Auf dieser Seite geben wir Ihnen Antworten auf die wichtigsten Fragen zur Datenschutzgrundverordnung (DSGVO). Die Fragen und Antworten sollen Ihnen einen ersten Einblick geben, erheben keinen Anspruch auf Vollständigkeit und ersetzen auch nicht die Beratung im Einzelfall.
Neben der Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten (Kapitel 2 Art. 5 bis 11 der DSGVO) und der Gewährleistung der Betroffenenrechte (Kapitel 3 Art. 12 bis 23 der DSGVO) sind folgende Punkte zu prüfen:
- Das Führen eines Verzeichnisses der Verarbeitungstätigkeiten
- Anforderungen an die Auftragsverarbeitung
- Sicherstellung von technischer und organisatorischer Maßnahmen zur Sicherstellung von Datensicherheit und Datenschutz
- Die Meldung von Datenschutzverletzungen an die Aufsichtsbehörde und die Benachrichtigung von betroffenen Personen,
- Gegebenenfalls die Durchführung von Datenschutz-Folgenabschätzungen
- Gegebenenfalls die Benennung eines Datenschutzbeauftragten
Ein Datenschutzbeauftragter muss bestellt werden, wenn mindestens 20 Mitarbeiter regelmäßig mit Verarbeiteitung personenbezogener Datenverarbeitung beschäftigt sind.
Unabhägig von der Mitarbeiterzahl gilt diese Pflicht auch dann:
- wenn besondere Kategorien von personenbezogenen Daten (z. B. über politische/religiöse Überzeugungen, Ethnie/Rasse, Gesundheit, ...) verarbeitet werden.
- wenn die Kerntätigkeit des Unternehmens in der Erhebung, Verarbeitung, Nutzung oder Übermittlung von personenbezogenen Daten liegt.
Stellt die Aufsichtsbehörde einen Verstoß gegen die Datenschutz-Grundverordnung fest, kann die Behörde verwarnen oder Anordnungen wie Verarbeitungsverbote aussprechen aber auch Geldbußen von bis zu 20 Millionen € oder 4 Prozent des weltweiten Jahresumsatzes verhängen.
Betroffene Personen können Klagen bei den zuständigen Gerichten einreichen und eventuell Anspruch auf Schadensersatz geltend machen.
Auftragsverarbeitung bezeichnet den Vorgang, in dem eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet. Nach Maßgabe des Art. 28 Abs. 3 DS-GVO schließen Verantwortliche und Auftragsverarbeiter über die Auftragsverarbeitung einen Vertrag.
Weitere Information hierzu finden Sie unter: DSK Kurzpapier Nr. 13.
Jeder Verantwortliche (im Unternehmen, im Verein, ...) und jeder Auftragsverarbeiter erstellen und führen ein Verzeichnis (bzw. eine Dokumentation) aller Verarbeitungstätigkeiten bei den personenbezogenen Daten verarbeitet werden. Eine Beispiel für eine solche Verarbeitungstätigkeit im Unternehmen ist die Lohnbuchhaltung.
Das Verzeichnis von Verarbeitungstätigkeiten dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 Datenschutzgrundverordnung (DS-GVO) nachzuweisen, dass die Vorgaben aus der DSGVO eingehalten werden (Rechenschaftspflicht).
Das Verarbeitungsverzeichnis stellt somit ein wesentliches Element für die Etablierung eines umfassenden Datenschutz- und Informationssicherheits-Managementsystems dar.
Wir werden die Fragen und Antworten von Zeit zu Zeit ergänzen.