Serie: Datenschutzgrundverordnung – was ist zu tun? (3-8)

Kategorien: Management-Wissen

Schlagwörter: Datenschutz,Gründung,KMU,Rechtliches

Die Datenschutzgrundverordnung (DSGVO) wurde am 25.05.2016 verabschiedet. Nach einer Übergangsfrist von zwei Jahren trat sie am 25.05.2018 in Kraft. Als Verordnung ist sie in den Mitgliedstaaten unmittelbar anwendbar (vgl. Art. 288 Abs. 2 AEUV); es bedarf insoweit keines Umsetzungsakts wie bei Richtlinien. Zur Ausfüllung von Öffnungsklauseln und zur Anpassung des nationalen Datenschutzrechts an die Vorgaben der DSGVO wurde das deutsche Bundesdatenschutzgesetz (BDSG) – inzwischen bereits zweimal – geändert; die neue Fassung trat ebenfalls am 25.05.2018 in Kraft, die Änderungen durch das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz sind am 26.11.2019 in Kraft getreten.

Die DSGVO bringt einige Änderungen mit sich; insbesondere wurden die Sanktionen drastisch verschärft. Unternehmen sollten die Vorgaben der DSGVO daher ernst nehmen; Grund zur Panik besteht allerdings nicht. In unserer Artikelserie zeigen wir Ihnen, worauf zu achten ist:

Artikel 1: Rechtsgrundlagen, Anwendungsbereich und Grundprinzipien
Artikel 2: Datenschutzbeauftragter (DSB) 
Artikel 3: Verfahrensverzeichnis, Schutzmaßnahmen und Folgeabschätzung (dieser Artikel)
Artikel 4: Informationspflichten und Betroffenenrechte
Artikel 5: Datenpannen: Melde- / Benachrichtigungspflichten
Artikel 6: Auftragsverarbeitung
Artikel 7: Zivilrechtliche Haftungsrisiken und Sanktionen
Artikel 8: Wesentliche Begriffe

Artikel 3: Verfahrensverzeichnis, Schutzmaßnahmen und Folgenabschätzung

1. Verfahrensverzeichnis

Ein zentrales Dokument im Datenschutzrecht ist das sog. Verfahrensverzeichnis (vgl. Art. 30 DSGVO). Dieses hat – nach neuer Rechtslage – der Verantwortliche im Sinne von Art. 4 Abs. 1 Nr. 7 DSGVO zu fertigen und nicht der Datenschutzbeauftragte. Es sind folgende Pflichtangaben zu beachten:

- Name und Kontaktdaten des Verantwortlichen, dessen Vertreter sowie ggf. des Datenschutzbeauftragten,

- Zwecke der Verarbeitung,

- Beschreibung der Kategorien Betroffener und personenbezogener Daten,

- Kategorien von Empfängern der Daten,

- ggf. Übermittlungen von Daten an ein Drittland/eine internationale Organisation,

- (nach Möglichkeit) Fristen für die Löschung der Daten,

- (nach Möglichkeit) allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

2. Schutzmaßnahmen

Art. 32 DSGVO bestimmt, dass unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Technische und organisatorische Maßnahmen, „TOMs“). Die Maßnahmen, die zu den TOMs gehören, sind insbesondere Folgende:

- Pseudonymisierung und Verschlüsselung personenbezogener Daten;

- Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

- Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

3. Folgenabschätzung

Neu ist die sog. Datenschutz-Folgenabschätzung gem. Art. 35 Abs. 1 DSGVO. Diese ersetzt die bisherige Vorabkontrolle (vgl. § 4d Abs. 5 BDSG a.F.). Sie unterfällt der Nachweispflicht gem. Art. 24 Abs. 1 DSGVO. Bei der Datenschutz-Folgenabschätzung wird insbesondere die Eintrittswahrscheinlichkeit und Schwere eines möglichen Risikos bewertet. Dafür ist der Rat des Datenschutzbeauftragten einzuholen (Art. 35 Abs. 2 DSGVO). Ferner haben die Aufsichtsbehörden eine Liste mit Verarbeitungsvorgängen, für die eine Folgenabschätzung vorzunehmen ist, zu veröffentlichen.

Art. 35 Abs. 7 DSGVO bestimmt den Inhalt einer Folgenabschätzung. Hierzu gehören u.a.

- eine systematische Bezeichnung der geplanten Vorgänge und Zwecke der Verarbeitung, eine Bewertung von Notwendigkeit und Verhältnismäßigkeit in Bezug auf den Zweck;

- eine Bewertung des Risikos für die Rechte und Freiheiten der Betroffenen;

- die geplanten Abhilfemaßnahmen und Sicherheitsvorkehrungen.

Teilen Sie diesen Artikel. Wählen Sie Ihre Plattform

Alle Informationen und Angaben in unseren Artikeln und Informationen haben wir nach bestem Wissen zusammengestellt. Sie erfolgen jedoch ohne Gewähr. Diese Information kann eine individuelle Beratung im Einzelfall nicht ersetzen.

Kategorien

Neueste Artikel

Schlagwörter

Aktuelles Controlling Corporate Social Responsibility CSR Ready Projekt Datenschutz E-Cafe Projekt Eminent Projekt Erasmi Projekt Erasmus+ Finanzierung Fördermittel Führung Gründung Insolvenz KMU Kommunikation Krise Kunden Lieferanten Migration Navigating Tourism Project Netzwerke Personal Planung Preise Project Management Rechtliches SECURE Smart UP Projekt Stakeholder Supply Chain Tools Tourismus Verhandlungen Weiterbildung Ziele

Zugehörige Artikel

Folgende Artikel könnten für Sie ebenfalls interessant sein

Virtuelles Onboarding für neue Mitarbeiter – Erkenntnisse durch die Pandemie
Virtuelles Onboarding für neue Mitarbeiter – Erkenntnisse durch die Pandemie

Virtuelles Onboarding für neue Mitarbeiter – Erkenntnisse durch die Pandemie

August 19th, 2021|0 Comments
Souverän online präsentieren – 11 Tipps für ein erfolgreiches Webinar
Souverän online präsentieren – 11 Tipps für ein erfolgreiches Webinar

Souverän online präsentieren – 11 Tipps für ein erfolgreiches Webinar

August 19th, 2021|0 Comments
Einführung in das Stakeholdermanagement
Einführung in das Stakeholdermanagement

Einführung in das Stakeholdermanagement

August 19th, 2021|0 Comments
Agiles Projektmanagement
Agiles Projektmanagement

Agiles Projektmanagement

August 18th, 2021|0 Comments
Projektmanagement – eine kurze Einführung
Projektmanagement – eine kurze Einführung

Projektmanagement – eine kurze Einführung

August 18th, 2021|0 Comments
Führung: Worum es geht und warum Sie es verstehen müssen
Führung: Worum es geht und warum Sie es verstehen müssen

Führung: Worum es geht und warum Sie es verstehen müssen

August 18th, 2021|0 Comments