Banner Wissensseite

Wie kann man die DSGVO Datenschutz Grundverordnung im Unternehmen und Qualitätsmanagementsystem umsetzen?

Man könnte meinen es ist eigentlich schon genug mit gesetzlichen und behördlichen Anforderungen an Unternehmen, da tut sich ein neues Handlungsfeld auf − die Datenschutz Grundverordnung (DSGVO). Viele Unternehmen sind noch guter Dinge und meinen, die Datenschutzgrundverordnung betrifft nur große Unternehmen und haben bei dieser Einschätzung Datenskandale, wie zuletzt bei Facebook, im Hinterkopf. Diese Hoffnung ist leider nicht erfüllt. Die DSGVO regelt den Datenschutz für alle EU-Bürger und Personen, die sich innerhalb der EU aufhalten. Dabei wird nicht nach Geschäftsleuten oder Privatpersonen unterschieden.

Bietet z.B. ein australisches Unternehmen online Leistungen in der EU an und verarbeitet personenbezogene Daten, muss es die Anforderungen der Datenschutzgrundverordnung umsetzen. Ebenso genießt ein Tourist in der EU den Schutz der Datenschutz Grundverordnung, wenn die Daten beispielweise von einem deutschen Unternehmen gespeichert und verarbeitet sind. Es gibt auch keine Schwellenwerte für Umsatz oder Mitarbeiterzahl, die die Gültigkeit einschränken. Das heißt: Die Datenschutz-Grundverordnung gilt grundsätzlich für ein Großunternehmen genauso wie für den einzelnen Handwerker.


Cover Katalog mit allen Ausbildungen der VOREST AG

Ihre Online Ausbildungen im Bereich Datenschutz

Qualifizieren Sie sich mit unserer Online Ausbildung zum Datenschutzbeauftragten oder verschaffen Sie sich mit dem gratis E-Learning Kurs zu den Aufgaben als Datenschutzbeauftragter einen Überblick über die Stellung des DSB!

Mit unserer Online Mitarbeiterunterweisung Datenschutz können Sie zudem Ihre Angestellten zum Datenschutz sowie zur Datensicherheit sensibilisieren. Laden Sie sich für eine komplette Übersicht unser Kurse einfach unseren Katalog kostenfrei herunter.


Welche Daten sind gem. DSGVO besonders zu schützen?

Die Datenschutzgrundverordnung sieht personenbezogene Daten als zwingend schutzbedürftig. Deshalb ist für jede Datenverarbeitung personenbezogener Daten eine ausdrückliche Rechtsgrundlage durch das Gesetz oder eine wirksame Einwilligung erforderlich! Personenbezogene Daten erstrecken sich auf alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Eine Person ist dann „identifizierbar“, wenn sie direkt oder indirekt, vor allem mittels Zuordnung zu einem Namen, einer Kennnummer oder anderen besonderen Merkmalen identifiziert werden kann. Das betrifft nicht nur private Angaben, sondern auch berufliche und sonstige Informationen über eine Person.

Beispiele für personenbezogene Daten im Sinne der Datenschutz Grundverordnung

Zu den personenbezogenen Daten zählen unter anderem die folgenden:

  • Name
  • Beruf
  • Geburtsdatum
  • Bankverbindung
  • E-Mail Adresse
  • Passwort, Nutzerkennung
  • Wohnort
  • IP-Adresse

Personenbezogene Daten mit besonderer Schutzbedürftigkeit

Nachfolgend finden Sie Beispiele für personenbezogene Daten mit besonderer Schutzbedürftigkeit (Art. 9 Abs. 1 DSGVO):

  • Sexuelle Ausrichtung
  • Gewerkschaftszugehörigkeit
  • Gesundheitszustand
  • Religion

Welche Relevanz hat die Datenschutz Grundverordnung für das Qualitätsmanagement?

Die ISO 9001 fordert die Erfüllung aller gesetzlichen und behördlichen Anforderungen, die für die Produkte und Dienstleistungen zutreffen. Die Relevanz ist bereits dann gegeben, wenn sich ein Kunde für ein bestimmtes Produkt oder eine Dienstleistung interessiert, ohne es zu kaufen, bzw. die Dienstleistung in Anspruch zu nehmen. Alle Daten, die zu diesem Kunden gespeichert werden, haben Personenbezug – sind also personenbezogene Daten. Typischerweise werden bei Anfragen erfasst: Name, Wohnort, gegebenenfalls Geburtsdatum, Beruf, bei Anfragen über das Internet die IP-Adresse und gegebenenfalls vieles mehr.

Am offensichtlichsten ist dies, wenn es sich um Privatkunden handelt. Aber auch im B2B Bereich ist im Auftrag der juristischen Person eine natürliche Person aktiv, deren Daten erfasst werden könnten. Die Erfassung personenbezogener Daten im B2B Bereich geht jedoch weit über die Kategorie der Kundendaten hinaus. Bei der Erfassung des Kontextes des Unternehmens mit der Identifikation interessierter Parteien sollte deutlich werden, dass sicherlich zum Beispiel auf Lieferanten oder die eigenen Beschäftigten den gesetzeskonformen Umgang mit ihren personenbezogenen Daten erwarten.


Das Verarbeitungsverzeichnis als wichtige Basis für die Datenschutzgrundverordnung 

Bietet der Vertrieb Ihres Unternehmens einen Rückrufservice? Führt das Marketing Gewinnspiele durch? Hat das Unternehmen eine elektronische Zeiterfassung installiert? Gibt es ein elektronisches Adressbuch, auf das alle zugreifen können? Diese Fragen betreffen nur die Spitze des Eisbergs, sind aber für das Verarbeitungsverzeichnis wesentlich! Ein sogenanntes Verfahrensverzeichnis ist nach dem Bundesdatenschutzgesetz (BDSG) in Deutschland bereits seit langem Pflicht. Die Datenschutz Grundverordnung löst die alten Verzeichnisse ab und ersetzt sie durch das Verarbeitungsverzeichnis. Ein solches muss geführt werden, falls für das Unternehmen einer der vier nachfolgenden Punkte zutrifft:

  • Mehr als 250 Mitarbeiter
  • Es liegt ein Risiko für die Rechte und Freiheiten Betroffener vor
  • Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 DSGVO
  • Nicht nur gelegentliche Verarbeitung

Aufgrund des vierten Punktes wird wohl kaum ein Unternehmen von der Führung eines Verarbeitungsverzeichnisses verschont bleiben. Es sei denn, es hat nur „gelegentlichen Kontakt zu Kunden“. Sarkastisch betrachtet würde sich das Problem damit von selbst lösen. Das Verarbeitungsverzeichnis enthält strukturierte Informationen zu Tätigkeiten der Verarbeitung von personenbezogenen Daten. Es ist dabei vollkommen unerheblich, ob die Verarbeitung automatisch, manuell oder in einer Mischform betrieben wird. Den Inhalt eines Verarbeitungsverzeichnisses legt § 30 Abs. 1 S. 2 a-g Datenschutz-Grundverordnung fest. Alle Angaben eines Verarbeitungsverzeichnisses müssen dabei dieser Vorgabe folgen. Zudem müssen relevante Lieferanten (Auftragsverarbeiter) ein eigenes Verzeichnis führen, welches deutlich weniger Informationen enthalten muss.


Online Schulung zum Datenschutzbeauftragten

Ihre Online Ausbildung zum Datenschutzbeauftragten

E-Learning Kurs: Absolvieren Sie die Datenschutzbeauftragter Online Ausbildung und lernen Sie die Kompetenzen sowie Aufgaben eines betrieblichen Datenschutzbeauftragten gem. DSGVO und BDSG kennen. Anschließend sind Sie in der Lage, Prozesse in Ihrem Unternehmen datenschutzkonform zu gestalten.  Werfen Sie auch einen Blick in den kostenlosen Demokurs!


An diesen Stellen sollten Sie die neue DSGVO in Ihr Qualitätsmanagement implementieren

Die folgende Tabelle bietet Ihnen eine Übersicht, wie Sie in den verschiedensten Bereichen Ihres Qualitätsmanagements (ISO 9001), den Datenschutz sowie die Datensicherheit mit einbeziehen können.

Hauptabschnitt ISO 9001Prozess im UnternehmenZuordnung der Anforderungen der Datenschutzgrundverordnung
4Kontext der OrganisationProzessplanung,

Unternehmensstrategie
Verarbeitungsverzeichnis Art. 30 DSGVO
besondere Datenkategorien gemäß Art. 9 Abs. 1 DSGVO
Rechtsgrundlage der Verarbeitung It. Art. 6-11
5FührungUnternehmenslenkung,

Personalmanagement (Zuordnung von Verantwortlichkeit)
Nachweis- und Rechenschaftspflicht Art. 5 Abs. 2, Art 24 Abs. 1 DSGVO
Datenschutzbeauftragter nach Art. 37 DSGVO
Datenschutzverpflichtung von Beschäftigten Art. 29, 32 DSGVO
6PlanungRisikomanagementDatenschutzfolgenabschätzung (DSFA), Art. 32, 35 und ggf. Art. 36 DSGVO
7UnterstützungIT-Infrastruktur

Interne und externe Kommunikation,
Lenkung dokumentierter Information
Maßnahmen zur Sicherheit der Verarbeitung, Art. 32 DSGVO,
Empfänger personenbezogener Daten, Art. 4 Nr. 9 DSGVO
Löschen von Daten (Recht auf Vergessenwerden) Art. 17 Abs. 1 DSGVO
8BetriebVertrieb, Marketing (Werbung mittels Newsletter!), Lieferantenmanagement, Leistungsüberwachung, Umgang mit FehlernUmsetzung von Betroffenenrecht, Art. 15, 16, 18, 20, 21, 22 DSGVO
Auftragsverarbeitung, Art. 28 DSGVO
Rechtmäßigkeit der Videoüberwachung, Art. 6 Abs. 1 DSGVO
Umgang mit Datenpannen Art. 33 und 34 DSGVO
9Bewertung der LeistungBuchhaltung, PersonalverwaltungInformations- und Auskunftspflichten, Art. 13, 14, 15 DSGVO
10VerbesserungKorrekturmaßnahmenUmgang mit Datenpannen Art. 33 und 34 DSGVO

Ihre Datenschutz Ausbildung

Alle Ausbildungsinfos zum direkten Download

Sie möchten sich im Bereich Managementsysteme ausbilden?
Wir haben zahlreiche Schulungen in unserem Ausbildungsprogramm – bspw. in den Bereichen Qualitätsmanagement, Automotive, Energie, Umwelt und viele mehr! Schauen Sie sich in unserem PDF-Katalog um und suchen Sie den für Sie passenden Fachbereich aus!

Dabei haben Sie bereits heute bei vielen Schulungen die Wahl zwischen: Präsenzschulung, E-Learning oder Hybrid Lehrgang!

Gratis PDF-Katalog


Popup-Banner-Katalog