Datenschutz

Technischer und organisatorischer Datenschutz

Verantwortliche müssen geeignete technische und organisatorische Maßnahmen (TOM) treffen, um Datenschutz und Datensicherheit zu gewährleisten (Art. 24, 25 DSGVO). Welche Maßnahmen konkret erforderlich sind, hängt u.a. vom Stand der Technik sowie der Eintrittswahrscheinlichkeit und Schwere der Risiken für die persönlichen Rechte und Freiheiten ab. Daten sollen danach z.B. so wenige Daten wie möglich erhoben werden; diese sollen so schnell wie möglich pseudonymisiert werden. Außerdem müssen technische Geräte und IT-Anwendungen zukünftig so voreingestellt werden, dass nur solche Daten erhoben werden, die für den Zweck der Verarbeitung notwendig sind. Die DSGVO und das neue DSAnpUG-EU beschreiben im Einzelnen die erforderlichen Kontrollmaßnahmen (Art. 32 DSGVO und §§ 64 ff. und 71 bis 74 DSAnpUG-EU).

Gemeinsame Datenverarbeitung

Nach Art. 26 DSGVO ist es zukünftig auch zulässig, dass mehrere verantwortliche Stellen die erlaubte Datenverarbeitung gemeinsam durchführen können. Erforderlich ist hierzu eine transparente Vereinbarung, die die jeweiligen Zwecke und Verantwortlichkeiten sowie die Handhabung hinsichtlich der Betroffenenrechte festlegt. Betroffene können ihre Rechte aber weiterhin gegenüber jedem einzelnen Verantwortlichen geltend machen.

Auftragsdatenverarbeitung

Die Auftragsdatenverarbeitung ist auch in Art. 28 und 29 DSGVO zukünftig erlaubt. Darunter versteht man die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Verarbeitung Verantwortlichen auf Grundlage eines schriftlichen Vertrags. Darunter fallen z.B. Unternehmen, die ihre Daten bei einem externen Rechenzentrum speichern oder die eine externe Stelle mit der Erstellung etwa von Rechnungen beauftragen.

Die neuen Regelungen ähneln den Vorgaben des § 11 BDSG, enthalten aber weiter gehende Pflichten für beide Seiten. Die Auftragsverarbeitung ist nur zulässig, wenn der Auftragsverarbeiter hinreichende Garantien für eine ordnungsgemäße Datenverarbeitung bietet. Art. 28 DSGVO enthält eine umfangreiche Aufzählung von Regelungsinhalten sowie Rechte und Pflichten, die in dem Vertrag zwingend vereinbart werden müssen. Vieles ist ähnlich geregelt wie in § 11 BDSG. Neu ist
allerdings, dass auch der Auftragsverarbeiter ein „Verzeichnis der Verarbeitungstätigkeiten“ führen muss (s.u.).

Datenverarbeitung und auch Auftragsverarbeitung ist in Drittstaaten – wie bisher – nur zulässig, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist. Die bisherige deutsche Restriktion, dass in Drittstaaten – auch bei angemessenem Datenschutzniveau – keine Daten der besonderen Art (z. B. Gesundheitsdaten) verarbeitet werden dürfen, entfällt nach der DSGVO.

Verzeichnis der Verarbeitungstätigkeiten

In Art. 30 DSGVO ist vorgeschrieben, dass der Verantwortliche bzw. der Auftragsverarbeiter ein „Verzeichnis der Verarbeitungstätigkeiten“ führen müssen. Ähnlich dem bisherigen Verfahrensverzeichnis nach § 4g Abs. 2 in Verbindung mit § 4e BDSG handelt es sich dabei um eine Dokumentation und Übersicht aller Verfahren, bei denen personenbezogene Daten verarbeitet werden. Unter bestimmten Voraussetzungen können Unternehmen mit weniger als 250 Beschäftigten nach Art. 30 Abs. 5 DSGVO von dieser Pflicht ausgenommen sein.

Die neue Verordnung sieht im Vergleich zur bisherigen Rechtslage zusätzliche Angaben vor, wie z. B. Name und Kontaktdaten des ggf. bestellten Datenschutzbeauftragten, Löschfristen und die TOM. Unternehmen müssen dieses Verzeichnis außerdem auf Anfrage der Aufsichtsbehörde zur Verfügung stellen. Allerdings fällt die noch im BDSG geregelte Pflicht weg, das Verzeichnis jedermann auf Anforderung zur Verfügung zu stellen.

Datenschutzfolgenabschätzung

Gänzlich neu für Unternehmen ist die in Art. 35 DSGVO geregelte Datenschutzfolgenabschätzung. Sie ist nach Abs. 1 immer dann durchzuführen, wenn ein Datenverarbeitungsverfahren voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt. Dies ist insbesondere der Fall bei der Verwendung neuer Technologien oder sonst aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung.

Die Folgeschutzabschätzung erfolgt in 3 Stufen:

    1. In der 1. Stufe ist zu prüfen, ob ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Abs. 3 als nennt als Hauptanwendungsgebiete Technologien, die automatisiert, systematisch und umfassend Daten erfassen, verarbeiten und bewerten.
    2. Wenn ein solches Risiko besteht, ist in einer 2. Stufe eine Bewertung dahingehend vorzunehmen, ob die geplanten Abhilfemaßnahmen und Sicherheitsvorkehren ausreichen, um den Schutz der Daten zu gewährleisten. Außerdem muss der Nachweis erbracht werden, dass die DSGVO eingehalten und den Interessen der Betroffenen Rechnung getragen wird.
    3. Kommt die Bewertung zu dem Ergebnis, dass trotz möglicher Maßnahmen ein hohes Risiko besteht, muss in einer 3. Stufe die Aufsichtsbehörde konsultiert werden (Art. 36 DSGVO). Diese kann dann innerhalb von 8 Wochen Empfehlungen aussprechen. (Diese Frist kann je nach Komplexität von der Aufsichtsbehörde verlängert werden.) Zuständige Behörde ist in Deutschland der Bundesbeauftragte nach § 69 Abs. 1 DSAnpUG-EU.

Ist in dem Unternehmen ein Datenschutzbeauftragter bestellt, muss er in die Datenschutz-Folgenabschätzung eingebunden werden.

Die Datenschutzfolgenabschätzung ist schriftlich zu dokumentieren. Es kann u. U. zweckmäßig sein, dies mit dem Verzeichnis der Verarbeitungstätigkeiten (s.o.) zu verknüpfen.

Melde- und Informationspflichten bei Datenpannen

Für die bisher in § 42a BDSG vorgeschrieben Melde-
und Informationspflichten bei Datenpannen/Incidents gelten zukünftig die Vorgaben des Art. 33 DSGVO. Danach müssen grds. alle Verletzungen des Schutzes personenbezogener Daten gemeldet werden, es sei denn, das Risiko für persönliche Rechte und Freiheiten ist unwahrscheinlich.

Unternehmen müssen solche Incidents der Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden der Verletzung erfolgen und folgende Informationen übermitteln:

  • Beschreibung des Incidents, Angabe der Kategorie der betroffenen Daten, Anzahl der Betroffenen und betroffenen Datensätze,
  • Name und Kontaktdaten des Datenschutzbeauftragten oder eines anderen informierten Ansprechpartners,
  • Beschreibung der Folgen der Datenschutzverletzung,
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.

In Deutschland ist der Bundesbeauftragte für Datenschutz die zuständige Aufsichtsbehörde (§ 65 DSAnpUG-EU).

Außerdem müssen die von einer Verletzung Betroffenen grds. selbst benachrichtigt werden (Art. 34 DSGVO und § 66 DSAnpUG-EU).  Die Benachrichtigungspflicht entfällt aber, wenn:

  • der Verantwortliche Vorkehrungen getroffen hat, die Daten Unbefugten unzugänglich zumachen, etwa durch Verschlüsselung,
  • der Verantwortliche nachträglich Maßnahmen ergriffen hat, durch die das hohe Risiko für die Rechte und Freiheiten der Betroffenen aller Wahrscheinlichkeit nach nicht mehr bestehen,
  • sie einen unverhältnismäßig hohen Aufwand erfordern würde – dann muss allerdings eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme erfolgen.

Datenschutzbeauftragter

Nach Art. 37 DSGVO müssen Unternehmen immer dann einen betrieblichen Datenschutzbeauftragten benennen, wenn ihre Kerntätigkeit bzw. die ihres Auftragsverarbeiters:

  • aus Verarbeitungsvorgängen besteht, die nach Art, Umfang und/oder Zweck eine   systematische Überwachung erfordern
  • die Verarbeitung besonders sensibler Daten nach Art. 9 und 10 DSGVO betrifft

§ 38 DSAnpUG-EU erweitert die Gründe für die Benennung eines Datenschutzbeauftragten. Sie ist danach auch dann erforderlich, wenn der Verantwortliche oder Auftragsverarbeiter:

  • in der Regel mindestens 10 Personen ständig mit der Datenverarbeitung beschäftigt
  • Verarbeitungen vornimmt, die der Datenschutzfolgenabschätzung unterliegen (dies ist insbesondere relevant bei Gesundheitsdaten)
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet

Der Datenschutzbeauftragte muss entsprechend beruflich und fachlich qualifiziert sein. Er kann Mitarbeiter des datenverarbeitenden Unternehmens sein, es können aber auch ein externer eingesetzt werden. Hat ein Konzern mehrere Gesellschaften, können diese auch einen gemeinsamen Beauftragten benennen (Konzerndatenschutzbeauftragter). Ohne wichtigen Grund gem. § 626 BGB darf er weder abberufen noch gekündigt werden (§ 38 in Verbindung mit § 6 Abs. 4 DSAnpUG-EU).

Nach Art. 38 DSGVO ist der Datenschutzbeauftragte frühzeitig einzubinden, fachlich weisungsfrei und berichtet unmittelbar der höchsten Managementebene. Seine Aufgaben umfassen nach Art. 39 DSGVO die:

  • Unterrichtung und Beratung des Verantwortlichen bzw. Auftragsverarbeiters sowie deren Beschäftigten,
  • Überwachung der Einhaltung der rechtlichen Regelungen sowie der Strategien des Verantwortlichen bzw. Auftragsverarbeiters einschließlich der Zuweisung von Zuständigkeiten und die Sensibilisierung und Schulung der relevanten Mitarbeiter
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung gem. Art.
    35 DSGVO
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Tätigkeit als Anlaufstelle der Aufsichtsbehörde

Er kann im Unternehmen auch zusätzlich andere Aufgaben wahrnehmen, sofern sichergestellt ist, dass daraus keine Interessenkonflikte erwachsen.

Firmensitz
Albert-Einstein-Str.8
76829 Landau

Niederlassung:
Rupprechtstr. 10
66954 Pirmasens

info@datenschutzperten.de
06341 3807110

©  2023 Datenschutzperten.  Impressum   Datenschutz