Infothek

12/2018

An­teils­ver­ei­ni­gung: Nied­ri­ge­rer Grund­stücks­wert kann nicht durch Bilan­zan­satz nach­ge­wie­sen wer­den

» mehr
12/2018

Ein­heit­li­ches Leis­tungs­bün­del: Din­ners­how un­ter­liegt 19%i­ger Um­satz­steu­er

» mehr
Datenschutz, DEKRA zertifiziert

Datenschutz – ein wichtiges Thema

Die datenschutzspezifischen Verpflichtungen aller Unternehmen werden ab dem 25.05.2018 deutlich ausgeweitet, Versäumnisse oder die Missachtung der Datenschutzvorschriften werden deutlich stärker sanktioniert als bisher. Zu den Verpflichtungen nach dem Bundesdatenschutzgesetz und der EU-DSGVO gehört, dass Unternehmen in denen mindestens 10 Personen personenbezogene Daten automatisiert verarbeiten, einen Datenschutzbeauftragten bestellen müssen. Allerdings darf nur mit dem Datenschutz beauftragt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt (Artikel 37 Abs. 5 EU-DSGVO).

Wer ist Ihr Datenschutzbeauftragter? Nutzen Sie unsere DEKRA-zertifizierte Kompetenz der ReiserSchmidt Westfalen-Treuhand GmbH Wirtschaftsprüfungsgesellschaft als externe Datenschutzbeauftragte. Sprechen Sie uns an, wir helfen Ihnen gerne weiter.

Zukünftig gelten folgende Prinzipien:

1. Rechtmäßigkeit und Transparenz der Datenverarbeitung von der Erhebung bis zur Löschung

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten. Nur wenn eine gesetzlich festgelegte Ausnahme vorliegt, ist die Erhebung und Verarbeitung personenbezogener Daten erlaubt.

2. Zweckbindung der erhobenen Daten

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und dürfen nicht in einer mit diesem Zweck nicht zu vereinbarenden Weise verarbeitet werden.

3. Datenminimierung

Daten dürfen nur soweit erhoben und verarbeitet werden, wie es für den Zweck angemessen ist.

4. Richtigkeit der personenbezogenen Daten

Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es müssen angemessene Maßnahmen getroffen werden, um unrichtige Daten unverzüglich zu löschen oder zu berichtigen.

5. Speicherbegrenzung

Ein Bezug zwischen Daten und der betroffenen Personen darf nur solange möglich sein, wie es für die Zwecke für die die Daten erhoben wurden, notwendig ist.

6. Integrität und Vertraulichkeit

Der Unternehmer hat durch geeignete technische und organisatorische Maßnahmen den angemessenen Schutz der von ihm verarbeiteten Daten zu gewährleisten. Hierzu gehört auch der Schutz vor unbefugter und unrechtmäßiger Verarbeitung.

7. Rechenschafts- und Nachweispflicht

Der Unternehmer ist für die Einhaltung datenschutzrechtlicher Vorschriften verantwortlich und muss deren Einhaltung nachweisen können.

Zur Erfüllung dieser Prinzipien muss der Unternehmer ein Datenschutzkonzept entwickeln. Nachfolgend finden Sie die sechs wichtigsten Anforderungen an ein Datenschutzkonzept:

1. Verzeichnis von Verarbeitungstätigkeiten / Verfahrensverzeichnis

Jedes Unternehmen muss ein solches Verzeichnis führen, in dem der Umgang mit personenbezogenen Daten dokumentiert wird. Es enthält Informationen u.a. über das Unternehmen selbst, die Art der Datenerhebung sowie deren Zweck sowie Regelfristen für die Löschung dieser Daten.

2. Verträge mit Auftragsverarbeiter

Sofern sich der Unternehmer externer Dienstleister bedient um personenbezogene Daten zu verarbeiten, hat er mit diesen Dienstleistern Verträge zu schließen, die hinreichend Garantien dafür bieten, dass auch der Auftragsverarbeiter durch geeignete technische und organisatorische Maßnahmen die Einhaltung der Datenschutzvorschriften gewährleistet. Auftragsverarbeiter können sein: Reinigungsunternehmen, Entsorgungsbetriebe, fremde Rechenzentren, lT-Dienstleister etc.

3. Datenschutzbeauftragter

Unternehmen, in denen zehn oder mehr Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen einen Datenschutzbeauftragten benennen und bei der zuständigen Landesaufsichtsbehörde registrieren lassen. Der Datenschutzbeauftragte muss über die notwendige Fachkunde verfügen um die Einhaltung der Datenschutzvorschriften im Unternehmen überwachen zu können.

4. Lösch- und Sperrkonzepte

Die DSGVO und das Datenschutzgesetz sehen strenge Regelungen für die Speicherung personenbezogener Daten vor (Datenminimierung und Speicherbegrenzung). Neben einem Datensicherungskonzept sollte daher jedes Unternehmen technische und organisatorische Maßnahmen treffen, die eine Löschung personenbezogener Daten sicherstellt soweit der Zweck für die Datenerhebung entfallen ist. Dabei sind aber gesetzliche Aufbewahrungsfristen zu beachten.

5. Auskunftsrechte / Informationspflicht

Betroffene Personen, also diejenigen über die personenbezogene Daten erhoben und verarbeitet wurden, haben das Recht, jederzeit Auskunft über die Art, Umfang und Zweck sowie eine mögliche Weitergabe dieser Daten an Dritte zu verlangen. Der Unternehmer hat die Pflicht, diese Informationen grundsätzlich unentgeltlich zur Verfügung zu stellen. Erteilt das Unternehmen diese Auskunft nicht, stellt dies einen schwerwiegenden Verstoß gegen Datenschutzgrundsätze dar.

6. Verpflichtung auf das Datengeheimnis

Was für Auftragsverarbeiter gilt, gilt auch für Mitarbeiter im Unternehmen. Den mit der Verarbeitung betrauten Mitarbeitern ist es verboten die personenbezogenen Daten außerhalb der dafür vorgesehenen Zwecke zu erheben, zu verarbeiten oder zu nutzen. Die Mitarbeiter sind durch entsprechende Erklärungen bei Einstellung auf das Datengeheimnis zu verpflichten.

Sanktionsmöglichkeiten bei Verstoß gegen Datenschutzgrundverordnung oder Datenschutzgesetz

Die Sanktionsmöglichkeiten wurden gegenüber dem alten Datenschutzgesetz erheblich ausgeweitet. Im Einzelnen sind folgende Sanktionen durch die Aufsichtsbehörden vorgesehen:

1. Mit Freiheitsstrafe bis zu drei Jahre oder mit Geldstrafe wird bestraft, wer wissentlich nicht allgemein zugängliche Daten in großer Zahl von Personen ohne Berechtigung an Dritte übermittelt oder auf andere Weise zugänglich macht und hier gewerbsmäßig handelt.

2. Mit Freiheitsstrafe bis zu zwei Jahre oder mit Geldstrafe wird bestraft, wer solche Daten ohne Berechtigung verarbeitet oder durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt sich oder einen anderen zu bereichern oder einen anderen zu schädigen.

3. Mit Geldbuße bis zu 10.000.000 € oder von bis zu 2% seines weltweiten Umsatzes wird bestraft wer als Verantwortlicher oder Auftragsverarbeiter gegen die Artikel 8, 11, 25 bis 39, 42 und 43 DSGVO verstößt. Hierzu gehört u.a. der Verstoß gegen die Bestellpflicht des Datenschutzbeauftragten.

4. Mit Geldbuße bis zu 20.000.000 € oder von bis zu 4% seines weltweiten Umsatzes wird bestraft, wer als Verantwortlicher gegen die Prinzipien der DSGVO verstößt oder die Rechte der Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch) missachtet.

5. Mit Geldbuße bis zu 20.000.000 € oder von bis zu 4% seines weltweiten Umsatzes wird bestraft, wer als Verantwortlicher Anweisungen der Aufsichtsbehörde nicht befolgt. Hierzu gehört zum Beispiel die Ablösung eines offensichtlich fachlich nicht geeigneten Datenschutzbeauftragten.

Infothek

12/2018

Bau­rech­nun­gen: Kein Vor­steu­er­ab­zug des Mie­ters

» mehr
12/2018

Ge­setz­li­che Kran­ken­kas­se: Prä­mie im Selbst­be­hal­tungs­ta­rif min­dert ab­setz­ba­re Son­deraus­ga­ben

» mehr
dst@dst.tux4web.de info@dadadada.de