Hinweise der nationalen Aufsichtsbehörden für den Datenschutz in Unternehmen
Auf dem Weg zur EU Datenschutz-Grundverordnung - Anregung für Unternehmen
Die eurpäische Datenschutz-Grundverordnung (DSGVO) bringt eine Reihe von Veränderungen in den datenschutzrechtlichen Anforderungen für den Umgang mit personenbezogenen Daten mit sich. Auch Auftrags(daten)verarbeiter müssen sich auf geänderte Rahmenbedingungen einstellen. Lesen Sie unsere Anregungen in den nächsten 10 Punkten. |
- Sensibilisierung durchführen
Geschäftsführungen, Datenschutzbeauftragte und andere für das Thema Datenschutz Zuständige sollten innerhalb des Unternehmens dafür sensibilisieren, dass sich ab dem 25. Mai 2018 nicht nur der Name der einer europäischen Datenschutzregelung ändern wird. Die DSGVO wird direkte Auswirkungen auf Unternehmen als datenverarbeitende Stellen haben.
Anders als eine EU-Richtlinie ist eine EU-Verordnung direkt in den Mitgliedsstaaten der EU anwendbar, also auch in Deutschland. Neben der DSGVO wird es weiterhin ein - neues - Bundesdatenschutzgesetz und sektorales Fachrecht mit ausführenden Regelungen zur DSGVO geben. Bitte beachten Sie: Bis zum 24.05.2018 gilt das jetzige Bundesdatenschutzgesetz. - Bestandsaufnahmen machen
Um Änderungsbedarf zu identifizieren, sollte in einem ersten Schritt eine Bestandsaufnahme der Prozesse durchgeführt werden, in denen personenbezogene Daten verarbeitet werden. Das Verfahrensverzeichnis nach § 4d Bundesdatenschutzgesetz (BDSG) ist ein Ausgangspunkt zur Identifizierung von Verarbeitungsverfahren. Im Folgenden haben wir beispielshaft einige Themen zusammengestellt, bei denen sich in Unternehmen Änderngsbedarf ergeben kann. - Rechtsgrundlagen prüfen
Auch unter der DSGVO ist für die Verarbeitung personebezogener Daten eine Rechtsgrund erforderlich (Artikel 6 - 11 DSGVO). Es ist zu prüfen, ob das neue Recht für alle Prozesse Rechtsgrundlagen bereitstellt. - Personenbezogene Daten von Kindern besonders prüfen
Besondere Anforderungen bestehen für den Umgang mit personenbezogenen Daten von Kindern, wenn es um die Einwilligung in Bezug auf Dienste der Informationsgesellschaft geht (Artikel 8 DSGVO). - Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen ("Privacy-by-Design" und "Privacy-by-Default") umsetzen
Die DSGVO enthält bestimmte Rahmenbedingungen für die Art und Weise, wie die Anforderungen des DSGVP schon bei der Prozessgestaltung und bei Voreinstellungen umzusetzen sind (Artikel 25 DSGVO). - Verträge checken
Unternehmen sollten insbesondere ihre bestehenden Verträge zur Auftrags(daten)verarbeitung überprüfen und überarbeiten. In den Artikeln 26 bis 28 der DSGVO sind Vorgaben für Vereinbarungen mit Auftrags(daten)verarbeitern und zwischen gemeinsam für die Verarbeitung Verantwortlichen geregelt. - Datenschutzfolgenabschätzung implementieren
Der europäische Gesetzgeber hat die bisherige Vorabkontrolle (§ 4d Abs. 5 BDSG) nicht in die DSGVO übernommen. Sie wird abgelöst durch die Datenschutz-Folgenabschätzung (Artikel 35 DSGVO). An eine Datenschutz-Folgenabschätzung kann eine verpflichtende Konsultation der zuständigen Aufsichtsbehörde anschließen (Artikel 36 DSGVO).
- Melde- und Konsultationspflichten organisieren
Die Melde- und Konsultationspflichten gegenüber den Aufsichtsbehörden (Artikel 33, 36 und 37 DSGVO) müssen in den internen Abläufen des Unternehmens abgebildet werden. - Betroffenenrechte und Informationspflichten umsetzen
Die in der DSGVO geregelten Betroffenenrechte müssen in den unternehmensinternen Abläufen abgebildet und gegenüber den Betroffenen umgesetzt werden, etwa das Recht auf Löschung (Artikel 17) und das Recht auf Datenübertragbarkeit (Artikel 20) einschließlich der übergreifenden Rahmenbedingungen (Artikel 12) sowie der Informationspflichten des Verantwortlichen (Artikel 13, 14). - Dokumentation organisieren
Die DSGVO enthält an verschiedenen Stellen Dokumentationspflichten, beispielsweise in Artikel 30 (Verarbeitungsverzeichnis), Artikel 33 Abs. 5 (Dokumentation von Datenschutzvorfällen) oder Artikel 28 Abs 3 lit. a (Dokumentation von Weisungen im Rahmen von Auftragsverarbeitungsverhältnissen).