Neue Datenschutzgrundverordnung (DSGVO) – Was bedeutet das für Unternehmen?

Ab dem 25. Mai 2018 tritt die neue DSGVO in Kraft und bringt neue Anforderungen mit sich

Die neue DSGVO basiert auf dem bisherigen Bundesdatenschutzgrundgesetz (BDSG) und hat das Ziel die Gesetzeslage in der EU in Hinblick auf den personenbezogenen Datenschutz zu vereinheitlichen. Grundsätzlich sollen Personen bzw. Betroffene einen transparenteren Einblick in Ihre personenbezogenen Daten bekommen und diese auch verlangen dürfen (vgl. Art. 12 DSGVO). Ebenso ist es im Rahmen des neuen Gesetzes festgelegt worden, dass Personen einen Anspruch auf Löschung Ihrer Daten haben (vgl. Art. 17 DSGVO). In diesem Sinne ist vor allem der Datenschutz in Unternehmen betroffen, die ein hohes Maß an personenbezogenen Daten verarbeiten. Die rechtzeitige Umsetzung gewisser Anforderungen der Verordnung stellt für Unternehmen eine Herausforderung dar.

Da sowohl wir, als Auftragsverarbeiter von personenbezogenen Daten, als auch unsere Kunden stark von den neuen Regelungen betroffen sind, möchten wir einen kurzen Überblick über die wichtigsten Neuerungen der DSGVO schaffen.

 

Die wichtigsten Fragen:

Was ist der Zweck der DSGVO?
Schutz von natürlichen Personen in Hinblick auf Ihre Daten. (vgl. Art. 1 DSGVO)

Wann dürfen personenbezogene Daten verarbeitet werden?
Wenn die Verarbeitung einem „festgelegten, eindeutigen und legitimen“ Zweck unterliegt. (vgl. Art. 5 (1b) DSGVO)

Wie lange dürfen personenbezogene Daten gespeichert werden?
Solange, wie sie für den bestimmten Zweck gebraucht werden – länger nicht! (vgl. Art. 5 (1e) DSGVO)

Müssen Prozesse zur ordnungsgemäßen Verarbeitung personenbezogener Daten nachgewiesen werden?
Ja, der Verantwortliche (in diesem Fall das Unternehmen) muss diese Prozesse jederzeit nachweisen können und unterliegt einer Rechenschaftspflicht. (vgl. Art. 5 (2) DSGVO)

Gibt es Informationen, die der Verantwortliche der betroffenen Person zur Verfügung stellen muss?
Ja, die Informationspflicht gegenüber Personen wurde verschärft. So muss z.B. über Name und Kontaktdaten des Verantwortlichen, Zweck der Verarbeitung, Dauer der Datenspeicherung und noch über vieles weiteres informiert werden. (vgl. Art. 13 u. 14 BDSVO)

Muss es nachweisbar sein, dass die betroffene Person der Verarbeitung ihrer Daten zugestimmt hat?
Ja, die Einwilligung der Person muss eindeutig vorliegen. (vgl. Art. 7 DSGVO)

Besitzt eine betroffene Person ein Widerspruchsrecht zur Verarbeitung dessen personenbezogenen Daten?
Ja, je nach Situation kann die Person der Verarbeitung jederzeit widersprechen. (vgl. Art. 21 DSGVO)

Wenn ein Auftragsverarbeiter ausgelastet ist, darf er einen weiteren Auftragsverarbeiter hinzuziehen?
Ja, aber nur wenn der Verantwortliche dem Vorgehen schriftlich zustimmt. (vgl. Art. 28 (2) DSGVO)

 

Welche konkreten Anforderungen entstehen für Unternehmen?

Es müssen technisch organisatorische Maßnahmen aufgestellt und umgesetzt werden, die den Datenschutz bewahren sollen. Hierunter zählen z.B. die Datenverschlüsselung und die Voreinstellung von IT-Geräten. (vgl. Art. 24 u. 25)

  • Bei der Auftragsdatenverarbeitung müssen schriftliche Regelungen bzw. ein Vertrag zwischen dem Auftraggeber und -nehmer aufgesetzt werden. (vgl. Art. 28 DSGVO)
  • Der Verantwortliche muss sicherstellen, dass der Auftragsverarbeiter die personenbezogenen Daten rechtskonform verarbeitet.
  • Der Verantwortliche darf jederzeit Überprüfungen bei dem Auftragsverarbeiter durchführen.
  • Beauftragt der Auftragsverarbeiter einen zusätzlichen Auftragsverarbeiter, so bedarf es ebenfalls eines Vertrages zur Regelung des Datenschutzes.
  • Verträge müssen nicht zwingend Papierform besitzen, sondern sind auch elektronisch möglich.

Der Verantwortliche und der Auftragsverarbeiter müssen ein „Verzeichnis der Verarbeitungstätigkeiten“ führen (Art. 30 DSGVO)

  • Hier müssen alle Prozesse aufgelistet und beschrieben sein, die die Verarbeitung personenbezogener Daten einbeziehen.

Es muss eine „Datenschutzfolgenabschätzung“ vorliegen (vgl. Art 35 DSGVO)

  • Es muss abgeschätzt werden ob und inwiefern die Rechte oder Freiheiten der Personen verletzt werden könnten und welche Maßnahmen für dessen Vermeidung ergriffen werden.

Liegt der Schwerpunkt eines Unternehmens auf der Arbeit mit personenbezogenen Daten, so ist ein Datenschutzbeauftragter zu ernennen. (vgl. Art 37 DSGVO)

Für weitere Informationen: https://dsgvo-gesetz.de/

Zurück