. 

Ablauf eines Datenschutzaudits

I. Vorbereitungsphase: Im Rahmen der Vorbereitungsphase werden vom Datenschutz-Auditor alle relevanten Unterlagen wie Verträge, Datenschutzrichtlinien, Auftragsdatenverarbeitungsvereinbarungen, Organigramme, Verhaltensleitlinien usw. gesammelt und auf datenschutzrelevanten Lücken geprüft.  

 

II. Die Erstanalyse umfasst Gespräche mit Geschäftsleitung und Leiter der Fachabteilungen und dient zur Bestandaufnahme des Status-Quo sowie der Vervollständigung der für die Prüfung erforderlichen Informationen und Unterlagen Dabei werden die einzelnen Zusammenhänge und abteilungsübergreifende Prozesse ermittelt und dokumentiert.

 

III. Konzeptionsphase: Auf Basis der in der I. und II. Prüfungsphase gewonnenen Informationen und Erkenntnisse wird das einschlägige Datenschutzkonzept sowie Datenschutzziele erarbeitet. Das Datenschutzkonzept beinhaltet sowohl konkrete Maßnahmen, die erforderlich sind, um ein rechtkonformes Datenschutzniveaus im Unternehmen zu schaffen, als auch ein Fristenplan zur Umsetzung der erforderlichen Datenschutzmaßnahmen.

 

IV. Abschlussphase: Die Ergebnisse des Audits werden in einem abschließenden Auditbericht festgehalten. Darin enthalten sind sämtliche Lücken und Abweichungen, die der Auditor im Rahmen des Datenschutzaudits festgestellt hat. Der Auditbericht wird dem Auftraggeber übergeben und im Rahmen eines Abschlussgespräches erläutert.

 

Sofern vom Auftraggeber gewünscht, kann im Anschluss des Audits die Implementierung des erarbeiteten Datenschutzkonzepts gestartet werden. Unsere Experten begleiten dabei die jeweilige Fachabteilung bei der rechtskonformen Umsetzung der erforderlichen Maßnahmen und dokumentieren die Ergebnisse. Damit sichergestellt werden kann, dass das Datenschutz-Managementsystem und das Datenschutzkonzept auch dauerhaft erfolgreich ist, werden stichprobeartigen Datenschutzbetriebsprüfungen eingeführt. Im Rahmen dessen prüfen unsere Experten, ob die im Datenschutzkonzept festgelegten Ziele, Organisation und Verfahrensabläufe auch nachhaltig beachtet werden und erstellen einen kurzen Datenschutzbericht.

Wir beraten Sie gern unter datenschutz@lexkonnex.de oder telefonisch unter Tel.: 06131 63 693 391.

 Schulungen und Workshops

 
 
 

Mitarbeiterschulung

 

Damit die Einhaltung von datenschutzrechtlichen Bestimmungen im Unternehmen nachhaltig gesichert wird, ist es erforderlich, dass die Mitarbeiter durch geeigneten Schulungen und Aufklärungsmaßnahmen sensibilisiert werden. Datenschutzschulungen und Workshops bringen Klarheit und stärken das Pflichtbewusstsein der Mitarbeiter für die Einhaltung der relevanten datenschutzrechtlichen Anforderungen. Im Rahmen der Datenschutzschulung wird den Mitarbeitern vermittelt, welche Risiken existieren und weshalb es wichtig ist, sich mit dem Datenschutz auseinanderzusetzen und die Regelungen bei der täglichen Arbeit zu beachten.

Darüber hinaus sieht auch die EU-DSGVO die Überwachung der Sensibilisierung und Schulung von Mitarbeitern als Aufgabe des Datenschutzbeauftragten vor. Die Schulung der Mitarbeiter stellt damit auch ein fester Bestandteil des Datenschutzkonzepts im Unternehmen dar.

 

Inhalt einer Datenschutzgrundschulung

 

Die Einführung in die Grundsätze des Datenschutzes  vermittelt zunächst inhaltlich einen ersten Überblick zum Datenschutz. Folgende Themenbereiche werden dabei thematisiert:

  • Grundsätze des Datenschutzes

  • Begriffe des Datenschutzes

  • Grundlagen der Datenverarbeitung

  • Betroffenenrechte

  • Dokumentationspflichten

  • Verhalten bei Datenschutzverletzungen und Verstößen

  • Vorstellung der  technischen und organisatorischen Maßnahmen im Unternehmen

  • Datenschutzrichtlinie im Unternehmen

 

Neben Schulungen zu allgemeinen Themen des Datenschutzrechts bieten sich auch Managementschulungen sowie Workshops an. Im Rahmen der Managementschulungen werden die Haftungsrisiken der Geschäftsleitung erläutert und geeignete Maßnahmen zur Minimierung dieser Risiken vorgestellt. Im Rahmen eines Workshops wird schwerpunktmäßig die praktische Umsetzung von datenrelevanten Prozesse und Abläufen und risikominimierende Lösung von datenschutzrelevanten Problemen trainiert

 

Unsere Leistungen

 

Wir entwickeln gemeinsam mit Ihnen geeignete Schulungskonzepte auf verschiedenen Unternehmensebenen. Neben der Schulung bezüglich der Grundlagen des Datenschutzes, können selbstverständlich auch themenorientierte Vorträge für verschiedene Fachabteilungen organisiert werden.

 

Darüber hinaus stellen wir regelmäßig Informationen zu datenschutzrechtlichen Themen in Form von Newsletter oder Mitarbeiterhandouts bereit. Unsere Dokumenten-Datenbank wird kontinuierlich erweitert und steht unseren Kunden jederzeit zur Verfügung.

Wir beraten Sie gern unter datenschutz@lexkonnex.de oder telefonisch unter Tel.: 06131 63 693 391.

Arbeitnehmerdatenschutz

Datenschutzaudit

Datenschutz-Pflichten für Arbeitgeber

 

Im Rahmen der Harmonisierung des Datenschutzrechts durch die Datenschutzgrundverordnung (EU-DSGVO) gibt es auch Änderungen bei dem  Beschäftigtendatenschutz. Die Regelungen des Beschäftigtendatenschutzes wurden dem deutschen Gesetzgeber überlassen. Dieser hat das innerhalb der Änderung des Bundesdatenschutzgesetzes (BDSG) mit § 26 getan.

 

Die wichtigsten Änderungen für den Arbeitgeber sind nicht nur das erhöhte Bußgeldrisiko, sondern auch das Risiko durch Arbeitnehmer-Klagen. Betroffen von den Neuerungen sind alle Arbeitgeber. Die neuen Bestimmungen betreffen auch alle Institutionen und Stellen, die Daten im Zusammenhang mit einem Beschäftigungsverhältnis verarbeiten. Dies können Steuerbüros, Personalvermittler, Behörden, externe Berater, Abrechnungsanbieter und viele weitere sein.

 

Die neuen Vorschriften zum Beschäftigtendatenschutz enthalten Pflichten, die Arbeitgeber künftig einhalten müssen.

Was müssen Arbeitnehmer jetzt beachten?

 

Bei der Verarbeitung von personenbezogenen Daten von Beschäftigten muss darauf geachtet werden, dass eine Verarbeitung nur dann zulässig ist, wenn dies für die Entscheidung über die Einstellung eines Bewerbers oder zur Durchführung, Ausübung oder Beendigung eines Arbeitsverhältnisses erforderlich ist. Die Verarbeitung ist zudem auch dann erlaubt, wenn sie für die Erfüllung gesetzlicher Pflichten oder zum Zwecke der Strafverfolgung erforderlich ist. Ob und wann die Erhebung bestimmter Daten tatsächlich erforderlich ist, wird immer anhand des konkreten Einzelfalls beurteilt.

 

Einwilligungen der Beschäftigten

Für den Arbeitgeber besteht natürlich weiterhin die Möglichkeit freiwillig abgegebene Einwilligungen von seinen Arbeitnehmern zur Verarbeitung der jeweiligen personenbezogenen Daten  einzuholen. Die Einwilligung hat schriftlich zu erfolgen und ist an einigen Formalien gebunden. Dabei stellt die Freiwilligkeit der Einwilligung die größte Herausforderung dar. Aufgrund des Abhängigkeitsverhältnisses zwischen Arbeitnehmer und Arbeitnehmer kann die Freiwilligkeit leicht angezweifelt werden. Der Arbeitgeber trägt in diesem Fall die Beweislast und muss die Freiwilligkeit der abgegebenen Einwilligung im Zweifelsfall nachweisen.

 

Dokumentationspflichten

Da die Arbeitgeber die Einhaltung der datenschutzrechtlichen Pflichten im Zweifelsfall nachweisen müssen, ist für Unternehmen ratsam, die internen Strukturen und Prozesse, insbesondere im Hinblick auf die nachhaltige Einhaltung der Dokumentationspflichten zu überprüfen und sofern erforderlich zeitnah anzupassen.

Wir beraten Sie gern unter datenschutz@lexkonnex.de oder telefonisch unter Tel.: 06131 63 693 391.