Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) unmittelbar in allen EU-Mitgliedsstaaten und löst die bisherigen nationalen Regelungen ab. In der BRD wird die DSGVO durch das neue Bundesdatenschutzgesetz (BDSG) ergänzt. Die Besonderheiten werden hier erläutert:
Das Verfahrensverzeichnis
Das Verfahrensverzeichnis ist eine Dokumentation und Übersicht über Verfahren, bei denen personenbezogene Daten verarbeitet werden.
Dessen Führung obliegt sowohl dem Verantwortlichen als auch dem Auftragsverarbeiter. Sie besteht allerdings dann nicht, wenn der Verantwortliche oder Auftragsverarbeiter weniger als 250 Beschäftigte hat, es sei denn, die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, erfolgt nicht nur gelegentlich oder betrifft keine besonders sensiblen Datenkategorien oder strafrechtlich relevanten Daten.
Das Datenschutz-Management-System
Neu ist die sich aus den Art. 5, 24 DSGVO ergebende Verpflichtung zur Führung eines Datenschutzmanagementsystems, wonach Unternehmen nicht nur sicherstellen müssen, dass datenschutzrechtliche Vorgaben eingehalten werden — sie müssen dies auch nachweisen und darüber Rechenschaft ablegen können.
Eines solchen Nachweises bedarf es zukünftig auch bei der Datensicherheit — hier ist der Einsatz geeigneter technischer und organisatorischer Maßnahmen zum Schutz betroffener Personen nachzuweisen. In folgenden Bereichen müssen also Dokumentationen angelegt und gepflegt werden:
• Datenschutzorganisation und Verantwortlichkeit für Datenverarbeitungen
• Einbindung des betrieblichen Datenschutzbeauftragten
• Verzeichnis, wo im Unternehmen personenbezogene Daten verarbeitet werden
• Datenschutz-Folgenabschätzung
• Vertragsmanagement bzgl. der eingesetzten Dienstleister
• Datenschutz-Schulungen und Verpflichtungen auf das Datengeheimnis
• Prozesse zur Wahrnehmung von Betroffenenrechten
• Meldung von Datenschutzverstößen
• Nachweis der Umsetzung technischer und organisatorischer Maßnahmen bei der Datensicherheit
Die Zulässigkeit der Datenverarbeitung
Die Verarbeitung und Nutzung personenbezogener Daten bedarf generell der Erlaubnis, die am besten aufgrund ausführlicher, erkennbarer und bestimmter Information des Betroffenen und dessen freier Entscheidung schriftlich erteilt worden ist und jederzeit widerrufen werden kann. Neu ist, dass die Einwilligung Minderjähriger unter 16 Jahren nur mit Zustimmung der Eltern wirksam ist.
Die Informationspflichten
Art. 13, 14 DSGVO verpflichten dazu, insbesondere folgende Informationen dem Betroffenen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen:
• Identität des Verantwortlichen
• Kontaktdaten des Datenschutzbeauftragten
• Verarbeitungszwecke und Rechtsgrundlagen
• Berechtigtes Interesse
• Empfänger
• Übermittlung der Daten in Drittstaaten
• Dauer der Speicherung
• Betroffenenrechte
• Widerrufbarkeit von Einwilligungen
• Beschwerderecht bei der Aufsichtsbehörde
• Verpflichtung zur Bereitstellung personenbezogener Daten • Automatisierte Entscheidungsfindung und Profiling
Bitte beachten Sie: Die Folgen bei Verstößen sind drastisch verschärft worden und betreffen nicht nur das Unternehmen selbst, sondern sehen auch die persönliche Inanspruchnahme der handelnden oder eben nicht handelnden Verantwortlichen für den Datenschutz in Unternehmen vor!