Am 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Sie ist damit in allen Mitgliedsstaaten der EU unmittelbar anwendbares Recht. Seit diesem Zeitpunkt gilt parallel auch das neue Bundesdatenschutzgesetz (BDSG n. F.), in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat. Um Ihnen den Einstieg in diese hochkomplexe Materie zu erleichtern, haben wir mit diesem Praxiswissen eine Art Checkliste für Ihren Einstieg in die neuen datenschutzrechtlichen Bestimmungen erarbeitet.
Am 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (DS-GVO) in Kraft getreten. Sie ist damit in allen Mitgliedsstaaten der EU unmittelbar anwendbares Recht. Seit diesem Zeitpunkt gilt parallel auch das neue Bundesdatenschutzgesetz (BDSG n. F.), in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat.
Hierdurch ergeben sich vielfältige neue Anforderungen in Bezug auf alle datenschutzrechtlichen Aspekte, insbesondere im Rahmen der Verarbeitung personenbezogener Daten. Betroffen sind nicht nur der Umgang mit Kunden((GENDERNOTICE))- und Arbeitnehmerdaten, sondern z. B. auch die technischen Aspekte der Datensicherheit.
Um Ihnen den Einstieg in diese hochkomplexe Materie zu erleichtern, haben wir mit diesem Praxiswissen eine Art Checkliste für Ihren Einstieg in die neuen datenschutzrechtlichen Bestimmungen erarbeitet.
Bitte melden Sie sich an, um den vollständigen Artikel zu sehen.
Sie sind noch kein HBE-Mitglied?
Oder Sie sind bereits HBE-Mitglied, haben aber noch keinen Zugang?
In Unternehmen müssen zwingend die Verantwortlichkeiten für die Einhaltung der datenschutzrechtlichen Vorschriften geregelt werden. Der oder die Verantwortliche ist gegenüber den Auskunftsbehörden rechenschaftspflichtig und muss die Einhaltung des Datenschutzrechts nachweisen. Die Verantwortung für die Einhaltung des Datenschutzrechts liegt daher zunächst immer bei der Geschäftsführung. Allerdings kann - abhängig von der Unternehmensgröße - eine weitere Person benannt werden, die neben der Geschäftsführung für die Umsetzung der neuen Vorschriften zuständig ist. Es kann auch ein Team gebildet werden, das aus Beschäftigten aller betroffenen Bereiche (z. B. Personalabteilung, Marketing, IT) besteht oder alternativ eine externe Beratung in Anspruch genommen werden.
Die wichtigsten Pflichten des Verantwortlichen sind:
Die DS-GVO hat die Informationspflichten im Zusammenhang mit der Erhebung und Verarbeitung von Daten stark ausgeweitet. Dadurch sind viele Formulare und Datenschutzerklärungen sowie verwendete Muster auf die jeweilige Datenverarbeitung anzupassen. Wenn die Daten beim Betroffenen erhoben werden, müssen die Informationen zum Zeitpunkt der Datenerhebung zur Verfügung gestellt werden, Art. 13 DS-GVO. Wenn die Daten nicht direkt beim Betroffenen erhoben werden, ist dieser innerhalb einer angemessenen Frist spätestens innerhalb eines Monats nach der Datenerhebung zu informieren, Art. 14 DS-GVO.
Darüber hinaus haben betroffene Person folgende Rechte:
Für jede Verarbeitung personenbezogener Daten muss eine Rechtsgrundlage bestehen, die die Datenverarbeitung erlaubt. Ansonsten ist die Verarbeitung rechtswidrig. Die wichtigsten Rechtsgrundlagen für eine Datenverarbeitung sind folgende:
Eine Weiterverarbeitung zu einem anderen Zweck als dem Zweck der ursprünglichen Datenerhebung (nachträgliche Zweckänderung) ist nur unter den engen Voraussetzungen des Art. 6 Abs. 4 DS-GVO zulässig.
Die wichtigsten Schritte zur Umsetzung der DS-GVO sind aufzulisten wie folgt:
a) Datenschutz ist Chefsache - die Geschäftsführung sollte sich mit dem Thema „Umsetzung der DS-GVO“ befassen. Abhängig von der Unternehmensgröße sollte eine Person benannt werden, die neben der Geschäftsführung für die Umsetzung der neuen Vorschriften zuständig ist. Es kann ein Team gebildet werden, das aus Beschäftigten aller betroffenen Bereiche (z. B. Personalabteilung, Marketing, IT) besteht. Alternativ kann eine externe Beratung in Anspruch genommen werden.
b) Identifizieren Sie alle Verfahren und Prozesse, bei denen personenbezogene Daten verarbeitet werden. Relevant sind dabei folgende Fragen:
c) Die Antworten auf diese Fragen bilden die Grundlage für ein Verzeichnis von Verarbeitungstätigkeiten.
d) Prüfen Sie, ob für jede Verarbeitung eine Rechtsgrundlage besteht. Wenn die Datenverarbeitung auf der Einwilligung basiert, muss das Einwilligungsformular den Anforderungen der DS-GVO entsprechen (Informationspflichten und Hinweis auf jederzeitige Widerrufsmöglichkeit der Einwilligung beachten).
e) Informationspflichten – bei allen Verarbeitungen muss zum richtigen Zeitpunkt über alle in Art. 13 und 14 DS-GVO genannten Punkte informiert werden.
f) Betroffenenrechte – Erstellen Sie einen Prozess, der es Ihnen ermöglicht, insbesondere Auskunftsbegehren, z. B. von Kunden oder abgelehnten Bewerbern, vollständig zu beantworten. Erstellen Sie Löschkonzepte und setzen Sie dies in der Praxis um.
g) Prüfen Sie, ob Sie einen Datenschutzbeauftragten benötigen und wenn ja, ob Sie einen internen oder externen Datenschutzbeauftragten benennen wollen.
Der Datenschutzbeauftragte ist nicht mehr für die operative Umsetzung, sondern für die Kontrolle und Beratung des Verantwortlichen zuständig.
h) Prüfen Sie, ob Verarbeitungen voraussichtlich mit einem hohen Risiko für die Rechte und Freiheiten betroffener Person verbunden sind. Dann ist eine Datenschutzfolgenabschätzung durchzuführen (z. B. bei der Videoüberwachung).
i) Sind bei einer Videoüberwachung die Kennzeichnung und die erforderlichen Informationen zum frühestmöglichen Zeitpunkt angebracht?
j) Prüfen Sie, ob Daten bei Dienstleistern verarbeitet werden. Es kann sich um eine Auftragsdatenverarbeitung handeln. Prüfen Sie, ob die Verträge zur Auftragsdatenverarbeitung aktuell sind und den Anforderungen der DS-GVO genügen und ob Anweisungen gegenüber Auftragsverarbeitern dokumentiert werden.
k) Prüfen Sie, ob technisch-organisatorische Maßnahmen getroffen und ausreichend sind, um ein angemessenes Schutzniveau zu gewährleisten.
l) Stellen Sie sicher, dass Sie einen Datenschutzverstoß innerhalb von 72 Stunden der Aufsichtsbehörde melden können.
m) Informieren Sie alle mit Datenverarbeitungsvorgängen befasste Mitarbeiter über die jeweilige Änderung bei den von ihnen durchzuführenden Tätigkeiten.
n) Nur wenn Sie alle Schritte zur Einhaltung der DS-GVO dokumentieren, können Sie dies gegenüber der Aufsichtsbehörde nachweisen.
Sofern Sie im Quick-Check nachfolgende Aufgaben bereits umgesetzt haben, befinden Sie sich auf einem guten Weg. Anderenfalls sollten folgende Punkte umgehend umgesetzt werden:
Für sämtliche hier angesprochenen Punkte stellt der HBE Muster bzw. sonstige Hilfestellungen zur Verfügung. Diese können über die Homepage oder bei Ihrer zuständigen Bezirksgeschäftsstelle abgefragt werden können.
Zu allen weiteren angesprochenen Punkten stellen wir Ihnen ebenfalls gesonderte Praxiswissen zur Verfügung, denen Sie weitergehende detaillierte Informationen entnehmen können:
Videoüberwachung, Art. 6 Abs. 1 f) DS-GVO, § 4 BDSG n. F.
Weiterverarbeitung der Daten zu einem anderen Zweck, Art. 6 Abs. 4 DS-GVO
Einwilligung, Art. 7 DS-GVO
Informationspflichten, Art. 13 DS-GVO
Informationspflichten, Art. 14 DS-GVO
Recht auf Auskunft, Art. 15 DS-GVO
Recht auf Berichtigung, Art. 16 DS-GVO
Recht auf Löschung, Art. 17 DS-GVO
Recht auf Einschränkung der Verarbeitung, Art. 18 DS-GVO
Recht auf Datenübertragbarkeit, Art. 20 DS-GVO
Recht auf Widerspruch, Art. 21 DS-GVO
Auftragsdatenverarbeitung, Art. 28 DS-GVO
Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO
Meldung von Verletzungen des Schutzes personenbezogener Daten an die AufsichtsbehördeArt. 33 DS-GVO
Datenschutzfolgenabschätzung, Art. 35 DS-GVO
Datenschutzbeauftragter – Benennung und Stellung, Art. 37 DS-GVO
Datenschutzbeauftragter – Aufgaben, Art. 39 DS-GVO
Wichtige Änderungen beim Arbeitnehmerdatenschutz, Art. 88 DS-GVO, § 26 BDSG n. F.
