Datenschutz im Unternehmen

Datensicherung für kleine Unternehmen und Start-ups

Durch die Datenschutzverordnung der EU (DSGVO) werden die Datenschutzanforderungen verschärft, in Deutschland ist aber bereits vieles nach dem BDSG in Kraft getreten]. Ein praktisches Beispiel der Musterfirma "Homedreams", Inhaberin: Miranda Mustera, Branche: Verkauf von selbstgenähten Wohn-Accessoires, Angebote von selbstgenähten Kursen und Einrichtungsberatungen; Mitarbeiter: 4[ab 10 Mitarbeiter: Ernennung eines Datenschutzbeauftragten ], welche sich aus dem Datenschutz ergibt....

Wenn jemand ein Unternehmen mit Endkundenkontakt aufbauen möchte, gilt derselbe Datenschutz. Möchte sie etwas veräußern oder ihren Auftraggebern eine Leistung anbieten, so ist dies die Begründung oder Durchführung eines Auftrags. Dazu braucht sie die entsprechenden Informationen von ihren Abnehmern (z.B. Namen, Adresse, Telefonnummer). Zur Vertragsabwicklung bedarf es keiner gesonderten Zustimmung ihrer Auftraggeber für die Basisdaten, sondern für weitere Informationen und Absichten.

Sofern der Vertragsschluss erfolgt und keine weiteren rechtlichen Aufbewahrungsgründe (z.B. steuer- oder handelspolitische Gründe) vorliegen, müssen die erhobenen personenbezogenen Nutzungsdaten vernichtet werden. Sie muss in der Einverständniserklärung darauf verweisen, dass diese jederzeit widerrufen werden kann. Es sollte obligatorische und freiwillige Angaben aufteilen. Sie kann eine Zustimmung auf elektronischem Wege erhalten, darf aber keine vorgegebene Zustimmung in Gestalt eines Haken setzen.

Sie muss ihre Abnehmer auch darüber unterrichten, zu welchem Zwecke sie diese Informationen verarbeitet. Sie muss bei der Erlangung der Zustimmung nicht nur die Datenschutzbestimmungen einhalten, sondern auch das UWG im Falle der Zustimmung zur Bewerbung. den Namen und die Kontaktangaben des für die Verarbeitung Verantwortlichen und, soweit zutreffend, seines Bevollmächtigten, die Kontaktangaben des behördlichen Beauftragten für den Datenschutz, den Verwendungszweck und die rechtliche Grundlage, wenn die Bearbeitung gemäß den Bestimmungen von Art. 6 Abs. 1 dieser Verordnung erfolgt.

das berechtigte Recht des für die Datenverarbeitung zuständigen Inhabers, des Empfängers oder der Empfängerkategorien, die beabsichtigte Datenübermittlung an ein Drittland/eine internationale Einrichtung und das Vorliegen oder Nichtvorliegen einer Angemessenheitsentscheidung der Europäischen Union, die Aufbewahrungsdauer, das Vorliegen eines Auskunfts-, Berichtigungs- und Löschungsrechts, die Beschränkung der Datenverarbeitung, das Recht auf Widerspruch und das Recht auf Datenübermittlung, Widerrufsrecht, Beschwerderecht bei einer Kontrollstelle, Informationen darüber, ob die Angabe personenbezogener Informationen für den Abschluss eines Vertrages notwendig oder notwendig ist und die eventuellen Konsequenzen einer Nichterteilung, Existenz einer autom.

Wurden die Angaben nicht bei der betreffenden Person gemacht, muss die Herkunft der Angaben genannt werden. Bei den Nutzern ihrer Website muss sie angeben, ob und welche der von ihr verwendeten Cookies sie einsetzt und ob sie die Benutzer der Seite verfolgt. Ist der Dienstanbieter in einem Drittstaat wie den USA ansässig, muss er überprüfen, ob die Datenübermittlung durch so genannte EU-Standardklauseln oder durch Privacy Shield gesichert ist.

Dies ist ein Abkommen zwischen der EU und den USA über die angemessene Einhaltung des Datenschutzes für Unternehmen, die die Voraussetzungen von Privacy Shield einhalten. Wie werden die Angaben von Fr. Mustera bearbeitet? Im letzteren Fall muss er eine entsprechende Auftragsabwicklung schriftlich vereinbaren, da der IT-Dienstleister die Verarbeitung der Kundendaten nur nach seinen Weisungen vornehmen darf.

Befinden sich die Dateien auf einem eigenen Rechner, aber mit einer Cloud-Anwendung, muss geklärt werden, ob die Speicherung in Deutschland, Europa oder den USA erfolgt. In letzterem Falle ist es eine Datenübermittlung in Drittstaaten, so dass Sie dafür eine spezielle Basis brauchen, wenn die Datenübertragung in die USA erfolgt.

Sie hat eine Website, die von einer Webdesign-Agentur entworfen wurde. Verfügt die Webdesign-Agentur über die persönlichen Angaben ihrer Interessenten? Bezeichnung, Adresse, Rechtsform, E-Mail-Adresse, Umsatzsteuer-Identifikationsnummer etc. Bei mehr als 10 Mitarbeitern muss sie außerdem mitteilen, in welchem Umfang sie zur Teilnahme an einem Verbraucher-Schiedsverfahren berechtigt oder gezwungen ist (§§ 36, 37 des Verbraucherschutzgesetzes).

Ihre Buchhaltung, vor allem die Lohn- und Gehaltsabrechnungen ihrer Angestellten, führt sie durch einen steuerlichen Berater. Die Miranda Mustera beauftragt ein Inkassobüro mit der Zahlungsaufforderung von säumigen Käufern. Dazu braucht sie auch einen Arbeitsvertrag. Sie benutzt einen Online-Zahlungsservice, mit dem sie auch einen Dienstleistungsvertrag abschließen muss. Bei Miranda Mustera werden auch Angaben wie z. B. Namen, Adresse, Telefonnummern, Produktangebote, Kontaktpersonen, URL der Startseite und E-Mail-Adressen hinterlegt.

Sie sind entweder Gegenstand des Vertragsverhältnisses oder bedürfen der Zustimmung der betreffenden Personen zur Datenspeicherung unter Nennung des Zwecks der Einspeicherung. Falls die Mitarbeiterin ihren Angestellten erlaubt, E-Mails und das Internet während der Arbeitszeiten privat zu nutzen, sollte sie sich darüber verständigen, inwieweit eine solche Verwendung möglich ist und dass die Verwendung sich nicht auf einen bestimmten Inhalt auswirken darf.

Mit der Erlaubnis kann die Mitarbeiterin die Zustimmung erteilen, dass sie ihre Kontrolle ausüben darf, so dass weder Inhalte noch Nutzungsumfang gegen gesetzliche und arbeitsrechtliche Verpflichtungen verstossen. Die Zustimmung muss schriftlich erteilt werden. Er hat seine Mitarbeitenden auf die Geheimhaltung der Informationen zu verpflichten und sie über den Datenschutz zu informieren, entsprechend zu unterweisen und zu unterrichten.

Sie muss ihre Vorgänge in einem so genannten Verarbeitungsregister festhalten, das folgende Auskünfte enthält: 1: Es sollte bestimmen, wie es mit einer Informationsanfrage verfährt, wenn jemand wissen will, welche Informationen es über ihn hat. Es sollte auch ein System für den Fall von Datenschutzverletzungen einrichten und muss dies der Aufsichtsbehörde innerhalb von 72 Std. mitteilen.

Von der Datenschutzverletzung ist die betroffenen Personen sofort zu unterrichten. Mrs. Mustera muss ein Löschungskonzept (geregelt für: 6-jährige Firmenbriefe, 10 Jahre steuerlich relevante Belege, 6-monatige Antragsunterlagen). Sämtliche anderen Dateien und Schriftstücke, die personenbezogene Angaben enthalten, müssen entfernt oder zerstört werden, wenn sie nicht mehr gebraucht werden (Datensätze entfernen, Speichermedien vernichten, Papierdokumente mit persönlichen Angaben vernichten).

Die Übertragung per E-Mail ohne weitere Sicherheitsvorkehrungen ist nach dem Datenschutzgesetz nicht gestattet. Die folgenden Hinweise sollen eine grobe Orientierung für solche Massnahmen geben: Vorkehrungen, die den Zugang Unbefugter zu Datenverarbeitungsgeräten, die zur Verarbeitung oder Verwertung personenbezogener Informationen verwendet werden, unterbinden sollen. Vorkehrungen, die darauf abzielen, die Verwendung von Datenverarbeitungssystemen durch Unbefugte zu unterdrücken.

Massnahmen, die sicherstellen, dass die zur Verwendung eines Datenverarbeitungssystems befugten Personen nur auf die von ihnen befugten Personen Zugriff haben und dass die personenbezogenen Informationen während der Bearbeitung, Verwendung und nach der Aufbewahrung nicht unberechtigt ausgelesen, vervielfältigt, geändert oder gelöscht werden können. Vorkehrungen, um sicherzustellen, dass persönliche Angaben während der Datenübermittlung oder während des Transportes oder der Lagerung auf Datenträgern nicht unberechtigt ausgelesen, vervielfältigt, geändert oder gelöscht werden können und dass es möglich ist zu überprüfen und festzustellen, an welche Punkte persönliche Angaben durch Datenübermittlungsgeräte übermittelt werden sollen.

Vorkehrungen, um sicherzustellen, dass später geprüft und ermittelt werden kann, ob und von wem persönliche Angaben eingegeben, geändert oder aus den Datenverarbeitungssystemen gelöscht wurden. Vorkehrungen, um sicherzustellen, dass die Verfahren zur Bearbeitung der personenbezogenen Angaben so erfasst werden, dass sie nachvollziehbar sind. Vorkehrungen, um sicherzustellen, dass die im Namen des öffentlichen Auftragsvergabesystems verarbeiteten personenbezogenen Angaben nur gemäß den Anweisungen des öffentlichen Auftragsgebers bearbeitet werden können.

Massnahmen zum Schutz personenbezogener Informationen vor unbeabsichtigter Vernichtung oder unbeabsichtigtem Untergang. Massnahmen, die sicherstellen, dass die technischen Anlagen bei Fehlfunktionen oder Teilausfällen nicht komplett ausfallen, sondern die wesentlichen Systemdienste erhalten bleiben. Der Niedersächsische Landesdatenschutzbeauftragte für Niedersachsen stellt die Sicherheit der erhobenen Informationen sicher die Industrie- und Handelskammer über die zu ergreifenden Innovationen und konkreten Vorkehrungen.