DS-GVO


	[Home] [Diagnostik] [VVP] [LRR] [PD] [EP] [Doppler] [Methoden] [VVP] [LRR] [PD] [EP] [Doppler] [Verbrauchsmaterial] [Impressum] [Eurasburger Berichte] [Download] [DS-GVO]


	Datenschutzvereinbarung


	IMPRESSUM


	DISCLAIMER

Anforderungen der Datenschutz-Grundverordnung (DS-GVO) an kleine mittelständische Unternehmen

SOGUT medical GmbH

Kurzbeschreibung SOGUT medical GmbH

Unser Betrieb hat 6 Beschäftigte (einen Chef, 1 Beschäftigte in der Personalverwaltung, 1 in der Kundenverwaltung, 4 sonstige Mitarbeiter für Produktion). Buchhaltung und Steuerangelegenheiten macht ein Steuerberater. Wir betreiben eine Webseite und verwenden einen Newsletter.

Wesentliche Verarbeitungstätigkeiten sind z. B.:

· Lohnabrechnung (über einen Steuerberater)
· Personalverwaltung
· Betrieb der Firmenwebseite (über umfassendes Hosting-Paket eines externen Dienstleisters)

Kundenverwaltung

Erläuterungen zu den Anforderungen

A Datenschutzbeauftragter (DSB)

In aller Regel ist nur dann ein DSB zu benennen, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. „Ständig beschäftigt“ ist, wer z. B. permanent Kunden- oder Personalverwaltung macht. „Nicht“ dagegen, wer z. B. als Handwerker oder Produktionsmitarbeiter nur mit Namen und Adressen von Kunden umgeht. Demnach sind bei uns weniger als 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
-> DSK-Kurzpapier Nr. 12: dsk_kpnr_12_datenschutzbeauftragter.pdf

B Verzeichnis von Verarbeitungstätigkeiten
SOGUT medical GmbH geht regelmäßige mit Kunden- und Mitarbeiterdaten um und hat ein – vom Umfang her überschaubares

– Verzeichnis ihrer Verarbeitungstätigkeiten führen.
-> BayLDA Verzeichnis für Kleinbetriebe: SOGUT_Verzeichnis.pdf
-> DSK-Kurzpapier Nr. 1 (nicht erforderlich): dsk_kpnr_1_verzeichnis_verarbeitungstaetigkeiten.pdf
-> DSK-Muster-Verzeichnis allgemein (nicht erforderlich): dsk_muster_vov_verantwortlicher.pdf

C Datenschutz-Verpflichtung von Beschäftigten
Bei der Aufnahme der Tätigkeit sind Beschäftigte, die mit personenbezogenen Daten umgehen, zu informieren und dahingehend

zu verpflichten, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der DS-GVO erfolgt.
-> BayLDA Info-Blatt zur Verpflichtung: info_verpflichtung_beschaeftigte_dsgvo.pdf

D Informations- und Auskunftspflichten

SOGUT medical GmbH wird die betroffenen Personen (d.h. insbesondere Kunden und Mitarbeiter) schon bei der Datenerhebung über die Verarbeitung ihrer personenbezogenen Daten informieren. Die betroffenen Personen haben auch das Recht, Auskunft über die Verarbeitung ihrer Daten zu erhalten.
-> DSK-Kurzpapier Nr. 6: dsk_kpnr_6_auskunftsrecht.pdf
-> DSK-Kurzpapier Nr. 10: dsk_kpnr_10_informationspflichten.pdf

E Löschen von Daten

Sobald keine gesetzliche Grundlage (z.B. steuerliche oder handelsrechtliche Aufbewahrungspflicht) für die Speicherung von personenbezogenen Daten mehr besteht, sind diese zu löschen. Dies ist z.B. der Fall, wenn ein Kunde mehrere Jahre lang keine neuen Aufträge mehr erteilt hat.
-> DSK-Kurzpapier Nr. 11: dsk_kpnr_11_vergessenwerden.pdf

F Sicherheit
Um die personenbezogenen Daten bei der Verarbeitung zu schützen, sind Standardmaßnahmen im Regelfall ausreichend. Dazugehören u.a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte.

-> BayLDA-Kurzpapier Nr. 1: baylda_ds-gvo_1_security.pdf

G Auftragsverarbeitung

SOGUT medical GmbH wird externe Dienstleistungen (z.B. Buchhaltung oder Hosting der Webseite) in Anspruch nehmen, um personenbezogene Daten in ihrem Auftrag durch andere Unternehmen verarbeiten zu lassen, müssen sie mit dem Dienstleister einen schriftlichen Vertrag zur Auftragsverarbeitung abschließen. Der Steuerberater gilt jedoch nicht als Auftragsverarbeiter, sondern als eigenständiger Verantwortlicher, mit diesem ist daher kein Vertrag zur Auftragsverarbeitung erforderlich.
-> DSK-Kurzpapier Nr. 13: dsk_kpnr_13_auftragsverarbeitung.pdf
-> BayLDA-Formulierungshilfe zum Vertrag: Vertrag_Dienstleister

H Datenschutzverletzungen

Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z. B. Diebstahl, Hacking, Verlust von Tablet oder Smartphone mit unverschlüsselten Kundendaten, Fehlversendung der Rechnung), so bestehen gesetzliche Meldepflichten: Die Aufsichtsbehörde ist im Regelfall darüber in Kenntnis zu setzen, betroffene Personen dagegen nur bei hohem Risiko.
-> BayLDA-Kurzpapier Nr. 8: baylda_ds-gvo_8_data_breach_notification.pdf
-> BayLDA-Online-Service zur Meldung: www.lda.bayern.de/de/datenpanne.html

I Datenschutz-Folgeabschätzung (DSFA)

Hat eine Verarbeitung personenbezogener Daten ein hohes Risiko für die betroffenen Personen, so muss das spezielle Instrument
der Datenschutz-Folgenabschätzung durchgeführt werden. Ein solch hohes Risiko ist jedoch der Ausnahmefall und nicht die Regel.
SOGUT medical GmbH verarbeitet Personendaten mit geringem Risiko.
-> DSK-Kurzpapier Nr. 5: www.lda.bayern.de/media/dsk_kpnr_5_dsfa.pdf

J Videoüberwachung

SOGUT medical führt im Eingangsbereich des Unternehmens eine Videoüberwachung durch. Eine entsprechend Hinweisbeschilderung ist vorhanden, um die betroffenen Personen über die Videoüberwachung zu informieren. Daten werden nicht aufgezeichnet!

-> DSK-Kurzpapier Nr. 15: dsk_kpnr_15_videoueberwachung.pdf