Datenschutz-Konformität

Was muss man tun, damit dass Unternehmen datenschutzkonform ist? 

  1. NEU: Der risikobasierte Ansatz der DSGVO, Art. 24 Abs. 1 DSGVO

Es besteht für Unternehmen die Pflicht im Vorfeld geeignete technische und organisatorische Maßnahmen (TOM) zu ergreifen. Auch hier gilt wieder: Datenschutz ist kein Selbstzweck. Der Schutz von Persönlichkeitsrechten und der Privatsphäre sind schon präventiv zu besorgen.

Die DSGVO sieht hier, neben der Bestellung eines Datenschutzbeauftragten, eine Reihe von Rechenschaftspflichten (inkl. Dokumentationspflichten) und Informationspflichten (Datenschutzinformation etc.) der Unternehmen vor. So sind nunmehr den Datenschutzbehörden bei einer Überprüfung des Unternehmens präventive Maßnahmen im Bereich Datenschutz im Sinne des risikobasierten Ansatzes der DSGVO nachzuweisen.

  • Bestellung des Datenschutzbeauftragten, wenn erforderlich

->ab wann muss ein DSB bestellt werden: Link zu Datenschutzbeauftragter

  • Ein aktuell gepflegtes Verzeichnis der Verarbeitungstätigkeiten (siehe hierzu: intersoftConsulting)
    • Pflicht für Unternehmen ab einer Mitarbeiterzahl von 250, ABER auch bei weniger Beschäftigten, wenn nicht nur gelegentlich mit sensiblen Personendaten umgegangen wird! § 30 Abs. 5 DSGVO
    • aktuell gepflegtes Verzeichnis
    • erfüllt die Anforderungen nach § 30 DSGVO hinsichtlich Inhalt und Umfang
    • Damit einher geht die Durchführung der Handlungen im Sinne der Datensparsamkeit und Datenminimierung, daraus ergeben sich:
    • Routinen und Prüfungen: Regelmäßig sind gespeicherte Personendaten daraufhin zu prüfen, ob ihre Speicherung noch erforderlich ist, oder ob diese nicht mehr benötigt werden und daher zu löschen sind. Entsprechend sind die Personendaten auch regelmäßige auf ihre Richtigkeit zu kontrollieren und gegebenenfalls zu aktualisieren.
  • Herstellung von Daten- und IT-Sicherheit mittels technischen und  organisatorscher Maßnahmen

Verpflichtende Maßnahmen i.S.d. Art. 32 Abs. 1 DSGVO für Unternehmen, Implementierung von TOM (technische und organisatorische Maßnahmen), um ein dem jeweiligen Risiko angemessenes Schutzniveau herzustellen. Hier seien exemplarisch genannt:

    • 1.Zugangs-, Zugriffs- und Weitergabekontrollen bezüglich erhobener Daten
    • 2.Neu: Pseudonymisierungspflichten, Art. 32 Abs. 1 lit a DSGVO
    • 3.Regelmäßige Prüfung und Evaluierung der Datensicherheit, Art. 32 Abs. 1 lit. d DSGVO
    • 4.Datenvermeidung, NEU: Privacy by Design, Schutz der Privatsphäre schon bei der Produktentwicklung.
    • 5.Entsprechende Schulung der Mitarbeiter
    • 6.Dienstleister mit potentieller Behandlung sensibler Personendaten für den Auftraggeber sind auf den Datenschutz zu verpflichten mittels geeignetem Vertrag über die Auftragsverarbeitung

siehe vor allem: Maßnahmen bei der Datenerhebung

2. Neu: Verschärfte Meldepflichten bei Datenpannen

  • Pflicht zur Meldung an die Aufsichtsbehörde, Art. 33 DSGVO
  • Zusätzlich kann die Benachrichtigung der betroffenen Person verlangt sein, wenn ein hohes Risiko mit der Datenpanne verbunden ist, Art. 34 DSGVO

Die Haftung für Schäden aufgrund von Datenpannen, Art. 82 DSGVO, setzt Verschulden seitens des Anspruchsgegners voraus.

3. Auskunftsrechte der Betroffenen:

Kapitel III der Datenschutz-Grundverordnung regelt die Rechte der betroffenen Person. Auch sie wurden modernisiert. Art 13 lit. F DSGVO schreibt einen Katalog proaktiver Benachrichtigungen an die Betroffenen vor. Art. 15 DSGVO regelt das Auskunftsrecht der Betroffenen. Neben dem ordentlichen Rechtsweg, bei dem der Betroffene etwa auf Unterlassung klagen kann oder auf Auskunft, kann dieser auch die Datenschutzbehörde anrufen.

4. Rechtsbehelfe der Betroffenen:

Neben dem ordentlichen Rechtsweg, bei dem der Betroffene etwa auf Unterlassung klagen kann oder auf Auskunft gem. § 44 BDSG, kann dieser auch die Datenschutzbehörde anrufen, Art. 77 DSGVO.