Datenschutzverstoss

Es ist nicht unbekannt, dass es beim Datenschutzverstoß zu hohen Bußgeldzahlungen kommen kann. Seien Sie auf der sicheren Seite und stellen Sie sicher, dass sie die folgenden 6 Fehler im Sinne der DSGVO nicht machen werden.

Fehler 1 – Keine Dienstleisterliste

Ihr Unternehmen besitzt keine geführte Liste über Lieferanten, Kunden und Beschäftigen, die personenbezogene Daten erheben und verarbeiten.

Nach Art. 30 DSGVO ist der/die Verantwortliche dazu verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. In dieser Liste sind sämtliche Informationen zu Datenverarbeitungstätigkeiten zusammengefasst, vor allem Angaben zum Zweck der Verarbeitung und über die Art der personenbezogenen Daten.

Das Verzeichnis von Verarbeitungstätigkeiten ähnelt inhaltlich der alten Verfahrensverzeichnisse nach dem BDSG.

Fehler 2 – Datenschutzrichtlinie nicht vorhanden

Es fehlt eine klar definierte Datenschutzrichtlinie, welche auch „meldepflichtige“ Ereignisse festhält.

Meldepflichtige Fälle wären zum Beispiel:

  • Beschwerden von Betroffenen, z.B. ihrer Webseitennutzer
  • Einsatz eines neuen Dienstleisters, der personenbezogene Daten verarbeitet
  • Werbemaßnahmen, z.B. Versand von Newslettern
  • Online Marketingmaßnahmen, z.B. Conversion Tracking, Google AdWords
  • Einführung eines neuen Tools oder Systems
  • Verkauf von Teilen des Unternehmens

Eine solche Liste dient als Handlungshilfe für ihre Mitarbeiter und sollte stets aktualisiert werden.

Fehler 3 – Meldung von Datenschutzverstoß nach 72 Stunden

Überschreiten der gesetzlich vorgeschriebenen Meldefrist von 72 Stunden, bei einer Verletzung des Schutzes personenbezogener Daten.

Nach Art. 33 Abs.1 DSGVO sind Unternehmen verpflichtet, im Fall einer Verletzung des Schutzes personenbezogener Daten, diese unverzüglich bei der zuständigen Aufsichtsbehörde registrieren zu lassen. Jedoch kann von der Meldung abgesehen werden, wenn klar ist, dass kein Risiko für die Rechte und Freiheiten einer natürlichen Person besteht.

Fehler 4 – Betroffene werden nicht informiert

Betroffene werden nach dem Fall eines datenschutzrechtlichen Verstoßes nicht informiert.

Nach Art. 34 DSGVO müssen Betroffene informiert werden, wenn gegen den Schutz ihrer personenbezogenen Daten verstoßen wurde oder ein hohes Risiko für die Rechte und Freiheiten besteht.

Fehler 5 – Datenschutz- Folgeabschätzung nicht vorhanden

Ihr Unternehmen hat keine Risikoabschätzung von (besonders) sensiblen personenbezogenen Daten durchgeführt. Bei unzureichend umgesetzten Maßnahmen, wie diese zum Beispiel, kann ein Bußgeld in Höhe von max. 2% des (weltweit) erzielten Jahresumsatz drohen.

Wenn ihr Unternehmen besonders sensible Daten verarbeitet oder die Datenverarbeitung dazu bestimmt ist Persönlichkeit, Fähigkeiten, Leistungen oder Verhalten von Betroffenen zu bewerten, müssen wahrscheinliche Risiken für die Rechte und Freiheiten des Betroffenen von einem*r Datenschutzbeauftragten geprüft werden. Die abschließende Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ist nichts anderes als die Bewertung von Risiken und deren mögliche Folgen.

Fehler 6 – Unternehmen ist handlungsunfähig

Ihr Unternehmen kann im worst case nicht handeln, da es keinen geeigneten Mechanismus gibt, der die geforderten Melde- und Informationspflichten initiiert.

Implementieren Sie eine*n Datenschutzbeauftragte*n und wenn benötigt in den verschiedenen Abteilungen eine*n Verantwortliche*n für den Datenschutz (Datenschutz-Koordinator*in). Die verantwortlichen Personen müssen Datenschutzverletzungen erkennen, sie bewerten und im letzten Schritt aktiv handeln. Der/ Die Datenschutzbeauftragte hat zu prüfen, welches Risiko für die Rechte und Freiheiten von Betroffenen vorliegt.

Sorgen Sie vor!

Damit Sie und/oder ihr Unternehmen sicherstellen, dass die DSGVO zu genüge umgesetzt wird, wird ihnen von der neuen Gesetzgebung vorgeschrieben ein Datenschutzmanagement einzurichten. Verantwortliche im Datenschutzmanagement tragen dafür Sorge, dass die Datenschutzrichtlinien erfüllt werden als auch sichergestellt wird, dass diese nachweisbar gemacht werden.

Leave a Reply