Was besagt Datenschutz? Wodurch wird er geregelt?
Wie stehen Bundesdatenschutzgesetz und Datenschutz-Grundverordnung zueinander?
Was sind die Vor- und Nachteile eines internen gegenüber eines externen Datenschutzbeauftragten?
Das Bundesdateschutzgesetz (BDSG) regelt den Umgang mit personenbezogenen Daten, die durch Informations- und Kommunikationssysteme sowie manuell verarbeitet werden.
Zweck des Gesetzes ist die Wahrung der Persönlichkeitsrechte durch schutzhaften Umgang mit personenbezogenen Daten.
Das Datenschutzgesetz betrifft alle nicht-öffentlichen Stellen – und damit alle Unternehmen unabängig von Ihrer Form oder Größe.
Daten verarbeitende Unternehmen, sprich nahezu alle Unternehmen, unterliegen seit dem Mai 2018 nicht nur dem Bundesdatenschutzgesetz, sondern prioritär der neuen EU-Datenschutz-Grundverordnung. Damit müssen Unternehmen Ihre Prozesse auf die neuen Verordnungen anpassen.
Viele Neuerungen und Änderungen treten mit der DSGVO in Kraft. So haben sich beispielsweise die Grundlagen zur Verpflichtung eines Datenschutzbeauftragten geändert oder auch die Vorgaben zur Website-Compliance. Die Vorgabe zu Zertifizierungen hat sich ebenfalls verschärft und erinnert an ISO-Normen aus dem Qualitätsmangement.
Auch Sanktionen haben sich verändert und sind nun weniger absolut als relativ zu betrachten. Als letztes Beispiel haben sich Transparenz- und Informationspflichten verändert.
Auch nach neuer DSGVO noch aktuell?
Das Verfahrensverzeichnis oder auch die Verfahrensübersicht ist ein Element des BDSG. Jede staatliche wie private Stelle, die personenenbezogene Daten verarbeitet, muss dokumentieren, wie mit den Daten umgegangen wird.
Die Dokumentation bzw. das Dokument wird Verfahrensverzeichnis genannt.
Die DSGVO löst den Begriff des Verfahrenverzeichnisses ab und führt die Pflicht zur Führung des „Verzeichnis der Verarbeitungstätigkeiten“ ein. Dies ist im Grundsatz des gleiche mit einigen Abänderungen zur Pflege und Führung.
Nach BDSG war bislang sowohl die Führung eines internen wie auch die Pflege eines externen Verfahrenverzeichnisses Pflicht. Durch die neuen Auflagen zu Auskunfts- und Meldepflichten wird dies in der Praxis auch in Zukunft durch die DSGVO Bestand haben – auch wenn eine grundsätzliche Veröffentlichung des Verzeichnisses nicht weiter notwendig ist.
Unternehmen, die bereits ein Verfahrensverzeichnis geführt haben, haben bei der Anlegung des „Verzeichnis der Verarbeitungstätigkeiten“ ein relativ leichtes Spiel.
Aus wirtschaftlicher Perspektive lassen sich die Änderungen grundsätzlich in Rechte der Betroffenen und Pflichten für Unternehmen einteilen. Nachfolgend ein Auszug der Rechte der Betroffenen.
Durch die neue DSGVO wird das Auskunftsrecht von Betroffenden gestärkt. Die Auskunft muss nun auf Wunsch auch auf elektronischer Form geschehen.
Unter anderem besteht das Recht auf Auskunft zu:
Datenlöschung darf u.a. gefordert werden, wenn:
Das Recht auf Löschung erlischt, wenn:
Der Betroffende hat das Recht, seine eigenen Daten zu einem anderen Anbieter mitnehmen zu können. Das heißt, Anbieter müssen die Daten, die durch den Betroffenden selbst angegeben worden sind, so aufbereiten, dass diese strukturiert und durch Maschinen leserlich sind.
Das Recht der Datenportabilität ist durch die DSGVO neu.
Bei automatisierten Entscheidungen, die nicht von einem Menschen getroffen wurden, hat der Betroffende das Recht Widerspruch einzulegen. Entscheidungen dieser Art sind zum Beispiel Annahmen von Online-Krediten oder Online-Einstellungsverfahren.
Ausnahmen gibt es aber auch: zum Beispiel, wenn der Betroffende eine ausdrückliche Einwillung zur automatisierten Entscheidung etwa für zur Erfüllung eines Vertrags zustimmt.
Aus wirtschaftlicher Perspektive lassen sich die Änderungen grundsätzlich in Rechte der Betroffenen und Pflichten für Unternehmen einteilen. Nachfolgend ein Auszug der Pflichten für Unternehmen.
TOM = Technischer und organisatorischer Schutz der Daten hinsichtlich Datenschutz und Datensicherheit. Der Umfang sowie konkrete Maßnahmen für diese Pflicht ergeben sich auch aus den geschätzten Wahrscheinlichkeiten des Eintritts sowie der Schwere der Risiken für die Persönlichkeitsrechte und -freiheiten.
Auch der technische Fortschritt spielt in der Bewertung eine Rolle.
Das bisherige „Verfahrensverzeichnis“ findet auch in der neuen DSGVO Anwendung in ähnlicher Form unter anderem Namen. Mehr Informationen zum neuen „Verzeichnis der Verarbeitungstätigkeiten“ finden Sie unter dem Link.
Zusätzliche Angaben des neuen Verzeichnisses sind u.a.:
mit der DSGVO kommen zu den bisherigen Informations- und Meldepflichten noch weitere hinzu. Bei Verletzung des Schutzes personenbezogener Daten muss eine Meldung gemacht werden, mit Ausnahme von sehr unwahrscheinlichen Risiken für Freiheiten uns Persönlichkeitsrechte.
Innerhalb von 72 Stunden müssen umfangreiche Infos zum Ereignis der Aufsichtsbehörde übermittelt werden sowie den betroffenden Personen selbst (mit Ausnahme von einigen Fällen wie z.B. die vorherige Verschlüsselung der Daten).
Ein betrieblicher Datenschutzbeauftragter (ob extern oder intern) muss immer dann bestellt werden, wenn die Kerntätigkeit des Unternehmens bzw. des Auftragsdatenverarbeiters:
Weitere Gründe zur Ernennung eines DSB sind:
Möchten Sie mehr zum Datenschutz wissen?
Gerne beantworten wir Ihre Fragen zum Datenschutz oder zur Bestellung eines externen Datenschutzbeauftragten.
Vielen Dank.
Ich versichere, die Datenschutzhinweise gelesen zu haben. Der Nutzung meiner Daten gemäß den Datenschutzhinweisen stimme ich ausdrücklich zu.