proJob auf dem Weg zur DSGVO

Haben Sie unseren letzten Beitrag zur DSGVO gelesen? Falls ja, kann ich gleich damit beginnen, Ihnen mehr über unserem Weg zur DSGVO zu erzählen. Sie werden erfahren, wann wir begonnen haben, uns mit dem Thema zu beschäftigen und welche Meilensteine wir seither erreicht haben. Sollten Sie sich jedoch an dieser Stelle fragen, was die DSGVO ist, empfehle ich Ihnen, unseren letzten Beitrag „Achtung! Die Datenschutzgrundverordnung (DSGVO) naht!“ zu lesen. In diesem erhalten Sie eine Vorstellung dessen, was die Verordnung, die ab dem 28. Mai dieses Jahres verbindlich wird, für europäische Unternehmen bedeutet. Kommen Sie den darin enthaltenen Pflichten nicht nach, drohen Ihnen Bußgelder in Höhe von 10.000.000€ bis 20.000.000€ bzw. von zwei bis vier Prozent des weltweit erwirtschafteten Jahresumsatzes Ihres Unternehmens.

Wie sind wir darauf aufmerksam geworden?

Wie bereits offen gestanden, waren unsere ersten Schritte eher dem Zufall geschuldet und entsprechend unbeholfen. Begonnen hat unser Weg damit, dass uns ein Kunde bat, einen Vertrag zur Auftragsdatenverarbeitung nach den Vorgaben des § 11 BDSG zu unterschreiben. Der Paragraph behandelt die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. Unter Satz 2 sieht er vor, dass ein Auftrag schriftlich zu erteilen ist und eine Reihe inhaltlicher Anforderungen erfüllen muss. Dazu zählen beispielsweise:

• Gegenstand und Dauer des Auftrags,
• Umfang, Art und Zweck der vorgesehenen Erhebung,
• Verarbeitung oder Nutzung von Daten,
• die Art der Daten,
• der Kreis der Betroffenen,
• die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen
• sowie die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Die vollständige Aufzählung können Sie unter https://www.gesetze-im-internet.de/bdsg_1990/__11.html nachlesen.

Was hat § 11 BDSG mit der DSGVO zu tun?

Was würden Sie tun, wenn Sie einen „Vertrag zur Auftragsdatenverarbeitung gemäß § 11 BDSG“ in den Händen halten, den Sie unterschreiben sollen? Gut, entweder Sie lesen ihn durch und unterschreiben oder Sie informieren sich zunächst über den Paragraphen. Ich habe letzteres und stolperte dabei im Internet über die Information, dass die Inhalte des § 11 BDSG bedingt durch die Ablösung des BDSG durch das BDSG-neu und die DSGVO, ab dem 28. Mai 2018 in Art. 28 Abs. 3 EU-DSGVO behandelt werden https://dsgvo-gesetz.de/art-28-dsgvo/. Da kommt einem doch die Frage, was ist da los? Warum wird das BDSG abgelöst? Das war die Geburtsstunde meines Interesses für die DSGVO.

Welche Schritte zur DSGVO folgten daraufhin?

Ist das Interesse für ein Thema erst einmal geweckt, recherchiere ich weiter und setze mich intensiv mit der Thematik auseinander. Dabei stellte ich fest, dass es bereits verschiedene Empfehlungen und Checklisten zur Vorbereitung auf die DSGVO gibt. Ich sammelte Informationen, Mustervorlagen, besuchte gemeinsam mit unserem Geschäftsführer, Andreas Richter, eine Informationsveranstaltung von WILDE.Rechtsanwälte, nahm zum Bundesverband Deutscher Unternehmensberater Kontakt auf und erstellte eine Liste, welche Dokumente bis Mai erstellt sein müssen und was es darüber hinaus noch umzusetzen gilt. Allem voraus gehen natürlich eine Risikoanalyse sowie die Ermittlung des Status Quo.

Und was müssen Sie tun?

Nun, was Sie tun müssen, hängt ganz von Ihrem Unternehmen und Ihren Voraussetzungen ab.
Allgemein zu empfehlen ist jedoch, die Datenschutzerklärung sowie das Impressum auf der Unternehmenshomepage sowie die Allgemeinen Geschäftsbedingungen zu überprüfen. Erklären Sie in Ihrer Datenschutzerklärung und den AGB Ihre Compliance zur EU-Datenschutzgrundverordnung. Informieren Sie Ihre Leser über den Umgang mit personenbezogenen Daten in Verbindung mit der Nutzung von Kontaktmöglichkeiten und Bewerberformularen über die Homepage. Bestenfalls kommen Sie in diesem Zusammenhang schon Ihren Informationspflichten nach und weisen auf die Auskunftsrechte der Betroffenen hin.
Überprüfen Sie Ihre technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten. Berücksichtigen Sie dabei folgende Aspekte:

• Pseudonymisierung,
• Verschlüsselung,
• Vertraulichkeit,
• Integrität,
• Verfügbarkeit,
• Belastbarkeit der Systeme,
• Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall
• sowie Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit dieser Maßnahmen.

Weiterführende Informationen erhalten Sie in Art. 32 Abs. 1 DSGVO https://dsgvo-gesetz.de/art-32-dsgvo/. Die Notwendigkeit für Verantwortliche ergibt sich aus Art. 30 Abs. 1 lit. g und die für Auftragsverarbeiter aus Art. 30 Abs. 2 lit. d.
Im nächsten Beitrag zur DSGVO erzählen wir Ihnen, wie sich proJob in der Arbeitsgruppe des BDU zum Thema DSGVO engagiert.
Herzliche Grüße von Ihrem proJob Team
PS: Abschließend möchte ich Sie darauf hinweisen, dass unsere Beiträge zur DSGVO weder eine individuelle Rechtsberatung ersetzen können noch sollen. Unsere Beiträge basieren zwar auf unserer intensiven Auseinandersetzung mit dem Thema, dennoch enthalten sie keine rechtlich verbindlichen Informationen.