FAQ | Datenschutz in kleineren Unternehmen/Handwerksbetrieben
Fragen und Antworten zur DS-GVO
-
Wann muss ich ein Verzeichnis von Verarbeitungstätigkeiten (VVT) anlegen und was muss dort hinein?
Es ist davon auszugehen, dass die meisten Unternehmen und Betriebe ein solches Verzeichnis anlegen müssen. Denn dies ist immer dann geboten, wenn der Verantwortliche bzw. Auftragsverarbeiter Verarbeitungen personenbezogener Daten durchführt,
- die ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (dazu gehören regelmäßig Fälle von Scoring und Überwachungsmaßnahmen) oder
- die nicht nur gelegentlich erfolgen (z.B. die regelmäßige Verarbeitung von Kunden- oder Beschäftigtendaten) oder
- die besondere Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO betreffen. Das sind zum Beispiel Daten, aus denen die rassische oder ethnische Herkunft hervorgeht, politische Meinungen, religiöse oder weltanschauliche Überzeugungen.
Nur wenn keiner dieser Punkte zutrifft und Sie weniger als 250 Mitarbeiterinnen und Mitarbeiter haben, müssen Sie kein VVT erstellen.
In das VVT müssen alle Geschäftsabläufe aufgenommen werden, bei denen personenbezogene Daten verarbeitet werden. Hierbei haben Sie an Kunden-, und Beschäftigtendaten genauso zu denken wie an Daten, die Sie für Dritte verarbeiten. Verarbeitungstätigkeiten können bspw. sein: eine Kundendatei, die Gehaltsabrechnung für die Beschäftigten, die Abwicklung von EC- und Kreditkartenzahlungen oder der Betrieb einer eigenen Website.
Das VVT löst das bisherige Verfahrensverzeichnis ab, sodass es in der Regel vermutlich nur einer Anpassung bedarf.
Weitere Hinweise und ein Muster-Verzeichnis finden Sie hier.
- Wie muss ich Kunden und Mitarbeitende über die Datenverarbeitung informieren?
Mit der DS-GVO sind die Informationspflichten erweitert worden. Kunden und Mitarbeitende, deren Daten erhoben und weiterverarbeitet werden, haben das Recht, darüber umfassend und transparent informiert zu werden. Sie müssen beispielsweise darlegen können, zu welchem Zweck und aufgrund welcher Rechtsgrundlagen personenbezogene Daten verarbeitet werden, wie lange sie gespeichert werden sollen und welche Rechte die betroffenen Personen haben.
Werden die Daten auf Basis von Einwilligungen verarbeitet, müssen Sie auf das Recht zum Widerruf hinweisen. Informiert werden muss außerdem über das Recht auf Beschwerde bei der Aufsichtsbehörde.
Mehr über Ihre Informationspflichten erfahren Sie hier (PDF-Download).
- Welche Auskunftsrechte haben Kunden bezüglich ihrer bei mir gespeicherten Daten?
Die Auskunft können Sie schriftlich, elektronisch oder – wenn es die Kunden wünschen – auch mündlich erteilen. Stellen Sie in jedem Fall sicher, dass es sich bei der oder dem Anfragenden auch tatsächlich um die Person handelt, zu der Sie die Daten übermitteln.
Die Auskunft müssen Sie in der Regel kostenlos erteilen, es sein denn, sie ist mit einem erheblichen Aufwand verbunden. Näheres zum Auskunftsrecht finden Sie hier (PDF-Download).
-
Wann muss ich Daten von Kunden oder Beschäftigten löschen?
Sie müssen als Unternehmen sicherstellen, dass die personenbezogenen Daten gelöscht werden, wenn ihre Verarbeitung nicht mehr nötig ist, um einen bestimmten Zweck zu erreichen. Dies ist z. B. mit dem Ende der Kundenbeziehung der Fall oder sofern die Daten nicht mehr für Zwecke eines Beschäftigungsverhältnisses erforderlich sind.
Ist die Speicherung zur Erfüllung steuerlicher oder handelsrechtlicher Aufbewahrungspflichten notwendig, ist sie weiterhin zulässig. Sie müssen die erforderlichen technischen und organisatorischen Vorkehrungen treffen, damit die Daten ehemaliger Kunden bzw. Beschäftigter nicht mehr im aktuellen Dateibestand vorhanden sind.
Weitere Informationen dazu finden Sie hier (PDF-Download).
- Wann muss ich eine oder einen betrieblichen Datenschutzbeauftragten benennen?
Wie schon vor der DS-GVO muss ein Unternehmen eine oder einen Datenschutzbeauftragten (DSB) benennen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Maßgeblich ist die Zahl der Köpfe, nicht die Zahl der Stellen. Dies betrifft insbesondere die mit der Personal- und Kundenverwaltung beschäftigten Mitarbeitenden. Verkaufspersonal, welches die Kunden mit Namen anspricht, zählt nicht dazu.
Zudem ist eine/ein DSB unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen zu benennen, wenn die Verarbeitungstätigkeiten eine Datenschutz-Folgenabschätzung erforderlich machen.
Die oder der DSB kann intern benannt oder extern beauftragt werden.
Weitere Informationen zur/zum DSB finden Sie hier (PDF-Download).
-
Wie kann ich die oder den Datenschutzbeauftragten melden?
Ein Online-Portal der Landesbeauftragten für den Datenschutz Niedersachsen ermöglicht es Verantwortlichen, die Meldung einfach und bequem online durchzuführen bzw. die Daten aktuell zu halten. Weitere Informationen zur Meldung finden Sie hier.
Direkt zum Meldeportal kommen Sie über https://nds.dsb-meldung.de.
Zudem müssen Sie die Kontaktdaten der oder des Datenschutzbeauftragten veröffentlichen, z. B. auf Ihrer Internetseite.
-
Was ist eine Datenschutz-Folgenabschätzung und wann muss ich sie durchführen?
Ob eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen ist, zeigt sich bei Abschätzung der Risiken der Verarbeitungsvorgänge. Nur wenn sich hier ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen ergibt, ist eine DSFA durchzuführen.
Eine DSFA ist immer erforderlich, bei -
einer systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und diese in erheblicher Weise beeinträchtigen;
-
einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1, wie zum Beispiel Gesundheitsdaten, oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
-
einer systematischen umfangreiche Videoüberwachung öffentlich zugänglicher Bereiche.
-
Was ist eine Datenpanne und wie muss ich sie melden?
Von Datenpannen spricht man dann, wenn es zu einer „Verletzung des Schutzes personenbezogener Daten“ kommt. Eine solche Verletzung liegt vor, wenn Daten – egal ob unbeabsichtigt oder unrechtmäßig – vernichtet, verloren oder verändert werden oder wenn sie unbefugt offengelegt bzw. zugänglich gemacht werden.
In der Praxis kann es auf vielfältigste Weise zu Datenpannen kommen, z. B. durch einen Hacker-Angriff oder dann, wenn der Laptop mit den Kundendaten bei einem Einbruch gestohlen wird. Meldepflichtig sind auch die versehentliche Löschung oder Vernichtung von personenbezogenen Daten.
Einen solchen Datenschutzverstoß müssen Sie innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde melden. Entscheidend ist, dass der Verstoß unverzüglich nach Kenntnisnahme gemeldet wird. Wenn die Informationen nicht zur gleichen Zeit bereitgestellt werden können, können Sie diese ohne unangemessene weitere Verzögerung schrittweise melden.
Nach alter Rechtslage mussten die Daten, auf die sich der Verstoß bezog, als sehr sensibel gelten, was z. B. bei Bank- und Gesundheitsdaten der Fall ist. Nach DS-GVO löst jetzt die Verletzung jeder Art von personenbezogenen Daten eine Meldepflicht aus, solange sich daraus ein Risiko für die Rechte und Freiheiten der Betroffenen ergibt.
Zudem musste nach altem Recht davon auszugehen sein, dass durch die Panne ein hohes Risiko für den Betroffenen gegeben war, d. h. schwerwiegende Beeinträchtigungen drohten. Heute entfällt die Meldepflicht nur dann, wenn kein oder lediglich ein geringes Risiko besteht.
Für die Meldung einer Datenpanne können Sie das Online-Meldeportal der LfD Niedersachsen verwenden.
Die Entscheidung über die Durchführung oder Nichtdurchführung der DSFA sollten Sie stets schriftlich dokumentieren.