Was muss ich bei der neuen EU-DSGVO beachten?

Insbesondere Unternehmer sehen sich mit einer Vielzahl von erweiterten oder neuen Pflichten konfrontiert.

Was ist ab Inkrafttreten der neuen Datenschutzgrundverordnung (DSGVO) zu beachten.

Die im Mai in Kraft tretende DSGVO bringt zahlreiche Neuerungen mit sich. Insbesondere Unternehmer sehen sich mit einer Vielzahl von erweiterten oder neuen Pflichten konfrontiert. Von der Verordnung sind alle Unternehmen betroffen, die personenbezogene Daten verarbeiten. Das gilt unabhängig von der Art der Verarbeitung. Die DSGVO gilt sowohl bei automatisierter als auch bei nicht automatisierter Verarbeitung personenbezogener Daten.

Die DSGVO entfaltet mit Inkrafttreten unmittelbare Wirkung. Der deutsche Gesetzgeber berät aber noch über verschiedene Anpassungen. Insbesondere beim Beschäftigtendatenschutz, Bestellung eines Datenschutzbeauftragten, Scoring (Bonitätseinschätzung) und bei der Videoüberwachung sind nationale Änderungen vorgesehen.

  1. Was also müssen Unternehmer beachten, um Verstöße gegen die neue Datenschutzverordnung zu vermeiden?
  2. Welche konkreten Umsetzungsmaßnahmen und Änderungsprozesse sind erforderlich?

Eine wichtige erste Maßnahme ist die Überarbeitung und Anpassung aller Verträge zur Auftragsdatenverarbeitung. Die nach altem Recht gültigen Verträge genügen nicht mehr den Mindestanforderungen der DSGVO (Artikel 28) und müssen neu abgeschlossen werden. Das geht nicht ohne Einbeziehung der beteiligten Vertragspartner. Falls noch nicht geschehen, ist hier unverzüglicher Handlungsbedarf angesagt.

Technische und organisatorische Maßnahmen (Art. 32 EU-DSGVO).

Datenverarbeitende Stellen sind verpflichtet durch geeignete technische und organisatorische Maßnahmen, die Daten angemessen gegen mögliche Risiken zu schützen. Die geforderte Schutzziele umfassen insbesondere Strategien und Maßnahmen zur Pseudonymisierung, Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit der verarbeiteten Daten und die Sicherstellung der Belastbarkeit eingesetzter Datenverarbeitungssysteme. Außerdem sind Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten bei Datenverlust oder Datenbeschädigung und Verfahren zur regelmäßigen Untersuchung, Neubewertung und Gewichtung der Wirksamkeit der getroffenen technischen und organisatorischen Maßnahmen zu implementieren.

Verzeichnis von Verarbeitungstätigkeiten (Art. 30 EU-DSGVO). 

Die Pflicht zum Führen eines Verzeichnis von Verarbeitungstätigkeiten entspricht vom Inhalt im Grunde dem alten Verfahrensverzeichnis. Neu ist aber das Verstöße gegen diese Pflicht jetzt bußgeldbewehrt sind. Außerdem entfällt das frühere Einsichtsrecht durch Jedermann. Die vollständigen Verzeichnisse sind nur noch gegenüber den Aufsichtbehörden jederzeit vorzuhalten. Eine weitere Neuerung ist, das Kleinunternehmer mit weniger als 250 Mitarbeitern kein Verzeichnis von Verarbeitungstätigkeiten führen müssen, wenn die Datenverarbeitung nur gelegentlich erfolgt. Damit dürfte dieser Befreiungstatbestand nur für die wenigsten Kleinunternehmen überhaupt in Frage kommen. Die Befreiung gilt im Übrigen auch nicht bei Verarbeitung besonders sensibler Daten (z.B. Gesundheitsdaten oder Daten über Straftaten, etc.) und auch nicht bei Verarbeitung von Daten, die zu einer Beeinträchtigung oder Verletzung der Rechte des Betroffenen führen können. 

Meldepflichten (Art. 33 EU-DSGVO).

Die bereits bestehenden Meldepflichten nach altem Recht werden erheblich verschärft. Nach neuem Recht müssen datenverarbeitende Stellen (auch öffentliche Stellen) jede Datenschutzverletzung personenbezogener Daten unverzüglich an die zuständigen Datenaufsichtsbehörden melden. Diese Pflicht gilt unabhängig davon ob die Datenschutzverletzung vorsätzlich, also rechtswidrig oder versehentlich geschehen ist. Eine Ausnahme von der Meldepflicht besteht dann, wenn die Datenschutzverletzung wahrscheinlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Dies muss aber in jedem Einzelfall durch den Datenverarbeiter abgewogen und umfassend dokumentiert werden. Zur Risikoabwägung sollten Datenverarbeiter auch unbedingt den im Erwägungsgrund 75 DSGVO aufgeführten Risikokatalog heranziehen.

Der Artikel 34 EU-DSGVO beinhaltet eine unverzügliche Benachrichtigungspflicht auch gegenüber Betroffenen, die immer dann greift, wenn die Ausnahme gemäß Artikel 33 DSGVO nicht zutrifft. Diese Benachrichtigungspflicht entfällt, wenn die technischen oder organisatorischen Maßnahmen des Datenverarbeiters die Kenntnisnahme von personenbezogenen Daten verhindert oder durch Folgemaßnahmen wahrscheinlich kein hohes Datenschutzrisiko mehr besteht.

Datenschutz-Folgenabschätzung (Art. 35 EU-DSGVO).

In der Regel wird eine schriftliche Datenschutz-Folgenabschätzung (früher Vorabkontrolle) insbesondere dann vorzunehmen sein, wenn neue Technologien (z.B. Videoüberwachung) eingeführt werden, oder die Datenverarbeitung sehr umfangreich und komplex ist. Zum Ergebnis ist die Aufsichtsbehörde dann zu konsultieren, wenn die Überprüfung und Risikobeurteilung der betreffenden Datenverarbeitung ohne Maßnahmen ein hohes Risiko erkennen läßt. Nach neuem Recht müssen auch Betroffene in die Datenschutz-Folgenabschätzung mit einbezogen werden, wenn deren Beteiligung als angemessen erscheint.

Pflicht zur Bestellung eines Datenschutzbeauftragten (Art. 37 und 38 EU-DSGVO).
Der Datenschutzbeauftrage muss fachlich entsprechend qualifiziert sein. Er ist weisungsfrei und gegenüber der Geschäftsführung berichtspflichtig. Seine Aufgaben ergeben sich unmittelbar aus der DSGVO. Wesentliche Neuerung im Aufgabenumfang, ist die Datenschutz-Folgenabschätzung in die der DSB frühzeitig mit eingebunden werden muss.

 

Passende Artikel zum Thema:
Lösungen

Wir vervollständigen Ihre Datensicherheit.

Mit Cloony.co sind Sie auf der sicheren Seite und für jede datenschutzrelevante Situation im E-Mail Marketing vorbereitet.

Kundendaten Überwachung

Mehr erfahren

Missbrauchs Monitoring

Mehr erfahren

Beweissicherung

Mehr erfahren

Präventivschutz

Mehr erfahren

Notfallpaket

Mehr erfahren

Forensik Erweiterung

Mehr erfahren

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Mehr Infos