SUPPORT | ANLEITUNGEN ORDNER | Datenschutz
Anleitung für den digitalen Datenschutzordner |
Unternehmen müssen jederzeit in der Lage sein, den Nachweis zu erbringen, die Vorgaben der DSGVO und des Datenschutzes eingehalten zu haben. Gelingt dies nicht, ist bereits dieser fehlende Nachweis bußgeldbewehrt. Faktisch besteht hier eine Beweislast zu Lasten des Unternehmens.Allgemeine HinweiseDer Ordner besteht aus wichtigen Bereichen im Datenschutz geordnet und enthält Muster, welche vorausgefüllt sind, jedoch entsprechend angepasst werden müssen. Beim Ausfüllen der persönlichen Unternehmensdaten sollen ausschließlich die Daten eingetragen werden, die für Datenschutz relevant sind. Es ist zwingend eine E-Mail-Adresse anzugeben. Es ist ratsam, eine gesonderte E-Mail-Adresse für Datenschutz anzulegen, z.B. datenschutz@icloud.com; Diese E-Mail-Adresse muss für den Datenschutzverantwortlichen im Unternehmen immer funktionieren, bei Urlaub, Krankheit etc. muss zwingend eine anderer Mitarbeiter die E-Mails abrufen. Sollte ein Datenschutzbeauftragter betriebsintern vorhanden sein, sollten entsprechende E-Mails an ihn und an die Geschäftsführung weitergeleitet werden. Der Ordner beinhaltet weiterhin Checklisten, Weiterbildungsunterlagen und sonstige Informationen chronologisch aufbereitet. Der Ordner erhebt keinen Anspruch auf Vollständigkeit. Die Vorlagen und Muster enthalten vorformulierte Beispiele und erheben ebenfalls keinen Anspruch auf Vollständigkeit, da sich die datenschutzrechtlichen Sachverhalte in jedem Unternehmen unterscheiden. Sie sollten individuell angepasst werden, bei Unsicherheiten kontaktieren Sie unsere Ansprechpartner direkt (Punkt 1. des Ordners) oder Ihre zuständige Aufsichtsbehörde. Die enthaltenen Dokumente können bearbeitet und wieder hochgeladen werden. Bei Fragen schauen Sie im Bereich Verwaltung sowie Online-Support. |
1. Ansprechpartner für Datenschutz
Sollten Sie inhaltliche Fragen haben oder rechtliche Fragen (zB Auskunftsersuchen eines Kunden) stehen Ihnen folgende Ansprechpartner zur Verfügung:
a. Frank Kirstein – Datenschutzbeauftragter und Praktiker (E-Mail: kirstein@datenschutzordner24.de)
b. Katrin Freihof – Rechtsanwältin, Fachanwältin für gewerblichen Rechtsschutz (E-Mail: freihof@datenschutzordner24.de)
Konkrete Beauftragungen zur Umsetzung/Beratung in datenschutzrechtlichen Fragen werden auftragsbezogen kostenpflichtig separat mit dem jeweiligen Ansprechpartner vereinbart.
2. Datenschutzerklärung (DSE) für Unternehmen
In die markierten Stellen müssen Ihre Unternehmensdaten eingetragen werden.
2.1. Datenschutzerklärung für Kunden
Dieses Muster einer Datenschutzerklärung ist zur Einsicht/Übergabe für Kunden gedacht, kann aber auch im Unternehmen ausgehängt werden. Einige ausgedruckte Exemplare sollten jedoch immer verfügbar sein, falls ein Kunde danach fragt. Ein Hinterlegen auf der Webseite als PDF ist ebenfalls möglich und ratsam.
2.2. Datenschutzerklärung für Mitarbeiter
Da Sie als Arbeitgeber auch von Ihren Mitarbeitern personenbezogene Daten erheben und verarbeiten, müssen auch Arbeitnehmer über ihre Rechte informiert werden.
Die Datenschutzerklärung muss vom Arbeitsvertrag separiert werden und ist als Anlage beizufügen. Ein entsprechendes Muster ist hier hinterlegt.
2.3. Datenschutzerklärung für Bewerber
Wenn sich ein potentieller neuer Mitarbeiter aufgrund einer Stellenanzeige oder aufgrund eigener Initiative bei Ihnen bewirbt, muss auch der Bewerber über die Verarbeitung seiner Daten informiert werden. Hierzu dient unsere Vorlage, wobei diese per E-Mail oder postalisch übersandt werden kann. Wichtig ist, dass Sie auf jede Bewerbung reagieren und Löschfristen beachten müssen (siehe Punkt 11). Weiterhin ist bei postalischer Übersendung der persönlichen Unterlagen des Bewerbers zu erfragen, ob er seine Unterlagen zurück erhalten möchte oder diese vernichtet werden können.
2.4. Datenschutzerklärung für Webseite
Diese Datenschutzerklärung stellt lediglich einen „Rumpf“ dar und beinhaltet keine besonderen Cookies oder sonstige Marketingmaßnahmen. Für eine rein informative Webseite mit Kontaktformular sollte das Notwendigste enthalten. Die rechtskonforme Nutzung einer Webseite, inklusive Cookie-Banner sowie die entsprechende Erklärung sind komplexe Sachverhalte, die rechtlich geprüft werden sollten, bei Unklarheiten kontaktieren Sie unseren Ansprechpartner im Bereich Recht (siehe Punkt 1.). Hinsichtlich des Verantwortlichen wird hier auf das Impressum hingewiesen. Soweit ein Datenschutzbeauftragter bestellt wurde, geben Sie diesen bitte im Impressum an
3. Unterweisung für Mitarbeiter
Eine datenschutzrechtliche Schulung finden Sie hier als Power-Point-Präsentation nebst Teilnahmebescheinigung.
Diese ist zwingend notwendig und sollte mindestens einmal im Jahr durchgeführt werden, als Vortrag oder Selbststudium. Der Mitarbeiter sollte dann die Absolvierung der Schulung mit Datum und Unterschrift abzeichnen.
4. Vertraulichkeitsverpflichtung Mitarbeiter
Unternehmen unterliegen der Pflicht, Mitarbeiter, die personenbezogene Daten verarbeiten auf das Datengeheimnis zu verpflichten und müssen den Mitarbeiter entsprechend belehren. Eine Vorlage finden Sie hierzu mit den entsprechenden gesetzlichen Regelungen. Jeder Mitarbeiter muss die Erklärung persönlich unterzeichnen. Ausgenommen sind demnach Mitarbeiter, die keinen Zugang zu personenbezogenen Daten haben. Aber selbst bei der Fehlerauslesung eines Fahrzeugs werden erhebliche personenbezogene Daten verarbeitet. Es empfiehlt sich deshalb alle Mitarbeiter zur Vertraulichkeit zu verpflichten. Bei den markierten Stellen ist der Name des Unternehmens einzutragen.
5. Verarbeitungsverzeichnis (VVZ)
In unserem Ordner finden Sie ein bereits vorausgefülltes Verzeichnis, hier beispielhaft für einen KfZ-Betrieb, das Ihnen nötige Anhaltspunkte geben soll. Es erfüllt nicht den Anspruch auf Vollständigkeit. Sollten Verarbeitungsvorgänge bei Ihnen nicht stattfinden, streichen Sie diese entsprechend. Das Verarbeitungsverzeichnis enthält eine Dokumentation aller Verarbeitungsvorgänge mit den entsprechenden technisch – organisatorischen Maßnahmen (TOMs) und sollte ständig aktualisiert werden. Auf Nachfrage der Datenschutzbehörde ist das Verzeichnis vorzulegen.
6. Auftragsverarbeitungsvertrag (AVV)
Auftragsverarbeitungsverträge sind notwendig, wenn Sie Unternehmer beauftragen, Ihre Daten zu nutzen, zu pflegen oder anderweitig in Ihrem Auftrag damit arbeiten. Keine Auftragsverarbeiter sind Unternehmer, die in eigener Verantwortung handeln und nicht weisungsgebunden, z.B. Steuerberater, Rechtsanwälte, Handelsvertreter.
Beispiele für Auftragsverarbeiter: Wartung der Datenbank; Backup-Service; Vernichtung von Daten.
In diesem Ordner finden Sie eine Vorlage der Datenschutzbehörde, die Sie Ihrem Auftragnehmer schicken können, damit dieser den Vertrag ausfüllt. Wichtig sind immer die technisch-organisatorischen Maßnahmen (TOMs), die als Anlage jedem Vertrag beigefügt werden müssen. Viele Auftragnehmer verfügen mittlerweile über einen eigenen Vertrag. Wenn Sie diesen prüfen möchten, können Sie sich ebenfalls an der Vorlage der Datenschutzbehörde orientieren oder unsere Ansprechpartner kontaktieren.
7. Datenschutz-Audit (Checkliste)
Anhand der Liste können Sie die wichtigsten datenschutzrechtlichen Fragen für Ihr Unternehmen prüfen, ohne grundlegende Fragen zu vergessen.
8. Datenschutzrechtliche Einwilligungserklärung
Hier befindet sich ein Muster für einen KfZ-Werkstattbetrieb im Ordner und beinhaltet auch die Zustimmung zu werblicher Kontaktaufnahme. Die Einwilligungserklärung können Sie auf Ihre Bedürfnisse hin anpassen und sollte von Kunden unterzeichnet werden, soweit man diese nach Erledigung des Auftrags weiterhin, vor allem werblich, kontaktieren möchte. Die Einwilligungserklärung ist durch den Kunden jederzeit widerrufbar. Alle Einwilligungserklärungen von Kunden sollten abgespeichert werden und separat in einem Papierordner aufbewahrt werden.
9. Datenschutzfolgeabschätzung
Diese wird im Regelfall nicht notwendig sein. Die Datenschutzfolgeabschätzung ist notwendig, bei Vorliegen eines voraussichtlich hohen Risikos für die Rechte und Freiheiten natürlicher Personen. Hier muss also eine Abschätzung des Risikos erfolgen. Die Aufsichtsbehörden erstellt Listen der Verarbeitungsvorgänge, für die eine DSFA notwendig ist. Art. 35 DSGVO, § 38 BDSG-neu ist hier Rechtsgrundlage. Nachfolgend finden Sie eine mögliche Dokumentation einer Datenschutzfolgeabschätzung.
Beispiele der Aufsichtsbehörden:
- Verarbeitung biometrischer Daten zur Identifizierung von Personen (z.B. Fingerabdrucksensoren; bei Smartphones, Tablet etc. denkbar, die Speicherung muss allerdings im Unternehmen erfolgen)
- Fahrzeugdatenverarbeitung – Car Sharing
- Mobilitätsdienste; Erhebung umfangreicher Positions- und Abrechnungsdaten
- Geolokalisierung von Beschäftigen, z.B. GPS-Tracking
10. Datenschutzbeauftragter (DSB) und Informationspflichten
Hier finden Sie ein Muster zur Bestellung eines externen oder internen DSB. Diese muss zwingen erfolgen, sobald ein DSB notwendig ist und muss hinsichtlich der markierten Stellen angepasst werden.
Notwendigkeit Datenschutzbeauftragter:
a. Wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten im Unternehmen beschäftigt sind, z.B. Arbeiten am Computer. Zu diesen Personen zählen auch freie Mitarbeiter, Leiharbeitnehmer, Praktikanten, Ehrenamtliche, Teilzeitkräfte, Vorstände etc. Es kommt lediglich auf die Anzahl der Personen an, die Zugriff auf Daten haben. Betrifft online wie offline Daten.
b. wenn eine Datenschutzfolgeabschätzung notwendig ist (siehe Punkt 9 im Datenschutzordner)
Der Datenschutzbeauftragte muss förmlich benannt und bei der zuständigen Datenschutzbehörde gemeldet werden.
11. Löschfristen, Aufsichtsbehörden, sonstige Infos
Hier finden Sie eine Liste aller Aufsichtsbehörden. Jedes Bundesland verfügt über eine eigene Behörde. Zuständig für Ihre Belange ist die Behörde an Ihrem Firmensitz. Weiterhin finden Sie hier ein Merkblatt zu besonderen Fristen, Beispiele geahndeter Verstöße sowie gängige Löschfristen von Daten. Zur Löschung von Daten sollte ein Löschkonzept vorgehalten werden.
12. Sonstiges und Schriftverkehr / Ausfünfte
Unter diesem Punkt können Sie Ihren gesamten Schriftverkehr in Bezug auf Datenschutz hinterlegen, z.B. Anfragen von Kunden, Anschreiben von Datenschutzbehörden, Ihre gesamten Unterlagen von Mitarbeitern und Kunden, etc.
Wichtig
Geben Sie nur Kunden die anfragen direkt Auskunft, bei Vertretern lassen Sie sich unbedingt die Originalvollmacht vorzeigen (z.B. Rechtsanwälte, Betreuer etc.).
