Neue Pflichten für Verantwortliche
Verantwortliche Unternehmen unterliegen gleichzeitig neuen Pflichten, die nicht mit den Rechten der Betroffenen korrelieren. Der Datenschutzbeauftragte und die Auftragsdatenverarbeitung waren schon vor der DSGVO für viele Unternehmen verpflichtend. Zusätzliche Pflichten ergeben sich vor allem im Bereich des technischen Datenschutzes.
Technisch-organisatorische Maßnahmen
Nach Art. 24 DSGVO müssen Unternehmen technisch-organisatorische Maßnahmen treffen, um den Datenschutz als Grundrecht zu gewährleisten. Das beinhaltet zudem eine ständige Evaluierung der technischen Maßnahmen und eine Anpassung an fortschreitende technologische Entwicklungen. Die Maßnahmen müssen somit dem „neusten Stand der Technik“ entsprechen.
Schutzziele als übergeordneter Maßstab
Der technische Datenschutz wird durch die DSGVO nicht konkretisiert. Wie einzelne Maßnahmen in der Praxis auszusehen haben, entscheiden entweder nationale Gesetze oder anstehende Gerichtsurteile. Die DSGVO selber formuliert allerdings Schutzziele, deren Erreichung Ziel der technischen Maßnahmen zum Datenschutz sein sollen:
- Verschlüsselung und Pseudonymisierung
- Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der technischen Systeme
- Wiederherstellbarkeit von Daten bei Verlust
- Regelmäßige Überprüfung der Wirksamkeit der technisch-organisatorischen Maßnahmen
Wie einzelne Maßnahmen in der Praxis in Ihrem Betrieb aussehen, hängt stark von der Art der Datenverarbeitung ab. Ein Datenschutzbeauftragter berät Sie umfangreich zu konkreten Maßnahmen.
Datenschutzfolgeabschätzung
In Art. 35 DSGVO wird eine Datenschutzfolgeabschätzung beschrieben, die notwendig wird, wenn die verarbeiteten Daten besonders sensibel sind. Ein Datenleck bei solchen Unternehmen würde ein erhöhtes Schadensrisiko für die betroffenen Personen darstellen. Die Datenschutzfolgeabschätzung wird nach Umsetzung eines Datenschutzkonzeptes vom Datenschutzbeauftragten vorgenommen und an die zuständige Datenschutzbehörde weitergeleitet. Im Grunde handelt es sich dabei um eine Abschätzung aller Risiken und eine Vorabkontrolle des Datenschutzkonzeptes durch die zuständige Behörde.
Höhere Strafen und Bußgelder
Besonders drastisch wird die DSGVO aufgrund der höheren Bußgelder und Strafen empfunden, die durch Datenschutzbehörden verhängt werden können. Viele Anforderungen der DSGVO bestanden in Teilen schon durch das deutsche BDSG-alt. Die Verfasser der neuen Verordnung haben sich an dem deutschen Datenschutzgesetz orientiert. Dass die Thematik von Unternehmen überwiegend ignoriert oder vernachlässigt wurde, lag zudem an der geringen Verfolgung durch Datenschutzbehörden und den niedrigen Bußgeldern. Wer nach Inkrafttreten der DSGVO gegen das geltende Datenschutzrecht verstößt, muss mit Bußgeldern in Höhe von bis zu 20. Mio € oder 4% des gesamten Jahresumsatzes rechnen.
Strengere Verfolgung
Die DSGVO soll für einen einheitlichen europaweiten Datenschutz sorgen und die freie Bestimmung über die eigenen Daten als Persönlichkeits- und Grundrecht stärken. Deutsche Behörden haben angekündigt, Verstöße gegen die DSGVO streng zu verfolgen. Zudem wurden Datenschutzbehörden, die gleichzeitig eine beratende Funktion haben sollen, mit mehr Befugnissen ausgestattet. Es ist somit zu erwarten, dass die Einhaltung von Datenschutzgesetzen ab sofort streng verfolgt und ein wichtiger Bestandteil jeder unternehmerischen Tätigkeit sein wird.
Welche Grundsätze sind nach der DSGVO bei Datenverarbeitungen zu beachten?
Elementar ist die Rechenschaftspflicht der DSGVO für den neuen europäischen Datenschutz. Unternehmen, die personenbezogene Daten verarbeiten, müssen Aufsichtsbehörden gegenüber nachweisen können, dass sie die Vorgaben erfüllen. Maßgebend sind dabei folgende Grundsätze:
- Transparenz: Alle Verarbeitungen müssen offengelegt und öffentlich kommuniziert werden. Dies geschieht im Rahmen der Datenschutzerklärung.
- Datensparsamkeit: Es sollen lediglich die personenbezogenen Daten erhoben werden, die zur Erreichung des Zweckes erforderlich sind.
- Korrektheit der Daten: Falsche Daten dürfen nicht gespeichert werden. Die Korrektheit muss gewährleistet werden, was durch Nachjustierungen, Löschungen oder Aktualisierungen verwirklicht werden kann.
- Zweckbindung: Daten sollen lediglich für die festgelegten und kommunizierten Zwecke verwendet werden. Der Zweck muss dabei legitim und eindeutig sein.
- Speicherbegrenzung: Die Datensparsamkeit wird durch die Speicherbegrenzung konkretisiert. Die Speicherdauer darf das notwendige Mindestmaß zur Zweckerreichung nicht überschreiten.
- Integrität und Vertraulichkeit: Durch angemessene technisch-organisatorische Maßnahmen wird die Unversehrtheit und der Schutz der Daten garantiert.
Die Umsetzung der Grundsätze in konkrete Maßnahmen sollte bereits vor der Gründung vorgenommen werden. Im Optimalfall treten Sie mit einem juristischen Beistand in Kontakt, um Ihr Geschäftsmodell evaluieren zu lassen und einen Überblick über datenschutzrechtliche Anknüpfungspunkte zu erhalten.
Guten Tag,
wir haben eine neu gegründete GmbH, die personenbezogene Daten verarbeitet. Von der Unternehmensgröße unabhängig, müssen wir also einen Datenschutzbeauftragten stellen. Die GmbH besteht aber aktuell nur aus der Geschäftsführung, die als Datenschutzbeauftragte eigentlich nicht infrage kommt, da sie sich sonst selbst kontrolliert.
Ist diesem Fall ein externer Beauftragter die sinnvollste und einzige Lösung?
Sehr geehrte Frau Jetschke,
der Geschäftsführer kommt tatsächlich nicht als Datenschutzbeauftragter in Betracht aufgrund des Verbots der – wie richtig von Ihnen beurteilt – Selbstkontrolle.
In diesem Fall bleibt Ihnen nur die Bestellung eines externen Datenschutzbeauftragten. Dieser ist meist günstiger, als die Erfüllung dieser Aufgabe durch einen Mitarbeiter vornehmen zu lassen. Ein besonderer Vorteil des externen Datenschutzbeauftragten ist, dass dieser i. d. R. auch für Verstöße haftet.
Mit freundlichen Grüßen
i.A.
Lorena Klee