Betrieblicher Datenschutz

Verarbeiten Sie in Ihrem Unternehmen personenbezogene Daten? Beachten Sie die Datenschutzpflichten!

Mit personenbezogenen Daten verantwortlich umgehen

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (wie etwa Name, Anschrift, Familienstand, Geburtsdatum, Grundbesitz), unabhängig von ihrer Sensitivität.  [...]

Generell gilt, dass Unternehmen möglichst wenig personenbezogene Daten erheben, verarbeiten und nutzen sollen. Personenbezogene Daten sind zu anonymisieren oder zu pseudonymisieren, soweit das nach dem jeweiligen Verwendungszweck möglich ist und im Vergleich zum Schutzzweck keinen unverhältnismäßig hohen Aufwand erfordert.

Um die Bürger vor missbräuchlicher Verwendung ihrer Daten zu schützen, dürfen Unternehmen personenbezogene Daten nur erheben, verarbeiten oder nutzen, wenn dies gesetzlich erlaubt ist oder die Betroffenen eingewilligt haben. Unternehmen haben als Verantwortliche Informationspflichten gegenüber betroffenen Personen. Über die Informationspflichten informiert der Sächsische Datenschutzbeauftragte auf seiner Internetpräsenz mit dem Kurzpapier Nr. 10 der Datenschutzkonferenz "Informationspflichten bei Dritt- und Direkterhebung".

Unter "Verarbeiten" ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten zu verstehen, so das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Benennung von Datenschutzbeauftragten und weitere Pflichten

Unternehmen haben einen Datenschutzbeauftragten zu bestellen,

  • wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen,
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 Datenschutz-Grundverordnung besteht,
  • soweit in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden,  [...]
  • der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen durchführen, die einer Datenschutz-Folgenabschätzung nach Art. 35 Datenschutz-Grundverordnung unterliegen oder
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt oder Meinungsforschung verarbeitet werden.

Darüber hinaus ist eine freiwillige Benennung eines Datenschutzbeauftragten zulässig.

Die Benennung des Datenschutzbeauftragten ist dem Sächsischen Datenschutzbeauftragten mitzuteilen, Art. 37 Abs. 7 Datenschutz-Grundverordnung. Ein entsprechendes Formular kann online auf der Internetseite des Sächsischen Datenschutzbeauftragten ausgefüllt werden.

Den Unternehmen obligt ferner die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Art. 33 Datenschutz-Grundverordnung. Ein entsprechendes Formular findet sich auf der Internetseite des Sächsischen Datenschutzbeauftraten.

Unternehmen, die selbst oder im Auftrag anderer personenbezogene Daten verarbeiten, haben technische und organisatorische Maßnahmen zu treffen, um den ordnungsgemäßen Umgang mit Informationen und die Informationssicherheit sicherzustellen, vergleiche Art. 24, 32 Datenschutz-Grundverordnung.

Soweit eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, hat der Verantwortliche eine Datenschutz-Folgenabschätzung durchzuführen, Art. 25 Datenschutz-Grundverordnung. Entsprechende Hinweise hat der Sächsische Datenschutzbeauftragte auf seiner Internetseite veröffentlicht.

Unternehmen haben als Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, zu führen, Art. 30 Datenschutz-Grundverordnung.

Keine zugeordnete Elektronische Antragsstellung vorhanden.

Freigabevermerk

Sächsische Staatskanzlei; unter Beteiligung des Sächsischen Datenschutzbeauftragten. 10.04.2019