+49 (0)89 1891 7360
email@iitr.de
Datenschutz für Notare
Die Datenschutz Komplettlösung für Notare
- Einfache Bedienbarkeit
- Zeiteffizient und praxisnah
- Beratungsmöglichkeit durch Expertenteam
- Externer Datenschutzbeauftragter
- Zertifiziertes Datenschutzmanagementsystem
- Ab 32,50 Euro / Monat
Was sind die wichtigsten Datenschutzthemen für Notare?
- Datenschutzkonformes Mandantenmanagement
- Sensibilisierung der Beschäftigten
- Informationssicherheit -> Orientierungshilfe des BfDI (Bundesbeauftragter für Datenschutz und Informationsfreiheit)
- Datenschutzkonforme Einbindung von Drittdienstleistern
- Verpflichtender Datenschutzbeauftragter als öffentliche Stelle
- Dokumentation der Kernprozesse
Zertifizierter Datenschutz für Notare
Ein Datenschutz-Management-System (DSMS) wie das Datenschutz-Kit ist ein wesentliches Instrument zur Vereinfachung datenschutzrelevanter Aufgaben, damit sich Notare auf ihre Kerntätigkeiten konzentrieren können. Das Datenschutz-Kit entlastet die Notarinnen und Notare, indem es die grundlegenden Aspekte des Datenschutzes, wie das Erfassen, Speichern, Löschen und Übermitteln von Daten, entsprechend den gesetzlichen Anforderungen, insbesondere der Datenschutz-Grundverordnung (DSGVO), erfasst und ordnet.
Die notariellen Kernaufgaben wie Beratung, Beurkundung und Beglaubigung stehen weiterhin im Vordergrund. Das Datenschutz-Kit dient dabei als effektives und vor allem zeiteffizientes Management-Tool, das hilft, den Überblick zu behalten, potenzielle Risiken frühzeitig zu erkennen und proaktiv Maßnahmen zur Sicherstellung der Datenschutz-Compliance zu ergreifen.
Darüber hinaus stellt das Datenschutz-Kit sicher, dass bei neuen Projekten die datenschutzrechtlichen Anforderungen von Anfang an berücksichtigt werden. Dies trägt dazu bei, mögliche Sanktionen zu vermeiden und das Vertrauen der Kunden zu stärken. Durch kontinuierliche Überprüfungs- und Anpassungsmöglichkeiten der Datenschutzmaßnahmen versetzt das Datenschutz-Kit die Notare in die Lage, ihre Tätigkeit stets im Einklang mit dem sich dynamisch entwickelnden Datenschutzrecht auszuüben.
100 Tage sorgenfrei testen
Überzeugen Sie sich von uns und unseren Leistungen. Sie können in den ersten 100 Tagen vom Vertrag zurücktreten, sofern Sie mit unseren Datenschutzlösungen nicht zufrieden sind. Die Garantie zählt für alle Datenschutz-Kit Pakete.
Tipps für die Praxis
Notariate sind als öffentliche Stellen nach der Datenschutz-Grundverordnung (DSGVO) verpflichtet, einen Datenschutzbeauftragten (DSB) zu bestellen. Der DSB spielt eine Schlüsselrolle im Datenschutzmanagement, indem er die Einhaltung der Datenschutzvorschriften sicherstellt und auf Aktualisierungen hinweist.
Er fungiert als Berater und Ansprechpartner in Datenschutzfragen und trägt dazu bei, Risiken zu minimieren. Darüber hinaus stärkt der DSB das Vertrauen der Mandanten, indem er die Transparenz und Sicherheit der personenbezogenen Daten gewährleistet, die Notare in ihrer täglichen Arbeit verarbeiten.
eLearning Schulungsmodule
Im Rahmen unserer Online-Schulungen stehen Kurzschulungen zu den unten genannten Themen zur Verfügung. Die Schulungsteilnahme wird für die Teilnehmer nach Beantwortung einiger kurzer Fragen mit einem Zertifikat abgeschlossen. Zusätzlich erfasst das System die erfolgreiche Schulungsteilnahme zum Nachweis gegenüber den Aufsichtsbehörden.
Online-Verpflichtungen
Verpflichtung auf die Einhaltung des Datenschutzes
Mit diesem Online-Modul können Sie Ihre Beschäftigten auf die Einhaltung des Datenschutzes online verpflichten.
Online-Schulungen zum Datenschutz
Einführung EU-Datenschutzgrundverordnung
Dies ist eine Standardschulung / Information und gibt einen Überblick über die EU-Datenschutzgrundverordnung (DS-GVO). Die Zielgruppen sind Beschäftigte, die eine personenbezogene E-Mail-Adresse haben.
Basisschulung
Die Schulung gibt einen Überblick über den Datenschutz beim Umgang mit personenbezogenen Daten. Die Zielgruppen sind Beschäftigte, die eine personenbezogene E-Mail-Adresse haben.
Verarbeitung personenbezogener Daten
Diese Schulung vermittelt die datenschutzrechtlichen Anforderungen an die Nutzung von personenbezogenen Daten im Unternehmen. Weiter vermittelt die Schulung die Anforderungen, die für eine wirksame Einwilligung zur Datennutzung notwendig sind. Die Zielgruppen sind in erster Linie Beschäftigte, die personenbezogenen Daten erheben, verarbeiten und nutzen.
E-Mail-Nutzung am Arbeitsplatz
Diese Schulung vermittelt die datenschutzrechtlichen Rahmenbedingungen zur E-Mail-Nutzung am Arbeitsplatz. Die Zielgruppen sind in erster Linie Beschäftigte, die ein betriebliches E-Mail-Postfach haben.
Technische und organisatorische Maßnahmen zum Datenschutz
Diese Schulung gibt einen Überblick über geforderten technischen und organisatorischen Maßnahmen zum Datenschutz. Die Zielgruppen sind in erster Linie Führungskräfte und IT-Administratoren.
Videoüberwachung
Diese Schulung gibt einen Überblick über die Zulässigkeit und Rahmenbedingungen einer Videoüberwachung. Die Zielgruppe sind in erster Linie Führungskräfte, IT-Administratoren und Beschäftigte mit Zugang zu den Videodaten.
Newsletter ohne Einwilligung
Diese Schulung vermittelt die Parameter, die zum Versand eines E-Mail-Newsletter ohne nachweisbare Einwilligung eines Betroffenen erfüllt sein müssen. Die Zielgruppen sind in erster Linie Beschäftigte im Vertrieb oder Marketing.
Verzeichnis von Verarbeitungstätigkeiten
Diese Schulung beschreibt das Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 DS-GVO. Weiter gibt diese Schulung Hinweise zur Erstellung einer internen Verarbeitungs-/Verfahrensdokumentation. Die Zielgruppe sind in erster Linie IT-Administratoren und Beschäftigte, die Verantwortung für einen Datenverarbeitungsprozess haben.
Umgang mit Bewerberdaten
Diese Schulung vermittelt dem Teilnehmer die Maßnahmen, die zur datenschutzkonformen Nutzung von Bewerberdaten erforderlich sind. Die Zielgruppe sind in erster Linie Beschäftigte im Personalbereich und die am Auswahlprozess beteiligten Führungskräfte.
Auftragsverarbeitung
Diese Schulung vermittelt dem Teilnehmer die datenschutzrechtlichen Anforderungen und Besonderheiten beim Einsatz von externen Dienstleistern. Die Zielgruppen sind in erster Linie Führungskräfte und IT-Administratoren.
Wahrnehmung der Betroffenenrechte
Diese Schulung vermittelt dem Teilnehmer die datenschutzrechtlichen Aspekte, die bei Wahrung der Betroffenenrechte (Recht auf Auskunft, Berichtigung, Löschung usw.) zu beachten sind. Die Zielgruppen sind alle Beschäftigten, die eine personenbezogene E-Mail-Adresse haben.
Zusammenarbeit mit dem Betriebsrat
Diese Schulung vermittelt dem Teilnehmer die Aspekte des Datenschutzes, die bei der Zusammenarbeit mit dem Betriebsrat zu beachten sind. Die Schulung gibt Einblick in die Risiken bei der Verarbeitung personenbezogener Daten und die damit einhergehenden Anforderungen und Maßnahmen zur Gewährleistung des Datenschutzes. Die Zielgruppen sind Beschäftigte, die personenbezogene Daten mit dem Betriebsrat austauschen.
Verhaltensregeln im Datenschutz
Diese Schulung vermittelt dem Teilnehmer die Anforderungen des Datenschutzes, die regelmäßig bei der Verarbeitung von personenbezogenen Daten umzusetzen sind. Sie beinhaltet Informationen zu den Grundsätzen beim Umgang mit personenbezogenen Daten, zu den Schutzmaßnahmen am Arbeitsplatz, zur Verwendung von Passwörtern, zum Einsatz von mobilen Datenträgern, zu Schutzmaßnahmen auf Reisen, zum Arbeiten im privaten Umfeld, zur Nutzung von Social Media, zu Social Engineering, zur E-Mail-Nutzung, zur Internet-Nutzung sowie zur Löschung und Vernichtung von Daten. Die Zielgruppen sind Beschäftigte, die personenbezogene Daten verarbeiten.
Reaktion bei Datenschutzverletzungen
Diese Schulung vermittelt dem Teilnehmer die Grundlagen über eine Datenschutzverletzung und die damit einhergehenden Maßnahmen, die bei Kenntnisnahme einer Datenschutzverletzung erforderlich sind. Die Zielgruppen sind Beschäftigte, die eine personenbezogene E-Mail-Adresse haben.
Brief-Werbung, Telefax-Werbung und E-Mail-Werbung
Diese Schulung vermittelt dem Teilnehmer die Grundlagen über die werbliche Ansprache und die damit einhergehenden Maßnahmen, die zur Gewährleistung des Datenschutzes erforderlich sind. Die Zielgruppe sind Beschäftigte im Vertrieb oder Marketing.
Datenschutz-Folgenabschätzung
Diese Schulung vermittelt dem Teilnehmer die Grundlagen über die Datenschutz-Folgenabschätzung. Diese ist immer dann ein Thema, wenn durch eine Verarbeitung von personenbezogenen Daten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zu erwarten ist. Die Zielgruppe sind in erster Linie IT-Administratoren und Beschäftigte mit Verantwortung für einen Datenverarbeitungsprozess bzw. eine Verarbeitungstätigkeit.
Home-Office und mobiles/ortsunabhängiges Arbeiten
Diese Schulung vermittelt dem Teilnehmer die Anforderungen des Datenschutzes, die im Home-Office und beim mobilen/ortsunabhängigen Arbeiten einzuhalten sind. Sie beinhaltet Informationen zum Schutz der Datenverarbeitungssysteme, Schutz der verarbeiteten personenbezogenen Daten und sonstigen Informationen sowie Gefahren durch Angriffe. Die Zielgruppen sind Beschäftigte, die personenbezogene Daten im Home-Office oder außerhalb der Geschäftsräume verarbeiten.
Löschung von personenbezogenen Daten
Diese Schulung vermittelt dem Teilnehmer die gesetzlichen Grundlagen und die Anforderungen, die an die Löschung von personenbezogenen Daten gestellt werden. Ebenso zeigt die Schulung die Möglichkeiten zur praktischen Umsetzung von Löschkonzepten auf. Die Zielgruppen sind Beschäftigte, die personenbezogene Daten verarbeiten.
Datenschutz beim Betriebsrat
Diese Schulung vermittelt dem Teilnehmer die gesetzlichen Grundlagen und die Anforderungen, die bei der Verarbeitung von personenbezogenen Daten der Beschäftigten durch den Betriebsrat gestellt werden. Die Zielgruppe sind Betriebsräte.
Online-Schulungen zur Informationssicherheit
Grundlagen der Informationssicherheit
Diese Schulung vermittelt dem Teilnehmer die allgemeinen Grundlagen in der Informationssicherheit. Bei der Informationssicherheit geht es nicht nur um die Verarbeitung von personenbezogenen Daten, sondern um alle schützenswerten Informationen, die in einem Unternehmen vorliegen. Das sind üblicherweise Informationen über Entwicklungen, Produkte, Dienstleistungen etc. die nicht für die Allgemeinheit bestimmt sind. Die Zielgruppen sind Beschäftigte, die Zugang zu schützenswerten Informationen haben.
Informationssicherheit am Arbeitsplatz
Diese Schulung vermittelt dem Teilnehmer die Grundlagen in der Informationssicherheit am Arbeitsplatz mit den Schwerpunkten physischer Informationsschutz am Arbeitsplatz. Dabei wird auf die Themen Sicherheitszonen und Sicherheitsstufen zur Gewährleistung der Informationssicherheit eingegangen. Die Zielgruppen sind Beschäftigte, die Zugang zu schützenswerten Informationen haben.
Informationssicherheit im Beschäftigungs- und Dienstleistungsverhältnis
Diese Schulung vermittelt dem Teilnehmer die Grundlagen, warum Informationssicherheit sowohl im Beschäftigungsverhältnis als auch bei der Zusammenarbeit mit externen Dienstleistern ganzheitlich betrachtet und ungesetzt werden muss. Die Schulung beinhaltet Informationen zu Schutzziele, PDCA, Verpflichtung, Schulung, Nachweisführung, Auditierung und Maßregelung. Die Zielgruppen sind Beschäftigte, die Zugang zu schützenswerten Informationen haben.
Informationssicherheitsereignisse und Informationssicherheitsvorfälle handhaben
Diese Schulung vermittelt dem Teilnehmer den Unterschied zwischen einem Informationssicherheitsereignis und einem Informationssicherheitsvorfall sowie die damit einhergehenden Maßnahmen, wenn ein Informationssicherheitsereignis und ein Informationssicherheitsvorfall wahrgenommen werden. Die Zielgruppen sind Beschäftigte, die Zugang zu schützenswerten Informationen haben.
Informationssicheres Onboarding
Diese Schulung gibt einen Überblick über die Maßnahmen, die aus Sicht der Informationssicherheit im Rahmen des Mitarbeiter-Onboardings berücksichtigt und umgesetzt werden müssen. Die Zielgruppe sind in erster Linie Führungskräfte, Beschäftigte im Personalbereich und IT-Administratoren.
Informationssicheres Cross- oder Offboarding
Diese Schulung gibt einen Überblick über die Maßnahmen, die aus Sicht der Informationssicherheit im Rahmen des Mitarbeiter-Cross- oder Offboardings (Abteilungswechsel oder Beendigung der Beschäftigung) berücksichtigt und umgesetzt werden müssen. Die Zielgruppen sind in erster Linie Führungskräfte, Beschäftigte im Personalbereich und IT-Administratoren.
Informationssicherheitskonforme Benutzerzugangsverwaltung
Diese Schulung gibt einen Überblick über die Maßnahmen, die zu einer Informationssicherheitskonforme Benutzerzugangsverwaltung erforderlich sind. Die Zielgruppen sind in erster Linie Führungskräfte, Beschäftigte im Personalbereich und IT-Administratoren.
Mobile Datenträger informationssicher einsetzen
Diese Schulung gibt einen Überblick über die Maßnahmen, die aus Sicht der Informationssicherheit bei der Verwendung von mobilen Datenträgern berücksichtigt und umgesetzt werden müssen. Die Zielgruppen sind Beschäftigte, die Zugang zu schützenswerten Informationen haben.
Netzwerksegmentierung Handlungsempfehlungen
Diese Schulung gibt einen Überblick über die Maßnahmen, die aus Sicht der Informationssicherheit bei der Netzwerk-Segmentierung berücksichtigt und umgesetzt werden müssen. Im Rahmen der Schulung werden verschiedene Ansätze dargestellt. Die Zielgruppen sind in erster Linie IT-Administratoren.
Patch-Management mit System
Diese Schulung gibt einen Überblick über die Maßnahmen, die aus Sicht der Informationssicherheit beim Patch-Management berücksichtigt und umgesetzt werden müssen. Die Zielgruppen sind in erster Linie IT-Administratoren.
Social Engineering – Erkennen und Abwehren
Diese Schulung gibt einen Überblick über die Vorgehensweise bei Social Engineering Angriffen und zeigt Möglichkeiten zur Risikominimierung auf. Die Zielgruppen sind Beschäftigte, die Zugang zu schützenswerten Informationen haben.
Cyber-Angriffe
Diese Schulung gibt einen Überblick über die verschiedenen Arten von Cyber-Angriffen und zeigt Maßnahmen zur Bearbeitung eines Angriffs sowie Maßnahmen zur Prävention auf. Die Zielgruppen sind Beschäftigte, die Zugang zu Datenverarbeitungssystemen haben.
IT-Monitoring
Diese Schulung gibt einen Überblick über die verschiedenen Arten des IT-Monitorings und beschreibt die Vorteile sowie die Maßnahmen, die für eine wirksames IT-Monitoring erforderlich sind. Die Zielgruppen sind IT-Administratoren und Geschäftsführer.
Informationssicherer und datenschutzkonformer Einsatz von Cloud-Diensten
Diese Schulung gibt einen Überblick über Maßnahmen, die für einen informationssicheren und datenschutzkonformen Einsatz von Cloud-Systemen erforderlich sind. Die Zielgruppen sind in erster Linie Führungskräfte und IT-Administratoren.
Online-Schulungen zur Arbeitssicherheit
Arbeitssicherheit und mobile Arbeit
Arbeitsschutz und Arbeitssicherheit sind nicht nur bei Tätigkeiten in den Geschäftsräumen des Unternehmens relevant, sondern auch bei Tätigkeiten außerhalb der Geschäftsräume, z.B. bei mobilem Arbeiten und beim Arbeiten im Home-Office. Die Zielgruppen sind Beschäftigte, die im Home-Office oder außerhalb der Geschäftsräume arbeiten.
Erste Hilfe
Diese Schulung vermittelt dem Teilnehmer die Grundlagen in der Ersten Hilfe. Dabei wird auf die gesetzlichen Vorschriften, auf die Basics der Erste-Hilfe-Leistung und den Notruf eingegangen. Die Zielgruppen sind Beschäftigte, die eine personenbezogene E-Mail-Adresse haben.
Sonstige Online-Schulungen
Allgemeines Gleichbehandlungsgesetz (AGG)
Diese Schulung vermittelt dem Teilnehmer die Grundlagen des Allgemeinen Gleichbehandlungsgesetz. Dabei wird auf die gesetzlichen Vorschriften eingegangen, die zur Sicherstellung der allgemeinen Gleichbehandlung von Beschäftigten einzuhalten sind. Die Zielgruppe sind in erster Linie Beschäftigte im Personalbereich und Führungskräfte.
Was droht wenn kein
Datenschutzbeauftragter bestellt wird?
Das Datenschutzrecht hat in der öffentlichen Diskussion auf Grund verschiedener Datenschutzvorfälle an Bedeutung gewonnen. Dennoch unterschätzen viele Unternehmen nach wie vor die Risiken, die mit einer Nichtbeachtung der datenschutzrechtlichen Vorschriften einhergehen. Der Einsatz eines Datenschutzbeauftragten und die Beachtung datenschutzrechtlicher Vorgaben im Übrigen wird von den Unternehmen als zu hoher Kostenfaktor empfunden. Dennoch drohen bei Überprüfung durch die Aufsichtsbehörden rechtliche Konsequenzen, die wiederum auch eine Kostenbelastung darstellen können. Dieser Beitrag soll klären, was bei einem Verstoß gegen die datenschutzrechtlichen Vorschriften drohen kann, insbesondere dann, wenn kein Datenschutzbeauftragter bestellt wurde.
Nachdem der Datenschutz lange ein Thema für Spezialisten gewesen ist, wurde inzwischen durch die zahlreichen Datenschutzskandale auch die Öffentlichkeit aufgeschreckt. Durch Einführung der Datenschutzgrundverordnung sind die Anforderungen an den betrieblichen Datenschutz zudem nicht nur strenger geworden, sondern auch deutlich mehr in den Fokus der Behörden gerückt.
So wurden seit 2018 empfindliche Bußgelder bis zu einem dreistelligen Millionenbetrag ausgesprochen.
Benötige auch ich einen Datenschutzbeauftragten?
Jetzt prüfen
Beratungstermin vereinbaren Kostenloser Datenschutz-CheckOrganisation der Datenschutzaufsicht in Deutschland
Im Bereich der Datenschutzaufsicht liegt die Verantwortung für fast alle Bereiche bei den Bundesländern und nicht beim Bund. Eine zentrale Kontrollstelle, die den Behörden der Länder Anweisungen erteilen könnte, existiert nicht. Eine unterschiedliche Praxis der Aufsichtsbehörden ist damit möglich. Um solche Meinungsverschiedenheiten auszuschließen, tauschen sich Datenschutzbehörden regelmäßig aus. Ziel ist ein einheitlicher Umgang bei vergleichbaren Themen.
Klassische Aufgabe der Aufsichtsbehörden
Die Aufgaben der Datenschutzbehörde werden in Art. 57 DSGVO normiert. Die klassische Aufgabe der Aufsichtsbehörden ist die Kontrolle, sei es die anlassbezogene Kontrolle oder die Stichprobenüberprüfung.
Vorgehensweise der Behörden im Datenschutzrecht
Erhält die Behörde von einem Verstoß gegen das Datenschutzrecht Kenntnis, wird diese in der Regel das Unternehmen mit dem Sachverhalt konfrontieren und um fristgebundene Stellungnahme bitten. Bei Gefahr im Verzug oder bei stichprobenartigen Kontrollen kann auch direkt eine umfassende Überprüfung vorgenommen werden. Wird dann ein Verstoß festgestellt, so besteht unter anderem die Möglichkeit ein Bußgeld nach Art. 83 DSGVO zu verhängen.
Welche Rechtsfolge tritt ein, wenn trotz einer Verpflichtung kein Datenschutzbeauftragter ernannt wird?
Unternehmen mit mehr als 19 Mitarbeitern, die computergestützt mit personenbezogenen Daten (also insbesondere Mitarbeiter- und Kundendaten) arbeiten, benötigen gemäß Art. 37 DSGVO i.V.m. § 38 BDSG einen internen oder externen Datenschutzbeauftragten (die Verpflichtung kann sich im Einzelfall sogar bereits früher ergeben). Obwohl diese Verpflichtung seit Jahren besteht, sind viele Unternehmen diesem Erfordernis bisher nicht nachgekommen.
Der Verstoß gegen diese Verpflichtung stellt jedoch eine Ordnungswidrigkeit dar, die mit einem Bußgeld bis zu 10 Millionen € oder 2% des weltweiten Jahresumsatzes geahndet werden kann.
Bußgeld nach Art. 83 DSGVO möglich
Alle Bußgeldtatbestände aufzuführen würde den Rahmen sprengen. Herausgegriffen sei im Folgenden exemplarisch Art. 83 Abs. 4a DSGVO:
"Bei Verstößen gegen die folgenden Bestimmungen werden […] Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß […] 37 [= Stellung eines Datenschutzbeauftragten] […]."
Was wird von diesem Tatbestand genauer umfasst?
Zweifelsfrei umfasst ist der Tatbestand, dass ein Unternehmen trotz der Verpflichtung aus Art. 37 DSGVO einen Beauftragten nicht oder zu spät bestellt.
Wird ein Beauftragter für den Datenschutz zwar formell bestellt, ist er aber außerstande, diese Funktion auszuführen oder erfüllt er eindeutig die Qualifikationsvoraussetzungen nicht, liegt ebenfalls keine wirksame Bestellung vor und ist damit der Tatbestand der Ordnungswidrigkeit erfüllt.
Ermessen der Behörde
Die für die Verfolgung und Ahndung zuständigen Behörden haben bei der Festsetzung des Bußgelds einen Ermessensspielraum. Die Bußgeldhöhe ist dabei so zu bestimmen, dass sie ausreichend abschreckend wirkt. Welches Bußgeld festgesetzt werden muss, bestimmt sich nach den Umständen des Einzelfalls. Es können auch die wirtschaftlichen Verhältnisse des Unternehmens einen Ausschlag geben. Dies kann unter anderem vor allem dann angezeigt sein, wenn das Unternehmen aus Kostengründen die Ordnungswidrigkeit begangen hat..
Sinn der Bußgeldregelung
Mit der Bußgeldbewehrung soll verhindert werden, dass sich die Begehung einer Ordnungswidrigkeit für den Täter in irgendeiner Weise lohnt. Bei einer durchgeführten Saldierung soll der Täter erkennen, dass er die falsche Wahl getroffen hat, um sich dann entsprechend seinem Kostenrisiko das nächste Mal für den richtigen Weg zu entscheiden.
Folgen für die Praxis
Gerade dies kann auch in der nächsten Zeit zu Lasten der Unternehmen ausfallen: es kann passieren, dass die einzelnen Aufsichtsbehörden gerade deswegen hohe Bußgelder erlassen werden, um eine gewisse Abschreckungswirkung zu erzielen.
Für Unternehmen, die einen Datenschutzbeauftragten nicht, zu spät oder nicht in der erforderlichen Weise bestellt haben, besteht ein bußgeldbewehrtes Kontroll-Risiko. Seit Mai 2018 haben die Aufsichtsbehörden die Möglichkeit, Bußgelder in empfindlicher Höhe festzulegen. Zudem wird die Einhaltung datenschutzrechtlicher Vorschriften nicht nur von den Aufsichtsbehörden sondern zunehmend auch von Mitarbeitern, Kunden und Wettbewerbern eingefordert.
Meldepflicht bei Datenpanne
Wann muss ich eine Datenpanne melden? Pflicht zur Meldung einer Datenschutz-Verletzung Art 33 DSGVO
Die Datenschutzgrundverordnung benennt die Verpflichtung, Datenschutzverletzungen umgehend zu melden. Unternehmen sind verpflichtet, einen entsprechenden Prozess einzuführen, der es ermöglicht, dass Datenschutzpannen hausintern gemeldet werden und dann geprüft wird, um welche Art von Datenschutzverletzung es sich handelt.
Datenschutzverletzungen werden in drei Kategorien eingeteilt: Niedrig, mittel und hoch. Gemessen werden Eintrittswahrscheinlichkeit und die Schwere der Verletzung für die Betroffenen. In der Kategorie „niedrig“ genügt es, intern zu dokumentieren. In der Kategorie „mittel“ muss die Datenschutz Aufsichtsbehörde innerhalb von 72 Stunden ab Kenntnis – informiert werden. In der Kategorie „hoch“ sind zusätzlich zur Aufsichtsbehörde auch die Betroffenen zu informieren.
Tipp für die Praxis:
Bauen Sie entsprechende Prozesse in Ihrem Unternehmen auf und üben Sie die Einhaltung dieser. Die Meldung der Datenschutzverletzung innerhalb der 72 Stunden sind eng bemessen und stellen Unternehmen oft vor große Herausforderungen. In dieser Frist müssen die hausinternen Informationen zusammengetragen, möglicherweise noch externe IT-Spezialisten hinzugezogen und eine Risikobeurteilung erstellt werden. Im Anschluss erfolgt dann die Meldung an die Aufsichtsbehörde. Damit dieser Prozess reibungslos abläuft ist es wichtig, dass Sie Ihre Beschäftigten zum Thema Datenpanne sensibilisieren und schulen.
Sie benötigen ein eLearning System, um Ihre Beschäftigten im Datenschutz zu sensibilisieren?
Videos rund um das Thema Datenschutz
Datenschutzkonzept
Kostenloser Datenschutz Schnell-CheckTermin vereinbaren
Download Handbuch "Datenschutz 1x1"Jetzt anfordern
Aufbau eines Datenschutzkonzepts
Das Datenschutzkonzepts sollte folgende Punkte beinhalten:
- Interne Verantwortlichkeiten
- Technisch-Organisatorische Maßnahmen (TOM)
- Umgang mit Betroffenenanfragen
- Verzeichnis der Verarbeitungstätigkeiten
- Auflistung von Dritt-Dienstleistern
Das Datenschutzkonzept findet Verwendung gegenüber der Aufsichtsbehörde und Kunden.
Tipp für die Praxis:
Verschaffen Sie sich einen Überblick über die Betriebsinternen Verantwortlichkeiten. (Wer kümmert sich um was im Datenschutz?). Das gilt insbesondere für die Prozesse Betroffenenrechte und Datenschutzverletzungen. Beschreiben Sie zudem die Standards der Informationssicherheit, d.h. Ihre technischen und organisatorischen Maßnahmen (TOM), legen Sie ein Verzeichnis von Drittdienstleistern an und dokumentieren Sie Ihre eigenen Datenverarbeitungstätigkeiten.
Nutzen Sie ein softwaregestütztes Datenschutzmanagementsystem, um ihr Datenschutzkonzept so zu beschreiben, dass sie Ihrer Rechenschaftspflicht entsprechen können.
Der Begriff Datenschutzkonzept ist in der DSGVO nicht definiert. Dennoch ist die Schaffung eines einheitlichen Dokuments sinnvoll, um der Rechenschaftspflicht aus DSGVO nachzukommen.
Erhalten Sie unsere kostenlose Datenschutz-Checkliste für Ihr Unternehmen
Videos rund um das Thema Datenschutz