© Martin Willert 2017

Frequently Asked Questions

Im folgenden Teil finden Sie Fragen und Antworten, die Ihnen bei der Einschätzung Ihrer eigenen Risikosituation helfen können. Frage 1: Wir haben in unserer Firma nur drei Mitarbeiter. Gelten die Regeln der Europäischen Datenschutz Grundverordnung trotzdem für uns? Antwort 1: In dem Augenblick, wo Sie in Ihrer Firma unabhängig von ihrer Größe Kundendaten oder Mitarbeiterdaten speichern oder verarbeiten oder verarbeiten lassen, gelten die Regeln auch für Sie. Die einzige Ausnahme bildet das sogenannte Verarbeitungsver- zeichnis, welches Sie erst ab einer Größe von mehr als 250 Mitarbeitern führen müssen. Aber auch hierzu gibt es Einschränkungen je nach Kritikalität der Daten. Frage 2: Eigentlich verarbeiten wir bei uns gar keine personenbezogenen Daten selber. Gelten die Regeln der Europäischen Datenschutz Grundverordnung trotzdem für uns? Antwort 2: Wenn Sie die personenbezogenen Daten Ihrer Kunden und Ihrer Mitarbeiter durch Callcenter, Steuerberater etc. verarbeiten lassen, sind Sie trotzdem „Verantwortlicher“ im Sinne der DSGVO und müssen daher deren Regelungen bzw. Forderungen erfüllen. Sie werden dann Auftragsdatenverabeitungs-Verträge abschließen und die Umsetzung der zu vereinbarenden technisch organisatorischen Maßnahmen der Dienstleister überwachen müssen. Typische Anwendungsfälle, die oft als Auftragsdatenverarbeitung ausgeführt werden, sind: o Callcenter, die Ihre Kunden kontaktieren, die Kundenkontakte im CRM-System erfassen und Aufträge dokumentieren o Dienstleister, die einen Teil Ihrer Produktionskette für Sie erledigen und dazu die Daten Ihrer Kunden weiterverarbeiten o IT-Dienstleister, die Ihre Kunden- oder Mitarbeiterdaten in der Cloud verarbeiten (z.B. SAP…) o IT-Dienstleister, die Ihre PCs und Server aus der Ferne warten und damit Zugriff auf Ihre personenbezogenen Daten haben o Personaldienstleister, die die Lohnbuchhaltung für Ihre Mitarbeiter erledigen   Frage 3: Was muss ich tun, wenn in meinem Verantwortungsbereich Daten abhanden kommen (z.B. durch Hacking von Kundenkonten in meinem Webshop, Einbruch in Kundendatenbank oder Personaldatei etc.)? Antwort 3: Sie müssen den Verlust sowohl der zuständigen Aufsichtsbehörde melden (Ansprechpartner sind die Datenschutzbeauftragten der Länder) als auch den betroffenen Kunden oder Mitarbeitern. Frage 4: Wir haben gerade ein IT-System bei uns implementieren lassen, bei dem zu den Kunden ein Scoring durchgeführt wird. Müssen wir dazu etwas beachten? Antwort 4: Nach Art. 35 Abs. 1 DSGVO muss eine sogenannten „Datenschutz Folgeeinschätzung“ immer dann durchgeführt werden, wenn „..eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat)“. Da das bei einem Scoring wahrscheinlich ist, müssen Sie eine Datenschutzfolgeeinschätzung des Systems vornehmen. Diese besteht aus o einer systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls                      einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen o einer Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck o einer Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen o den zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen werden soll. Frage 5: Warum muss ich einen Datenschutzbeauftragten für meinen Betrieb benennen? Antwort 5: Zum Einen, weil die DSGVO das ion Artikel 37 so fordert. Zum Anderen, weil dieser die erforderlichen Kontrollen in Ihrem Betrieb durchführen und die datenschutzrelevanten Dokumente erstellen bzw. freigeben soll, kann und muss. Weitere Fragen? Schreiben Sie mir einfach eine Email:              Ihre Daten werden gemäß unserem Datenschutzhinweis erhoben und verarbeitet.
Mitglied der Arbeitsgemeinschaft