Suche

Bitte mit Enter bestätigen

DSGVO-Praxisreihe: Folge 2

Informations- und Löschungskonzept sowie Vertragsanpassungen

Informations- und Löschungskonzept

Unternehmer müssen zum Start der DSGVO alle mit Datenverarbeitung verbundenen Prozesse dokumentieren und ggfs. optimieren. 

Es muss ein Konzept entwickelt werden, wie der Kunde über die Verarbeitung der personenbezogenen Daten informiert wird und wann dessen Daten gelöscht werden (Recht auf Vergessenwerden). 

Der Unternehmer muss ein Informationsschreiben (über den Umgang mit den Kundendaten) erstellen, welches der Kunde vor Vertragsschluss erhält und welches auf der Homepage („Datenschutzerklärung“) abrufbar ist.

Der Unternehmer sollte ein Antwortmuster für die Anfragen von Kunden bereithalten. Um die Be­troffenenrechte (insb. auf Auskunft und Löschung) zu erfüllen, müssen die Mitarbeiter sensibilisiert und geschult werden.

Das Informationsschreiben hat einen ähnlichen Inhalt wie die Datenschutzerklärung auf der Website. Beides muss enthalten: 

  • Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
  • Erhebung und Speicherung personenbezogener Daten sowie Art und Zweck von deren Verwendung
  • Information über die Weitergabe an Dritte
  • Darstellung der Betroffenenrechte
  • Widerspruchsrechte
  • Informationen über die Datensicherheit
  • Informationen über Cookies, Tracking-Tools etc. (vor allem bei der Datenschutzerklärung)  
  • Muster finden sich bspw. unter: https://anwaltverein.de/de/praxis/datenschutz


Die Übermittlung der Informationen (Art. 13 und 14 DSGVO) und Mitteilungen (Art. 15 bis 22 und Art. 34 DSGVO) müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgen. 
 

Vertragsanpassungen

Mitarbeiter und externe Dienstleister müssen gesondert auf die Einhaltung der Grundsätze der DSGVO verpflichtet werden. Externe Auftragsdatenverarbeiter haben besondere Verpflichtungen. 

Für die Mitarbeiter-Information kann eine Kurzfassung verwendet werden; Bspw.:

Vertraulichkeitsverpflichtung

Personenbezogene Daten (Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen) dürfen nicht unbefugt erhoben, genutzt, weitergegeben oder sonst verarbeitet werden. 

Ich verpflichte mich, personenbezogene Daten vertraulich zu behandeln und ausschließlich auf Weisung des Verantwortlichen zu verarbeiten. Diese Vertraulichkeitsverpflichtung besteht auch nach Beendigung meines Arbeitsverhältnisses fort.

Verstöße gegen meine Vertraulichkeitsverpflichtung können nach Art. 83 DSGVO und den §§ 42 und 43 BDSG und anderen Gesetzen mit Geldbuße von bis zu 20.000.000 EUR, Geld- oder Freiheitsstrafe geahndet werden. Eine Verletzung meiner Vertraulichkeitsverpflichtung kann zugleich eine Verletzung arbeitsvertraglicher Pflichten oder spezieller Geheimhaltungspflichten darstellen und beispielsweise zu Abmahnung, fristloser oder fristgerechter Kündigung und/oder Schadensersatzpflichten führen. 

Ich bestätige, dass ich heute über die Bedeutung meiner Verpflichtung zur Verschwiegenheit über personenbezogene Daten belehrt wurde. Ein Exemplar dieses Formulars sowie ein Merkblatt mit Erläuterungen und dem Text der Art. 29 DSGVO, Art. 83 Abs. 4 bis 6 DSGVO, § 42 Abs. 1 und 2 BDSG und § 43 Abs. 1 und 2 BDSG habe ich erhalten.

Unterschrift Mitarbeiter

 

Weitere Folgen unserer DSGVO-Praxisreihe finden Sie hier:


E-Book „DSGVO-Praxisguide“

 

Beispiele und eine praktische Checkliste finden Sie in unserem kostenlosen E-Book „DSGVO-Praxisguide“, der Ihnen hier zum Download bereitsteht.

E-Book laden

 

Autor
  • Tim Günther
    Tim Günther berät in Fragen des gewerblichen Rechtsschutzes und des Versicherungsrechts und vertritt Angehörige der freien Berufe in berufsrechtlichen Angelegenheiten.
    mehr ...