Die CNPD verfolgt in Zusammenarbeit mit dem Luxembourg House of Cybersecurity, dem National Cybersecurity Competence Center (nachfolgend "LHC-NC3") im Rahmen des Projekts "DAta Protection CompLiance SupporT TOolkit" (nachfolgend "ALTO-Projekt") das Ziel, auf die Herausforderungen von Start-Ups und kleinen und mittleren Unternehmen, die auf dem Gebiet des Großherzogtums Luxemburg ansässig sind (nachfolgend "KMU"), im Rahmen der Einhaltung der DSGVO zu reagieren.
Ziel des ALTO-Projekts ist es, KMU ein einfaches, intuitives und kostenloses Selbstbewertungsinstrument zur Verfügung zu stellen, das es ihnen ermöglicht, die Verpflichtungen der DSGVO in ihre Geschäftstätigkeit zu integrieren. Der Schwerpunkt wird insbesondere auf den in der DSGVO vorgesehenen Grundprinzipien, sowie auf der Stärkung der Achtung der Rechte von Einzelpersonen im Rahmen der geplanten und laufenden Verarbeitungen personenbezogener Daten liegen. ALTO richtet sich an alle KMU, die die DSGVO einhalten müssen, und zwar sowohl als für die Verarbeitung Verantwortliche als auch als Auftragsverarbeiter.
Der Wunsch der CNPD ist es, die KMU bei der Bewertung, dem Reifegrad sowie der Aufrechterhaltung ihrer Konformität mit der DSGVO zu begleiten. Die Einhaltung der Vorschriften wird es diesen wichtigen Akteuren der nationalen Wirtschaft ermöglichen, ihre Transparenz zu verbessern und so das Vertrauen der Verbraucher zu festigen.
Um die Durchführung des ALTO-Projekts zu gewährleisten, hat sich die CNPD natürlich mit dem LHC-NC3 zusammengetan, das bereits durch seine Tools Fit4Cybersecurity und Fit4Privacy ein starkes Interesse an der Sensibilisierung von KMU für Cybersicherheit und Datenschutz bewiesen hat.
ALTO wird ein Selbstbewertungsinstrument sein, das auch auf Ebene der anderen Mitgliedsstaaten repliziert werden kann, da es auf Open-Source-Software und der DSGVO beruht, einer europäischen Verordnung, die einheitlich auf alle in der Europäischen Union ansässigen KMU angewendet wird. ALTO ist ein Projekt, das von der Europäischen Union im Rahmen des Projektaufrufs 2021 für nationale
Datenschutzbehörden ausgewählt wurde, um das Engagement der Bürger, die Gleichheit für alle und die Umsetzung der Rechte und Werte der EU zu unterstützen (mehr dazu hier).
Bin ich von der DSGVO betroffen?
Alle Unternehmen, unabhängig von ihrer Größe und Art der Geschäftstätigkeit, einschließlich kleiner und mittlerer Unternehmen, sind von der Europäischen Datenschutzverordnung (DSGVO) betroffen:
- Wenn sie personenbezogene Daten erheben, speichern oder verwenden.
In diesem Fall sind die Unternehmen "für die Verarbeitung Verantwortliche".
- wenn sie personenbezogene Daten im Auftrag anderer Stellen verarbeiten.
In diesem Fall sind die Unternehmen "Auftragsverarbeiter".
Für KMU sind einige Anforderungen flexibler, insbesondere in Bezug auf die Ernennung eines Datenschutzbeauftragten.
Weitere Informationen: Die CNPD bietet einen Leitfaden zur Vorbereitung in 7 Schritten an, um Organisationen bei der Einhaltung der DSGVO zu helfen.
Wer ist ein für die Datenverarbeitung Verantwortlicher und wer ein Auftragsverarbeiter?
Der für die Verarbeitung Verantwortliche ist das Unternehmen oder die Einrichtung, das/die entscheidet, warum oder zu welchem Zweck personenbezogene Daten erhoben und verwendet werden, und wie diese personenbezogenen Daten verarbeitet werden. Mit anderen Worten: Der für die Verarbeitung Verantwortliche entscheidet über die Zwecke und Mittel der Datenverarbeitung.
Wenn zwei Unternehmen gemeinsam über die Mittel und Zwecke entscheiden, sind sie gemeinsam verantwortlich. Gemeinsam Verantwortliche müssen festlegen, wer die Verpflichtungen gegenüber den betroffenen Personen übernimmt, und sie müssen dies den betroffenen Personen auch mitteilen.
Der Auftragsverarbeiter ist ein Unternehmen oder eine andere Stelle, die personenbezogene Daten ausschließlich im Auftrag und auf Weisung eines anderen Unternehmens verarbeitet. Zu beachten ist, dass ein für die Verarbeitung Verantwortlicher, der einen Auftragsverarbeiter anstellt, einen Vertrag über die Auftragsverarbeitung unterzeichnen muss.
Ist ein Auftragsverarbeiter verpflichtet, die DSGVO einzuhalten?
Auftragsverarbeiter, d. h. Personen oder Organisationen, die im Auftrag eines für die Verarbeitung Verantwortlichen Daten im Rahmen eines Dienstes oder einer Leistung verarbeiten, müssen die DSGVO ebenso einhalten wie die für die Verarbeitung Verantwortlichen.
Weitere Informationen: Das European Data Protection Board (EDPB) bietet Leitlinien zu den Begriffen "Verantwortlicher" und "Auftragsverarbeiter" im Zusammenhang mit der DSGVO.
Wie kann man die Einhaltung der Rechte betroffener Personen gewährleisten?
Die DSGVO sieht spezifische Rechte für Personen vor, die Sie beachten müssen, insbesondere:
- Indem Sie die Personen über die Verarbeitung ihrer personenbezogenen Daten informieren, wie dies zum Beispiel bei der Erhebung personenbezogener Daten gemacht werden muss. Dies kann durch Hinweise passieren, die in Arbeitsverträgen, Formularen und/oder Fragebögen, etc. enthalten sein müssen und die insbesondere auf eine Datenschutzpolitik verweisen können;
- Indem Sie auf Anträge von Personen reagieren, deren persönliche Daten verarbeitet werden und die ihre Rechte ausüben, wie das Recht auf Zugang, Berichtigung, Widerspruch oder Löschung, und dies unabhängig davon, ob es sich um Kunden, Mitarbeiter und/oder Auftragnehmer handelt.
Unternehmen, die transparent über ihre Nutzung personenbezogener Daten informieren und die Rechte der Personen respektieren, sind weniger anfällig für Kritik (z. B. in sozialen Netzwerken) oder Beschwerden bei der CNPD.
Weitere Informationen: Die CNPD hat eine Broschüre sowie eine spezielle Website online gestellt, auf der häufig gestellte Fragen beantwortet werden.
Müssen KMU einen Datenschutzbeauftragten ernennen?
Ein KMU, sowohl als für die Verarbeitung Verantwortlicher als auch als Auftragsverarbeiter, muss zwingend einen DSB ernennen, wenn seine Aufgaben hauptsächlich darin bestehen, betroffene Personen regelmäßig, systematisch und in großem Umfang zu überwachen und/oder "sensible" personenbezogene Daten in großem Umfang zu verarbeiten.
In allen Fällen, in denen die Ernennung nicht zwingend vorgeschrieben ist, wird die Ernennung eines Datenschutzbeauftragten trotzdem empfohlen.
Wer kann die Rolle des Datenschutzbeauftragten übernehmen?
Ein interner Mitarbeiter eines KMU mit ausreichenden Kenntnissen der DSGVO, wenn die beruflichen Aufgaben des Mitarbeiters mit denen des Datenschutzbeauftragten vereinbar sind und dies nicht zu Interessenkonflikten führt, oder eine externe Person. Der Datenschutzbeauftragte muss in jedem Fall in der Lage sein, seine Aufgaben unabhängig zu erfüllen, und muss direkt an die höchste Führungsebene berichten können.
Weitere Informationen: Die CNPD hat ein Meldeformular sowie eine spezielle Website mit Antworten auf häufig gestellte Fragen online gestellt.
Sind KMU verpflichtet, ein Verarbeitungsverzeichnis zu führen?
Jedes Unternehmen, das personenbezogene Daten verarbeitet - mit den unten aufgeführten Ausnahmen - muss grundsätzlich ein Verzeichnis der Verarbeitungstätigkeiten führen, die in seine Verantwortung fallen. Dieses Register ist eine Art Inventar aller Verarbeitungsvorgänge und ist hilfreich, um die Verpflichtungen aus der DSGVO und mögliche Risiken richtig einzuschätzen.
Zu beachten ist, dass für Unternehmen, die weniger als 250 Personen beschäftigen, ein Verzeichnis nicht erforderlich ist, solange es keine Datenverarbeitungen durchführt, die ein Risiko für betroffene Personen darstellen, sensibler Daten verarbeitet oder Verarbeitungen durchführt, die in den täglichen Betrieb des Unternehmens integriert sind, wie die Verwaltung von Personal, Kunden und Lieferanten.
In jedem Fall muss jedes Unternehmen alle Verarbeitungen regelmäßig bewerten und bei Bedarf das Verzeichnis der Verarbeitungstätigkeiten ergänzen oder anpassen.
Weitere Informationen: Die CNPD hat eine spezielle Website online gestellt, auf der häufig gestellte Fragen beantwortet werden.