Grundsätzlich kann ein Unternehmen nicht ohne #Datenschutzmanagement betrieben werden. Grundsätzlich kann auch eine Webseite nicht ohne #Datenschutzhinweise betrieben werden.
Das bedeutet für kommerzielle und institutionelle Webseitenbetreiber zunächst mal eine Menge Aufmerksamkeit auf eine ganze Reihe von Bedrohungslagen.
Gemeint sind nicht nur die Datenschutzhinweise- oder informationen auf der Webseite, fälschlicher Weise auch Datenschutzerklärung genannt.
Gemeint ist die Pflicht, ein #Datenschutzkonzept nachzuweisen, verbunden mit der Dokumentation der Verarbeitung personenbezogener Daten (IP, Name, Telefon, E-Mail, ...) und zwar nicht nur jene, welche während Herstellung und Betrieb einer Webseite gezwungenermaßen stattfinden, sondern alle Verarbeitungen mit personenbezogenen Daten im Unternehmen.
Wird eine Webseite durch eine Agentur hergestellt, gehostet oder gepflegt,
wird eine Domain durch einen Provider gehostet,
wird das Consentmanagement (Cookie-Hinweise) durch ein IT-Dienstleister geliefert,
wird eine Webseite mit einem Content-Management-System eines CMS-Anbieters bearbeitet oder gehostet,
werden Tools wie Formulare und Newsletterservice oder Website-Tracking (Cookies- Analytics, etc.) externer Anbieter bzw. Auftragsverarbeiter verwendet
so ist jeweils zwischen Auftraggeber- und Auftragnehmer ein #Auftragsverarbeitungsvertrag (AV-Vertrag, AVV) abzuschließen.
Insofern Ihr Unternehmen auch ein Auftragnehmer sein kann, welcher personenbezogene Daten ihres Auftragsgebers verarbeitet, auch wenn sie nur in Rechnungen und deren Verarbeitung Erwähnung finden.
Sei angemerkt, dass #AV-Verträge einem Hauptvertrag gegenüber vorrangig gelten.
Allein vorgenannte Sachverhalte machen ein Datenschutzmanagement zwingend erforderlich, insofern die in den AV-Verträgen genannten Vertragspartner im Kontext der entsprechenden Verarbeitungen zu benennen sind und vorteilhafterweise auch in der Datenschutzdokumentation abzulegen wären.
Ebenso die technischen und organisatorischen Maßnahmen (#TOMs), welche gleichermaßen mindestens als Anhang einer Datenschutzdokumentation unentbehrlich sind.
Aber nicht nur Verarbeitungen von Auftragsverarbeitern müssen benannt, beschrieben und dokumentiert sein. Alle Verarbeitungen mit personenbezogenen Daten müssen gemäß #DSGVO-Maßgaben, wie Zweck der Verarbeitung, Daten-, Betroffenen-, Empfänger-Kategorien, besondere Kategorien, Rechtsgrundlagen, #Löschfristen, Verantwortlichkeiten, Übermittlung bzw. Offenlegung gegenüber Dritten, sowie der Nachweise entsprechender Dokumente, erfasst und dokumentiert werden.
Nicht zuletzt ist die ganze Organisation betroffen, weil #Informationspflichten, Mitarbeiterhinweise, Verpflichtungserklärungen, Passwortrichtlinien, Audits, Rechenschaftsberichte, Risikomanagement betreff Auskunftsanfragen und Datenschutzverletzungen, etc. zum Nachweis einer nachhaltigen #Datenschutzkonformität obligatorisch sind.
Nunmehr haben Unternehmer, Vorstände, Selbständige, Verantwortliche die Entscheidung zu treffen, ob sie sich mit dem #Datenschutz selbst auseinandersetzten oder sich einem externen Datenschutzmanagement anvertrauen.
Auch ohne Webseite ist der Datenschutz obligatorisch, insofern, als die Bedrohungslagen nicht enden wollen, wenn z. B. ein IT-Verantwortlicher fälschlicherweise zum Datenschutzverantwortlichen benannt wird (von wegen Interessenskonflikt), wenn versehentlich Werbe-E-Mails ohne Einwilligung versendet werden und einem Auskunftsersuchen und Abmahnungen das Leben schwer machen, letztendlich wenn behördliche Maßnahmen und Pönalen anstehen.
Ein gute Wahl treffen diejenigen, welche der Fehlerquote beim Datenschutz offen ins Auge schauen und alles weitere einem Experten überlassen.
https://www.dsgvo-4kmu.de/post/wie-wir-arbeiten
Comments