Informieren und handeln. Vorbereitung zu einer DSGVO-konformen Datenschutzdokumentation
Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) regeln den Schutz personenbezogener Daten in der EU und Deutschland. Verantwortliche haben dabei eine zentrale Rolle, da sie dafür sorgen müssen, dass die Vorschriften zum Datenschutz eingehalten werden. Verantwortliche können natürliche Personen oder Unternehmen sein, die personenbezogene Daten erheben, verarbeiten oder nutzen.
Die DSGVO (Datenschutz-Grundverordnung) ist eine EU-Verordnung zum Schutz personenbezogener Daten. Sie legt fest, wer als Verantwortlicher im Sinne der Verordnung gilt und somit die Verantwortung für die Einhaltung der Datenschutzvorschriften trägt.
Als Verantwortlicher gilt gemäß Artikel 4 Nummer 7 der DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
Dabei ist es unerheblich, ob die Daten automatisiert oder manuell verarbeitet werden. Auch die Frage, ob die Verarbeitung im Rahmen einer geschäftlichen oder beruflichen Tätigkeit erfolgt, spielt keine Rolle.
Es ist also jeder verantwortlich, der personenbezogene Daten verarbeitet oder in Auftrag gibt, dass diese verarbeitet werden. Das kann zum Beispiel ein Unternehmen sein, das Kundendaten speichert oder ein Verein, der Mitgliederdaten verarbeitet.
Im Folgenden werden die wichtigsten Pflichten von Verantwortlichen gemäß DSGVO und BDSG (neu) aufgeführt:
- Artikel 5 DSGVO: Grundsätze der Verarbeitung personenbezogener Daten müssen eingehalten werden. Daten müssen rechtmäßig, transparent, zweckgebunden und angemessen erhoben, verarbeitet und genutzt werden.
- Artikel 6 DSGVO: Es muss eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten geben. Diese kann unter anderem eine Einwilligung, ein Vertrag oder ein berechtigtes Interesse sein.
- Artikel 13 und 14 DSGVO: Verantwortliche müssen die betroffenen Personen über die Verarbeitung ihrer Daten informieren, zum Beispiel über die Zwecke der Verarbeitung, die Speicherfristen oder die Empfänger der Daten.
- Artikel 15 bis 22 DSGVO: Die betroffenen Personen haben Rechte, aufgrund derer sie Auskunft über ihre gespeicherten Daten, deren Berichtigung oder Löschung verlangen können. Außerdem haben sie ein Recht auf Einschränkung der Verarbeitung, auf Datenübertragbarkeit und ein Widerspruchsrecht.
- Artikel 25 DSGVO: Verantwortliche müssen technische und organisatorische Maßnahmen ergreifen, um die Sicherheit und den Schutz personenbezogener Daten zu gewährleisten. Das bedeutet unter anderem, dass Daten nur von autorisierten Personen verarbeitet werden dürfen und dass Datenverluste oder -lecks vermieden werden müssen.
- § 32 BDSG (neu): Verantwortliche müssen ein Verzeichnis von Verarbeitungstätigkeiten führen, das alle Informationen über die Verarbeitung personenbezogener Daten enthält. Dieses Verzeichnis muss auf Anfrage der Aufsichtsbehörden vorgelegt werden.
- § 38 BDSG (neu): Verantwortliche müssen einen Datenschutzbeauftragten bestellen, wenn mehr als neun Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind oder wenn es sich um eine öffentliche Stelle handelt.
Die DSGVO (Datenschutz-Grundverordnung) enthält verschiedene Dokumentationspflichten für Verantwortliche im Zusammenhang mit der Verarbeitung personenbezogener Daten. Zu den wichtigsten gehören:
- Verzeichnis von Verarbeitungstätigkeiten: Der Verantwortliche muss ein Verzeichnis von Verarbeitungstätigkeiten führen, in dem alle Datenverarbeitungsvorgänge dokumentiert werden, die im Unternehmen durchgeführt werden. Das Verzeichnis muss u.a. Angaben zu den Zwecken der Verarbeitung, den Kategorien von personenbezogenen Daten, den Empfängern der Daten und den Löschfristen enthalten.
- Datenschutz-Folgenabschätzung (DSFA): Wenn eine Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, muss der Verantwortliche eine DSFA durchführen. Die Ergebnisse der DSFA müssen dokumentiert werden.
- Auftragsverarbeitungsverträge: Wenn der Verantwortliche einen Auftragsverarbeiter beauftragt, muss er mit diesem einen Auftragsverarbeitungsvertrag abschließen. In diesem Vertrag müssen u.a. die Datenverarbeitungszwecke, die technischen und organisatorischen Maßnahmen zur Datensicherheit sowie die Rechte und Pflichten des Auftragsverarbeiters festgelegt werden.
- Dokumentation von Datenschutzverletzungen: Wenn es zu einer Datenschutzverletzung kommt, muss der Verantwortliche dies innerhalb von 72 Stunden an die Datenschutzbehörde melden und eine Dokumentation der Verletzung und der ergriffenen Maßnahmen erstellen.
- Datenschutzerklärung: Der Verantwortliche muss eine Datenschutzerklärung bereitstellen, in der er u.a. über die Art, den Umfang und den Zweck der erhobenen Daten informiert und die Rechte der betroffenen Personen erläutert.
Diese Aufzählung ist nicht abschließend, sondern gibt einen Überblick über die wichtigsten Pflichten, je nach Art und Umfang der Datenverarbeitungstätigkeiten des Verantwortlichen, im Sinne der DSGVO und des BDSG (neu). Es ist wichtig, dass Verantwortliche sich mit den Datenschutzvorschriften vertraut machen und diese konsequent umsetzen, um den Schutz personenbezogener Daten zu gewährleisten.
Sie haben Fragen zu Ihrer Rolle als verantwortliche Stelle? Sie benötigen Beratung bzw. Unterstützung bei der Erstellung Ihrer Datenschutzdokumentation?
Für ein unverbindliches Gespräch einfach anrufen.
Partner für Datenschutzverantwortliche im Raum Emden, Aurich, Norden, Leer, Wilhelmshaven, Oldenburg, Bremen, Papenburg, Münster